O té firmě zpočátku téměř nikdo nevěděl. Změnilo se to až v lednu 2020, kdy o ní americký deník New York Times (NYT) zveřejnil investigaci s titulkem: „The Secretive Company That Might End Privacy as We Know It.”
Dnes zná společnost Clearview AI Inc. celý svět. Jde o soukromou americkou firmu se sídlem v New Yorku. Byla založena v roce 2017 australsko-americkým Hoanem Ton-Thatem.
Ačkoliv reakce na text NYT byly bouřlivé, firma se udržela v provozu. Spolu s veřejně dostupným nástrojem PimEyes představují nový typ technologie, která umožňuje rychlou a efektivní identifikaci lidí na základě pouhé fotografie obličeje. Z internetu se tak stává databáze tváří lidí, která výrazně ohrožuje jejich soukromí.
Jak Clearview AI sbírá obličeje z celého světa
Clearview je webová stránka, která vytváří biometrické profily osob pro jejich identifikaci. Rozpoznávání tváří funguje ve dvou krocích. Nejprve algoritmus z fotografie získá tzv. faceprint, neboli biometrický vektor. Jde o sadu čísel popisující geometrii obličeje (vzdálenost mezi očima, tvar čelisti, konturu nosu apod.). Následně se tento vektor porovnává s miliony různých vektorů v databázi a hledají se shody.
Clearview funguje na základě automatizovaných robotů, kteří systematicky procházejí veřejně dostupné stránky internetu, jako jsou Facebook, Instagram, Twitter/X, YouTube, zpravodajské weby, veřejné rejstříky apod., a stahují každý snímek, který obsahuje lidský obličej. Extrahovaný biometrický vektor ukládá do prohledávatelné databáze spolu s metadaty (odkazem na zdroj, popisem stránky, případně i geolokací).
Ke květnu 2025 databáze obsahuje přes 60 miliard snímků. Zákazníky Clearview jsou bezpečnostní složky, vládní agentury a zpravodajské služby. Vyšetřovatelé mohou jednoduše nahrát fotografii podezřelého a systém jim poskytne shody z databáze, včetně odkazů, kde byl snímek původně zveřejněn.
Co na to GDPR: proč je Clearview protiprávní?
Samotná fotografie biometrickým údajem ve smyslu GDPR není. V ten ji proměňuje teprve její zpracování algoritmem, extrakce vektoru. GDPR má v tomto ohledu jasno. Biometrická data patří do zvláštní kategorie osobních údajů (čl. 4 odst. 14 a 9 odst.1 GDPR), jejichž zpracování je až na výjimečné případy zakázáno. Čl. 9 odst. 2 GDPR vymezuje deset výjimek z tohoto zákazu, mezi které patří například výslovný souhlas (písm. a), podstatný veřejný zájem zakotvený v právu členského státu nebo EU (písm. g), nebo zdravotnické, vědecké a jiné výjimky (písm. h-j). Clearview ani jednu nesplňuje.
I pro případ, že by biometrická data Clearview nebyla posouzena jako zvláštní kategorie (což se v praxi nestalo), muselo by Clearview mít jeden z právních titulů zpracování uvedených v čl. 6. V úvahu by teoreticky přicházel pouze tzv. oprávněný zájem podle čl. 6 odst. 1 písm. f) GDPR. Podmínkou uplatnění tohoto právního titulu je ovšem posouzení legitimního zájmu, nezbytnosti zpracování a zvážení, zda nedochází k nepřiměřenému zásahu do základních práv a svobod subjektů údajů. V daném případě je splnění tohoto balančního testu krajně nepravděpodobné.
Clearview navíc dle regulátorů (viz níže) porušil základní principy GDPR specifikované v čl. 5 odst. 1 GDPR:
- Zákonnost, korektnost a transparentnost: Dotčené osoby o zpracování svých fotografií a biometrických otisků nebyly informovány.
- Omezení účelu: Fotografie subjektů zveřejněné na sociálních sítích slouží většinou k osobní prezentaci, nikoli k biometrické identifikace.
- Minimalizace dat: Sběr 60 miliard fotografií je očividným opakem minimalizace.
- Omezení uložení: Data jsou uchovávána neomezeně dlouho bez jasných pravidel.
