Πρόστιμο - μαμούθ για παράνομη συλλογή προσωπικών δεδομένων στην Ελλάδα

Παρασκευή, 15/07/2022 - 17:41

Συγκεκριμένα, η Αρχή διαπίστωσε ότι στη συγκεκριμένη περίπτωση η καταγγελλόμενη εταιρεία, η οποία εμπορεύεται υπηρεσίες αναγνώρισης προσώπων, παραβίασε τις αρχές της νομιμότητας και διαφάνειας (άρθρο 5 παρ. 1 α’, 6, 9 ΓΚΠΔ), καθώς και τις απορρέουσες από τις διατάξεις των άρθρων 12, 14, 15 και 27 του ΓΚΠΔ υποχρεώσεις της, επιβάλλοντας χρηματικό πρόστιμο ύψους 20.000.000 ευρώ.

Παράλληλα, η Αρχή απηύθυνε εντολή συμμόρφωσης στην ίδια ως άνω εταιρεία για την ικανοποίηση του ασκηθέντος ενώπιόν της αιτήματος πρόσβασης σε προσωπικά δεδομένα της καταγγέλλουσας, ενώ επέβαλε στην αυτή εταιρεία απαγόρευση ως προς τη συλλογή και επεξεργασία προσωπικών δεδομένων υποκειμένων ευρισκομένων στην ελληνική επικράτεια, με τη χρήση μεθόδων που περιλαμβάνει η υπηρεσία αναγνώρισης προσώπου.

Με την επίμαχη απόφαση η Αρχή απηύθυνε στην εταιρεία Clearview AI, Inc και εντολή διαγραφής των προσωπικών δεδομένων των ως άνω ευρισκόμενων στην ελληνική επικράτεια υποκειμένων, τα οποία η καταγγελλομένη συλλέγει και επεξεργάζεται με τη χρήση των αυτών ως άνω μεθόδων.

Τα δεδομένα για την απόφαση

 

Αξίζει να σημειωθεί η καταγγελία έγινε από την οργάνωση Homodigitalis. Σύμφωνα με όσα έχουν γίνει γνωστά, τα βασικά σημεία της απόφασης είναι τα εξής:

  1. Η Clearview πραγματοποιεί κατάρτιση προφίλ χρησιμοποιώντας βιομετρικά δεδομένα
  2. Η επεξεργασία δεδομένων δεν είχε καμία νομική βάση, επομένως η Clearview είχε παραβιάσει την αρχή της νομιμότητας
  3. Υπάρχει έλλειψη διαφάνειας όσον αφορά τη διαδικασία επεξεργασίας
  4. Το δικαίωμα πρόσβασης της καταγγέλλουσας δεν έγινε σεβαστό
  5. Η Clearview δεν έχει ορίσει Εκπρόσωπο στην Ε.Ε. ως όφειλε.

Ποια είναι η Clearview AI

Η Clearview AI είναι μια αμερικανική εταιρεία με έδρα τη Νέα Υόρκη, η οποία ισχυρίζεται στον δικτυακό τόπο της ότι διαθέτει τη μεγαλύτερη βιομετρική βάση δεδομένων του κόσμου, η οποία περιέχει πάνω από 3 δισεκατομμύρια εικόνες προσώπων που συλλέχθηκαν αυτόματα από το Facebook και άλλους δικτυακούς τόπους.

Οι εικόνες συλλέχθηκαν χωρίς τη γνώση και τη συγκατάθεση των εικονιζόμενων, κάτι που σημαίνει ότι η εταιρεία παραβίασε τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) που ισχύει στην ΕΕ, επεσήμαναν τέσσερις οργανώσεις, οι οποίες υπέβαλαν καταγγελίες στις αρχές δεδομένων της Ελλάδας, της Γαλλίας, της Αυστρίας, της Ιταλίας και της Βρετανίας (η οποία έχει υιοθετήσει τη δική της βερσιόν του GDPR).

Σύμφωνα με την οργάνωση homodigitalis, οι καταγγελίες περιγράφουν λεπτομερώς τον τρόπο με τον οποίο λειτουργεί ο αυτοματοποιημένος συλλέκτης εικόνων της Clearview ΑΙ. Πρόκειται για ένα αυτοματοποιημένο εργαλείο, το οποίο επισκέπτεται δημόσιες ιστοσελίδες και συλλέγει όσες εικόνες εντοπίζει που περιέχουν ανθρώπινα πρόσωπα. Μαζί με τις εικόνες αυτές, ο αυτοματοποιημένος συλλέκτης συλλέγει επίσης και μεταδεδομένα που συμπληρώνουν τις εικόνες αυτές, όπως ο τίτλος της ιστοσελίδας και ο σύνδεσμος πηγής της. Στη συνέχεια, οι εικόνες προσώπου που έχουν συλλεχθεί αντιπαραβάλλονται στο λογισμικό αναγνώρισης προσώπου που έχει δημιουργήσει η εταιρία Clearview ΑΙ προκειμένου να χτιστεί η βάση δεδομένων της εταιρίας. Η Clearview ΑΙ πουλάει την πρόσβαση σε αυτή τη βάση δεδομένων σε ιδιωτικές εταιρίες και αρχές επιβολής του νόμου, όπως αστυνομικές αρχές, διεθνώς.

Η εταιρία Clearview ΑΙ έγινε διεθνώς γνωστή τον Ιανουάριο του 2020 όταν μία έρευνα των New York Times αποκάλυψε τις πρακτικές της, οι οποίες έως τότε καλύπτονταν από ένα πέπλο μυστηρίου.
Έρευνες κατά της εταιρείας εκκρεμούν σε Βρετανία, Αυστραλία και Καναδά, ενώ αμερικανικές οργανώσεις για τα πολιτικά δικαιώματα προσέφυγαν τον Μάρτιο του 2021 στη Δικαιοσύνη ζητώντας να σταματήσει η συλλογή βιομετρικών δεδομένων στην Καλιφόρνια.

Η εταιρεία υποστηρίζει από την πλευρά της ότι η βάση δεδομένων είναι νόμιμη επειδή βασίζεται σε δημόσια διαθέσιμες εικόνες και δεν μπορεί να χρησιμοποιηθεί για παρακολούθηση προσώπων.