Новини світових ЗМІ з аналітикою від Діогена

Іспанський регулятор попередив оператора сканування спостережень про ризики для приватності. Компанія Tools for Humanity відкладає запуск у Барселоні після офіційного попередження від органу захисту даних.

Конфлікт у Іспанії, що розгортається в Іспанії, висвітлює глибокі розбіжності між амбіціями цифрової ідентичності та реальністю європейського захисту приватності. 13 лютого 2026 року Агенція іспанського захисту даних (AEPD) видала офіційне попередження компанії Tools for Humanity GmbH — оператору всесвітньої мережі біометричної верифікації.

Попередження стосується запланованого перезапуску послуг у Барселоні та потенційних порушень Загального регламенту про захист даних (GDPR).

Це не штраф, не судовий наказ про припинення діяльності. Це сигнал за кілька днів до планованого запуску. AEPD скористалась своєю превентивною компетенцією — попередити, дати можливість переглянути, виправити. Проте справа розкриває складність, із якою європейські органи влади намагаються регулювати технології розпізнавання на основі очей на масштабі, де задіяні мільйони людей.

Попередження щодо біометричних даних

Правовою основою попередження AEPD став артикль 58.2(a) GDPR — повноваження органів захисту даних видавати превентивні сигнали, коли обробка даних “може” — слово “may” є ключовим — порушити положення регламенту. Так, офіційно це не визначає порушення. Натомість це інструмент попередження до фактичного запуску операцій.

Операційна послідовність розвивалась швидко. 23 січня 2026 року Tools for Humanity надіслала AEPD електронний лист із розпорядником захисту даних компанії, оголошуючи про намір перезапустити іспанські операції в лютому з новою локацією у Барселоні.

Повідомлення окреслило істотні змінення. По-перше, з жовтня 2025 року компанія Tools for Humanity GmbH з базуванням у Німеччині була визначена як єдиний розпорядник даних для всіх операцій Orb, пов’язаних зі іспанськими користувачами.

Фонд Worldcoin вилучений із ролі обробника. По-друге, модель винагород змінилась. Замість криптовалютних токенів користувачі отримуватимуть доступ до цифрових послуг та передплат. По-третє, компанія наголошувала на трьох технічних удосконаленнях: публічному випуску апаратури Orb для незалежного аудиту, моделі збереження даних, де користувачі мають прямий контроль, та запровадженні Anonymized Multi-Party Computation (AMPC) — системи, призначеної для верифікації без трансферу спеціальних категорій особистих даних.

AEPD розглянула документацію 6 лютого. Трьома днями пізніше видала попередження. До цього моменту компанія оголошувала про запуск у Барселоні на лютий. Факт опублікування офіційного попередження вліз у рішення компанії. 17 лютого інформаційна агенція Infobea повідомила, що Tools for Humanity відкладає запуск, чекаючи уточнень AEPD.

Як функціонує ORB

ORB — це камера у формі сфери розміром із кегельний куль. Користувач підходить, пристрій сканує райдужну оболонку ока та обличчя, генеруючи унікальний біометричний код. Метою, за словами компанії, є побудова “доказу присутності людини” — перевірка того, що за екраном стоїть реальна людина, а не бот чи штучний інтелект, видавлений у цифрове тіло.

Від випущення до сьогодні мережа World (колишня Worldcoin) охопила людей у понад 120 країнах. Кількість зареєстрованих користувачів перевищила 15 мільйонів. Кожен із них пройшов процедуру біометричного сканування. Кожен залишив цифровий образ райдужної оболонки — одну з найбільш персональних karakterystyk людини, яку неможливо змінити, як пароль або номер кредитної карти.

Компанія заявляє, що процес шифрується з публічним ключем користувача, зашифровані пакети даних зберігаються виключно на пристрої користувача, а інформація видаляється з ORB негайно після відправлення.

Ця архітектура позиціонується як революційний стиск приватності. Однак саме цей процес та його юридичні наслідки стали предметом регуляторної уваги AEPD.

