Ezer sebből vérzik a Worldcoin adatkezelése

Ezer sebből vérzik a Worldcoin adatkezelése

2023. július 31. 13:31, Hétfő
Az OpenAI vezérigazgatója, Sam Altman új cége mindenkinek beszkennelné a szemét, ami finoman szólva sem tetszik az európai adatvédelmi hatóságoknak.

A múlt héten számoltunk be a Worldcoin hivatalos elindulásáról, amely cég elhatározta, hogy minden embert azonosít biometriai módszerrel, és az íriszük rögzítését 25 kriptotokennel jutalmazza. Mindezzel a fő cél, hogy bárki bizonyíthassa az interneten emberi mivoltát, főleg mert Altman generatív MI cége, a ChatGPT-hez hasonló ingyenes eszközök szaporodásával egyre nehezebb a botok és az emberi digitális tevékenység megkülönböztetése. Európában négy országban lehetséges regisztrálni, az Egyesült Királyságban, Franciaországban, Németországban és Spanyolországban. Az adatvédelmi hatóságok ezek közül háromban fejezték ki aggodalmukat és/vagy aktívan vizsgálják, hogy a Worldcoin mit kezd az európaiak érzékeny személyes adataival.

Az Egyesült Királyság Információs Bizottságának Hivatala, az ICO közölte, hogy "vizsgálatot fog folytatni", és hogy "a személyes adatok feldolgozásához egyértelmű jogalapra van szükség. Amennyiben hozzájárulásra támaszkodnak, azt szabadon kell megadni, és azt hátrány nélkül vissza lehet vonni". Az egyik megfontolandó adatvédelmi megfelelési kérdés tehát az, hogy lehet-e a hozzájárulást szabadon megadni, ha az embereket arra ösztönzik, hogy adják át biometrikus adataikat egy tokenért, egyfajta virtuális valutáért cserébe?


Néhány nappal később a francia adatvédelmi hatóság, a CNIL egyenesen megkérdőjelezte a Worldcoin tevékenységének jogszerűségét és már aktívan vizsgálódik a Worldcoin ellen. "A Worldcoin adatgyűjtésének jogszerűsége megkérdőjelezhetőnek tűnik, ahogyan a biometrikus adatok tárolásának feltételei is" - nyilatkozta a CNIL szóvivője, hozzátéve: "A Worldcoin adatokat gyűjtött Franciaországban, a CNIL pedig vizsgálatot kezdeményezett". A CNIL általa indított ügyet átadták a bajor DPA-nak, mert mivel a Worldcoinnak van egy leányvállalata Németországban, ezért a a bajor hatóság, a Bayerisches Landesamt für Datenschutz a vezető adatfelügyelő az EU-ban.

Az EU általános adatvédelmi rendelete (GDPR) egy pán-európai jogszabály, amely tartalmaz egy egyablakos ügyintézési mechanizmust. Ennek célja a szabályozási felügyelet egyszerűsítése olyan esetekben, amikor egy ügy átnyúlik a tagállami határokon, vagy ha a szóban forgó adatfeldolgozónak az EU-ban van telephelye. Ebben az esetben az adatkezelőnek csak egyetlen adatvédelmi hatósággal kell kapcsolatot tartania, a Worldcoin esetében pedig ez Németroszág adatvédelmi hatósága.


A GDPR az azonosításra használt biometrikus adatokat az úgynevezett "különleges kategóriájú adatok" közé sorolja. Az ilyen típusú - nagyon érzékeny - adatok feldolgozására a legszigorúbb szabályok vonatkoznak. A Tools For Humanity, a Worldcoin fejlesztését vezető és a World App-ot üzemeltető profitorientált technológiai vállalat szóvivője szerint a hozzájárulás a jogalap, amelyre az európaiak biometrikus adatainak feldolgozásához hivatkoznak. "A projekt a felhasználók beleegyezésére támaszkodik a személyazonossági bizonyíték létrehozásához és az adatmegőrzéshez való hozzájáruláshoz" - mondta el. Rámutatott a Worldcoin biometrikus adatokra vonatkozó beleegyező nyilatkozatára és adatvédelmi nyilatkozatára is - ezek a dokumentumok közel 3800, illetve majdnem 3400 szót tartalmaznak.

