ADS
Clearview AI otrzymuje największe kary GDPR, a holenderski organ regulacyjny rozważa osobistą odpowiedzialność wykonawców.
Clearview AI, notoryczna amerykańska firma do rozpoznawania twarzy, która zbierała zdjęcia z internetu bez zgody, aby stworzyć bazę danych zawierającą 30 miliardów obrazów, otrzymała największe kary prywatności w Europie.
Po potwierdzeniu, że baza danych zawiera obrazy obywateli holenderskich, holenderski organ ochrony danych, Autoriteit Persoonsgegevens (AP), ukarał Clearview AI kwotą 30,5 miliona euro, czyli 33,7 miliona dolarów po obecnym kursie wymiany, za szereg naruszeń GDPR we wtorek.
To jest kara większa niż kary GDPR z 2022 roku nałożone przez Francję, Włochy, Grecję i Wielką Brytanię.
AP ostrzegł w oświadczeniu prasowym, że Clearview nie zakończył naruszeń GDPR po przeprowadzeniu dochodzenia, dlatego nałożono dodatkową karę w wysokości 5,1 miliona euro za ciągłe nieprzestrzeganie przepisów. Clearview AI może zostać ukarany kwotą 35,6 mln euro za ignorowanie holenderskiego organu regulacyjnego.
Holenderski organ ochrony danych rozpoczął dochodzenie w sprawie Clearview AI w marcu 2023 roku po tym, jak trzy osoby złożyły skargę na naruszenia dostępu do danych przez firmę. Obywatele UE mają prawo do uzyskania kopii lub usunięcia swoich danych osobowych zgodnie z przepisami GDPR. Clearview AI zignorowało te żądania.
Clearview AI jest również karane przez AP za nielegalne gromadzenie danych biometrycznych w celu budowy bazy danych. Firma została ukarana również za naruszenia transparentności w zakresie przepisów GDPR.
AP: „Clearview nie powinien nigdy budować bazy danych z zdjęciami, unikatowymi kodami biometrycznymi i innymi informacjami z nimi związanymi. Dotyczy to zwłaszcza unikatowych kodów biometrycznych pochodzących z twarzy. Są to biometry podobne do odcisków palców. Gromadzenie i wykorzystywanie ich jest nielegalne. Clearview nie może korzystać z legislacyjnych wyjątków od tego ograniczenia.
Firma nie poinformowała również osób, których dane osobowe zgromadziła i umieściła w swojej bazie danych, stwierdził organ.
Lisa Linden z firmy PR Clearview, Resilere Partners, nie odpowiedziała na zapytania, ale przekazała TechCrunch oświadczenie rzekomo autorstwa głównego prawnika Clearview, Jacka Mulcaire.
„Clearview AI nie ma siedziby w Holandii ani we Wspólnocie Europejskiej, nie ma klientów w Holandii ani w UE, ani nie podejmuje żadnych działań, które oznaczałoby, że podlega GDPR”, napisał Mulcaire. „To decyzja jest nielegalna, pozbawiona należytej procedury i niezgodna z prawem”.
Holenderski organ ochrony danych stwierdza, że firma nie może odwołać się od kary, ponieważ się nie sprzeciwiła.
GDPR dotyczy przetwarzania danych osobowych obywateli UE na całym świecie.
Clearview, amerykańska firma, sprzedaje usługi dopasowywania tożsamości do organów rządowych, służb ścigania i innych służb bezpieczeństwa, korzystając z danych zebranych w sposób niezgodny z prawem. Jej klienci są mniej podatni na pochodzenie z UE, gdzie korzystanie z naruszającego prawo oprogramowania privacywi z reguły grozi karą ze strony organów regulacyjnych, jak to miało miejsce z ciałem policyjnym z Szwecji w 2021 roku.
AP powiedział, że holenderskie firmy korzystające z Clearview AI zostaną surowo ukarane. Clearview narusza przepisy prawa, w związku z czym świadczenie usług jest nielegalne. Holenderskie organizacje korzystające z Clearview mogą napotkać surowe kary ze strony DPA, napisał przewodniczący Aleid Wolfsen.
Ta strona przedstawia decyzję AP po angielsku.
Osobista odpowiedzialność?
Clearview AI poniosło serię kar GDPR w ciągu ostatnich kilku lat (szacunkowo 100 milionów euro kar za naruszenie prywatności w UE), ale regionalne organy ochrony danych nie były skuteczne w ich ściągnięciu. Amerykańska firma odmawia współpracy i nie posiada przedstawiciela prawnego w UE.
Co ważne, Clearview AI nadal łamie przepisy GDPR i europejskie zasady prywatności z oczywistym bezkarnością działania ze względu na swoje zagraniczne położenie.
To martwi holenderski AP, który rozważa środki zapobiegawcze mające na celu zapobieżenie naruszeniom prawa przez Clearview. Agencja bada, czy dyrektorzy firm mogą ponosić osobistą odpowiedzialność za naruszenia.
Firma nie może kontynuować naruszania praw Europejczyków bez konsekwencji. Daleko jeszcze do tego stopnia i rozległości. Teraz będziemy badać, czy możemy ponosić bezpośrednią odpowiedzialność wobec kierownictwa firm i karę za nakazywanie takich naruszeń, napisał Wolfsen. Dyrektorzy są odpowiedzialni, jeśli wiedzą, że naruszany jest GDPR, mają prawo do jego zatrzymania, ale tego nie robią, świadomie akceptując naruszenie.
Po aresztowaniu Pavla Durova, założyciela aplikacji do wysyłania wiadomości Telegram, na terytorium francuskim za rozpowszechnianie nielegalnych treści, interesującym jest rozważenie, czy karanie menedżerów Clearview może skłonić do przestrzegania przepisów – mogą chcieć swobodnie podróżować po i wokół UE.
