Clearview AI a PimEyes: 60 miliard tváří a limity evropského vymáhání GDPR

Dvě firmy sbírají biometrické profily miliard lidí bez jejich souhlasu. Pokuty v celkové výši přes 107 milionů eur zůstávají nezaplaceny. Co to vypovídá o reálné vymahatelnosti GDPR vůči offshore aktérům?

Příběh americké firmy Clearview AI začal v roce 2017 tiše – jen jako technologický startup provozovaný australsko-americkým podnikatelem Hoanem Ton-Thatem v New Yorku. Globální pozornost přitáhl až v lednu 2020, kdy deník New York Times zveřejnil investigaci popisující systém schopný identifikovat prakticky kohokoliv na základě fotografie. Do května 2025 databáze Clearview obsahovala přes 60 miliard snímků stažených z internetu: ze sociálních sítí, zpravodajských webů, veřejných rejstříků a dalších zdrojů. Zákazníky jsou bezpečnostní složky, vládní agentury a zpravodajské služby, kterým systém umožňuje nahrát fotografii neznámé osoby a během okamžiku zobrazit shody z databáze včetně odkazů na původní zdroje.

Technicky funguje systém ve dvou krocích. Z fotografie algoritmus nejprve extrahuje takzvaný faceprint – sadu čísel popisující geometrii obličeje (vzdálenost mezi očima, tvar čelisti, konturu nosu). Tento biometrický vektor je pak porovnáván s miliony vektorů v databázi. Samotná fotografie biometrickým údajem ve smyslu GDPR není – tím se stává teprve po zpracování algoritmem. A právě biometrická data patří do zvláštní kategorie osobních údajů chráněné článkem 9 GDPR, jejichž zpracování je až na přesně vymezené výjimky zakázáno. Clearview žádnou z deseti výjimek nesplňuje: chybí výslovný souhlas, relevantní veřejný zájem zakotvený v právu členského státu ani žádná jiná zákonná základna. Porušeny jsou přitom i základní zásady GDPR – dotčené osoby o zpracování svých fotografií nebyly informovány (čl. 5 odst. 1 písm. a), fotografie na sociálních sítích byly sdíleny za zcela jiným účelem, než je biometrická identifikace (čl. 5 odst. 1 písm. b), a práva na přístup i výmaz jsou dlouhodobě ignorována.

Regulátoři v několika evropských zemích na tato porušení reagovali: italský Garante udělil v roce 2022 pokutu 20 milionů eur, řecký HDPA 20 milionů eur, francouzská CNIL celkem 25,2 milionu eur ve dvou kolech, nizozemský AP v roce 2024 pokutu 30,4 milionu eur – tu dosud nejvyšší ze série. Britský ICO přidal 7,5 milionu liber. Celkový součet pokut přesahuje 107 milionů eur. Z reportáží zahraničních médií a neziskových organizací z listopadu 2025 ale vyplývá, že Clearview žádnou z uložených sankcí dosud nezaplatila a svůj provoz nezměnila. Firma v EU nemá pobočku, zaměstnance ani bankovní účet, což standardní exekuci majetku znemožňuje. Neexistuje ani mezinárodní smlouva mezi EU a USA o vzájemném uznávání správních sankcí v oblasti ochrany dat. Opakované pokusy italského a řeckého regulátora doručit rozhodnutí přes konzulát v New Yorku selhaly. Zcela chybí i povinný zástupce v EU podle článku 27 GDPR, jehož jmenování Clearview odmítá.

Britský případ ICO vs. Clearview AI je dosud nejkomplikovanějším soudním přezkumem v celé věci. Pokuta 7,5 milionu liber a příkaz k výmazu dat britských občanů z roku 2022 prošla odvoláním u First-tier Tribunal, kde Clearview dočasně uspěla s argumentem, že její činnost slouží výhradně zahraničním bezpečnostním složkám a spadá pod výjimku pro státní aktivity. Upper Tribunal tento výklad odmítl s odůvodněním, že Clearview je soukromá komerční společnost a nemůže se dovolávat výjimek vyhrazených pro výkon veřejné moci. Věc nyní leží před odvolacím soudem.

Organizace NOYB vedená Maxem Schremsem zvolila v říjnu 2025 odlišnou taktiku. Na společnost Clearview a členy jejího vedení podala trestní oznámení u vídeňského státního zastupitelství. Opřela se o článek 84 GDPR, který umožňuje zavedení trestních sankcí za porušení nařízení; v Rakousku za ně hrozí až roční odnětí svobody nebo finanční pokuta. Praktickým důsledkem je, že členové vedení Clearview čelí při vstupu na území EU riziku zatčení. Zda bude tato strategie účinná, závisí na přístupu státních zastupitelství a na mezinárodní justičním spolupráci – žádná z těchto proměnných není jistá.

Vedle Clearview stojí za zmínku i PimEyes: v Polsku vzniknuvší, nyní na Seychely a do Belize přestěhovaná firma, která tutéž technologii biometrického vyhledávání nabízí veřejnosti za předplatné od přibližně 30 eur měsíčně. Databáze PimEyes obsahuje okolo 3 miliard tváří, denní počet vyhledávání přesahoval v roce 2023 sto tisíc. PimEyes se dovolává výjimky z čl. 9 odst. 2 písm. e) GDPR – tedy toho, že zpracovává jen fotografie, které subjekt sám zveřejnil. Regulátoři tuto argumentaci důsledně odmítají, protože většinu fotografií dostupných na internetu nezveřejnila sama zobrazená osoba a kontext jejich původního sdílení s biometrickým profilováním nijak nesouvisí. Rovněž PimEyes sídlí mimo dosah EU a vymáhání rozhodnutí naráží na stejné strukturální limity jako u Clearview.

Kauzy Clearview a PimEyes odhalují strukturální problém, nikoli selhání v jednotlivém případě. GDPR poskytuje silnou právní ochranu na papíře, ale výkon rozhodnutí vůči subjektům bez majetku a fyzické přítomnosti v EU závisí na nástrojích, které dosud neexistují: mezinárodní smlouvě o vzájemném uznávání správních sankcí, mechanismech podmínění přístupu na evropský trh nebo koordinaci s americkými orgány. Trestní oznámení NOYB je první pokus tyto limity obejít přes personální odpovědnost vedení. Výsledek bude mít dalekosáhlé důsledky pro každou organizaci, která zpracovává biometrická data Evropanů ze zahraničí.