Mislite da tvrtke iz trećih zemalja ne mogu biti kažnjene za GDPR? Ako ste to pomislili varate se...
Nizozemsko nadzorno tijelo za zaštitu podataka (DPA) u rujnu 2024. izreklo je značajnu novčanu kaznu - 30 milijuna eura američkoj tvrtki Clearview AI, specijaliziranoj za tehnologiju prepoznavanja lica, zbog nezakonite prakse prikupljanja podataka.
Ovaj je slučaj izazvao raspravu o primjenjivosti GDPR regulative na strane pravne subjekte i legitimnosti postupaka nadzornog tijela. Dok DPA novčanu kaznu smatra nužnim korakom za poštivanje europskih standarda privatnosti, drugi dovode u pitanje njezinu praktičnost i pravednost, posebno s obzirom na to da je sjedište Clearview AI-a izvan EGP-a.
Koraci koje je potrebno poduzeti?
Društva koja posluju izvan EU i obrađuju osobne podatke građana EU trebaju:
- analizirati poslovne aktivnosti za koje bi se moglo smatrati da spadaju u djelokrug GDPR-a
- uzeti u obzir razvojni smjer kretanja međunarodne sudske prakse o provedbi GDPR-a
- implementirati svu regulativu koja se na njih primjenjuje.
Sažetak činjenica
Clearview AI, osnovan 2017., prikupio je više od 30 milijardi slika ljudi skeniranjem svega na internetu. Slike je pretvarao u biometrijske podatke i to za potrebe prepoznavanja lica. Rezultat: korisnici usluga Clearview AI tako mogu učitati fotografiju pojedinca kako bi pronašli podudarnosti unutar detaljne baze podataka.
Ova je tehnologija bila popularna među američkim policijskim odjelima, ali je izazvala značajnu zabrinutost u Europi, gdje stroži propisi o privatnosti poput Opće uredbe o zaštiti podataka (GDPR) uređuju prikupljanje i korištenje osobnih podataka.
Prije novčane kazne od 30 milijuna eura od strane nizozemskog DPA, Clearview AI već se suočio sa značajnim novčanim kaznama od drugih europskih tijela za zaštitu podataka. U Francuskoj je tvrtka kažnjena s 20 milijuna eura, dok su Grčka i Italija također izrekle slične kazne za istovrsne prekršaje. Clearview AI dosljedno je ignorirao kazne, odbijajući udovoljiti zahtjevima europskih regulatora da prestane s radom ili ukloni osobne podatke građana EU-a.
Obrazloženje i pravna osnova nizozemskog nadzornog tijela
Clearview AI nema predstavništvo niti poslovnicu u Europi, te je stoga svoja očitovanja usmjerio na činjenice i tvrdnje da se na njih GDPR ne primjenjuje odnosno da je izvan nadležnosti nadzornih tijela za zaštitu podataka i izvan obvezne primjene GDPR-a.
Prema članku 3. stavku 2. GDPR-a, tvrtke koje nisu osnovane u EU-u mogu potpasti pod njegovu nadležnost ako ispunjavaju određene kriterije:
(1) nuđenje robe ili usluga pojedincima u EU-u, bez obzira na naplativost; ili
(2) Praćenje ponašanja pojedinaca unutar EU-a, sve dok se obrada odvija unutar Unije.
Unatoč tvrdnji Clearview AI-ja, stajalište DPA je da se aktivnosti tvrtke - identificiranje pojedinaca na temelju njihovih fotografija i davanje tih informacija trećim stranama - protežu dalje od puke identifikacije i predstavljaju praćenje ponašanja te su stoga u opsegu članka 3. stavka 2. GDPR-a.
Proces prikupljanja golemih količina podataka i njihovo organiziranje na individualnoj razini vjerojatno uključuje određeni stupanj profiliranja. Profiliranje, u ovom kontekstu, nadilazi identifikaciju pojedinca; zahtijeva sastavljanje i analiziranje različitih dijelova prikupljenih informacija o osobi. Osim toga, kontinuirano korištenje podataka od strane klijenata Clearview AI-a - bilo u svrhe istraživanja ili identificiranja pojedinaca sa slika - stvara kontinuirani proces u kojem se nadzire ponašanje pojedinaca (putem prepoznavanja lica i praćenja njihove online prisutnosti).
