logo-print

ΑΠΔΠΧ: Πρόστιμο 20.000.000 ευρώ στην Clearview για παράβαση των αρχών της νομιμότητας και διαφάνειας (απόφαση 35/2022)

Aπαγόρευση της συλλογής και επεξεργασίας προσωπικών δεδομένων υποκειμένων ευρισκομένων στην ελληνική επικράτεια

13/07/2022

15/07/2022

Δίκαιο της πληροφορικής Δ

ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΗΣ & ΠΝΕΥΜΑΤΙΚΗΣ ΙΔΙΟΚΤΗΣΙΑΣ - ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ - ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

ΙΓΓΛΕΖΑΚΗΣ ΙΩΑΝΝΗΣ

Ζητήματα από την εφαρμογή του γενικού κανονισμού για την προστασία δεδομένων στη διεθνή διαιτησία

ΑΣΤΙΚΟ ΔΙΚΟΝΟΜΙΚΟ ΔΙΚΑΙΟ / ΔΙΑΙΤΗΣΙΑ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

ΚΟΜΝΗΝΟΣ ΚΟΜΝΙΟΣ

Πρόστιμο ύψους 20.000.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην καταγγελλόμενη εταιρεία Clearview AI, Inc., για την παράβαση των αρχών της νομιμότητας και διαφάνειας (απόφαση 35/2022) Επιπλέον, της επέβαλε την απαγόρευση της συλλογής και επεξεργασίας προσωπικών δεδομένων υποκειμένων ευρισκομένων στην ελληνική επικράτεια και της απηύθυνε εντολή για διαγραφή των προσωπικών δεδομένων υποκειμένων ευρισκομένων στην Ελληνική επικράτεια, τα οποία συλλέγει και επεξεργάζεται με τη χρήση των μεθόδων που περιλαμβάνει η υπηρεσία αναγνώρισης προσώπου, την οποία εμπορεύεται.

Πιο αναλυτικά, η Αρχή διαπίστωσε ότι στην περίπτωση υπευθύνου επεξεργασίας χωρίς εγκατάσταση στην ΕΕ, ο οποίος εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ βάσει του κριτηρίου στόχευσης που τίθεται με τη διάταξη του άρθρου 3 παρ. 2 ΓΚΠΔ, κάθε εθνική εποπτική αρχή είναι αρμόδια να ελέγξει την τήρηση του ΓΚΠΔ από αυτόν στο έδαφος του κράτους μέλους της.

Ακολούθως, διαπίστωσε ότι από την πολιτική ιδιωτικότητας της καταγγελλόμενης, η τελευταία συλλέγει «πληροφορίες που προέρχονται από δημοσίως διαθέσιμες φωτογραφίες: Στο πλαίσιο των συνήθων επιχειρηματικών δραστηριοτήτων της η Clearview συλλέγει φωτογραφίες που είναι δημόσια διαθέσιμες στο Διαδίκτυο. Η Clearview μπορεί να εξάγει πληροφορίες από αυτές τις φωτογραφίες, συμπεριλαμβανομένων μεταδεδομένων γεωγραφικής τοποθεσίας που μπορεί να περιέχει η φωτογραφία και πληροφορίες που προέρχονται από την εμφάνιση του προσώπου των ατόμων στις φωτογραφίες».

Οι ως άνω φωτογραφίες συνιστούν αδιαμφισβήτητα δεδομένα προσωπικού χαρακτήρα, όπως αυτά ορίζονται στο άρθρο 4 στοιχ. 1 του ΓΚΠΔ, καθόσον επιτρέπουν την ταυτοποίηση ενός φυσικού προσώπου μέσω της αναφοράς σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική ή φυσιολογική ταυτότητά του.

Η επεξεργασία, στην οποία προβαίνει η καθ’ ης, έχει ως αποτέλεσμα την παραγωγή ενός αποτελέσματος αναζήτησης, το οποίο περιέχει το σύνολο των φωτογραφιών που έχουν κοινό κατακερματισμένο διάνυσμα με την αναρτημένη από το χρήστη φωτογραφία. Με αυτόν τον τρόπο, δημιουργείται ένα προφίλ σχετικά με ορισμένο πρόσωπο, το οποίο αποτελείται από τις φωτογραφίες, στις οποίες εμφανίζεται το πρόσωπο αυτό, αλλά και τα μεταδεδομένα αυτών, δηλαδή τις διευθύνσεις URL των ιστοσελίδων, όπου βρίσκονται οι φωτογραφίες αυτές. Ο συσχετισμός των φωτογραφιών αυτών και του πλαισίου, στο οποίο αυτές παρουσιάζονται σε ορισμένο δικτυακό τόπο, επιτρέπει τη συλλογή πολλών πληροφοριών για το πρόσωπο, τις συνήθειες και τις προτιμήσεις του. Ιδίως, όταν μια φωτογραφία είναι αναρτημένη στα κοινωνικά δίκτυα ή σε κάποια ιστοσελίδα, η οποία δημοσιεύει αρθρογραφία, ή σε κάποιο ιστολόγιο, αυτό μπορεί να έχει ως αποτέλεσμα τη συλλογή πληροφοριών που επιτρέπουν τον προσδιορισμό της συμπεριφοράς του προσώπου. Η ανάλυση των παραπάνω πληροφοριών που ένα πρόσωπο επιλέγει να δημοσιοποιήσει στο διαδίκτυο και το πλαίσιο, εντός του οποίου επιλέγει να τις δημοσιοποιήσει, επιτρέπει τελικά τον προσδιορισμό της συμπεριφοράς του προσώπου αυτού στο διαδίκτυο με βάση τις επιλογές έκθεσης της προσωπικής η επαγγελματικής του ζωής από τον ίδιο

