Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα: Πρόστιμο μαμούθ 20 εκατ. ευρώ στην Clearview AI
Πρόστιμο μαμούθ ύψους 20.000.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην εταιρεία Clearview AI, η οποία εμπορεύεται υπηρεσίες αναγνώρισης προσώπων, για παράνομη συλλογή και επεξεργασία προσωπικών δεδομένων.
Ειδικότερα, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα , με την υπ’ αριθ. 35/2022 απόφαση, εξέτασε καταγγελία κατά της εταιρείας με την επωνυμία Clearview AI, Inc, που υποβλήθηκε από την Αστική μη Κερδοσκοπική Εταιρεία με την επωνυμία «Ηomo Digitalis» για λογαριασμό καταγγέλλουσας, η οποία κατά τους ισχυρισμούς της, δεν ικανοποιήθηκε ως προς το δικαίωμα πρόσβασης που άσκησε ενώπιον της ως άνω εταιρείας.
Από το σύνολο των στοιχείων του φακέλου της υπόθεσης προέκυψε ότι η εταιρεία με την επωνυμία Clearview AI, Inc. εδρεύει στις ΗΠΑ και μοναδικό της προϊόν είναι μία πλατφόρμα αναγνώρισης προσώπου, η οποία επιτρέπει στους χρήστες να αντιστοιχίσουν φωτογραφίες προσώπων που υπάρχουν στη βάση δεδομένων της εταιρείας με φωτογραφίες τους που υπάρχουν στο διαδίκτυο.
Σύμφωνα με την ανακοίνωση της Αρχής για την υπόθεση, το εργαλείο αναγνώρισης προσώπου που εμπορεύεται η εταιρεία λειτουργεί ως εξής:
1. Η εταιρεία συλλέγει, μέσω της χρήσης τεχνικών “web scraping”, εικόνες που περιέχουν ανθρώπινα πρόσωπα από κοινωνικά δίκτυα, ιστολόγια και γενικά ιστοσελίδες στις οποίες υπάρχουν δημόσια προσβάσιμες φωτογραφίες, καθώς και από βίντεο που είναι διαθέσιμα στο διαδίκτυο. Μαζί με τις εικόνες αυτές, η εταιρεία συλλέγει επίσης πληροφορίες που εξάγει από αυτές τις φωτογραφίες, συμπεριλαμβανομένων μεταδεδομένων γεωγραφικής τοποθεσίας που μπορεί να περιέχει η φωτογραφία και πληροφοριών που προέρχονται από την εμφάνιση του προσώπου των ατόμων στις φωτογραφίες (βλ. Πολιτική Ιδιωτικότητας της Clearview AI, Inc. https://www.clearview.ai/privacy-policy). Οι παραπάνω πληροφορίες αποθηκεύονται στη βάση δεδομένων της Clearview.
2. H εταιρεία επεξεργάζεται τις εικόνες χρησιμοποιώντας ειδικές τεχνικές, ώστε κάθε πρόσωπο που εμφαίνεται σε φωτογραφία να μετατραπεί σε ορισμένη αριθμητική ακολουθία, η οποία καλείται «διάνυσμα» και είναι αναγνωρίσιμη από μηχανές.
3. Οι ως άνω αριθμητικές ακολουθίες αποθηκεύονται στη βάση δεδομένων της εταιρείας και κατακερματίζονται αφενός για την καταλογοποίηση της βάσης δεδομένων, αφετέρου για τη μελλοντική αναγνώριση προσώπων. Έτσι, κάθε πρόσωπο στη βάση δεδομένων διαθέτει ένα ξεχωριστό διάνυσμα και μια κατακερματισμένη τιμή που σχετίζεται με αυτό.
4. Όταν ένας χρήστης των υπηρεσιών της Clearview επιθυμεί να αναγνωρίσει ένα πρόσωπο, αναρτά μια εικόνα του και διενεργεί μια αναζήτηση. Η Clearview αναλύει την εικόνα αυτή και εξάγει ένα διάνυσμα για το πρόσωπο επί της εικόνας, το οποίο στη συνέχεια κατακερματίζει και συγκρίνει έναντι όλων των κατακερματισμένων διανυσμάτων που υπάρχουν αποθηκευμένα στη βάση δεδομένων της. Τέλος, η εταιρεία εξάγει κάθε ταυτοποιημένη εικόνα από τη βάση δεδομένων της και παρέχει μια λίστα αποτελεσμάτων, που περιέχει όλες τις αντίστοιχες εικόνες και μεταδεδομένα. Εάν ένας χρήστης κάνει κλικ σε οποιοδήποτε από αυτά τα αποτελέσματα, κατευθύνεται στην αρχική σελίδα πηγής της εικόνας.
Κατά την εξέταση της καταγγελίας, η Αρχή διαπίστωσε ότι στη συγκεκριμένη περίπτωση η καταγγελλόμενη εταιρεία, η οποία εμπορεύεται υπηρεσίες αναγνώρισης προσώπων, εμπίπτει στο εδαφικό πεδίο εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ), με βάση τη διάταξη του άρθρου 3 παρ. 2 β’ του ΓΚΠΔ. Επιπλέον, η εταιρεία παραβίασε τις αρχές της νομιμότητας και διαφάνειας (άρ. 5 παρ. 1 α’, 6, 9 ΓΚΠΔ) καθώς και τις απορρέουσες από τις διατάξεις των άρθρων 12, 14, 15 και 27 του ΓΚΠΔ υποχρεώσεις της, και της επέβαλε χρηματικό πρόστιμο ύψους είκοσι εκατομμυρίων ευρώ (20.000.000).
Επιπλέον, η Αρχή απηύθυνε εντολή συμμόρφωσης στην Clearview για την ικανοποίηση του ασκηθέντος ενώπιόν της αιτήματος πρόσβασης σε προσωπικά δεδομένα της καταγγέλλουσας, ενώ επέβαλε στην ίδια εταιρεία απαγόρευση ως προς τη συλλογή και επεξεργασία προσωπικών δεδομένων υποκειμένων ευρισκομένων στην ελληνική επικράτεια, με τη χρήση μεθόδων που περιλαμβάνει η υπηρεσία αναγνώρισης προσώπου. Τέλος, με την επίμαχη απόφαση η Αρχή απηύθυνε στην εταιρεία Clearview AI, Inc και εντολή διαγραφής των προσωπικών δεδομένων των ως παραπάνω ευρισκόμενων στην ελληνική επικράτεια υποκειμένων, τα οποία η καταγγελλομένη συλλέγει και επεξεργάζεται με τη χρήση των μεθόδων που προαναφέρθηκαν.
Δείτε όλες τις τελευταίες Ειδήσεις από την Ελλάδα και τον Κόσμο, τη στιγμή που συμβαίνουν, στο Bigpost.gr
Ακολουθήστε το Bigpost.gr στο Google News και μάθετε πρώτοι όλες τις ειδήσεις