Προσωπικά δεδομένα: Πρόστιμο 20 εκατομμυρίων ευρώ για υπηρεσίες αναγνώρισης προσώπων

Το υπέρογκο πρόστιμο των 20 εκατ. ευρώ επέβαλε η Αρχή Προστασίας Προσωπικών Δεδομένων σε εταιρία η οποία εμπορεύεται υπηρεσίες αναγνώρισης προσώπων.

Σύμφωνα με την αρχή, η εταιρία παραβίασε τις αρχές της νομιμότητας και διαφάνειας, ύστερα από σχετική καταγγελία.

Παράλληλα, η αρχή διέταξε την απαγόρευση συλλογής και επεξεργασίας προσωπικών δεδομένων υποκειμένων ευρισκομένων στην ελληνική επικράτεια, με τη χρήση μεθόδων που περιλαμβάνει η υπηρεσία αναγνώρισης προσώπου, αλλά και να διαγραφούν όσα προσωπικά δεδομένα διέθετε προς συλλογή και επεξεργασία.

Η αμερικανική εταιρεία συλλέγει και αποθηκεύει, μέσω της χρήσης τεχνικών “web scraping” (όρος που αποδίδεται στα Ελληνικά ως «ιστοσυγκομιδή»), εικόνες που περιέχουν ανθρώπινα πρόσωπα από κοινωνικά δίκτυα (ιδίως Facebook και Twitter), ιστολόγια και γενικά ιστοσελίδες στις οποίες υπάρχουν δημόσια προσβάσιμες φωτογραφίες, καθώς και από βίντεο που είναι διαθέσιμα στο διαδίκτυο (π.χ. Youtube). Μαζί με τις εικόνες αυτές, η εταιρεία συλλέγει επίσης πληροφορίες που εξάγει από αυτές τις φωτογραφίες, συμπεριλαμβανομένων μεταδεδομένων γεωγραφικής τοποθεσίας που μπορεί να περιέχει η φωτογραφία και πληροφοριών που προέρχονται από την εμφάνιση του προσώπου των ατόμων στις φωτογραφίες.

Κατά το σκεπτικό της απόφασης, «δεν αποδεικνύεται -ούτε θα ήταν δυνατή με βάση τα χαρακτηριστικά της υπό κρίση επεξεργασίας- η παροχή συγκατάθεσης από τα υποκείμενα, ούτε η εκτέλεση σύμβασης μεταξύ υποκειμένου και υπευθύνου επεξεργασίας, ούτε η συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας, ούτε η διαφύλαξη ζωτικού συμφέροντος του υποκειμένου».

Τέλος, από όλα τα στοιχεία που τέθηκαν υπόψη της Αρχής, προέκυψε ότι «η κρίσιμη επεξεργασία δεν αφορά μια απλή συλλογή δεδομένων, αλλά καταλήγει στη μετατροπή των συλλεγόμενων φωτογραφιών σε βιομετρικά δεδομένα, η επεξεργασία των οποίων υπόκειται στις αυστηρότερες διατάξεις του άρθρου 9 ΓΚΠΔ. Συναφώς με τα παραπάνω, λαμβάνοντας υπόψη ότι η επεξεργασία των ειδικών κατηγοριών δεδομένων καταρχήν απαγορεύεται και επιτρέπεται, μόνο εάν σωρευτικά συντρέχει κάποια από τις νομικές βάσεις του άρθρου 6 και κάποια από τις εξαιρέσεις του άρθρου 9 παρ. 2 ΓΚΠΔ και ότι εν προκειμένω δεν συντρέχει καμία από τις νομικές βάσεις του άρθρου 6 ΓΚΠΔ σε σχέση με την κρίσιμη επεξεργασία, προκύπτει ότι η επεξεργασία βιομετρικών δεδομένων, στην οποία προβαίνει η καθ’ ης, δεν πληροί τις προϋποθέσεις νομιμότητας που θέτει ο ΓΚΠΔ».

Ακολουθήστε το News247.gr στο Google News και μάθετε πρώτοι όλες τις ειδήσεις