Συνεπώς, η Αρχή έκρινε ότι η ως άνω αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων με στόχο την αξιολόγηση προσωπικών πτυχών ενός φυσικού προσώπου συνιστά κατάρτιση προφίλ και η θέση αυτού στη διάθεση των χρηστών των υπηρεσιών της καθ’ ης, οι οποίοι πραγματοποιούν αναζήτηση στην πλατφόρμα αναγνώρισης προσώπου της καθ’ ης, αποτελεί παρακολούθηση στο διαδίκτυο. Ο ίδιος, άλλωστε, ο σκοπός του εργαλείου που εμπορεύεται η καθ’ ης, είναι η παροχή της δυνατότητας αναγνώρισης και συλλογής πληροφοριών σε σχέση με ορισμένο πρόσωπο.

Εν προκειμένω, αρχικά διαπιστώθηκε ότι εφόσον η Clearview AI, Inc. εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ, βάσει του άρθρου 3 παρ. 2 στοιχ. β’ χωρίς να έχει εγκατάσταση στην Ε.Ε., έχει την υποχρέωση να ορίσει εκπρόσωπο στην Ε.Ε. σύμφωνα με το άρθρο 27 ΓΚΠΔ, την οποία όμως δεν έχει εκπληρώσει.

Ακολούθως, κρίθηκε ότι τα υποκείμενα, των οποίων τα δεδομένα υποβάλλονται σε επεξεργασία από την καθ’ ης, δεν λαμβάνουν καμία ενημέρωση από την τελευταία, μέσω της πολιτικής ιδιωτικότητας αυτής, σε σχέση με κανένα από τα στοιχεία που προβλέπει το άρθρο 14 ΓΚΠΔ, ούτε πριν αλλά ούτε καν μετά από την επεξεργασία. Για την ακρίβεια, τα υποκείμενα των δεδομένων, είναι πιθανό να μην μάθουν ποτέ ότι τα δεδομένα τους υποβλήθηκαν σε επεξεργασία από την καθ’ ης, παρά μόνο εάν τυχαία διαβάσουν κάποιο δημοσίευμα σχετικά με τις πρακτικές της Clearview AI, Inc.

Όπως επεσήμανε η Αρχή, από κανένα από τα στοιχεία του φακέλου δεν προέκυψε η συνδρομή κάποιας από τις προβλεπόμενες στο άρθρο 6 ΓΚΠΔ νόμιμες βάσεις επεξεργασίας.

Προέκυψε δε ότι, παρόλο που η καταγγέλλουσα άσκησε το κατ’ άρθρο 15 ΓΚΠΔ δικαίωμα πρόσβασης σε προσωπικά της δεδομένα, μέσω ηλεκτρονικού μηνύματος προς την καθ’ ης εντούτοις ουδέποτε έλαβε οποιαδήποτε απάντηση επ’ αυτού και ουδέποτε ικανοποιήθηκε το δικαίωμα πρόσβασής της.

Κατόπιν των ανωτέρω, διαπιστώθηκε (α) παράβαση της υποχρέωσης ορισμού εκπροσώπου στην Ε.Ε. (κατ’ άρθρο 27 ΓΚΠΔ), (β) παράβαση της αρχής της νομιμότητας της επεξεργασίας (κατ’ άρθρο 5 παρ. 1 στοιχ. α’, 6 και 9 ΓΚΠΔ), διότι η διενεργούμενη από την καταγγελλόμενη επεξεργασία δεν στηρίζεται σε καμία νομική βάση από τις προβλεπόμενες στο άρθρο 6 ΓΚΠΔ, ενώ δεν συντρέχει καμία από τις εξαιρέσεις του άρθρου 9 ΓΚΠΔ, όσον αφορά τις ειδικές κατηγορίες δεδομένων, (γ) παράβαση της αρχής της διαφάνειας της επεξεργασίας (κατ’ άρθρο 5 παρ. 1 στοιχ. α’ ΓΚΠΔ) και του συναφούς δικαιώματος ενημέρωσης των υποκειμένων (κατ’ άρθρο 14 ΓΚΠΔ), διότι η καθ’ ης δεν ενημέρωσε, ως όφειλε, τα υποκείμενα των οποίων τα δεδομένα επεξεργάζεται, με ακρίβεια και σαφήνεια για τη συλλογή και χρήση των προσωπικών τους δεδομένων, και (δ) παράβαση του δικαιώματος πρόσβασης της καταγγέλλουσας (κατ’ άρθρα 12 και 15 ΓΚΠΔ).

