Decizia finală a Autorității de Protecția Datelor din Austria cu privire la încălcarea articolelor 5, 6, 9, 27 din GDPR
Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre decizia finală a Autorității de Protecția Datelor din Austria (SA) din data de 10 mai 2023, cu privire la încălcarea articolelor 5, 6, 9, 27 din GDPR de către compania Clearview AI.
Compania ar deține o bază de date care include peste 30 de miliarde de imagini faciale din întreaga lume, care sunt extrase din surse web publice (mass-media, rețele sociale, videoclipuri online) prin intermediul web scraping. Aceasta oferă un serviciu de căutare sofisticat care permite, prin intermediul sistemelor de inteligență artificială, crearea de profiluri pe baza datelor biometrice extrase din imagini. Profilurile pot fi îmbogățite cu informații legate de imaginile respective, cum ar fi tag-urile imaginii, geolocalizarea sau paginile web sursă.
Ca urmare a unei cereri de acces la datele cu caracter personal, un subiect de date a aflat că datele sale (imaginea) sunt, de asemenea, prelucrate de Clearview AI. În consecință, acesta a înaintat o plângere către SA din Austria.
În urma investigațiilor efectuate, SA din Austria a constatat că Clearview AI a încălcat următoarele prevederi din GDPR:
· Articolul 5 alineatul (1) litera (a): Prelucrarea datelor cu caracter personal ale reclamantului a fost lipsită de legalitate, echitate și transparență.
· Articolul 5 alineatul (1) litera (b): Prelucrarea efectuată de Clearview AI servește unui scop complet diferit de cel al publicării inițiale a datelor cu caracter personal ale reclamantului (în special a fotografiilor).
· Articolul 5 alineatul (1) litera (c): Stocarea permanentă a datelor cu caracter personal constituie, de asemenea, o încălcare a principiului minimizării datelor.
· Articolul 9 alineatul (1): Scanarea feței reclamantului, extragerea trăsăturilor faciale care permit identificarea unică a acestuia și traducerea acestor trăsături în vectori constituie o prelucrare a unor categorii speciale de date cu caracter personal. O excepție de la interdicția de prelucrare în temeiul articolului 9 alineatul (2) nu se aplică în acest caz, motiv pentru care prelucrarea a fost efectuată cu încălcarea articolului 9 alineatul (1) din GDPR.
· Articolul 6 alineatul (1): legalitatea prelucrării de către Clearview AI ar fi putut fi acoperită doar de articolul 6 alineatul (1) litera (f) din GDPR. După o amplă cântărire a intereselor, SA din Austria a ajuns la concluzia că, din cauza gravei intruziuni în viața privată a reclamantului, interesele acestuia au depășit în mod clar interesele pur comerciale ale Clearview AI.
Totodată, SA din Austria a dispus companiei Clearview AI să șteargă datele cu caracter personal ale reclamantului și să desemneze un reprezentant al companiei în Uniunea Europeană.
CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.