Případ Clearview AI a globální účinnost GDPR

Plošné stahování fotek z internetu a GDPR

Clearview je databáze, která je tvořená crawlery neboli softwarovými programy, které zaznamenávají informace na webových stránkách, včetně hypertextových odkazů bez jakéhokoliv geografického nebo národnostního omezení. Současná databáze Clearview obsahuje přibližně 50 miliard zobrazení tváří pocházejících z veřejných webových zdrojů, včetně zpravodajských médií, fotografických webových stránek, sociálních médií (Facebook, Instragram) a mnoha dalších otevřených zdrojů. Její dostupnost je v tuto chvíli omezena na americké vládní instituce a policejní složky.

Pro lepší pochopení, Clearview funguje podobně jako vyhledávač Google. Například při řešení samotného trestného činu se vládní agentura nebo policie obrací na Clearview, aby pomohla s identifikací osoby. Uživatel Clearview nahraje obrázek potenciálního pachatele, software Clearview pak zkontroluje vlastní databázi a poté poskytne potenciální shodné obrázky a metadata (zdroje obrázků) jako důkazní materiál. Tyto výstupní údaje však musí vyšetřovatel následně nezávisle ověřit, aby mohlo vyšetřování pokračovat.

Extrateritoriální působnost GDPR

Společnost Clearview má sídlo ve státě New York a dosud nemá zástupce v Evropské unii. Tento krok vysvětluje tak, že svůj software poskytuje výhradně americkým vládním agenturám a orgánům činným v trestním řízení.

Nedávné rozhodnutí nizozemského dozorového úřadu pro ochranu osobních údajů, Autoriteit Personsgegevens ("AP"), potvrdilo, že Clearview má ve své databáze i fotografie zachycující obyvatele Nizozemí. Nizozemský úřad zjistil, že samotné zpracování fotek obyvatel a monitorovaní jejich chování bylo prováděno automatizovanými prostředky právě platformou Clearview. K samotné otázce, zda společnost Clearview zpracovává osobní údaje obyvatel Nizozemska, měla AP k dispozici i přímý důkaz od samotného subjektu údajů, který požádal společnost Clearview o poskytnutí záznamů-obrázků své osoby. Tyto snímky byly spojeny s adresami konkrétních internetových stránek, které končily na .nl.

Nizozemský úřad tedy konstatoval, že na společnosti Clearview se GDPR vztahuje na základě čl. 3 odst. 2. Jelikož dané zpracování bylo v rozporu s unijní regulací, úřad jí uložil pokutu ve výši 30,5 milionu EUR.

Ve Velké Británii rozhodl soud jinak

Zajímavou dohru má šetření praktik společnosti Clearview britským úřadem ICO (Information Commissioner's Office). Britský úřad společnosti Clearview AI Inc. uložil pokutu ve výši 7,5 milionu britských liber. Stejně jako všechny ostatní evropské dozorové orgány, které společnost Clearview vyšetřovaly, se ICO před uložením pokuty zabýval otázkou, zda dochází k zpracování údajů obyvatel Spojeného království a ke sledování jejich chování.

Podle ICO podléhalo zpracování GDPR, neboť zákazníci společnosti Clearview porovnávají své vlastní snímky se záznamy v databáze samotné společnosti, a proto „sledují" chování osob, které se na snímcích objevují v různym čase a místech.

Společnost Clearview AI Inc. rozhodnutí napadla u soudu s odůvodněním, že nepodléhá jurisdikci ICO a že monitorování fakticky prováděli samotní uživatelé společnosti Clearview.

Soudní řízení se zaměřilo na období před a po Brexitu. Proto bylo třeba zvážit dopad obou právních předpisů, evropského GDPR a GDPR Spojeného království, v otázce uzemní působnosti. 

Pro úplnost dodejme, že po odchodu z EU převzalo Spojené království znění GDPR s několika odlišnostmi. Konkrétně se jedná o vložení výrazu "relevantní zpracování" takto:

Článek 3 – Územní působnost

(2) Toto nařízení se vztahuje na relevantní zpracování o osobních údajů subjektů údajů, které se nacházejí ve Spojeném království, správcem nebo zpracovatelem, který není usazen ve Spojeném království, pokud činnosti zpracování souvisejí se

(a)nabídkou zboží nebo služeb, bez ohledu na to, zda je vyžadována platba subjektu údajů, těmto subjektům údajů ve Spojeném království; o

(b)sledováním jejich chování, pokud k němu dochází na území Spojeného království.

(2A) V odstavci 2 se „příslušným zpracováním osobních údajů“ rozumí zpracování, na které se vztahuje toto nařízení, jiné než zpracování popsané v čl. 2 odst. 1 písm. a) nebo b) nebo v odstavci 1A.

Britský soud na základě zjištěných skutečností rozhodnutí ICO zrušil a konstatoval, že společnost Clearview AI Inc. nepodléhá jeho pravomoci.

Jako důvod uvedl, že zpracování provedené společností Clearview nespadá pod relevantní zpracování podle čl. 3 odst. 2A GDPR Spojeného království.

Soud rovněž vycházel z pokynu Evropského sboru pro ochranu osobních údajů 03/2018 k místní příslušnosti regulace. Z něj mj. vyplývá, že „monitorování" musí mít konkrétní účel shromažďování a opakovaného použití příslušných údajů o chování jednotlivce v EU a že ne každé shromažďování nebo analýza osobních údajů jednotlivců v EU online představuje monitorování zakládající působnost GDPR. Britský soud konstatoval, že postup společnosti Clearview neodhaluje nic o chování jednotlivce, ale že se jedná o ryze automatizovaný, matematický postup.

Britský soud dopěl rovněž k závěru, že článek 2 odst. 2A britského GDPR vylučuje z jeho působnosti činnosti, které nespadají do působnosti práva Unie. Vzhledem k nesporným důkazům společnosti Clearview, že své služby poskytovala pouze a výlučně orgánům činným v trestním řízení, a to mimo Spojené království/EU, pro účely vymáhání trestního práva a/nebo plnění úkolů v oblasti národní bezpečnosti, nespadalo takové zpracování údajů do oblasti působnosti nařízení GDPR.

Je třeba poznamenat, že britský úřad, ICO, v odvolacím řízení neunesl své důkazní břemeno. Nepředložil totiž žádné důkazy o tom, že platforma Clearview je nabízena soukromým společnostem pro využití mimo oblast vymáhání trestního práva a/nebo národní bezpečnosti.

Jak legálně využívat veřejně dostupné údaje?

Tento závěr britského soudu však nelze vztáhnout na rozhodovací činnost dozorových orgánů v Evropské unii, právě kvůli odlišnému vymezení místní (extrateritoriální) působnosti) v britském GDPR.

Je třeba poznamenat, že všechny dozorové úřady pro ochranu osobních údajů v EU, které dosud v této věci rozhodovaly (například italský, francouzský nebo řecký), dospěly k závěru, že docházelo k monitorování obyvatel EU, a že tedy činnost společnosti Clearview spadala do působnosti GDPR.

Vytváření databáze pomocí stahování dat včetně osobních údajů z internetu je momentálně jedním z často využívaných zdrojů informací, i v AI oblasti (trénování modelů). Jak však ukazuje případ Clearview, při využití této metody je velice potřebné stanovit přesné podmínky, za jakých bude docházet k získávání osobních údajů a také pro jaký účel budou data získávána a dále zpracovávána. Jinak se společnosti vystavují podobnému osudu jako Clearview.

Článek je publikován také na doméně GDPR.cz