Απόσπασμα απόφασης

Όσον αφορά στη συσχέτιση των δραστηριοτήτων επεξεργασίας της καθ’ ης με την παρακολούθηση της συμπεριφοράς των υποκειμένων στην ΕΕ, κρίσιμο ζήτημα είναι αν τα εν λόγω υποκείμενα παρακολουθούνται στο διαδίκτυο. Η επεξεργασία, στην οποία προβαίνει η καθ’ ης, έχει ως αποτέλεσμα την παραγωγή ενός αποτελέσματος αναζήτησης -με βάση ορισμένη φωτογραφία που αναρτά ο χρήστης των υπηρεσιών της- το οποίο περιέχει το σύνολο των φωτογραφιών που έχουν κοινό κατακερματισμένο διάνυσμα με την αναρτημένη από το χρήστη φωτογραφία. Με αυτόν τον τρόπο, δημιουργείται ένα προφίλ σχετικά με ορισμένο πρόσωπο, το οποίο αποτελείται από τις φωτογραφίες, στις οποίες εμφανίζεται το πρόσωπο αυτό, αλλά και τα μεταδεδομένα αυτών, δηλαδή τις διευθύνσεις URL των ιστοσελίδων, όπου βρίσκονται οι φωτογραφίες αυτές. Ο συσχετισμός των φωτογραφιών αυτών και του πλαισίου, στο οποίο αυτές παρουσιάζονται σε ορισμένο δικτυακό τόπο, επιτρέπει τη συλλογή πολλών πληροφοριών για το πρόσωπο, τις συνήθειες και τις προτιμήσεις του. Ιδίως, όταν μια φωτογραφία είναι αναρτημένη στα κοινωνικά δίκτυα ή σε κάποια ιστοσελίδα, η οποία δημοσιεύει αρθρογραφία, ή σε κάποιο ιστολόγιο, αυτό μπορεί να έχει ως αποτέλεσμα τη συλλογή πληροφοριών που επιτρέπουν τον προσδιορισμό της συμπεριφοράς του προσώπου. Η ανάλυση των παραπάνω πληροφοριών που ένα πρόσωπο επιλέγει να δημοσιοποιήσει στο διαδίκτυο και το πλαίσιο, εντός του οποίου επιλέγει να τις δημοσιοποιήσει, επιτρέπει τελικά τον προσδιορισμό της συμπεριφοράς του προσώπου αυτού στο διαδίκτυο με βάση τις επιλογές έκθεσης της προσωπικής η επαγγελματικής του ζωής από τον ίδιο Συνακόλουθα, η περιγραφείσα ως άνω αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων με στόχο την αξιολόγηση προσωπικών πτυχών ενός φυσικού προσώπου συνιστά κατάρτιση προφίλ και η θέση αυτού στη διάθεση των χρηστών των υπηρεσιών της καθ’ ης, οι οποίοι πραγματοποιούν αναζήτηση στην πλατφόρμα αναγνώρισης προσώπου της καθ’ ης, αποτελεί παρακολούθηση στο διαδίκτυο. Ο ίδιος, άλλωστε, ο σκοπός του εργαλείου που εμπορεύεται η καθ’ ης, είναι η παροχή της δυνατότητας αναγνώρισης και συλλογής πληροφοριών σε σχέση με ορισμένο πρόσωπο. Οι εφαρμοζόμενες από την καθ’ ης τεχνικές βιομετρικής επεξεργασίας που επιτρέπουν τη στόχευση ενός προσώπου, οδηγούν τελικά στην κατάρτιση προφίλ αυτού, ως αποτέλεσμα της αναζήτησης που κάνει κάποιος χρήστης του εργαλείου της καθ’ ης. Η αναζήτηση δε αυτή ανανεώνεται στο χρόνο, καθώς η βάση δεδομένων επικαιροποιείται διαρκώς, πράγμα που επιτρέπει τη διαπίστωση της πιθανής εξέλιξης των πληροφοριών που αφορούν σε συγκεκριμένο πρόσωπο, ιδίως, εάν τα αποτελέσματα διαδοχικών αναζητήσεων συγκριθούν μεταξύ τους.

Οι διεθνείς, υπερεθνικές και διεθνικές ρυθμίσεις του χρόνου ναυτικής εργασίας και οι επιπτώσεις του στη ναυτική ασφάλεια

ΔΗΜΟΣΙΟ & ΙΔΙΩΤΙΚΟ ΔΙΕΘΝΕΣ ΔΙΚΑΙΟ - ΝΑΥΤΙΚΟ ΔΙΚΑΙΟ

ΔΕΣΠΟΙΝΑ ΚΙΛΤΙΔΟΥ

Η συναίνεση των προσώπων κατά τον Αστικό Κώδικα

ΕΜΜΑΝΟΥΗΛ ΑΛΑΦΡΑΓΚΗΣ

ΑΣΤΙΚΟ ΔΙΚΑΙΟ / ΓΕΝΙΚΑ

send