Įmonė, taikanti veido atpažinimo technologiją, gavo 20 mln. Eur baudą už BDAR pažeidimus

2022 m. spalio 20 d. Europos duomenų apsaugos valdyba (toliau - EDAV) paskelbė apie Prancūzijos įmonei Clearview AI, taikančiai veido atpažinimo technologiją, skirtą 20 mln. eurų baudą dėl to, kad ši tvarkė asmens duomenis neturėdama teisinio pagrindo, neįgyvendino asmenų teisės ištrinti asmens duomenis bei nebendradarbiavo su Prancūzijos priežiūros institucija CNIL. Allaw duomenų apsaugos pareigūnas ALLAW DAi.lt portalo skaitytojams nurodo, kokius pažeidimus padarė įmonė ir ko turėtų pasimokyti kiti duomenų valdytojai, nenorėdami kartoti tų pačių klaidų.

SITUACIJA IŠAIŠKĖJO, KAI SKUNDAI PASIEKĖ PRIEŽIŪROS INSTITUCIJĄ

Kaip skelbia EDAV, 2020 m. gegužės mėn. Prancūzijos priežiūros institucija CNIL gavo asmenų skundus dėl Clearview AI veido atpažinimo programinės įrangos ir pradėjo tyrimą. Atlikus tyrimą buvo nuspręsta pateikti Clearview AI oficialų įspėjimą nutraukti Prancūzijos teritorijoje esančių asmenų duomenų rinkimą ir tvarkymą, nesant tokio tvarkymo teisinio pagrindo, taip pat neįgyvendinant duomenų subjektų prašymų ištrinti asmens duomenis. Clearview AI turėjo du mėnesius įvykdyti oficialiame pranešime suformuluotus nurodymus ir juos pagrįsti CNIL. Tačiau ji nepateikė jokio atsakymo į šį oficialų pranešimą. Todėl remiantis BDAR 83 str. buvo skirta maksimali bauda.

Į KĄ PRIEŽIŪROS INSTITUCIJA ATSIŽVELGĖ, SKIRDAMA BAUDĄ?

Pagrindiniai veiksniai lėmę maksimalios baudos įmonei skyrimą:

1) labai rimtas pavojus pagrindinėms duomenų subjektų teisėms, kylantis dėl bendrovės vykdomo duomenų tvarkymo - kaip save pristato pati įmonė "Mes teikiame revoliucinę žvalgybos platformą, kurią palaiko veido atpažinimo technologija. Platforma apima daugiau nei 30 milijardų veido vaizdų, gaunamų iš viešojo interneto, tinklą, įskaitant naujienų žiniasklaidą, vaizdo įrašų svetaines, viešąją socialinę žiniasklaidą ir kitus atviruosius šaltinius." Tikėtina, kad atsižvelgiant į duomenų tvarkymo mastą ir pobūdį CNIL nustatė rimtą pavojų duomenų subjektų teisėms,

2) nebendradarbiavimas su priežiūros institucija - per jos nustatytą laikotarpį įmonė nesiėmė veiksmų neatitikčiai ištaisyti,

Priežiūros institucija įpareigoja įmonę Clearview AI nustoti rinkti ir tvarkyti Prancūzijoje gyvenančių asmenų duomenis be teisinio pagrindo ir ištrinti šių asmenų duomenis, kuriuos ji jau surinko, per du mėnesius. Taip pat prie šio sprendimo pridėjo 100 tūkst, eurų baudą už kiekvieną uždelstą dieną po šių dviejų mėnesių.

KO GALI PASIMOKYTI KITOS ORGANIZACIJOS, BŪDAMOS DUOMENŲ VALDYTOJU

Clearview AI situacija tik dar kartą atkreipė dėmesį į teisinio duomenų tvarkymo pagrindo nustatymo reikšmę, kadangi nesant teisinio pagrindo duomenų tvarkymas, vadovaujantis BDAR 6 str. lakomas neteisėtu. Taip pat ypatingai svarbus bendradarbiavimas su priežiūros institucija, nes priešingu atveju tai traktuojama kaip sąlygų tyrimui atlikti nesudarymas ir visada bus laikoma sunkinančia aplinkybes sprendžiant dėl skiriamų sankcijų įmonei. Tad kokius veiksmus turėtų atlikti įmonės, siekdamos savo veikloje išvengti analogiškos situacijos:

1) nustatyti duomenų tvarkymo pagrindą ir jį dokumentuoti įmonės duomenų tvarkymo veiklos įrašuose,

2) įsitikinti, kad įmonės naudojamos duomenų sistemos leis įgyvendinti duomenų subjektų teises, įskaitant ištrinti asmens duomenis,

3) bendradarbiauti su priežiūros institucija - laiku teikti išsamius atsakymus į jos paklausimus, prašomus dokumentus, prieš tai organizacijoje nustačius bendradarbiavimo pareigą,

4) paskirti duomenų apsaugos pareigūną, kuris būtų kontaktinis asmuo bendradarbiaujant su priežiūros institucija.