Nakon što je odlučio da aktivnosti Clearview AI-a spadaju u djelokrug GDPR-a, DPA je nastavio s postupkom te utvrdio da je Clearview AI napravio nekoliko temeljnih kršenja GDPR-a, uključujući da njegove prakse prikupljanja podataka putem tako zvanog "scrapinga" krše načela zakonitosti, pravednosti i transparentnosti te ograničenja svrhe, budući da tvrtka nije uspjela dobiti privolu od pojedinaca čije su slike prikupljene. Nadalje, prema članku 9. GDPR-a, obrada biometrijskih podataka u svrhu identifikacije pojedinaca općenito je zabranjena bez izričitog pristanka.
Kritika novčane kazne- logično uvijek je prisutna barem s dvije strane
Pravni stručnjaci identificirali su probleme sa stavom DPA. Neki tvrde da je novčana kazna uglavnom simbolična, s obzirom na opetovano nepoštivanje europskih regulativa i nedostatak prisutnosti u EU-u.
Kritičari dovode u pitanje učinkovitost nametanja kazni tvrtkama za koje je malo vjerojatno da će platiti ili odgovoriti na njih. Bez pravnog traga u Europi, ostaje nejasno kako nizozemski DPA ili druga europska tijela mogu provesti kaznu.
Drugi su istaknuli šire pitanje primjenjivosti i opsega GDPR-a. Neki stručnjaci vjeruju da DPA tumačenje članka 3(2) proširuje područje nadležnosti GDPR-a.
Ključno pitanje je predstavljaju li aktivnosti Clearview AI-a 'praćenje ponašanja', što je ključni kriterij za izvanteritorijalnu primjenu GDPR-a. Budući da Clearview AI prikuplja i dijeli podatke o prepoznavanju lica, a ne nadzire izravno pojedince, neki tvrde da je tumačenje DPA-a nejasno. Slučaj bi trebalo uputiti Sudu Europske unije (CJEU) kako bi se razjasnio opseg članka 3(2).
Prvotna namjera GDPR-a bila je pružiti snažnu zaštitu osobnih podataka pojedinaca unutar EU-a. U biti, njegov opseg obuhvaća obradu osobnih podataka: (1) u kontekstu aktivnosti voditelja obrade i izvršitelja obrade s poslovnim nastanom u EU-u, bez obzira odvija li se obrada u EU-u ili ne; i (2) ispitanika koji se nalaze u EU-u od strane voditelja obrade ili izvršitelja obrade koji nema poslovni nastan u EU-u, gdje se obrada odnosi ili na ponudu robe ili usluga takvim ispitanicima u EU-u ili praćenje njihovog ponašanja u EU. Ovaj drugi dio (članak 3. stavak 2. GDPR-a) imao je za cilj osigurati da se tvrtke koje teže tržištu EU-a pridržavaju visokih standarda zaštite podataka i štite privatnost pojedinaca u EU-u.
S vremenom se tumačenje izvan teritorijalnog opsega GDPR-a proširilo, kako kroz presude CJEU-a tako i kroz smjernice EDPB-a.
Svi stručnjaci su istaknuli važnost zaštite podataka građana EU-a u međunarodnom kontekstu, čak i kada tvrtke nisu fizički prisutne u EU-u. Ovaj široki teritorijalni opseg osigurava da tvrtke koje obrađuju osobne podatke pojedinaca u EU-u, posebno u sektorima kao što su umjetna inteligencija i prikupljanje podataka, moraju biti u skladu s GDPR-om, rješavajući globalna pitanja privatnosti. Međutim, tzv. GDPR Uredba izvorno nije trebala obuhvatiti apsolutno sve slučajeve obrade podataka vezanih uz građane EU-a diljem svijeta, već regulirati tvrtke koje s njima dolaze u izravan kontakt.
