Od śledzenia rozpoznawania twarzy po wycieki danych odcisków palców, dowiedz się, jak walczyć z nieautoryzowanym zbieraniem danych biometrycznych. Ochrona Illinois BIPA, ugoda Meta $1.4B w Teksasie, wyroki Clearview AI i prawa do danych kategorii specjalnej GDPR Artykuł 9.
Pana/Pani twarz, odciski palców, wzory tęczówki, odcisk głosowy, a nawet DNA to unikalne identyfikatory biologiczne - znacznie bardziej wrażliwe niż hasła czy numery kart kredytowych, ponieważ nie można ich zmienić, jeśli zostaną skradzione lub niewłaściwie wykorzystane. Jednak firmy coraz częściej zbierają te dane biometryczne przy minimalnym nadzorze, osadzając rozpoznawanie twarzy w aplikacjach mediów społecznościowych, używając skanów odcisków palców do zegarów czasu pracy w miejscu pracy, wdrażając skanery tęczówki do dostępu do budynków i przechwytując miliardy zdjęć z internetu, aby budować bazy danych nadzoru - często bez wyraźnej zgody, odpowiedniego bezpieczeństwa lub ujawnienia, jak dane będą wykorzystywane lub udostępniane.
Konsekwencje nieautoryzowanego zbierania danych biometrycznych są poważne. Gdy Pana/Pani geometria twarzy lub szablon odcisku palca zostanie skradziony w wyniku naruszenia danych, przestępcy mogą wykorzystać go do kradzieży tożsamości na zawsze - nie może Pan/Pani uzyskać nowej twarzy ani nowych odcisków palców. Systemy nadzoru biometrycznego umożliwiają wszechobecne śledzenie Pana/Pani ruchów przez przestrzenie publiczne, sklepy i miejsca pracy bez Pana/Pani wiedzy. Dyskryminacyjne algorytmy osadzone w systemach rozpoznawania twarzy błędnie identyfikują mniejszości w alarmującym tempie, prowadząc do bezpodstawnych aresztowań (co najmniej sześć udokumentowanych przypadków w USA na 2024 rok). Firmy zarabiają, sprzedając Pana/Pani dane biometryczne reklamodawcom, brokerom danych, a nawet autorytarnym rządom.
Illinois przewodził w 2008 roku, uchwalając Biometric Information Privacy Act (BIPA), najsilniejsze prawo o prywatności biometrycznej w kraju, które przyznaje osobom prywatne prawo do pozwania firm, które zbierają dane biometryczne bez pisemnej zgody i ujawnienia. BIPA zapewnia odszkodowania ustawowe w wysokości $1,000 za niedbałe naruszenie i $5,000 za lekkomyślne/celowe naruszenie - co oznacza, że nie jest wymagany dowód rzeczywistej szkody. Teksas podążył za tym z ustawą Capture or Use of Biometric Identifier (CUBI) (poprawki z 2023 roku wzmocniły egzekwowanie). CCPA Kalifornii klasyfikuje dane biometryczne jako wrażliwe informacje osobowe wymagające zwiększonej ochrony. A GDPR Unii Europejskiej Artykuł 9 traktuje dane biometryczne jako dane "kategorii specjalnej" wymagające wyraźnej zgody i ścisłego bezpieczeństwa.
Główne ugody potwierdziły te ochrony: Meta zapłaciła $1.4 miliarda Teksasowi (2024) za zbieranie danych rozpoznawania twarzy bez zgody, największa ugoda prywatności przez pojedynczy stan. Meta wcześniej zapłaciła $650 milionów na ugodę pozwu zbiorowego Illinois BIPA dotyczącego tagowania zdjęć na Facebooku. Clearview AI zapłaciła $50 milionów na ugodę roszczeń Illinois za przechwytywanie miliardów zdjęć. Google zapłacił $100 milionów za rozpoznawanie twarzy Google Photos (Illinois). Amazon Ring, Six Flags, Snapchat, TikTok i dziesiątki pracodawców zapłaciły ugody BIPA w zakresie od $500,000 do $100 milionów. Indywidualne roszczenia BIPA regularnie przynoszą $5,000-$15,000 na osobę. Ten przewodnik pokazuje, jak identyfikować naruszenia prywatności biometrycznej, rozumieć swoje prawa i wykorzystywać każdą drogę do rekompensaty.
