A görög adatvédelmi hatóság júliusban 20 millió eurós bírságot szabott ki az amerikai Clearview AI Inc. nevű társaságra, megtiltotta a Görögországban élő érintettek személyes adatainak gyűjtését és kezelését a cég arcfelismerő szolgáltatásai keretében, és ezzel együtt ezek törlését is elrendelte. Fontos, hogy a Clearview AI Inc.-nek nemcsak a görög lakosokról eddig gyűjtött összes képét törölnie kell, hanem azokat a biometrikus információkat is, amelyek egy adott arc azonosításához szükségesek.
Az ügy előzménye, hogy több szervezet, köztük a Noyb, a Privacy International (PI), a Hermes Center és a Homo Digitalis, 2021 májusában panaszt nyújtott be a Clearview AI Inc. ellen a francia, osztrák, olasz, görög és az angliai adatvédelmi hatóságok előtt, aminek eredményeképpen ez már a negyedik alkalom, hogy a Clearview AI Inc. szolgáltatásával szemben szankciók kerültek alkalmazásra:
- 2021 decemberében a francia adatvédelmi hatóság (CNIL) utasította a Clearview AI Inc.-t, hogy törölje képadatbázisát, és hagyjon fel az adatgyűjtéssel, valamint, hogy könnyítse meg az érintetti jogok gyakorlását, és teljesítse a törlési kérelmeket (a CNIL nyilatkozata itt érhető el franciául)
- 2022 februárjában az olasz adatvédelmi hatóság (GPDP) szintén 20 millió eurós bírságot szabott ki a társaságra, valamint elrendelte, hogy törölje az olasz állampolgárokról gyűjtött adatokat és, hogy hagyjon fel továbbá a biometrikus adatok kezelésével (a döntés itt érhető el olaszul)
- 2022 májusában az angol adatvédelmi hatóság (ICO) 7,5 millió font bírságot szabott ki a társaságra, valamint elrendelte, hogy a társaság hagyjon fel az Egyesült Királyságban élő személyek interneten nyilvánosan elérhető személyes adatainak gyűjtésével és használatával, valamint, hogy törölje a brit lakosok adatait a rendszereiből (a döntés itt érhető el angolul).
Mit is csinál Clearview AI Inc.?
A Clearview AI Inc. egy amerikai cég, amely mesterséges intelligenciával vezérelt arcfelismerő szoftvert fejleszt. Állításuk szerint ők rendelkeznek „a legnagyobb ismert adatbázissal, amely több milliárd arcképet tartalmaz”, melyeket közösségi médiaplatformokról és más online forrásokból gyűjtöttek össze. Az érintetteket nem tájékoztatják arról, hogy személyes adataikat ily módon gyűjtik és használjak fel. A Clearview AI Inc. automatizált eszközt használ, amely felkeresi a nyilvános webhelyeket, és összegyűjti az általa észlelt, emberi arcképeket tartalmazó képeket. A képekkel együtt az automatizált eszköz olyan metaadatokat is gyűjt, amelyek kiegészítik a képeket, például webhelycímmel és hivatkozással. Az összegyűjtött arcképek a társaság által létrehozott arcfelismerő szoftverrel kerülnek párosításra az adatbázis létrehozása érdekében. A Clearview AI Inc. nemzetközi szinten árusítja a hozzáférést ehhez az adatbázishoz, magáncégeknek és bűnüldöző szerveknek. Az ügyfelek a keresett személy képét feltölthetik az alkalmazásba, amely ellenőrzi, hogy van-e azonosság a feltöltött kép és az adatbázisban található képek között. Az alkalmazás egy listát készít azokról a képekről, amelyek az ügyfél által biztosított fotóhoz hasonló tulajdonságokkal rendelkezik, és linket ad azokhoz a webhelyekhez, amelyekről a képek származnak.
Mi ezzel a probléma?
