Skip to main content
Hermes Banner 1
DIABASTE DWREAN SEC CYP 12
DIGITAL TV 190
ilka aggelia
23 Οκτωβρίου 2023 11:09

Clearview AI: Δεκτή η προσφυγή κατά το προστίμου που επέβαλε ο ICO

admin ajax.php?action=kernel&p=image&src=%7B%22file%22%3A%22wp content%2Fuploads%2F2023%2F10%2Fclearview

Στις 23 Μαΐου 2022, η βρετανική αρχή προστασίας δεδομένων ICO ανακοίνωσε την έκδοση δύο αποφάσεων σε βάρος της Clearview AI, της αμερικανικής εταιρείας που συλλέγει, επεξεργάζεται βιομετρικά και παρέχει σε πελάτες της φωτογραφίες πολιτών από το διαδίκτυο.

Με τις αποφάσεις αυτές (Enforcement Notice και Monetary Penalty Notice) ο ICO αφενός έδωσε εντολή στην Clearview ΑΙ όπως διακόψει τη συλλογή, επεξεργασία και χρήση προσωπικών δεδομένων των προσώπων που διαμένουν στο Ηνωμένο Βασίλειο και όπως διαγράψει όλες τις σχετικές πληροφορίες από τα αρχεία της, αφετέρου της επέβαλε πρόστιμο £7,552,800 (8,7 εκατομμύρια ευρώ) για την παραβίαση των άρθρων 5 παρ.1α, 5 παρ.1ε, 6, 9 παρ.1, 14, 15, 16, 17, 21, 22 και 35 του Γενικού Κανονισμού Προστασίας Δεδομένων, καθώς και των αντίστοιχων διατάξεων της βρετανικής εκδοχής του ΓΚΠΔ (UK GDPR) που τυγχάνει εφαρμογής μετά την έξοδο του Ηνωμένου Βασιλείου από την Ευρωπαϊκή Ένωση.

H Clearview AI δεν δέχθηκε την υπαγωγή της στο πεδίο εφαρμογής της ενωσιακής και βρετανικής νομοθεσίας για την προστασία των προσωπικών δεδομένων και προσέβαλε τις δύο αποφάσεις ενώπιον του αρμοδίου δικαιοδοτικού οργάνου, σύμφωνα με τη διαδικασία του άρθρου 162 του Data Protection Act 2018, που αποτελεί την εθνική νομοθεσία εξειδίκευσης των διατάξεων του ΓΚΠΔ.

Αρμόδιο δικαιοδοτικό όργανο, εν προκειμένω, ήταν το First-tier Tribunal, Τμήμα Πληροφοριακών Δικαιωμάτων, το οποίο εξέδωσε χτες την απόφασή τουδικαιώνοντας την προσφεύγουσα εταιρεία.

Σύμφωνα με την απόφαση του Tribunal, ο ICO ήταν αναρμόδιος στην έκδοση των δύο αποφάσεων, καθώς μολονότι οι πράξεις επεξεργασίας που διενεργούνται από την Clearview AI σχετίζονται με την παρακολούθηση της συμπεριφοράς υποκειμένων στο Ηνωμένο Βασίλειο, η επεξεργασία καθεαυτή βρίσκεται εκτός ουσιαστικού πεδίου εφαρμογής του ΓΚΠΔ, αφού πρόκειται για δραστηριότητα που δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης, κατά το άρθρο 2 παρ.1α’ ΓΚΠΔ.

Όπως ειδικότερα κρίθηκε από το Tribunal, οι πράξεις επεξεργασίας που πραγματοποιούνται από την Clearview AI πρέπει να διακριθούν σε δύο κατηγορίες. Στην πρώτη κατηγορία (Activity 1) περιλαμβάνονται όλες οι επιμέρους πράξεις επεξεργασίας που σχετίζονται με τη συλλογή, επεξεργασία και αποθήκευση των δεδομένων και την εξαγωγή των βιομετρικών υποδειγμάτων, ενώ στη δεύτερη κατηγορία (Activity 2) εντάσσονται οι πράξεις επεξεργασίας που σχετίζονται με τη χρήση της εφαρμογής από τους πελάτες της: το uploading της φωτογραφίας του προσώπου που αναζητείται, η βιομετρική επεξεργασία αυτής και η αντιστοίχιση με ένα από τα βιομετρικά υποδείγματα, η παρουσίαση των αποτελεσμάτων, είναι οι χαρακτηριστικότερες των πράξεων αυτών.

