Privatumo grupė „Noyb“ ketvirtadienį pateikė skundą prieš Hamburgo duomenų apsaugos instituciją (DPA), kaltindama sargybinį neveikimu dėl tariamų veido atpažinimo paieškos sistemos „PimEyes“ duomenų pažeidimų, remiantis tuo, kad įmonė yra įsikūrusi už ES ribų.
„PimEyes“ naudoja veido atpažinimo programinę įrangą, kad naudotojai galėtų ieškoti žmonių įkeldami asmens nuotrauką. Bendrovė taip pat nuskaito internetą, ieškodama žmonių vaizdų, kad sukurtų duomenų bazę, kad būtų galima suderinti nuotraukas su veikla internete, pavyzdžiui, atpažinti socialinės žiniasklaidos profilį iš asmenukės.
Pagrindinė „PimEyes“ teikiama paslauga yra panaši į „Clearview AI“ – prieštaringai vertinamą JAV veido atpažinimo įmonę, parduodančią nuotraukų suderinimo galimybes teisėsaugos institucijoms ir vyriausybinėms agentūroms. Pagal ES teisę veido biometriniai duomenys yra jautrūs duomenys, o tai reiškia, kad teisėtam europiečių duomenų tvarkymui reikės aiškaus jų sutikimo.
Nors „PimEyes“ iki šiol vengė sankcijų už privatumą Europoje, „Clearview AI“ buvo nubaustas milijoninėmis baudomis kelių Europos privatumo priežiūros institucijų už ES Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimą. Visai neseniai Noybas taip pat pateikė baudžiamąjį skundą dėl Clearview AI Prancūzijoje.
Nieko pamatyti – daugiau nei po penkerių metų
Hamburgo privatumo sargas gavo skundą dėl PimEyes dar 2020 m. liepos mėn. Tačiau Noyb tvirtina, kad DPA nesiėmė jokių vykdymo veiksmų, matyt, dėl to, kad įmonė buvo įsikūrusi Dubajuje.
Anot Noyb, DPA įtaria, kad „PimEyes“ veikla gali būti neteisėta pagal GDPR, tačiau tyrimas sustojo po to, kai į sargybinio laiškus bendrovei, prašant informacijos, nebuvo atsakyta. Ji teigė, kad DPA mano, kad negali užtikrinti įstatymų vykdymo, nes „PimEyes“ yra įsikūrusi už ES ribų.
Nors „PimEyes“ buvo įkurta Lenkijoje, vėliau ji persikėlė į Seišelius, tačiau pagal jos nuostatas ir nuostatas bei privatumo politiką dabar ji priklauso įmonei „EMEA Robotics“, įsikūrusiai Dubajuje, Jungtiniuose Arabų Emyratuose.
„Užuot pasikliaudama PimEyes svetainėje pateiktais kontaktiniais duomenimis, kad nustotų dirbti su byla, Hamburgo priežiūros institucija turėtų imtis veiksmingų veiksmų prieš įmonę“, – pranešime spaudai sakė NOYB duomenų apsaugos teisininkas Felixas Mikolaschas.
BDAR galioja ekstrateritoriškai, o tai reiškia, kad europiečių asmens duomenų apsauga yra skirta keliaujant su informacija, taigi, jei „PimEyes“ tvarko ES žmonių duomenis, įstatymas turėtų būti taikomas neatsižvelgiant į tai, kur tai įvyksta.
„PimEyes“ ir Hamburgo duomenų apsaugos institucija buvo susisiekta dėl atsakymo į Noyb skundą.
(nl)
