Švédský policejní úřad dostal pokutu téměř 250 000 eur aneb biometrické údaje nelze jen tak (zne)užít
Švédský úřad pro ochranu osobních údajů IMY vyměřil místní policii pokutu 2,5 milionu švédských korun (téměř 6,5 milionu Kč) za nezákonné používání aplikace Clearview AI.
Podle IMY docházelo ke zpracování osobních údajů v rozporu s trestním zákonem, a sice při identifikaci jednotlivců za použití biometrických údajů a technologie pro rozpoznávání obličejů od společnosti Clearview AI. Rozhodnutí IMY z 11. února 2021 o uložení pokuty zdůrazňuje, že policie tuto technologii využila opakovaně a několik zaměstnanců ji dokonce použilo bez předchozího povolení. Vyšetřování zahájil IMY na základě zpráv v místních sdělovacích prostředcích.
Rozhodnutí dále konstatuje, že policie při práci se zmíněnou technologií nesplnila své povinnosti správce údajů hned v několika ohledech. Například:
- neprovedla dostatečná organizační opatření k zajištění a prokázání, že zpracování osobních údajů bylo provedeno v souladu se zákonem;
- nezákonně zpracovávala biometrické údaje;
- neprovedla posouzení dopadu na ochranu údajů, které zpracování biometrických údajů vyžaduje.
IMY policii nařídil informovat o nezákonném zpracování dotčené osoby. Protože IMY nedokáže přesně zjistit, co se stalo s údaji lidí, jejichž fotografie zaslal policejní úřad společnosti Clearview (například zda je společnost stále uchovává), nařídil policii, aby zajistila, že Clearview veškeré osobní údaje získané od policejního úřadu vymaže. Kromě toho musí policie rovněž provést další školení a vzdělávání zaměstnanců, aby se zabránilo jakémukoli budoucímu zpracování osobních údajů v rozporu s pravidly a předpisy o ochraně údajů.
„Existují jasně definovaná pravidla a předpisy upravující způsob, jakým může policejní orgán zpracovávat osobní údaje, zejména pro účely vymáhání práva. Je odpovědností policie zajistit, aby si zaměstnanci byli těchto pravidel vědomi,“ uvedla v tiskové zprávě Elena Mazzotti Pallard, právní poradkyně IMY.
Nicméně lze říct, že z toho švédská policie vyšla ještě dobře, protože maximální výše pokuty pro dané porušení je podle švédských zákonů 10 milionů švédských korun.
Software Clearview pro svou databázi tváří shromažďuje fotografie lidí i bez jejich vědomí a svolení, a to například prostřednictvím sociálních sítí. Do křížku se zákony na ochranu soukromí už se dostal také v Kanadě a v Německu. V Evropské unii díky GDPR platí, že biometrické údaje lze shromažďovat a zpracovávat pouze za dodržení přísných podmínek, zpravidla buď s přímým zákonným zmocněním nebo s výslovným souhlasem dotčené osoby (viz čl. 9 GDPR).
„Zpracování biometrických údajů pomocí technologií na rozpoznání obličejů je z hlediska ochrany soukromí nesmírně problematické a státní úřady by si měly velmi dobře rozmyslet, zda takové technologie chtějí využívat. Jednoznačným předpokladem pro jakékoli diskuse o jejich použití je vypracování detailního posouzení dopadu na ochranu osobních údajů. Bez této analýzy nemůže policie ani jakýkoli jiný orgán o jejich použití ani přemýšlet,“ dodává Jakub Hruška z Privatry.
Už jsme zvědaví, jak si s ochranou osobních údajů při využívání systému pro rozpoznávání obličejů poradí česká policie. Problematice jsme se podrobněji věnovali v článku Českým kriminalistům bude pomáhat umělá inteligence.
Plné znění rozhodnutí IMY (pouze ve švédštině) najdete zde.
Mohlo by vás také zajímat:
Technologie rozpoznávání obličejů při nakupování — pro koho je užitečná?
Jak zamezit vstupu nežádoucích osob na fotbalové stadiony?
Dokáže technologie rozpoznávání obličejů pomoci odhalit zločin?
Babička nesmí zveřejňovat fotografie vnoučat bez souhlasu jejich matky, rozhodl soud