Η διάκριση αυτή είναι κρίσιμη, καθώς το Tribunal αποδίδει διαφορετικό ρόλο στην Clearview ΑΙ σε κάθε κατηγορία, ενώ συνδέει σαφώς την παρακολούθηση της συμπεριφοράς των υποκειμένων με τη δεύτερη κατηγορία, καταλήγοντας έτσι στην εξαίρεση της Clearview AI από το δίκαιο της Ένωσης.

Το Tribunal χαρακτήρισε την Clearview ΑΙ ως υπεύθυνο επεξεργασίας για την πρώτη δραστηριότητα και ως joint controller για τη δεύτερη, από κοινού με τον κάθε πελάτη της. Παρατήρησε μάλιστα πως ακόμη και αν σφάλλει ως προς τον καθορισμό της από κοινού ευθύνης, οι πελάτες, ως ανεξάρτητοι υπεύθυνοι επεξεργασίας δεν εμποδίζονται από τον νόμο να πραγματοποιήσουν την παρακολούθηση της συμπεριφοράς των υποκειμένων.

Το στοιχείο αυτό, ήτοι το σε τι συνίσταται η παρακολούθηση της συμπεριφοράς και ποιος την πραγματοποιεί είναι το δεύτερο κρίσιμο στοιχείο, στο οποίο στηρίχθηκε η απόφαση του Tribunal. Σύμφωνα με την απόφαση, οι δραστηριότητες της Clearview ΑΙ «σχετίζονται» (κατά το άρθρο 3 παρ.2 ΓΚΠΔ) με την παρακολούθηση της συμπεριφοράς υποκειμένων που βρίσκονται στο Ηνωμένο Βασίλειο, η οποία όμως παρακολούθηση δεν πραγματοποιείται από την ίδια, αλλά από τους πελάτες της.

Ειδικότερα, η παρακολούθηση εν προκειμένω συνίσταται όχι μόνο στην προσπάθεια των πελατών – χρηστών της υπηρεσίας να αναγνωρίσουν ένα πρόσωπο, αλλά και στο να λάβουν αποφάσεις για το πρόσωπο αυτό, προβλέποντας ή αναλύοντας τη συμπεριφορά του, με σκοπό να το συλλάβουν ή να συλλέξουν στοιχεία για κάτι που έκανε ή σκοπεύει να κάνει. Σύμφωνα με το Tribunal, οι πελάτες της Clearview AI μπορούν να χρησιμοποιήσουν κάθε πληροφορία που συλλέγουν στο πλαίσιο της άσκησης των καθηκόντων τους και να τη συνδυάσουν-συσχετίσουν με τις πληροφορίες που αντλούν από την υπηρεσία που τους παρέχεται, προκειμένου να εντοπίσουν το πού βρισκόταν ένα πρόσωπο σε μια δεδομένη χρονική στιγμή.

Υπό την έννοια αυτή, οι πελάτες της Clearview AI «παρακολουθούν τη συμπεριφορά» των προσώπων που απεικονίζονται στις φωτογραφίες που ανεβάζουν στο λογισμικό της εταιρείας, καθώς επιχειρούν να εντοπίσουν πληροφορίες για τα πρόσωπα αυτά, με βάση τις πληροφορίες που ήδη διαθέτουν. Η απλή αναγνώριση ενός προσώπου δεν είναι αρκετή για να θεωρηθεί ως παρακολούθηση συμπεριφοράς, αφού κρίσιμο στοιχείο είναι η συσχέτιση των αποτελεσμάτων με ήδη υπάρχουσες πληροφορίες στο πλαίσιο της αστυνομικής έρευνας.

