Italský dozorový úřad Garante se připojil k trendu posledních měsíců a v jednom ze svých posledních rozhodnutí se zaměřil na využívání nástroje Google Analytics. Dle Garante je jeho užívání nelegální, respektive v rozporu s Nařízením GDPR a souvisejícími právními předpisy.
Na základě stížností Garante zahájil u jednoho konkrétního italského provozovatele webu kontrolu využívání nástroje Google Analytics. Především se zaměřil na skutečnost, kdy se data získaná tímto nástrojem přesouvají k mateřské společnosti do USA.
Je již obecně známé, že přenos osobních dat z Evropské unie do Spojených států amerických se značně ztížil po rozhodnutí Soudního dvora Evropské unie Schrems II. Pokud pak hovoříme o ,,značném ztížení‘‘, ve skutečnosti mluvíme prakticky o celkovém znemožnění takové operace.
Hlavní výtkou, kterou SDEU ve svém rozsudku vyjádřil, a kterou zmiňuje i Garante ve svém rozhodnutí, je fakt, že současné nastavení právního řádu USA umožňuje za určitých okolností přístup tamních bezpečnostních složek ke všem dostupným informacím, osobní údaje občanů EU nevyjímaje.
A právě tato skutečnost je z pohledu Nařízení GDPR poněkud problematická, neboť jedním ze základních pilířů jakéhokoliv přenosu dat mimo EU je zajištění adekvátní úrovně ochrany. Tedy alespoň takové, kterou osobním údajům přiznává Nařízení GDPR, což legislativa USA neumožňuje.
Garante své rozhodnutí, které se primárně týká jednoho správce osobních údajů, zobecňuje na veškeré tamní správce, když dává kontrolovanému 90denní lhůtu na zjednání nápravy a současné upozorňuje ostatní správce, že po uvedené lhůtě se může Garante zaměřit i na ně.
Státní i soukromí správci v Itálii tak mají tři měsíce na to, aby své užívání nástroje Google Analytics uvedli do souladu s Nařízením GDPR, což bude ve většině případů znamenat nutnost ukončení využívání tohoto nástroje.
Před nezákonností užívání Google Analytics již ve svých rozhodnutí varovaly i dozorové úřady ve Francii a
Rakousku s tím, že lze očekávat podobná rozhodnutí i v ostatních státech Evropské unie.
Je pak otázkou, jak se celá věc s předáváním osobních údajů do USA vyřeší. Dle dostupných vyjádření měla být tato problematika předmětem diskuze při poslední návštěvě Evropské unie prezidenta USA Bidena, který měl toto téma mj. řešit i s předsedkyní Evropské komise Ursulou von der Leyenovou. Prozatím ovšem nejsou známy žádné konkrétní výstupy z této debaty, který by tento problém měly vyřešit.
Společnost Clearview AI pokutována v další zemi
Již několikrát jsme Vás upozornili na trable americké společnosti Clearview AI, jejíž hlavní
činností je vytváření databáze fotek obličejů, která dnes čítá více než 10 miliard těchto záběrů,
a která je vytvářena za účelem rozpoznávání obličejů, např. při využití se záběry z pouličních
kamer.
Pokud jsme zmínili, že společnost Clearview AI musí čelit jistým problémům, tím hlavním
z nich je skutečnost, že fotky, které společnost v rámci své databáze zpracovává, získala bez
souhlasu dotčených subjektů údajů. Clearview AI totiž využila veřejně dostupné fotky l, a to
včetně informací, na základě kterých lze osoby na fotografiích identifikovat.
Pokud jste tak například měli fotku na Facebooku či Instagramu, na které je rozpoznatelný
Váš obličej, včetně informace i Vaší identitě (př. označení, zveřejnění pod Vaším
uživatelským účtem), je možné, že nacházíte v databázi Clearview AI.
Vedle fotek navíc Clearview AI disponuje i biometrickými údaji o Vás. Právě na základě těch
je možné Vás identifikovat. Pokud bychom to velice zjednodušili, vedle samotných fotek
disponuje Clearview AI i sérií biometrických údajů obličeje, na základě kterých je jejich
software schopný Vás rozpoznat na různých záběrech.
Již jsme zmínili, že hlavním problémem Clearview AI je fakt, že nedisponuje žádným
právním titulem k podobnému zpracování, čehož si začínají všímat i dozorové orgány EU.
Jedním z nich je i řecký dozorový úřad.
Ten ve svém rozhodnutí z tohoto týdne udělil společnosti Clearview AI pokutu ve výši 20
miliónů euro, a to za porušení hned 7 (!) článku Nařízení GDPR. Vedle pokuty a sjednání
nápravy pak společnosti Clearview AI nařizuje zřízení zastoupení společnosti v EU, aby měli
subjekty údajů možnost uplatnit svá práva vyplývající z Nařízení GDPR.
Na tomto místě je nicméně třeba říct, že s podobnými problémy se Clearview AI setkává po
celém světě, včetně Austrálie, Kanady či USA. V květnu tohoto roku byl například
americkým soudem společnosti Clearview AI zakázán prodej jakýchkoliv informací z její
databáze soukromým právnických či fyzickým osobám.