Illinois BIPA (740 ILCS 14/) to najsilniejsze prawo o prywatności biometrycznej w USA. Stosuje się do każdego podmiotu prywatnego, który zbiera, przechwytuje, przechowuje lub wykorzystuje identyfikatory biometryczne (geometria twarzy, odciski palców, odciski głosowe, skany tęczówki, skany siatkówki, skany dłoni, rozpoznawanie chodu) mieszkańców Illinois - nawet jeśli firma ma siedzibę gdzie indziej. Firmy muszą: (1) opracować i opublikować pisemną politykę przechowywania i niszczenia; (2) zapewnić pisemne powiadomienie, że dane biometryczne są zbierane; (3) uzyskać pisemną zgodę; (4) nigdy nie sprzedawać, nie wynajmować ani nie czerpać zysków z danych biometrycznych; (5) stosować rozsądną staranność w celu ochrony danych biometrycznych (taki sam standard jak dane finansowe).
Kluczowa moc BIPA: prywatne prawo do działania. Może Pan/Pani pozwać bezpośrednio w sądzie stanowym Illinois bez składania skargi administracyjnej. Odszkodowania: $1,000 za niedbałe naruszenie, $5,000 za celowe/lekkomyślne naruszenie, plus honoraria adwokackie. Nie jest wymagany dowód rzeczywistej szkody - samo naruszenie tworzy roszczenie. Sądy orzekły, że każdy skan może być oddzielnym naruszeniem (np. jeśli pracodawca skanował Pana/Pani odcisk palca 500 razy dla zegara czasu pracy przez 2 lata, potencjalne odszkodowania: $500,000-$2.5M, chociaż sądy zazwyczaj przyznają mniej). Przedawnienie: 5 lat (czasami 1 rok dla naruszeń pisemnego zwolnienia - złożone).
Common BIPA Violations:
Typowe naruszenia BIPA: Pracodawca wymaga skanu odcisku palca bez pisemnej zgody. Facebook taguje Pana/Panią na zdjęciach używając rozpoznawania twarzy bez zgody. System bezpieczeństwa skanuje Pana/Pani twarz do wejścia do budynku bez ujawnienia. Detalista używa rozpoznawania twarzy do śledzenia klientów bez powiadomienia. Aplikacja analizuje Pana/Pani odcisk głosowy bez zgody.
Texas Business & Commerce Code Rozdział 503 (wzmocniony 2023) chroni identyfikatory biometryczne (geometria twarzy, odcisk głosowy, skan siatkówki/tęczówki, odcisk palca, skan dłoni, dynamika naciśnięć klawiszy). Firmy muszą: (1) informować osoby, że dane biometryczne są przechwytywane; (2) uzyskać zgodę (może być w warunkach usługi, ale musi być jasna); (3) zniszczyć dane w rozsądnym czasie po spełnieniu celu; (4) chronić dane z rozsądną starannością. Zakaz: nie można sprzedawać, wynajmować ani ujawniać danych biometrycznych bez zgody.
Egzekwowanie: Prokurator Generalny Teksasu może pozwać o nakaz sądowy i $25,000 za naruszenie. Prywatne prawo do działania: osoby mogą pozwać o rzeczywiste odszkodowania, jeśli poniosą szkodę, plus honoraria adwokackie. W przeciwieństwie do Illinois BIPA, Texas CUBI wymaga dowodu rzeczywistej szkody dla prywatnych pozwów (trudniejszy ciężar), ale egzekwowanie przez stan było agresywne - ugoda Meta $1.4B została wniesiona przez AG Teksasu na podstawie CUBI + Texas DTPA. Pozwy zbiorowe możliwe.