Το Tribunal δέχεται πως υπάρχει άμεσος σύνδεσμος μεταξύ της δημιουργίας και λειτουργίας της βάσης δεδομένων της εταιρείας και της παρακολούθησης συμπεριφοράς που πραγματοποιείται από τους πελάτες της, ως εκ τούτου οι πράξεις επεξεργασίας που αυτή πραγματοποιεί «σχετίζονται με» την παρακολούθηση της συμπεριφοράς υποκειμένων.

Κατά συνέπεια, οι δραστηριότητες της Clearview ΑΙ εντάσσονται στο εδαφικό πεδίο εφαρμογής του άρθρου 3 ΓΚΠΔ. Η εξαίρεση, ωστόσο, προκύπτει από το ουσιαστικό πεδίο εφαρμογής του άρθρου 2.

Ως προς το ουσιαστικό πεδίο εφαρμογής, κρίσιμο στοιχείο είναι η ταυτότητα των πελατών της Clearview ΑΙ, οι οποίοι, όπως η ίδια προέβαλε χωρίς να μπορεί ο ICO να την αμφισβητήσει, αποτελούνται αποκλειστικά από αρχές επιβολής του νόμου. Ο ICO υπενθύμισε πως στο παρελθόν η ίδια η εταιρεία είχε παραδεχθεί πως προωθούσε το λογισμικό της και σε ιδιώτες, ενώ επεσήμανε πως το ότι σήμερα η ίδια ισχυρίζεται πως πουλά μόνο σε αστυνομικές και διωκτικές αρχές δεν αποκλείει το ενδεχόμενο αύριο να απευθυνθεί και σε ιδιώτες πελάτες, από τη στιγμή που θα έχει στη διάθεσή της τα προσωπικά δεδομένα των κατοίκων του Ηνωμένου Βασιλείου.

Το Tribunal δέχθηκε τον προβληματισμό αυτό, απορρίπτοντας τον όμως ως υποθετικό. Όπως χαρακτηριστικά παρατήρησε, τίποτα δεν μπορεί να αποκλείσει τη μελλοντική παροχή της υπηρεσίας σε ιδιώτες πελάτες, ωστόσο δεν μπορεί κανείς να δεχθεί πως έχει εκδηλωθεί η οποιαδήποτε πρόθεση επ’ αυτού. Κατά συνέπεια, η αρμοδιότητα του ICO στην έκδοση των αποφάσεων θα πρέπει να κριθεί με βάση τα χαρακτηριστικά της υπηρεσίας κατά τον χρόνο έκδοσης αυτών.

Με βάση τις ανωτέρω παραδοχές, το Tribunal αρχικώς παρατηρεί πως η δραστηριότητα των διωκτικών αρχών δεν αποτελεί αντικείμενο του Γενικού Κανονισμού Προστασίας Δεδομένων, αλλά της αστυνομικής οδηγίας, η οποία όμως δεν εξετάστηκε από τον ICO. Περαιτέρω, κανείς δεν αμφισβητεί πως οι ενέργειες των διωκτικών αρχών, ως οργάνων τρίτης πολιτείας, δεν μπορούν να ελέγχονται υπό το πεδίο εφαρμογής του ΓΚΠΔ, καθώς δεν εμπίπτουν στο πεδίο εφαρμογής του δικαίου της Ένωσης. Όπως χαρακτηριστικά παρατηρείται, μια κυβέρνηση δεν έχει καμία δουλειά να επιχειρεί να ελέγξει τις δραστηριότητες τρίτου κράτους.

Συμπερασματικά, το Tribunal δέχθηκε πως η Clearview AI πραγματοποιεί επεξεργασία δεδομένων που σχετίζεται με την παρακολούθηση της συμπεριφοράς των πολιτών, ως εκ τούτου οι δραστηριότητές της εντάσσονται στο εδαφικό πεδίο εφαρμογής του ΓΚΠΔ. Οι δραστηριότητες όμως αυτές δεν την αφορούν άμεσα, καθώς η εταιρεία απλώς παρέχει τα μέσα στους πελάτες της προκειμένου οι ίδιοι να προχωρήσουν στην παρακολούθηση της συμπεριφοράς. Η παρακολούθηση της συμπεριφοράς, η οποία ανάγεται στην επίδικη ως προς την εφαρμογή του ΓΚΠΔ δραστηριότητα, δεν συνίσταται στη συλλογή, επεξεργασία και αρχειοθέτηση, των φωτογραφιών των προσώπων και των πληροφοριών που προκύπτουν από τις φωτογραφίες αυτές, μέσω των οποίων θα μπορούσε κανείς να διαμορφώσει μια εικόνα ως προς τη ζωή ενός ανθρώπου. Η παρακολούθηση της συμπεριφοράς υφίσταται όταν ο πελάτης της εταιρείας χρησιμοποιεί την υπηρεσία της και αξιοποιεί τα αποτελέσματα αναζήτησης που αυτή του εμφανίζει, προκειμένου να συσχετίσει αυτά με πληροφορίες που ήδη έχει στη διάθεσή του.