Статус як спеціальна категорія даних

Артикль 4.14 GDPR визначає “біометричні дані” як “персональні дані, що виникають унаслідок спеціальної технічної обробки фізіологічних чи поведінкових характеристик людини, які дозволяють чи підтверджують унікальну ідентифікацію цієї людини”. Райдужна оболонка очей підходить під цей опис. Технічна обробка — сканування та кодування. Фізіологічні характеристики — очні образи. Унікальна ідентифікація — запобігання дублюванню.

Артикль 9 GDPR загалом забороняє обробку біометричних даних, зокрема радіаційних характеристик, медичних даних, релігійних переконань та генетичної інформації. Обробка дозволена лише за наявності явної згоди індивіда або іншої з обмежених винятків. AEPD висловила позицію, що операції Tools for Humanity потенційно підпадають під артикль 9, оскільки йдеться про біометричну ідентифікацію в масштабі.

Компанія запропонувала альтернативну інтерпретацію. Вона стверджує, що мета полягає не в ідентифікації конкретної особи, а в верифікації унікальності людини загалом. Це семантична розбіжність, але вона матеріальна для правової кваліфікації. AEPD вказала, що навіть під цією інтерпретацією операції залишаються обробкою біометричних даних у розумінні артиклю 4.14 і, отже, потребують жорстких правових підстав, передбачених артиклем 9.

Ризики моделі зберігання даних

Ключова інновація, яку компанія позиціонує як рішення проблеми приватності, — особистого зберігання. Зашифрований біометричний шаблон зберігається не на серверах компанії, а на пристрої користувача в застосунку Tools for Humanity. Спочатку це звучить як передача контролю. Проте AEPD внесла важливе уточнення.

Фраза “ваш пристрій” фактично означає “додаток Tools for Humanity, встановлений на вашому пристрої”. Цей додаток залишається частиною ланцюга обробки даних, контрольованої компанією. Користувач не може експортувати, видалити чи самостійно отримати доступ до своєї біометричної інформації без закритого програмного забезпечення. Цей момент критичний для GDPR. Якщо дані залишаються доступними виключно через інструменти розпорядника, це не означає дійсного контролю користувача. Насправді, це означає залежність користувача від інфраструктури компанії.

Система AMPC також отримала критику. За твердженням Tools for Humanity, AMPC дозволяє верифікацію без трансферу або збереження спеціальних категорій даних, оскільки дані анонімізуються одразу після їх виходу з Orb.

AEPD не ставила під сумнів техніку, але вказала на нестачу документації щодо граней ризику системи та того, як вона гарантує достатній захист у всіх сценаріях.

Вимоги до оцінки впливу

Серцевина регуляторного занепокоєння AEPD полягає у так званій Data Protection Impact Assessment (DPIA). Артикль 35.1 GDPR вимагає розпорядників провести DPIA перед запуском обробки, яка “може призвести до високого ризику для прав і свобод людей”, особливо за використання нових технологій. Біометрична обробка на масштабі, який охоплює мільйони користувачів у десятках країн, безсумнівно потрапляє під цю категорію.

AEPD вивчила DPIA документацію, надану Tools for Humanity на технічних засіданнях перед видачею попередження. Органи регулювання виявили матеріальні прогалини. Слідуючи навмисно брудній схемі, компанія в своїх документах висловила, що обробка не складає обробку спеціальних категорій даних під артиклем 9, оскільки мета не ідентифікація людини, а верифікація унікальності.

AEPD відхилила цей аргумент, принаймні попередньо. DPIA, за артиклем 35, повинна обґрунтувати необхідність і пропорційність обробки. Де існує кілька однаково ефективних заходів, слід обирати найменш навантажувальний.

Для компанії це означає дослідження того, чи можна досягти “доказу людськості” без розширеної біометричної обробки — наприклад, за допомогою телефонної верифікації, двофакторної автентифікації чи інших способів. AEPD спеціально наголосила на розмежуванні між біометричною автентифікацією (локалізованою, сфокусованою, менш агресивною) та біометричною ідентифікацією в глобальному масштабі, яка вимагає значно сильніших правових обґрунтувань.