Zanimljivo, Clearview AI nije osporio novčanu kaznu. Time što je nije osporavao, Clearview AI je izbjegao priznati da potpada pod nadležnost GDPR-a što potencijalno može oslabiti ishod slučaja ako ne uslijedi postupak žalbe ili prigovora odnosno postupak ulaganja dopuštenog pravnog lijeka. Neki odvjetnici vjeruju da je ova strategija izbjegavanja mogla biti suzbita boljim obrazloženjem nizozemskog DPA-a.
Buduće implikacije
Ovaj najnoviji pokušaj EU regulatora da nametne novčanu kaznu Clearview AI naglašava da su regulatori spremni držati strane tvrtke odgovornima, čak i kada te tvrtke posluju izvan EU.
Međutim, također otkriva ograničenja trenutačnih pravnih okvira u poslovanju sa stranim tvrtkama koje uglavnom djeluju izvan dosega mehanizama provedbe EU-a. Iako GDPR ima široki teritorijalni opseg, praktična provedba predstavlja izazov kada se radi o tvrtkama koje nemaju sjedište unutar EU-a.
Organizacije koje obrađuju biometrijske ili druge podatke posebne kategorije uz upotrebu AI tehnologija vjerojatno će se suočiti s pojačanim nadzorom, a regulatori bi mogli poduzeti agresivnije mjere provedbe.
Zakonodavci bi također mogli odgovoriti pooštravanjem zahtjeva za tvrtke koje nisu iz EU-a, možda tako što će olakšati provođenje zakona putem međunarodnih pravnih kanala ili učinkovitije kazniti tvrtke. U Nizozemskoj je, na primjer, DPA zatražio od zakonodavca da razmotri mogućnosti podizanja kaznenih prijava protiv članova uprava tvrtki i da razmotri provedbu tih kazni u SAD-u.
Osim toga, činjenica da je Clearview AI kažnjen, ne samo zbog vlastitih aktivnosti u uspostavi baze podataka, već i zbog aktivnosti svojih klijenata u daljnjem korištenju te baze podataka, mogla bi natjerati organizacije da procijene kako se njihova tehnologija primjenjuje i osiguraju usklađenost sa zakonom o zaštiti podataka.
Na primjer, organizacije koje nude podatkovne usluge mogu se smatrati odgovornima za nepropisnu upotrebu podataka od strane svojih klijenata. To bi moglo signalizirati pomak fokusa prema povećanoj odgovornosti 'nizvodno', zahtijevajući od organizacija da provedu temeljitije provjere ̋Know Your Customer ̋ i proaktivno osiguraju da njihovi klijenti koriste podatke u skladu s pravnim standardima.
Vrijedno je napomenuti da je britanski sud nedavno ponovio ovo obrazloženje (u vlastitom slučaju britanskog tijela za zaštitu podataka protiv Clearview AI) potvrđujući da ne postoji ništa unutar GDPR-a „što sprječava da obrada podataka od strane voditelja obrade bude povezana s praćenjem ponašanja drugog posebnog voditelja”. U ovom slučaju, Clearview AI završio je uspješnom žalbom na novčanu kaznu od 7,5 milijuna funti koju mu je izreklo tijelo za zaštitu podataka Ujedinjenog Kraljevstva za slična kršenja, na temelju toga što su njegove aktivnosti bile u sklopu funkcija provedbe zakona/nacionalne sigurnosti i stoga su bile van okvira materijalnog opsega GDPR-a.
Zaključak
Novčana kazna od 30 milijuna eura koju je DPA izreklo Clearview AI značajna u borbi između europskih regulatora i inozemnih tehnoloških kompanija. Kritike oko stajališta DPA-a — posebno kod proširenja izvanteritorijalnog opsega GDPR-a u pogledu tumačenja „praćenja ponašanja” — pozivaju na daljnju raspravu. Iako kazna naglašava važnost poštivanja prava na privatnost u digitalnom dobu, ona također postavlja važna pitanja o praktičnim ograničenjima međunarodne provedbe propisa. A pazite još nismo ̋dobro zagrebali ̋ u područje odgovornosti DPR-a (predstavnika) iz perspektive primjene GDPR-a.