Κατά συνέπεια και με δεδομένο πως οι πελάτες αυτοί είναι αποκλειστικά διωκτικές αρχές εκτός ΕΕ και Ηνωμένου Βασιλείου, η επίδικη δραστηριότητα βρίσκεται εκτός ενωσιακού δικαίου.

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report, Ιούλιος 2024
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Ιουλίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχοςθα βρείτε ενδιαφέροντα θέματα και δοκιμές πο...
Έλεγχος πρόσβασης με Akuvox
Η PartnerNET με περισσότερα από 25 χρόνια εμπειρίας στον ICT κλάδο, είναι ο επίσημος διανομέας της Akuvox Company και παρουσιάζει τις έξυπνες λύσεις πρόσβασης και ενδοεπικοινωνίας σε σπίτια, κτίρι...
Η αποθήκευση δεδομένων παρακολούθησης «γίνεται» έξυπνη!
Η τεχνητή νοημοσύνη φέρνει επανάσταση στον τρόπο αποθήκευσης και διαχείρισης των όλο αυξανόμενων δεδομένων παρακολούθησης. Οι μέρες της απλής εγγραφής και αναθεώρησης των πλάνων βίντεο που παράγου...
Κάμερες αντιεκρηκτικού τύπου
Πυρηνικά και πετροχημικά εργοστάσια, τηλεπικοινωνιακοί σταθμοί και αποθήκες εκρηκτικών είναι μόνο μερικοί από τους βιομηχανικούς χώρους και τις κρίσιμες υποδομές που ενέχουν πολλές προκλήσεις, ακό...
Red Dot για την Ajax Systems
Για πρώτη φορά στην ιστορία της, η Ajax Systems κατακτά τα πρώτα βραβεία Red Dot σε Ασφάλεια και Οικιακό Αυτοματισμό! Φέτος, τα προϊόντα συναγερμού και έξυπνου αυτοματισμού της εταιρείας έλαβαν...
Οι μεγαλύτερες τάσεις CCTV για το 2024
Στον κόσμο της βιντεοεπιτήρησης παρατηρείται ραγδαία εξέλιξη την τελευταία δεκαετία, με τις καινοτομίες στην τεχνολογία να έχουν διαδραματίσει σπουδαίο ρόλο στην εν λόγω ανάπτυξη. Ταυτόχρονα, ο το...
Μέτρα προστασίας για τα Data Centers
Τα κέντρα δεδομένων ή αλλιώς Data Centers, όπου φιλοξενείται εξοπλισμός υψηλής αξίας, όπως υπολογιστές, servers, αποθηκευτικά μέσα και άλλες δικτυακές συσκευές, πλέον θεωρούνται κινητήριος μοχλός ...
Hikvision 2-wire HD Apartment
Η λύση 2-wire HD Apartment αποτελεί μια εξαιρετική επιλογή για όσους αναζητούν ένα υψηλής ποιότητας και αξιόπιστο σύστημα θυροτηλεφώνου για αντικατάσταση ενός παλαιού συστήματος με χρήση των υπαρχ...
Πρωτοποριακή υπεροχή στα συστήματα επικοινωνίας Rakson A.E.
Έχοντας ιδρυθεί πριν από 70 χρόνια, η Golmar είναι πρωτοπόρα στην παγκόσμια αγορά, αφήνοντας ένα ανεξίτηλο σημάδι στο τοπίο των συστημάτων ενδοεπικοινωνίας. O αποκλειστικός συνεργάτης στην Ελλάδα ...
TP-Link Omada EAP215-Bridge
Το TP-Link Omada EAP215-Bridge kit αποτελεί την ιδανική λύση για την εγκατάσταση συστημάτων βιντεοεπιτήρησης σε απομακρυσμένες περιοχές, παρέχοντας αξιόπιστη ασύρματη σύνδεση με μεγάλη εμβέλεια πο...

