gerontakos

«Έχω πει μερικές φορές στον εαυτό μου ότι αν υπήρχε μία μόνο πινακίδα στην είσοδο κάθε εκκλησίας που να απαγόρευε την είσοδο σε οποιονδήποτε με εισόδημα πάνω από ένα συγκεκριμένο ποσό , θα γινόμουν αμέσως χριστιανή» . Σιμόν Βέιλ, Γαλλίδα φιλόσοφος και πολιτική ακτιβίστρια (1909-1943)

Παρασκευή, Ιουλίου 15, 2022

Πρόστιμο 20 εκατομμυρίων από την ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ στην εταιρεία Clearview AI, Inc για φακέλωμα προσώπων

20 Mio. € Geldstrafe für Clearview AI in Italien Clearview AI faces £17 million fine for facial recognition breach - TechInformed Why has UK's ICO Sued Clearview AI for Obtaining People's Data?

Κατηγορία

Ανακοίνωση

Ημερομηνία

14/07/2022

Αριθμός Πρωτοκόλλου

Γ/ΕΞ/1823

Η ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ, με την υπ’ αριθ. 35/2022 Απόφαση (διαθέσιμη στο www.dpa.gr > "Πράξεις της Αρχής"), εξέτασε καταγγελία κατά της εταιρείας με την επωνυμία Clearview AI, Inc, η οποία υποβλήθηκε από την Αστική μη Κερδοσκοπική Εταιρεία «Ηomo Digitalis» για λογαριασμό καταγγέλλουσας. Σύμφωνα με την υπό εξέταση καταγγελία, η καταγγέλλουσα δεν ικανοποιήθηκε ως προς το δικαίωμα πρόσβασης που άσκησε ενώπιον της εταιρείας αυτής. Με την εν λόγω καταγγελία ζητήθηκε, επίσης, η εξέταση των πρακτικών συλλήβδην της καταγγελλόμενης εταιρείας από πλευράς προστασίας προσωπικών δεδομένων.

Από το σύνολο των στοιχείων του φακέλου της υπόθεσης προέκυψε ότι η εταιρεία με την επωνυμία Clearview AI, Inc. εδρεύει στις ΗΠΑ και μοναδικό της προϊόν είναι μία πλατφόρμα αναγνώρισης προσώπου, η οποία επιτρέπει στους χρήστες να αντιστοιχίσουν φωτογραφίες προσώπων που υπάρχουν στη βάση δεδομένων της εταιρείας με φωτογραφίες τους που υπάρχουν στο διαδίκτυο. Το εργαλείο αναγνώρισης προσώπου που εμπορεύεται η εταιρεία λειτουργεί ως εξής:

Η εταιρεία συλλέγει, μέσω της χρήσης τεχνικών “web scraping”, εικόνες που περιέχουν ανθρώπινα πρόσωπα από κοινωνικά δίκτυα, ιστολόγια και γενικά ιστοσελίδες στις οποίες υπάρχουν δημόσια προσβάσιμες φωτογραφίες, καθώς και από βίντεο που είναι διαθέσιμα στο διαδίκτυο. Μαζί με τις εικόνες αυτές, η εταιρεία συλλέγει επίσης πληροφορίες που εξάγει από αυτές τις φωτογραφίες, συμπεριλαμβανομένων μεταδεδομένων γεωγραφικής τοποθεσίας που μπορεί να περιέχει η φωτογραφία και πληροφοριών που προέρχονται από την εμφάνιση του προσώπου των ατόμων στις φωτογραφίες (βλ. Πολιτική Ιδιωτικότητας της Clearview AI, Inc. https://www.clearview.ai/privacy-policy). Οι παραπάνω πληροφορίες αποθηκεύονται στη βάση δεδομένων της Clearview.
H εταιρεία επεξεργάζεται τις εικόνες χρησιμοποιώντας ειδικές τεχνικές, ώστε κάθε πρόσωπο που εμφαίνεται σε φωτογραφία να μετατραπεί σε ορισμένη αριθμητική ακολουθία, η οποία καλείται «διάνυσμα» και είναι αναγνωρίσιμη από μηχανές.
Οι ως άνω αριθμητικές ακολουθίες αποθηκεύονται στη βάση δεδομένων της εταιρείας και κατακερματίζονται αφενός για την καταλογοποίηση της βάσης δεδομένων, αφετέρου για τη μελλοντική αναγνώριση προσώπων. Έτσι, κάθε πρόσωπο στη βάση δεδομένων διαθέτει ένα ξεχωριστό διάνυσμα και μια κατακερματισμένη τιμή που σχετίζεται με αυτό.
Όταν ένας χρήστης των υπηρεσιών της Clearview επιθυμεί να αναγνωρίσει ένα πρόσωπο, αναρτά μια εικόνα του και διενεργεί μια αναζήτηση. Η Clearview αναλύει την εικόνα αυτή και εξάγει ένα διάνυσμα για το πρόσωπο επί της εικόνας, το οποίο στη συνέχεια κατακερματίζει και συγκρίνει έναντι όλων των κατακερματισμένων διανυσμάτων που υπάρχουν αποθηκευμένα στη βάση δεδομένων της. Τέλος, η εταιρεία εξάγει κάθε ταυτοποιημένη εικόνα από τη βάση δεδομένων της και παρέχει μια λίστα αποτελεσμάτων, που περιέχει όλες τις αντίστοιχες εικόνες και μεταδεδομένα. Εάν ένας χρήστης κάνει κλικ σε οποιοδήποτε από αυτά τα αποτελέσματα, κατευθύνεται στην αρχική σελίδα πηγής της εικόνας.

Κατά την εξέταση της καταγγελίας, η Αρχή διαπίστωσε ότι στη συγκεκριμένη περίπτωση η καταγγελλόμενη εταιρεία, η οποία εμπορεύεται υπηρεσίες αναγνώρισης προσώπων, εμπίπτει στο εδαφικό πεδίο εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ), με βάση τη διάταξη του άρθρου 3 παρ. 2 β’ του ΓΚΠΔ. Επιπλέον, η εταιρεία παραβίασε τις αρχές της νομιμότητας και διαφάνειας (άρ. 5 παρ. 1 α’, 6, 9 ΓΚΠΔ) καθώς και τις απορρέουσες από τις διατάξεις των άρθρων 12, 14, 15 και 27 του ΓΚΠΔ υποχρεώσεις της, και της επέβαλε χρηματικό πρόστιμο ύψους είκοσι εκατομμυρίων ευρώ (20.000.000).

Επιπλέον, η Αρχή απηύθυνε εντολή συμμόρφωσης στην Clearview για την ικανοποίηση του ασκηθέντος ενώπιόν της αιτήματος πρόσβασης σε προσωπικά δεδομένα της καταγγέλλουσας, ενώ επέβαλε στην ίδια εταιρεία απαγόρευση ως προς τη συλλογή και επεξεργασία προσωπικών δεδομένων υποκειμένων ευρισκομένων στην ελληνική επικράτεια, με τη χρήση μεθόδων που περιλαμβάνει η υπηρεσία αναγνώρισης προσώπου. Τέλος, με την επίμαχη απόφαση η Αρχή απηύθυνε στην εταιρεία Clearview AI, Inc και εντολή διαγραφής των προσωπικών δεδομένων των ως παραπάνω ευρισκόμενων στην ελληνική επικράτεια υποκειμένων, τα οποία η καταγγελλομένη συλλέγει και επεξεργάζεται με τη χρήση των μεθόδων που προαναφέρθηκαν. Clearview's Dangerous Misreading of the First Amendment Could Spell the End of Privacy Laws | News & Commentary | American Civil Liberties Union Facial recognition developed by Clearview AI likely illegal in Europe