- Odmítání práv subjektů údajů: Ať už jde o právo na přístup ke svým datům (čl. 15), právo na výmaz (čl. 17), nebo právo na informace (čl. 13–14).
Jako poslední, nicméně neméně důležitý je článek 27. Stanovuje Clearview, jako subjektu mimo EU, na nějž se GDPR vztahuje teritoriálně, povinnost jmenovat zástupce v Evropské unii. Tato povinnost doposud nebyla splněna a prakticky tak komplikuje doručování a komunikaci ze strany regulátorů.
Francouzská Národní komise pro informační technologie a svobody (CNIL) v listopadu 2021 zveřejnila rozhodnutí, kde konstatovala, že „osoby, jejichž fotografie nebo videa jsou přístupná na webových stránkách včetně sociálních sítí, důvodně neočekávají, že jejich snímky budou zpracovány firmou za účelem vytvoření systému rozpoznávání tváří, který by mohla využívat státní moc k účelům vymáhání práva.”
Evropa reguluje, ale nevymáhá: 107 milionů eur v pokutách
Reakcí na porušování zásad GDPR je série stížností a následně provedených kontrol s následujícími výsledky.
|
Regulátor |
Výše pokuty |
Porušení GDPR |
|
Hamburg DPA (Německo), 2021 |
Bez pokuty |
Čl. 17: odmítnutí výmazu, potvrzena územní působnost GDPR v EU vůči Clearview |
|
Garante (Itálie), 2022 |
20 mil. EUR |
Čl. 5, 6, 9, 13–14, 27 GDPR: kompletní selhání zákonnosti fungování |
|
HDPA (Řecko), 2022 |
20 mil. EUR |
Čl. 5(1)(a), 6, 9, 12, 14, 15, 27: nařízený výmaz a zákaz zpracování – doručení selhalo |
|
ICO (Velká Británie), 2022 |
7,5 mil. GBP |
UK GDPR čl. 5, 6, 9, 13–14, 27: nařízení výmazu dat pro rezidenty UK, dosud nesplněno |
|
CNIL (Francie), 2022 + 2023 |
20 mil. EUR + 5,2 mil EUR |
Čl. 6, 12, 15, 17, 31: Zákaz zpracování, výmaz + penalizace za nesplnění |
|
DSB (Rakousko), 2022 |
Bez pokuty |
Čl 6, 9: Nezákonné zpracování, trestní oznámení NOYB 2025 |
|
AP (Nizozemí), 2024 |
30,4 mil. EUR |
Čl 5(1)(a), 6, 9, 12, 14, 15, 27: nejvyšší pokuta v rámci kontrol v EU |
Clearview tak postupně dostala pokuty ve výši 107 milionů eur. Z oficiálních zpráv evropských dozorových úřadů (Solomon, IrpiMedia) z listopadu 2025 vyplývá, že Clearview uvalené sankce ignoruje a dosud neprokázala zaplacení žádné z nich. Firma také pokračuje dále v provozu beze změny ve svém fungování.
Proč není pokutování efektivní?
Ačkoliv GDPR je globálně platná regulace, její limitace ve vymáhání jsou strukturálním problémem. Existují čtyři primární příčiny:
- Absence majetku v EU: Clearview v EU nemá žádnou pobočku, zaměstnance, nebo bankovní účet. Tudíž standardní nástroj vymáhání, exekuce majetku, není možná.
- Neexistence mezinárodní smlouvy: Mezi EU a USA neexistuje smlouva o vzájemném uznávání správních sankcí v oblasti ochrany dat.
- Odmítání komunikace: Clearview ignoruje veškerou korespondenci. Pokusy Itálie a Řecka doručit rozhodnutí přes konzulát v New Yorku také selhaly.
- Absence zástupce v EU (čl. 27 GDPR): Clearview odmítá jmenovat zástupce v EU, čímž znemožňuje styk i pro subjekty údajů, kteří chtějí uplatnit právo na přístup nebo výmaz.
Soudní případ ICO vs. Clearview AI (2022–2025)
Případ ICO vs. Clearview AI je doposud nejvíce soudně přezkoumanou kauzou v oblasti GDPR a biometrického zpracování.
