Η ολλανδική AP προστίθεται στον κατάλογο των ευρωπαϊκών εποπτικών αρχών που έχουν επιβάλει κυρώσεις στην αμερικανική εταιρεία
Στη λίστα των αρχών προστασίας δεδομένων που έχουν επιβάλει κυρώσεις σε βάρος της Clearview AI προστέθηκε χθες η ολλανδική Autoriteit Persoonsgegevens (AP), με την ανακοίνωσή της περί επιβολής προστίμου ύψους 30.5 εκατομμυρίων ευρώ.
Με το πρόστιμο αυτό, η ολλανδική εποπτική αρχή καταλαμβάνει την πρώτη θέση ως προς το ύψος του επιβληθέντος προστίμου, υπερβαίνοντας κατά πολύ τα 20+5 εκατομμύρια ευρώ της γαλλικής CNIL, τα 20 εκατομμύρια ευρώ της ιταλικής Garante και της ΑΠΔΠΧ, αλλά και τα σχεδόν 8 εκατομμύρια ευρώ του ICO στο Ηνωμένο Βασίλειο.
Η περίπτωση της Clearview AI δεν είναι άγνωστη, καθώς έχει προ πολλού βρεθεί στο επίκεντρο δημοσιευμάτων και ερευνών εποπτικών αρχών, λόγω των πρακτικών της αμερικανικής εταιρείας. Η εταιρεία αυτή έχει δημιουργήσει και πουλά ένα λογισμικό, το οποίο παρέχει τη δυνατότητα ταυτοποίησης ενός προσώπου μέσα από τις φωτογραφίες του.
Για να το πετύχει αυτό, η εταιρεία σαρώνει το διαδίκτυο, συλλέγοντας φωτογραφίες που αναρτώνται σε μέσα κοινωνικής δικτύωσης και ιστοτόπους. Στη συνέχεια, οι φωτογραφίες αυτές τυγχάνουν επεξεργασίας, ώστε να εξαχθούν τα βιομετρικά υποδείγματα των απεικονιζομένων προσώπων. Στην έκδοσή του που πωλείται σε αρχές επιβολής του νόμου, το λογισμικό της εταιρείας δίνει στον χρήστη του τη δυνατότητα να εισαγάγει τη φωτογραφία του προσώπου που αναζητά και να την αντιστοιχίσει βιομετρικών με τα υποδείγματα που τηρούνται στη βάση δεδομένων της Clearview AI.
Η πρακτική αυτή είναι πολλαπλώς προβληματική από άποψης συμμόρφωσης με τη νομοθεσία για την προστασία των προσωπικών δεδομένων. Τόσο η αρχική συλλογή των φωτογραφιών από το διαδίκτυο, όσο και η παρεπόμενη βιομετρική επεξεργασία αυτών και περαιτέρω χρήση τους, πραγματοποιούνται χωρίς την ύπαρξη των νομίμων προϋποθέσεων που θεσπίζουν τα άρθρα 6 και 9 του Γενικού Κανονισμού Προστασίας Δεδομένων, ήτοι χωρίς νομική βάση και χωρίς κάποια από τις προϋποθέσεις για την επεξεργασία δεδομένων ειδικών κατηγοριών.
Παράλληλα, οι πράξεις επεξεργασίας αυτές γίνονται χωρίς ενημέρωση των προσώπων που απεικονίζονται στις φωτογραφίες που συλλέγονται – και άρα υποκειμένων των δεδομένων – και χωρίς ικανοποίηση τυχόν δικαιωμάτων που ασκούνται από πολίτες της Ένωσης προς την εταιρεία.
Η Clearview AI επιχείρησε αρχικώς να θέσει το λογισμικό της σε κυκλοφορία στην Ευρωπαϊκή Ένωση, τόσο σε αστυνομικές αρχές, όσο και σε ιδιώτες, ενώ συνεργάστηκε και με την αρχή προστασίας δεδομένων του Αμβούργου, που ήταν η πρώτη εποπτική αρχή που ασχολήθηκε με τη νομιμότητα των πρακτικών της.
Στη συνέχεια όμως, και αφού οι εκπρόσωποί της αντελήφθησαν πως η συμμόρφωση με τις απαιτήσεις νομιμότητας του ΓΚΠΔ ήταν πρακτικώς αδύνατη, το λογισμικό αναγνώρισης προσώπου της Clearview AI αποσύρθηκε – επίσημα τουλάχιστον – από την ευρωπαϊκή αγορά, με την εταιρεία να δηλώνει πως δεν διατηρεί εγκατάσταση στην Ευρωπαϊκή Ένωση, ούτε και παρέχει υπηρεσίες εκεί, ως εκ τούτου δεν εντάσσεται στο πεδίο εφαρμογής της ευρωπαϊκής νομοθεσίας.