Mivel a Worldcoin az emberek hozzájárulására támaszkodik különleges kategóriájú adataik feldolgozásához, az uniós jog szerint még magasabb - a kifejezett hozzájárulás - követelményének kell megfelelnie ahhoz, hogy ez a feldolgozás jogszerű legyen. Ez azt jelenti, hogy a biometrikus adatok begyűjtése előtt a szolgáltatók által közölt útmutatónak rendkívül egyértelműnek és pontosnak kell lennie azzal kapcsolatban, hogy mire szolgál a feldolgozás. És amikor valakinek egy mintegy 7000 szavas jogi szöveget kell elolvasnia annak fejében, hogy kap egy csomó kriptóvalutát, ha elvégzik a szkennelést, enyhén szólva kihívást jelent. A decentralizált kriptopénz projekt irányítási struktúrája is pokolian bonyolult ahhoz, hogy az emberek egyáltalán megértsék, kinek adják át az adataikat.


Arra a kérdésre, hogy a Worldcoin nyereségorientált vagy nem nyereségorientált szervezet-e, a Tools For Humanity szóvivője - amely szervezet válaszol a Worldcoin sajtó e-mail címére küldött kérdésekre - nem tudott egyenes választ adni, mert egyszerűen nincs ilyen. A Worldcoin szervezeti felépítése és decentralizált irányítása nem alkalmas arra, hogy egyszerűen igent vagy nemet mondjanak. Azt azonban megerősítette, hogy a Tools for Humanity (és annak német leányvállalata), azaz a Worldcoin fejlesztője egy profitorientált technológiai vállalat.

A Worldcoin weboldalán található ismertető szerint: "A Worldcoin Alapítvány egy Kajmán-szigeteken bejegyzett, mentesített, korlátozott garanciájú alapítványi társaság, amely egyfajta nonprofit társaság". Tehát "egyfajta" nonprofit szervezet, melynek for-profit leányvállalatai vannak. Aztán ott van a kérdés, hogy ki kezeli valójában az adatokat és így jogilag felelős azért, hogy ne sérüljön az uniós adatvédelmi jog. A Worldcoin biometrikus hozzájárulási űrlapján a Kajmán-szigeteki székhelyű Worldcoin Foundation szerepel, mint "az Ön képeinek és a Gömb által gyűjtött biometrikus adatoknak" az adatkezelője. A Tools for Humanity szóvivője leszögezte, hogy az adatkezelő "jelenleg" a Worldcoin Foundation, a Tools For Humanity pedig a Worldcoin adatfeldolgozója. (Bár a tény, hogy a német adatvédelmi hatóság vezeti a projekt vizsgálatát arra utal, hogy a Tools for Humanity német leányvállalata jelentős szerepet játszik az emberek adatainak feldolgozásában.)


Egy másik kérdés és potenciális piros zászló a GDPR-nak való megfeleléssel kapcsolatban, hogy azok az emberek, akik a "Gömbbel regisztrálnak" (azaz egy kamera a biometrikus adataikat begyűjti), utána már nem tudják törölni személyes adataikat. "Létrehozunk egy egyedi íriszkódot (az alábbiakban meghatározottak szerint), amelyet már nem lehet törölni (ha törölnénk, az egyediség bizonyítása nem működne)" - írja a Worldcoin. De a helyzet az, hogy a GDPR az európaiaknak egy sor adathozzáférési jogot biztosít személyes adataikhoz, beleértve a törlés kérésének jogát is. Azt mondani, hogy a törlés nem lehetséges, nem elégséges. A rendelet a személyes adat fogalmát is tágan határozza meg, mint olyan információt, amely alkalmas egy természetes személy azonosítására (beleértve más adatokkal kombinálva is). A cég azt állítja, hogy a biometrikus szkennelésből származó "egyedi íriszkód" nem személyes adat, így próbálva elkerülni a törlési kérelmek teljesítésének szükségességét, de ezt nem valószínű, hogy a szabályozók elfogadják.

Mindent egybevetve könnyen érthető, hogy az európai adatvédelmi hatóságok miért ugrottak olyan gyorsan, hogy kifejezzék aggodalmukat és reagáljanak az indulásra. Az adatvédelmi hatóságok tevékenységéről kérdezve a Tools For Humanity szóvivője nyugodt volt, mert szerinte a Worldcoin projekt minden vonatkozó törvénynek megfelel.

Listázás a fórumban 
Adatvédelmi beállítások