Spor začal v roce 2021, kdy britský Information Commissioner’s Office (ICO) varoval firmu před velkou pokutou. Ta byla Clearview skutečně uložena v květnu následujícího roku ve výši 7,5 milionů liber společně s příkazem k vymazání dat britských občanů. Společnost však v říjnu 2023 uspěla s odvoláním u First-tier Tribunal (FTT). Rozhodnutí ICO tím bylo zrušeno až do doby, než Upper Tribunal (UT) opět rozsudek zvrátil a potvrdil pravomoc vymáhání požadavků ICO. Nyní je případ před odvolacím soudem.
Hlavní otázka sporu je, zda se GDPR vztahuje na činnost Clearview. FTT uznal, že firma monitoruje chování britských rezidentů, ale jen pro zahraniční bezpečnostní složky, a proto spadá pod výjimku pro státní aktivity. UT tento výklad odmítl s vysvětlením, že Clearview je soukromá společnost a nemůže se dovolávat výjimek určených pro výkon veřejné moci.
Proč americký zákon BIPA dokázal to, co GDPR ne?
Americký přístup k ochraně biometrických údajů, zejména skrze zákon státu Illinois Biometric Information Privacy Act (BIPA), se doposud jeví jako účinnější než ten evropský. Ačkoliv jde o legislativu jediného státu, nikoli o federální řešení, v praxi má celoamerický dopad, protože technologické firmy nedokáží své systémy efektivně izolovat jen pro jedno území.
BIPA na rozdíl od GDPR umožňuje žalovat porušení práva přímo jednotlivcem. Stanovuje přesné sankce a proces není prodlužován potřebou čekat na aktivitu dozorových orgánů. Vytváří tak mnohem silnější tlak na dodržování pravidel už od začátku.
To se potvrdilo i v případu ACLU (American Civil Liberties Union) vs. Clearview AI. Žaloba vedla k dohodě omezující činnost Clearview v USA, včetně zákazu poskytování databáze soukromým subjektům a zavedení ochranných mechanismů pro obyvatele Illinois.
Nová strategie Evropy: trestní oznámení
Po neúspěšných vymáháních pokut zvolila organizace NYOB vedená Maxem Schremsem v říjnu 2025 novou strategii. Na společnost Clearview a její vedení podala trestní oznámení u vídeňského státního zastupitelství. Opřela se o čl. 84 GDPR, který umožňuje zavedení trestních sankcí za porušení GDPR. V Rakousku za takové porušení hrozí až roční odnětí svobody nebo finanční pokuta (§ 63 Datenschutzgesetz).
Trestní řízení je novou hrozbou pro všechny členy vedení Clearview, kteří při vstupu na území EU mohou čelit zatčení. Efektivita této strategie není jasná. Výrazně závisí na potenciálním přístupu státních zastupitelství i mezinárodní spolupráci. I tak je tento krok ale významný. Ukazuje, že Evropa se nehodlá vzdát.
PimEyes: Clearview v bledě modrém, ale za poplatek
Clearview je platforma sloužící jako nástroj primárně pro bezpečnostní složky. PimEyes nabízí stejnou službu vyhledávání obličejů, nicméně dostupnou pro všechny. Původní zakladatelé pocházejí z Polska, firma se ale postupně přestěhovala na Seychely a do Belize, a to zjevně se záměrem vyhnout se jurisdikci EU i USA.
PimEyes je veřejně dostupná webová stránka. Její databáze obsahuje okolo 3 miliard indexovaných tváří. Funguje na základě předplatného, který se za základní verzi pohybuje okolo 30 eur měsíčně. Cena za nejlepší verzi se ale může vyšplhat až na 300 eur.
Technicky funguje stejně jako Clearview. Masový sběr fotografií, extrakce biometrických vektorů, vyhledávání na základě „image-to-image matching”. Denně je stránka vytížena přibližně 118 000 vyhledáváními (data z roku 2023). PimEyes tvrdí, že, na rozdíl od Clearview nezpracovává biometrická data. Toto tvrzení ale regulátoři důsledně odmítají.
Klíčová právní otázka: definice „manifestly made public”
PimEyes se ve své obhajobě dovolává výjimky z čl. 9 odst. 2 písm. e) GDPR: biometrická data mohou být zpracována bez souhlasu, pokud jsou „manifestly made public” (zjevně zveřejněná subjektem údajů).