Η άποψη αυτή δεν βρήκε σύμφωνες τις αρχές προστασίας δεδομένων της Ευρωπαϊκής Ένωσης, πολλές εκ των οποίων άρχισαν, κατόπιν καταγγελιών ή και αυτεπαγγέλτως, να ερευνούν τη νομιμότητα του επιχειρηματικού εγχειρήματος της αμερικανικής εταιρείας, δεχόμενες πως η Clearview AI εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ, πρωτίστως λόγω παρακολούθησης της συμπεριφοράς των ευρωπαίων πολιτών. Μια εκ των αρχών αυτών υπήρξε και η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία ήδη από τον Ιούλιο 2022 επέβαλε στην εταιρεία την απαγόρευση της συλλογής και επεξεργασίας προσωπικών δεδομένων υποκειμένων που βρίσκονται στην ελληνική επικράτεια, έδωσε εντολή για διαγραφή των δεδομένων που έχουν ήδη τύχει επεξεργασίας και επέβαλε διοικητικό πρόστιμο 20 εκατομμυρίων ευρώ.
Η απόφαση της ολλανδικής αρχής
Η ολλανδική AP κατέστη ακόμη μια εποπτική αρχή του ΓΚΠΔ που επέβαλε διορθωτικά μέτρα και κυρώσεις σε βάρος της Clearview AI. Σύμφωνα με τη σχετική ενημέρωση που δημοσιεύτηκε στον ιστότοπο του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, η ΑΡ διαπίστωσε τις εξής παραβάσεις από πλευράς της αμερικανικής εταιρείας:
Α. Συλλογή και επεξεργασία προσωπικών δεδομένων των υποκειμένων που βρίσκονται εντός της ολλανδικής επικράτειας χωρίς νομική βάση, κατά παράβαση των άρθρων 5 παρ.1α και 6 παρ.1 ΓΚΠΔ.
Β. Επεξεργασία βιομετρικών δεδομένων των προσώπων αυτών κατά παράβαση των απαιτήσεων του άρθρου 9 παρ.1 ΓΚΠΔ.
Γ. Μη επαρκής ενημέρωση των υποκειμένων των δεδομένων, κατά παράβαση των άρθρων 5 παρ.1α, 12 παρ.1 και 14 παρ.1 και 2 ΓΚΠΔ.
Δ. Μη ανταπόκριση σε αιτήματα πρόσβασης που ασκήθηκαν από δύο υποκείμενα των δεδομένων, κατά παράβαση των άρθρων 12 παρ.3 και 15 ΓΚΠΔ.
Ε. Μη παροχή διευκόλυνσης στα υποκείμενα των δεδομένων στην άσκηση του δικαιώματος πρόσβασης, κατά παράβαση των άρθρων 12 παρ.2 και 15 ΓΚΠΔ.
ΣΤ. Παράλειψη ορισμού εκπροσώπου στην Ευρωπαϊκή Ένωση, κατά παράβαση του άρθρου 27 παρ.1 ΓΚΠΔ
Για τις παραβάσεις αυτές, η ολλανδική αρχή επέβαλε στην Clearview AI συνολικό πρόστιμο ύψους 30,5 εκατομμυρίων ευρώ. Παράλληλα, η AP έδωσε τέσσερις εντολές στην εταιρεία για άμεση διακοπή των παρανόμων δραστηριοτήτων της και αποκατάσταση της νομιμότητας δια της διαγραφής των δεδομένων που έχουν ήδη τύχει επεξεργασίας, επιφυλασσόμενη να προχωρήσει στην επιβολή πρόσθετου προστίμου ύψους 5.1 εκατομμυρίων ευρώ σε περίπτωση μη συμμόρφωσης προς τις εντολές αυτές.
Σύμφωνα με το δελτίο τύπου της ολλανδικής αρχής, η αμερικανική εταιρεία δεν υπέβαλε αντιρρήσεις επί της απόφασής της, ούτε όμως και επέδειξε την οποιαδήποτε διάθεση συμμόρφωσης. Η AP, αναγνωρίζοντας πως οι αντίστοιχες κυρώσεις που επιβλήθηκαν ως τώρα από άλλες αρχές προστασίας δεδομένων δεν φάνηκαν ικανές να οδηγήσουν στη συμμόρφωση της εταιρείας έναντι των υποχρεώσεών της βάσει ΓΚΠΔ και των εντολών που έχει λάβει, ανακοίνωσε πως εξετάζει τη δυνατότητα να κινηθεί νομικά κατά των φυσικών προσώπων που βρίσκονται πίσω από την Clearview AI.
