Tänään, noyb on nostanut kanteen Hampurin tietosuojaviranomaista vastaan. Vaikka viranomainen pitää kasvojentunnistushakukone PimEyesin käytäntöjä laittomina, se kieltäytyy ryhtymästä tehokkaisiin toimiin, koska yritys näyttää sijaitsevan Dubaissa. PimEyes poimii järjestelmällisesti biometrisiä tietoja internetissä olevista kuvista ja käyttää niitä tietokannan rakentamiseen. Käyttäjät voivat ladata kuvia ihmisistä tälle verkkosivustolle, jotta kasvontunnistuksen avulla voidaan löytää lisää kuvia samasta henkilöstä. Kantaja teki alun perin kantelun PimEyesista Hampurin tietosuojaviranomaiselle heinäkuussa 2020.
PimEyesin tausta. PimEyes skannaa jatkuvasti Internetiä kerätäkseen kasvoja tietokantaan. Yritys on jo kerännyt miljardeja kuviajoita käytetään sen kasvojentunnistushakukoneessa. Sen verkkosivustolla kuka tahansa voi tunnistaa muita ihmisiä lataamalla heistä kuvan. Sen jälkeen näytetään lisää kuvia samasta henkilöstä, mukaan lukien linkit lähteisiin. Maksua vastaan voi saada lisätietoja, kuten todennäköisyyden, että kyseessä on sama henkilö. Teknologia perustuu kasvojentunnistukseen ja siten biometristen tietojen analysointiin. Tältä osin PimEyes toimii samalla tavalla kuin yhdysvaltalainen Clearview AI -yritys, joka on jo jo saanut miljoonien sakkojen suuruiset sakot gDPR:n rikkomisen vuoksi.
Max Schrems, puheenjohtaja noyb: "PimEyesin kaltaisten kasvojentunnistustyökalujen hallitsematon leviäminen on tuhoisaa yksityisyyden suojan kannalta: miljoonien ihmisten kyttääminen ja massavalvonta voidaan toteuttaa muutamassa sekunnissa. PimEyes on kerännyt miljardeja biometrisiä tietoja viattomista ihmisistä heidän tietämättään ja saattaa nämä tiedot kaikkien saataville. Tämä yksityishenkilöiden massavalvonta on selvästi lainvastaista - ja myös Hampurin viranomainen näkee asian näin."
Vuosikausia "tiedotuskirjeen" odottelua. Eräs henkilö, jota asia koskee, oli siis tehnyt valituksen PimEyesista jo heinäkuussa 2020. Tapauksesta vastaavalla Hampurin tietosuojaviranomaisella kesti yli viisi vuotta tehdä päätös. Vaikka viranomainen kuitenkin olettaa, että PimEyes toimi lainvastaisesti ja että sen olisi pitänyt vastata kantelijan pyyntöön saada pääsy tietoihin ja poistaa ne, se ei ole ryhtynyt mihinkään toimiin: tietosuojaviranomainen väittää, että sen ei tarvitse ryhtyä mihinkään konkreettisiin toimenpiteisiin jatkuvan lainrikkomuksen estämiseksi sen lisäksi, että se on lähettänyt yritykselle "tiedotuskirjeen". Perustelut: PimEyesin kotipaikka on Dubaissa, eikä se vastaa tiedusteluihin.
PimEyes on viiden vuoden ajan väittänyt, että sen kotipaikka on Puolassa, Seychelleillä ja Belizessä, mutta Hampurin viranomaiset eivät ilmeisesti koskaan tarkistaneet, pitivätkö verkkosivuston vaihtuvat sijaintipaikat paikkansa. Nyt niitä kuitenkin käytetään perusteluna sille, ettei toimenpiteisiin ole ryhdytty.
Jonas Breyer, kantajan asianajaja: "On huolestuttavaa, että viranomainen ei edes yritä ryhtyä tehokkaisiin toimenpiteisiin yleisen tietosuoja-asetuksen noudattamisen valvomiseksi - ja että PimEyes voi näin ollen jatkaa selvästi lainvastaisia käytäntöjään esteettä". Hampurin valvontaviranomainen viestittää jälleen kerran, että jopa vakavien GDPR-virheiden edessä se istuu kädet ristissä ja kutsuu koolle laskelmoidut lainrikkomukset."
Oikeustoimet viranomaista vastaan. Kantajan mielestä Hampurin tietosuojaviranomaisen pitäisi ryhtyä tehokkaisiin toimiin PimEyesia vastaan, mikä on mahdollista myös kolmansien maiden rekisterinpitäjien tapauksessa. Tämä voisi tarkoittaa varojen jäädyttämistä Euroopassa, PimEyesin palveluntarjoajien velvoittamista tietojen poistamiseen tai toimenpiteiden määräämistä suoraan georgialaista toimitusjohtajaa vastaan. Jos kanne menestyy, viranomaisen olisi harkittava uudelleen alkuperäistä valitusta ja todennäköisesti toteutettava toimenpiteitä, jotka tarjoavat tehokasta helpotusta.
Felix Mikolasch, tietosuojalakimies noyb: "Sen sijaan, että Hampurin valvontaviranomainen luottaisi PimEyesin verkkosivuston yhteystietoihin ja lopettaisi asian käsittelyn, sen pitäisi ryhtyä tehokkaisiin toimenpiteisiin yritystä vastaan. Se ei voi vain lopettaa työtään, koska se arvelee, että toimenpiteet saattavat olla tuloksettomia. Tätä mahdollisuutta ei voida koskaan sulkea täysin pois. Myös muut viranomaiset ovat määränneet sakkoja vastaavalle yhdysvaltalaiselle Clearview AI -yritykselle."
Kantajaa edustaa Jonas Breyer, asianajotoimisto Jonas Breyer of Breyer Legal. noyb edusti kantajaa Hampurin tietosuojaviranomaisen menettelyssä ja tukee kannetta. Tapausta tukee myös Chaos Computer Club.