Note:
Priorytety egzekwowania AG Teksasu (2024): Rozpoznawanie twarzy w mediach społecznościowych, śledzenie biometryczne pracowników bez zgody, naruszenia danych ujawniające dane biometryczne, sprzedaż danych biometrycznych stronom trzecim.
CCPA (Cal. Civ. Code § 1798.100 i nast.) klasyfikuje "informacje biometryczne" (cechy fizjologiczne, biologiczne lub behawioralne, które mogą być wykorzystane do identyfikacji, w tym obrazy twarzy, skany tęczówki, odciski palców, odciski głosowe, wzory naciśnięć klawiszy, chód) jako "wrażliwe informacje osobowe". Firmy muszą: (1) ujawnić zbieranie danych biometrycznych w polityce prywatności; (2) oferować prawo rezygnacji (konsumenci mogą ograniczyć wykorzystanie do niezbędnych celów); (3) nie sprzedawać danych biometrycznych bez wyraźnej zgody opt-in. Naruszenia: Prokurator Generalny Kalifornii lub Agencja Ochrony Prywatności mogą nałożyć karę $2,500 za naruszenie ($7,500 za celowe). Naruszenie danych: Jeśli dane biometryczne zostaną naruszone z powodu braku rozsądnego bezpieczeństwa, konsumenci mogą pozwać o $100-$750 za incydent lub rzeczywiste odszkodowania (w zależności od tego, co większe), plus honoraria adwokackie. W przeciwieństwie do Illinois BIPA, CCPA nie zapewnia odszkodowań ustawowych za zbieranie bez zgody bez naruszenia danych.
RCW 19.375 wymaga od firm, które zapisują konsumentów do systemów identyfikatorów biometrycznych: (1) zapewnienia powiadomienia o celu i czasie trwania zapisu; (2) uzyskania zgody; (3) zniszczenia danych, gdy cel zostanie spełniony lub w ciągu 3 lat. Naruszenia egzekwowane przez Prokuratora Generalnego Waszyngtonu na podstawie Consumer Protection Act: do $7,500 za naruszenie. Prywatne prawo do działania: konsumenci mogą pozwać o rzeczywiste odszkodowania, nakaz sądowy i honoraria adwokackie, jeśli poniosą szkodę. Silniejsze niż CCPA, ale słabsze niż Illinois BIPA (wymaga dowodu szkody dla indywidualnych odszkodowań).
GDPR Artykuł 9 klasyfikuje dane biometryczne wykorzystywane do unikalnej identyfikacji (rozpoznawanie twarzy, dopasowywanie odcisków palców, skany tęczówki, DNA) jako dane osobowe "kategorii specjalnej" wymagające wyraźnej zgody (nie tylko opt-in, ale potwierdzającej, świadomej, swobodnie udzielonej zgody) lub innego wyjątku Artykułu 9 (np. istotny interes publiczny z podstawą prawną). Administratorzy muszą przeprowadzać Oceny Wpływu na Ochronę Danych (DPIA) dla przetwarzania biometrycznego. Wymagania bezpieczeństwa są podwyższone.
Naruszenia: Do €20 milionów lub 4% globalnego rocznego obrotu (w zależności od tego, co wyższe). Osoby mogą pozwać o odszkodowania materialne i niematerialne na podstawie Artykułu 82 (sądy UE przyznały €2,000-€10,000 za naruszenia biometryczne GDPR powodujące cierpienie emocjonalne, wyższe w przypadku naruszenia danych lub dyskryminacji). Prawo do usunięcia (Artykuł 17): może Pan/Pani żądać usunięcia swoich danych biometrycznych, jeśli zgoda była nieważna lub dane nie są już niezbędne. Krajowe DPA (Organy Ochrony Danych) egzekwują - złóż skargę do DPA w swoim kraju UE.
