орган по защите данных Швеции, то IMY, оштрафовал местную полицейскую власть € 250 000 ($ 300k +) за незаконное использование спорного программного обеспечения распознавания лица, Clearview А.И., в нарушении закона криминалистических данных страны.
В рамках правоприменения полиция должна проводить дополнительное обучение и обучение сотрудников, чтобы избежать любой обработки персональных данных в будущем, нарушающей правила и положения о защите данных.
Органу также было приказано информировать людей, чьи личные данные были отправлены в Clearview – когда это разрешено правилами конфиденциальности, согласно IMY.
Его расследование показало, что полиция несколько раз использовала средство распознавания лиц, и что несколько сотрудников использовали его без предварительного разрешения.
Ранее в этом месяце канадские органы по обеспечению конфиденциальности обнаружили, что Clearview нарушила местные законы, когда собирала фотографии людей и добавляла их в свою базу данных по распознаванию лиц без их ведома и разрешения.
«IMY приходит к выводу, что полиция не выполнила свои обязательства в качестве контролера данных по ряду учетных записей в отношении использования Clearview AI. Полиция не приняла достаточных организационных мер, чтобы гарантировать и иметь возможность продемонстрировать, что обработка персональных данных в этом случае осуществлялась в соответствии с Законом об уголовных данных. При использовании Clearview AI полиция незаконно обработала биометрические данные для распознавания лиц, а также не провела оценку воздействия на защиту данных, которая потребовалась бы в этом случае обработки », – говорится в сообщении шведского органа по защите данных.
Полное решение IMY можно найти здесь (на шведском языке).
«Существуют четко определенные правила и положения о том, как полиция может обрабатывать личные данные, особенно в правоохранительных целях. Полиция несет ответственность за то, чтобы сотрудники знали об этих правилах », – добавила Елена Маццотти Паллард, юрисконсульт IMY, в заявлении.
Штраф (2,5 млн шведских крон в местной валюте) был решен на основе общей оценки согласно IMY, хотя он намного меньше максимально возможного в соответствии с законодательством Швеции для рассматриваемых нарушений, что, по мнению наблюдательного органа, было бы 10 млн шведских крон. (В решении властей отмечается, что незнание правил или наличие неадекватных процедур не является причиной для уменьшения штрафа, поэтому не совсем понятно, почему полиция избежала более крупного штрафа.)
Агентство данных заявило, что невозможно определить, что случилось с данными людей, фотографии которых полиция отправила в Clearview, например, хранит ли компания информацию. Поэтому он также приказал полиции принять меры, чтобы Clearview удалял данные.
IMY сказал, что исследовал использование в полиции спорного технологии сообщений в местных СМИ.
Чуть больше года назад New York Times сообщила, что базирующаяся в США Clearview AI собрала базу данных из миллиардов фотографий лиц людей, в том числе путем очистки публичных публикаций в социальных сетях и сбора конфиденциальных биометрических данных людей без ведома или согласия отдельных лиц. .
Закон о защите данных Европейского Союза устанавливает высокую планку для обработки данных особых категорий, таких как биометрические данные.
Специальное использование полицией коммерческой базы данных по распознаванию лиц – по-видимому, при нулевом внимании к местному закону о защите данных – очевидно, не соответствует этой планке.
В прошлом месяце выяснилось, что орган по защите данных Гамбурга инициировал судебное разбирательство против Clearview после жалобы жителя Германии на несанкционированную обработку его биометрических данных.
Власти Гамбурга процитировали статью 9 (1) GDPR, которая запрещает обработку биометрических данных с целью однозначной идентификации физического лица, если только физическое лицо не дало явного согласия (или для ряда других узких исключений, которые, по их словам, имели не были выполнены) – таким образом, обработка Clearview была признана незаконной.
Однако власти Германии сделали лишь узкое распоряжение об удалении математических хэш-значений отдельного заявителя (которые представляют биометрический профиль).
Он не приказал удалить сами фотографии. Он также не издал общеевропейский приказ, запрещающий сбор фотографий любого европейского резидента, как это могло быть сделано и как того требовала европейская группа кампании по защите конфиденциальности, noyb.
noyb призывает всех жителей ЕС использовать формы на веб-сайте Clearview AI, чтобы запросить у компании копию своих данных и попросить удалить любые имеющиеся у них данные, а также возразить против включения в свою базу данных. Он также рекомендует лицам, обнаружившим, что Clearview хранит их данные, подать жалобу на компанию в местный DPA.
Законодатели Европейского Союза находятся в процессе разработки основанной на оценке риска структуры для регулирования применения искусственного интеллекта – проект закона, как ожидается, будет выдвинут в этом году, хотя Комиссия намеревается, что он будет работать вместе с защитой данных, уже заложенной в Генеральную директиву ЕС. Положение о защите данных (GDPR).
Ранее в этом месяце сомнительная компания по распознаванию лиц была признана незаконной канадскими властями по защите конфиденциальности, которые предупредили, что они «предпримут другие действия», если компания не будет следовать рекомендациям, которые включают прекращение сбора данных канадцев и удаление всех ранее собранных изображений.
Clearview заявила, что прошлым летом прекратила предоставлять свои технологии канадским клиентам.
Ему также грозит коллективный иск в США со ссылкой на законы Иллинойса о биометрической защите.
Прошлым летом британские и австралийские надзорные органы по защите данных объявили о совместном расследовании практики обработки персональных данных Clearview. Это расследование продолжается.