Porušenie GDPR hodné 20 miliónov EUR!

Taliansky Úrad na ochranu osobných údajov udelil rekordnú pokutu vo výške 20 miliónov eur americkej spoločnosti Clearview AI Inc. Ide o spoločnosť vykonávajúcu rozpoznávanie tváre na základe údajov z verejne dostupných informácii. Clearview AI vytvorila databázu, v ktorej zhromažďuje viac ako 10 miliárd fotiek dotknutých osôb, ktoré získava prevažne zo sociálnych sietí ako Facebook, Instagram či LinkedIn, a to bez vedomia platformy alebo dotknutých osôb.  

Oblasti porušenia GDPR konštatovaných rozhodnutím bolo hneď niekoľko. Spoločnosť Clearview nezákonne využívala profilovanie dotknutých osôb, spracúvala ich biometrické a lokalizačné údaje, neumožnila dotknutým osobám namietať spracúvanie ich osobných údajov a mnohé ďalšie. Na základe rozhodnutia talianskeho dozorného orgánu spoločnosť porušila nasledujúce ustanovenia GDPR:

  1. článok 5 ods. 1 písm. a), b) a e) - porušenie zásady zákonnosti, spravodlivosti a transparentnosti pri spracúvaní osobných údajov, zásady obmedzenia účelu, zásady obmedzenia ukladacieho priestoru,
  2. článok 6 – porušenie povinnosti určenia platného právneho základu spracúvania osobných údajov,
  3. článok 9 – porušenie vo vzťahu k spracúvaniu osobitných kategórii osobných údajov,
  4. články 12, 13, 14 a 15 – porušenie práva dotknutých osôb na informácie a prístup k spracúvaným osobným údajom,
  5. článok 27 – porušenie povinnosti mať svojho zástupcu na území Európskej únie.

Spoločnosť namietala hlavne tým, že jej služby nezasahujú do práv občanov Európskej únie. Toto tvrdenie je možné odôvodnene považovať za nepravdivé, keďže sa na jej adresu hromadia sťažnosti a žaloby od občanov z územia Európskej únie. Taliansky dozorný orgán taktiež nebol prvým orgánom, ktorý spoločnosti Clearview udelil sankcie v súvislosti s porušovaním GDPR. Clearview bola za porušenie práv dotknutých osôb v súvislosti s ochranou osobných údajov sankcionovaná vo Francúzsku, Švédsku a v Spojenom kráľovstve. Spoločnosť má sídlo v USA, kde zatiaľ svoje služby bez väčších obmedzení poskytuje. Jedným z problémov vymožiteľnosti sankcii, ktoré boli spoločnosti udelené je aj skutočnosť, že spoločnosť nemá svojho zástupcu na území EÚ.  

I keď služby, ktoré spoločnosť poskytuje, sú určené najmä pre orgány činné v trestnom konaní, existujú dôkazy o tom, že spoločnosť svoje služby ponúka aj obchodným centrám, bankám či súkromným osobám.

Zdroj:  https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_9751362&mtc=today