Major GDPR Fines:
Główne kary biometryczne GDPR: Clearview AI (€20M+ kar w wielu krajach UE za nielegalną bazę danych rozpoznawania twarzy), H&M (€35M za nadzór pracowników), British Airways (£20M za naruszenie danych biometrycznych paszportów).
Brak kompleksowego federalnego prawa o prywatności biometrycznej jeszcze, ale: (1) FTC Act Sekcja 5: FTC może pozwać firmy za nieuczciwe/zwodnicze praktyki, jeśli zbierają dane biometryczne wbrew obietnicom polityki prywatności lub bez ujawnienia. Snapchat, TikTok, Facebook zawarły ugody ze skargami FTC. (2) Children's Online Privacy Protection Act (COPPA): Zabrania zbierania danych biometrycznych od dzieci poniżej 13 lat bez weryfikowalnej zgody rodziców. (3) Proponowane przepisy federalne: National Biometric Information Privacy Act (oczekujący, wzorowany na Illinois BIPA), Fourth Amendment is Not For Sale Act (ogranicza zakupy danych biometrycznych przez rząd). (4) Agencje federalne: HHS HIPAA obejmuje dane biometryczne zbierane przez podmioty opieki zdrowotnej. Rozpoznawanie twarzy TSA na lotniskach podlega Privacy Act - ograniczone środki zaradcze.
Prokurator Generalny Teksasu pozwał Meta (Facebook) na podstawie Texas CUBI i Deceptive Trade Practices Act za zbieranie danych rozpoznawania twarzy milionów Teksańczyków poprzez tagowanie zdjęć bez zgody. Funkcja rozpoznawania twarzy Facebooka automatycznie skanowała twarze na przesłanych zdjęciach, aby sugerować tagi, zbierając geometrię twarzy. Ugoda: $1.4 miliarda (największa ugoda prywatności przez pojedynczy stan), płatna przez 5 lat. Meta zgodziła się zaprzestać używania rozpoznawania twarzy w Teksasie bez wyraźnej zgody, usunąć wcześniej zebrane dane i poddać się monitorowaniu. Znaczenie: Udowodniła, że prokuratorzy generalni stanów mogą zabezpieczyć ogromne odszkodowania na podstawie stanowych przepisów biometrycznych, nawet gdy brakuje prawa federalnego.
Pozew zbiorowy Patel v. Facebook twierdził, że rozpoznawanie twarzy tagowania zdjęć na Facebooku naruszyło Illinois BIPA, zbierając i przechowując geometrię twarzy bez pisemnej zgody od 1.6 miliona użytkowników Illinois. Sąd federalny zatwierdził ugodę $650M (średnio $397 na osobę, z niektórymi otrzymującymi $300-$500 w zależności od lat użytkowania). Wymagania: Mieszkaniec Illinois z kontem Facebook w okresie czerwiec 2011-sierpień 2021, gdzie Pan/Pani lub przyjaciele pojawiali się na zdjęciach. Znaczenie: Największa ugoda BIPA i największy pozew zbiorowy dotyczący prywatności w tamtym czasie. Ustaliła, że automatyczne rozpoznawanie twarzy zdjęć, nawet jeśli przesłane przez przyjaciół (nie przez Pana/Panią), uruchamia wymagania zgody BIPA.
Clearview AI przechwytywał 30 miliardów zdjęć z mediów społecznościowych, stron internetowych i publicznego internetu, aby zbudować bazę danych rozpoznawania twarzy sprzedawaną organom ścigania i firmom prywatnym. Mieszkańcy Illinois pozwali na podstawie BIPA. Ugoda (2024): $50M (płatna w akcjach Clearview członkom klasy - kontrowersyjna struktura), plus nakaz ogólnokrajowy: Clearview zabronione sprzedawania dostępu do bazy danych firmom prywatnym w USA, musi powiadamiać osoby, jeśli ich dane biometryczne są w bazie danych i pozwolić na rezygnację. Oddzielne ugody: Ugoda ACLU ograniczyła wykorzystanie Clearview. Wiele krajów UE nałożyło na Clearview kary €20M+ na podstawie GDPR. Trwające sprawy w Kalifornii, Vermont. Znaczenie: Ustaliła, że przechwytywanie publicznych zdjęć w celu zbudowania bazy danych rozpoznawania twarzy narusza BIPA, nawet jeśli zdjęcia były publicznie publikowane.