Ačkoliv se na první pohled tento argument užití fotografií veřejně dostupných na internetu zdá být rozumný, PimEyes podmínky stanovené tímto článkem nesplňuje:
- Podmínka 1: Data musí zveřejnit sama osoba. Na internetu většina dostupných fotografií je zveřejňována třetí stranou (novináři, přáteli apod.), ne samotnými subjekty. PimEyes toto nezohledňuje.
- Podmínka 2: Užití v kontextu zveřejnění. Každé zpracování musí zvážit kontext původního sdílení. Zveřejnění fotografie z dovolené na Facebooku automaticky neznamená možnost globálního zpracování pro účely PrimEyes.
Stejně jako Clearview se i PimEyes dostala do mnohých soudních sporů, které jsou ovšem bez výsledků. Příčina je také stejná. Firma sídlí v Belize, kde Evropa nemá žádné páky na její fungování.
Co z toho plyne pro uživatele internetu
Kauza Clearview a PimEyes není jen akademickou a právní záležitostí. Dotýká se každého, kdo má na internetu jedinou fotografii. Tedy prakticky skoro každého z nás. Existují ale kroky, které může každý z nás podniknout, aby se alespoň pokusil o nezařazení svých dat do globálních databází.
- Právo požádat Clearview o přístup ke svým datům: Formulář je na clearview.ai/privacy. Firma je povinna odpovědět do 30 dnů. Historicky žádosti z EU bývají ignorovány, ale je to alespoň první krok k případným dalším stížnostem.
- Právo požádat Clearview o výmaz svých dat na základě čl. 17 GDPR: Na clearview.ai/privacy/deindex může kdykoliv nahrát URL, pod kterým se nachází fotografie, kterou chcete vymazat z databáze. Nicméně odpověď není zaručena. V případě, že se Clearview nevyjádří, je možno podat stížnost k Úřadu pro ochranu osobních údajů.
- Pro PimEyes platí to samé. Formulář se dá podat na pimeyes.com/privacy. Na rozdíl od Clearview se uživatelé alespoň dočkávají odpovědí.
Dozorový úřad pro ochranu osobních údajů v Nizozemsku dále varoval všechny zaměstnance firem a pracující ve veřejném sektoru v EU, aby Clearview nevyužívali. Používání Clearview ze strany zákazníků z EU je porušením GDPR na jejich straně a hrozí jim regulatorní sankce.
Co můžeme očekávat dál?
Případ Clearview AI významně testuje evropské nástroje k vymáhání práv stanovených v GDPR. Zatím tento test ale bohužel nedopadá dobře. Ačkoliv GDPR silnou právní ochranu nabízí, kdy biometrická data bez souhlasu zpracovávána nesmějí být, EU nedisponuje dostatečnými pákami vůči firmám, které se své povinnosti a práva občanů EU rozhodly ignorovat.
Velké množství trestních oznámení jen potvrzuje, že i klasická správní cesta má své limity. Pokud se chce EU prosadit vůči offshore aktérům, musí buď sjednat mezinárodní smlouvy, nebo vybudovat mechanismy, které offshore strategii znemožní. Ať už se jedná o podmínění přístupu na trh v EU, DNS blokaci, nebo koordinaci s americkými orgány při řešení problému.
PimEyes omezení anonymity posouvá ještě do další dimenze. Možnost masového vyhledávání na základě rozpoznávání tváří už přestává být nástrojem jen pro státy nebo korporace. Stává se dostupným úplně pro každého, kdo má motivaci za takovou službu zaplatit relativně malý poplatek.
Propojování informací prostřednictvím biometrické identifikace ale otevírá zcela nové možnosti. Ty se nepochybně budou dále rozšiřovat například v souvislosti s větším využíváním chytrých brýlí propojených s internetem.
Využití metod rozpoznávání tváře pak dobře ukazuje i na obecnější problém, kterým je proměna rizikovosti zpracování určitých v podstatě anonymních údajů v čase a budoucího rizika deanonymizace těchto údajů, které dnes nejsme schopni vztáhnout ke konkrétní osobě a tudíž je ani nechráníme. Nekontrolovaný rozmach biometrických databází tak staví celou společnost před realitu, kde se z pouhé digitální stopy naší tváře stává trvalý a pro kohokoliv dostupný identifikační klíč.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU