Amendă administrativă în valoare de 30,5 milioane de euro impusă de către Autoritatea Olandeză de Supraveghere companiei Clearview urmare a colectării ilegale de date cu caracter personal pentru recunoașterea facială
Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 30,5 milioane de euro impusă de către Autoritatea Olandeză de Supraveghere (SA) companiei Clearview pentru încălcarea articolului 6 Legalitatea prelucrării, articolului 9 Prelucrarea de categorii speciale de date cu caracter personal, articolului 12 Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate, articolului 14 Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, articolului 15 Dreptul de acces al persoanei vizate, articolului 27 Reprezentanții operatorilor sau ai persoanelor împuternicite de operatori care nu își au sediul în Uniune și articolului 84 Sancțiuni.
Clearview este o companie americană care oferă servicii de recunoaștere facială. Clienții Clearview pot furniza imagini de pe camere pentru a afla identitatea persoanelor care apar în imagini. În acest scop, Clearview dispune de o bază de date cu mai mult de 30 de miliarde de fotografii ale persoanelor. Compania colectează automat aceste fotografii de pe internet și apoi le convertește într-un cod biometric unic pentru fiecare față fără ca aceste persoane să știe acest lucru și fără ca ele să își fi dat consimțământul în acest sens.
În urma investigațiilor, SA Olandeză a constatat că, în scopul serviciului său „Clearview for law-enforcement and public defenders” (Clearview pentru autoritățile de aplicare a legii și avocați din oficiu), compania prelucrează, fără a avea un temei juridic în acest sens, date cu caracter personal ale persoanelor vizate care se află pe teritoriul Țărilor de Jos, încălcând, astfel, articolul 5 alineatul (1) (a), coroborat cu articolul 6 alineatul (1) din GDPR. Totodată, Clearview încalcă articolul 9 alineatul (1) din GDPR prin prelucrarea unei categorii speciale de date cu caracter personal (date biometrice) ale persoanelor vizate care se află pe teritoriul Țărilor de Jos. SA Olandeză a determinat că Clearview nu informează în mod adecvat persoanele vizate, acționând, în acest caz contrar articolului 12 alineatul (1), coroborat cu articolul 14 alineatele (1) și (2) și contrar articolului 5 alineatul (1) (a) din GDPR. Nu în ultimul rând, Clearview a încălcat articolul 12 alineatul (3), coroborat cu articolul 15 din GDPR, prin faptul că nu a răspuns la două cereri de acces din partea persoanelor vizate și articolul 12 alineatul (2), coroborat cu articolul 15 din GDPR, întrucât Clearview nu facilitează persoanelor vizate de pe teritoriul Țărilor de Jos exercitarea dreptului lor de acces. Faptul că compania nu a desemnat un reprezentant în Uniunea Europeană în sensul articolului 4 alineatul (17) din GDPR, deși sunt obligați să facă acest lucru în temeiul articolului 27 alineatul (1) din GDPR, constituie, de asemenea, o încălcare a GDPR-ului.
În acest context, SA Olandeză a impus companiei Clearview o amendă administrativă în valoare de 30,5 milioane de euro și patru măsuri care fac obiectul unei sancțiuni pentru neconformitate, măsuri care se referă la încetarea încălcărilor încă în curs. Dacă Clearview nu reușește să facă acest lucru, compania va trebui să plătească penalități pentru nerespectare în valoare totală maximă de 5,1 milioane de euro pe lângă amendă.
CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.