Pozew zbiorowy twierdził, że funkcja grupowania rozpoznawania twarzy Google Photos ("grupowanie twarzy" do organizowania zdjęć według osoby) naruszyła BIPA, zbierając i przechowując geometrię twarzy bez pisemnej zgody. Ugoda: $100M dla mieszkańców Illinois, którzy używali Google Photos i byli przedstawieni na zdjęciach między majem 2015-kwietniem 2023. Średnia wypłata: $150-$400 na osobę. Google zgodził się zapewnić jaśniejsze ujawnienia BIPA i uzyskać zgodę przed rozpoznawaniem twarzy w Illinois. Znaczenie: Pierwsza główna ugoda BIPA przeciwko Google, pokazuje, że usługi zdjęć w chmurze podlegają BIPA.
FTC pozwało Amazon za kamery dzwonka Ring: (1) dając pracownikom nieograniczony dostęp do nagrań wideo klientów, w tym intymnych momentów; (2) używając rozpoznawania twarzy na filmach klientów do trenowania AI bez zgody; (3) niepowodzenia bezpieczeństwa prowadzące do hakerów uzyskujących dostęp do kamer. Ugoda: $5.8M na rekompensatę konsumentów. Amazon zgodził się usunąć dane niewłaściwie zebrane, wdrożyć zabezpieczenia prywatności i zaprzestać używania filmów klientów do trenowania AI bez wyraźnej zgody. Znaczenie: Ustaliła, że FTC będzie egzekwować prywatność biometryczną na podstawie Sekcji 5, nawet bez konkretnego federalnego prawa biometrycznego.
Rosenbach v. Six Flags (Sąd Najwyższy Illinois 2019) ustanowił kluczowy precedens BIPA: Six Flags skanował odcisk palca nastolatka dla karnetu sezonowego bez pisemnej zgody lub ujawnienia. Sąd Najwyższy Illinois orzekł: Naruszenie BIPA następuje w momencie zbierania bez zgody - nie jest wymagany dowód rzeczywistej szkody (odwracając oddalenie przez sąd niższej instancji). Późniejszy pozew zbiorowy został ugodzony za $36M (posiadacze karnetów sezonowych Illinois 2013-2018, których odciski palców były skanowane). Średnia wypłata: $200-$400 na osobę. Znaczenie: Przełomowa sprawa ustanawiająca moc BIPA nawet bez namacalnej szkody.
Pozew zbiorowy twierdził, że rozszerzona rzeczywistość Snapchata soczewki/filtry (uszy szczenięcia, zamiany twarzy itp.) używały rozpoznawania twarzy do mapowania geometrii twarzy bez zgody BIPA. Ugoda: $35M dla użytkowników Snapchat Illinois sty 2015-lis 2022, którzy używali soczewek. Średnio: $58 na osobę. Snapchat zgodził się zapewnić ujawnienia BIPA w Illinois. Znaczenie: Ustaliła, że "zabawne" filtry AR zbierające geometrię twarzy podlegają BIPA - nie są zwolnione jako "rozrywka komercyjna".