A döntésekben megállapításra került, hogy az adatkezelésnek nem volt megfelelő jogalapja, nem érvényesült a célhoz kötöttség és a korlátozott tárolhatóság elve, valamint, hogy az adatkezelési műveletek nem voltak átláthatóak. Ezen túlmenően, az érintetteket nem tájékoztatják megfelelően az adatkezelésről, és nincs lehetőségük a GDPR által biztosított jogaik gyakorlására sem.
Mi az eset tanulsága?
A Clearview AI Inc. korábban is már azzal védekezett, hogy nem rendelkezik székhellyel az EU-ban, nincs ügyfele az EU-ban, és nem végez olyan tevékenységet, amely egyébként a GDPR hatálya alá tartozna. A GDPR azonban un. extraterritoriális hatállyal rendelkezik, amely azt jelenti, hogy kiterjed azokra az esetekre is, amikor harmadik országban található személy az EU állampolgárai személyes adatait kezeli, vagyis azáltal, hogy a Clearview AI Inc. uniós állampolgárokról (is) gyűjt adatokat, kiterjed rá a GDPR hatálya attól függetlenül, hogy a cég székhelye az Egyesült Államokban található. A szankciók érvényesítése, éppen a helyi képviselet hiányában azonban gyakorlati nehézségeket okozhat. Az adatvédelmi hatóságoknak lehetőségük van például a társaság ügyfeleinél is vizsgálatot indítani, ahogyan azt a svéd adatvédelmi hatóság is tette tavaly, megbírságolva a helyi rendőrséget a Clearview AI Inc. arcfelismerő szoftverének jogellenes használata miatt (a döntés svédül itt érhető el).
A Clearview AI Inc. esete egy újabb példa arra, hogy a mesterséges intelligenciát alkalmazó társaságok egyre gyakrabban kerülnek az adatvédelmi hatóságok látószögébe, és amennyiben az adatkezelési gyakorlatuk nem felel meg teljeskörűen a GDPR követelményeinek, jelentős mértékű bírsággal kell számolniuk. „A megfelelő tájékoztatás megadása kulcsfontosságú, ennek kapcsán érdemes megemlíteni az EU-s mesterséges intelligenciáról szóló rendelettervezetet. A nagy kockázatú MI rendszerek (mint amilyen a természetes személyek „valós idejű” és „nem valós idejű” távoli biometrikus azonosítására szolgáló MI-rendszer is) tekintetében szigorú: többek között tájékoztatási kötelezettségeket állapít meg, amelyek megszegése esetén magas, tiltott gyakorlatok alkalmazása esetén, akár 30 millió eurós bírsággal kell számolni. Fontos tanulsága még a bemutatott eseteknek, hogy az egyes nemzeti adatvédelmi hatóságok egymástól függetlenül is kiszabhatnak adatvédelmi bírságot, ami így a GDPR-ban meghatározott bírságmaximumnak akár a többszöröse is lehet.” – mondta el dr. Albert Lili, a Deloitte Legal Technológia és Adatvédelmi Csoportjának jogi szakértője.
„A személyes adatokra épülő szolgáltatásoknál fokozottan fennáll annak a veszélye, hogy az adatvédelmi hatóságok egy súlyosan jogsértő üzleti modell folytatását megtiltják, amely által az addig folytatott üzlet ellehetetlenül. A mostani esetben nehezen elképzelhető, hogy a szolgáltatás milyen módon tudna megfelelni a GDPR-nak, különösen, hogy bűnügyi és különleges személyes adatok kezelésére is sor került, valamint a társaság által folytatott tevékenység személyiségi jogi, de akár büntetőjogi kérdéseket is felvet. Amennyiben a közeledő MI rendelet már alkalmazandó lenne, akkor a kettős bírság lehetősége is felmerülne a jelen esetben, amely összeségében nagyon nagy kitettséget jelent a hasonló szolgáltatásokkal kapcsolatban”- tette hozzá dr. Orbán Zsombor, a Deloitte Legal Technológia és Adatvédelmi Csoportjának vezető ügyvédje.