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report Cyprus, 12
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Cyprus! Στο νέο τεύχος 12 του Security Report Cyprus θα βρείτε ενδιαφέροντα θέματα και δοκιμές που απευθύνονται σ...
INIM Previdia UltraVox
Τα μοντέλα της σειράς πινάκων ελέγχου πυρκαγιάς Previdia Ultra Vox ενσωματώνουν λειτουργίες φωνητικής εκκένωσης / αναγγελίας κινδύνου και ανακοινώσεων, καθώς και τεχνολογίες πυρανίχνευσης. Όλα σε ...
Η Novatron Security Distribution εξαγόρασε την Grande Security
Η Novatron Security Distribution Α.Ε., μέλος του ομίλου IFSAS, κορυφαίου ομίλου λύσεων & προϊόντων τεχνολογίας φυσικής ασφάλειας στην Ελλάδα, ανακοίνωσε την πλήρη εξαγορά των μετοχών της Grand...
Πώς επηρεάζεται ο κατασκευαστικός τομέας από το AI;
Ο κατασκευαστικός κλάδος, ακρογωνιαίος λίθος της αστικής ανάπτυξης και γενικότερα της οικονομίας, υφίσταται σημαντικές αλλαγές τα τελευταία χρόνια. Στο επίκεντρο αυτών των αλλαγών, βρίσκεται για μ...
Ασφάλεια στα γήπεδα της Super League για την καταπολέμηση της οπαδικής βίας
Τα μέτρα για την καταπολέμηση της οπαδικής βίας ανακοίνωσε τον περασμένο μήνα ο κυβερνητικός εκπρόσωπος Παύλος Μαρινάκης, με αφορμή τα επεισόδια στον αγώνα βόλεϊ Ολυμπιακού - Παναθηναϊκού στο Ρέντ...
Πώς αντιμετωπίζουμε τις ηλεκτρονικές απάτες;
Το ηλεκτρονικό οικονομικό έγκλημα είναι ένα σύγχρονο φαινόμενο και είναι πιθανό να αποτελέσει μείζον πρόβλημα για την κοινωνία κατά τα επόμενα χρόνια. Η αντιμετώπισή του από νομική άποψη δεν είναι...
Τα 20 κορυφαία Υβριδικά συστήματα συναγερμού της αγοράς
Σε μια εποχή όπου η ασφάλεια αποτελεί πρωταρχικό μέλημα των ανθρώπων παγκοσμίως, τα υβριδικά συστήματα συναγερμού έχουν αναδειχθεί σε ένα ζωτικό εργαλείο για την προστασία κατοικιών, επιχειρήσεων ...
Wi-Fi Sensing
Οι εφαρμογές του Wi-Fi και της ασύρματης τεχνολογίας εξελίσσονται ραγδαία, και σήμερα η εν λόγω τεχνολογία δημιουργεί νέες ευκαιρίες. Ερευνητές και επιστήμονες από τον κλάδο της τεχνολογίας έχουν ...
Αναγνώριση πινακίδων οχημάτων
 Έντονες είναι οι εξελίξεις στην τεχνολογία αναγνώρισης οχημάτων και συμπεριφοράς οδηγών τα τελευταία χρόνια. Από την ευρεία υιοθέτηση της τεχνητής νοημοσύνης, μέχρι τη μηχανική μάθηση, όλα σ...
Video Analytics: 2 διαφορετικές προσεγγίσεις
Με την πληθώρα τεχνολογικών λύσεων που συναντούμε σήμερα είναι σίγουρο πως οι επιχειρήσεις και οι μεγάλοι οργανισμοί έχουν την τύχη, αλλά και την ελευθερία, να επιλέξουν - μέσα από μια μεγάλη γκάμ...