Крім того, документація, надана компанією, не розглядала диференційовано ризики, пов’язані з централізованим порівнянням з децентралізованим зберіганням біометричних даних, або аналізувала кожну функцію в системі окремо. Для регуляторного органу це означало неповноту оцінки.

Прогалини в інформуванні користувачів

Друга проблема, виявлена AEPD, стосувалась прозорості. Органи регулювання розглянули Політику конфіденційності компанії, додаток щодо правових підстав та цілей (додаток I), та Політику утримання біометричних даних у версії, опублікованій на веб-сайті 6 лютого 2026 року. Результат: AEPD не знайшла “інформацію про законні підстави, обставини зняття заборони чи здійснення прав” щодо біометричної обробки.

GDPR вимагає від розпорядників надавати суб’єктам даних справедливе та прозоре інформування. Користувачі повинні знати, яка саме обробка здійснюється над їхніми райдужними оболонками, яка юридична основа цієї обробки і яке обґрунтування. Якщо контролер обирає явну згоду як основу (як видається з публічної політики компанії), то цей процес також повинен задовольняти GDPR вимог щодо валідності. Це включає верифікацію віку, щоб убезпечити, що неповнолітні не залучаються до біометричної обробки без належних гарантій.

AEPD зазначила, що публічні матеріали компанії не відповідають цим стандартам достатньою мірою. Користувачам не ясна мета точно, не є зрозумілою правова база, не оформлена інформація про їхні права, зокрема право на стирання даних.

Європейський контекст регулювання

Це не перший конфлікт компанії з європейськими органами захисту даних. У березні 2024 року AEPD видала попереджувальний наказ, який фактично припинив біометричну обробку у Іспанії.

Той наказ ґрунтувався на численних скаргах, у яких користувачі та правозахисники вказували на неправильне інформування, залучення неповнолітніх та неможливість відкликання згоди.

Компанія спостерегла той наказ в іспанському суді. Вона також запозичала юридичну посилку щодо “обходу встановлених процедур GDPR” та стверджувала, що органи регулювання в країнах-членах не повинні діяти поза межами своєї компетенції, коли питання розглядається “свідомим органом” — у цьому випадку баварським органом захисту даних (BayLDA).

Справа трохи складніша. BayLDA справді є основним органом, оскільки Tools for Humanity GmbH базується у Мюнхені. Але AEPD, як орган країни, де компанія планує операції, має право під артиклем 55.1 та 56 GDPR здійснювати контроль в межах своєї території. BayLDA завершила розширену розслідування у грудні 2024 року. Висновок: операції, які Tools for Humanity здійснювала до впровадження нових технічних заходів, “передбачали суттєві ризики захисту даних” та не відповідали GDPR. Компанія оскаржила це рішення і закликала до судової ясності щодо анонімізації.

Паралельно, у європейському законодавстві розроблявся новий шар регулювання. Директива ЄС про штучний інтелект, яка набрала чинності лютого 2025 року, класифікує системи біометричної ідентифікації в реальному часі як заборонені без суворих виключень.

Європейські органи захисту даних послідовно демонстрували готовність карати організації, які не впроваджували адекватні оцінки впливу та не обґрунтовували необхідність біометричного обробляння. Іспанський AEPD раніше штрафував компанії за обробку без валідної правової основи, французький орган в 2022 році накладав 90 млн. євро штрафу на Clearview AI за широкомасштабний збір біометричних даних без згоди.

Попередження AEPD від 13 лютого — це не новий експеримент у регулюванні. Це послідовна практика організації, яка спостерігала безмісячні спроби біометричних компаній запроваджувати технології без достатнього регуляторного обґрунтування.

Компанія Tools for Humanity мала можливість переглянути свої документи та запропонувати виправлення. За словами інформаційних джерел, вона це зробила. Регуляторна оцінка все ще розглядається.

За матеріалами:

• Spain’s data regulator warns World’s iris-scan operator over GDPR risks ppc.land
• German watchdog orders Sam Altman’s biometric ID project World to delete data euronews.com
• Decision on World ID investigation from EDPB edpb.europa.eu