Pozew zbiorowy skonsolidował 21 pozwów twierdzących, że TikTok: (1) zbierał dane rozpoznawania twarzy i odcisku głosowego bez zgody (roszczenia Illinois BIPA); (2) dzielił się danymi z Chinami; (3) naruszał prywatność dzieci. Ugoda: $92M (2021) dla użytkowników TikTok w USA na październik 2021. Wnioskodawcy Illinois BIPA otrzymali zwiększone płatności ($167-$500 w zależności od poziomu aktywności). TikTok zgodził się zaprzestać pewnych praktyk zbierania danych i zapewnić jaśniejsze ujawnienia prywatności. Znaczenie: Jedna z pierwszych głównych ugód BIPA przeciwko głównej platformie należącej do Chin.
Setki pracodawców Illinois były pozwane na podstawie BIPA za wymaganie skanów odcisków palców do zegarów czasu pracy bez pisemnej zgody: Franczyzy McDonald's (ugoda $50M), Mondelez/Nabisco ($5M), firmy przewozowe, magazyny, placówki opieki zdrowotnej. Większość ugadza się za $500-$5,000 na dotkniętego pracownika. Znaczenie: Ustaliła, że systemy biometryczne w miejscu pracy muszą być zgodne z BIPA - relacja pracodawca-pracownik nie tworzy zwolnienia. Praktyczny wpływ: Większość dużych pracodawców Illinois używa teraz odznak zamiast biometrycznych zegarów czasu pracy.
Sprawy o prywatność biometryczną wymagają udowodnienia: (1) firma zebrała/przechowywała Pana/Pani dane biometryczne, (2) bez odpowiedniej zgody/ujawnienia, (3) z naruszeniem obowiązującego prawa. Oto jak zebrać dowody:
Udokumentuj, jakie dane biometryczne zostały zebrane: Rozpoznawanie twarzy (kamery bezpieczeństwa, filtry aplikacji, tagowanie zdjęć), skan odcisku palca (zegary czasu pracy, dostęp do budynku, odblokowywanie telefonu), skan tęczówki/siatkówki (bezpieczeństwo lotniska, dostęp wysokiego bezpieczeństwa), odcisk głosowy (asystenci głosowi, centra telefoniczne), rozpoznawanie chodu (systemy nadzoru). Dowód: Zrób zdjęcia urządzeń/znaków, screenshot uprawnień aplikacji pokazujących dostęp biometryczny, przejrzyj polityki prywatności wspominające rozpoznawanie twarzy lub dane biometryczne.
Dla roszczeń Illinois BIPA musi Pan/Pani wykazać, że firma NIE zapewniła: (1) pisemnego ujawnienia, że dane biometryczne były zbierane, (2) pisemnego ujawnienia celu i czasu trwania przechowywania, (3) pisemnej zgody (podpis lub pole wyboru zgadzające się na zbieranie biometryczne). Dowód: Pokaż, że nigdy nie podpisał/podpisała Pan/Pani formularza zgody biometrycznej. Jeśli zgoda była "ukryta" w ogólnych warunkach usługi lub polityce prywatności bez konkretnej sekcji biometrycznej, to często NIE spełnia wymagania BIPA "pisemnego ujawnienia i zgody" (sądy orzekły, że BIPA wymaga oddzielnego, konkretnego ujawnienia - nie ogólnego języka polityki prywatności). Jeśli pracodawca wdrożył zegar czasu pracy odcisku palca bez szkolenia lub formularzy zgody, to silny dowód. Sprawdź dokumenty zatrudnienia - jeśli brak zgody biometrycznej, ma Pan/Pani roszczenie.
Illinois BIPA: Musi Pan/Pani być mieszkańcem Illinois lub pracownikiem placówki Illinois. Texas CUBI: Mieszkaniec Teksasu. CCPA: Mieszkaniec Kalifornii. GDPR: Mieszkaniec UE lub Pana/Pani dane były przetwarzane przez administratora w UE. Dowód: Udowodnij miejsce zamieszkania (rachunek za media, prawo jazdy, zapisy o zatrudnieniu pokazujące miejsce pracy Illinois). Illinois BIPA stosuje się, nawet jeśli firma ma siedzibę gdzie indziej - jeśli mieszka/pracuje Pan/Pani w Illinois i zebrano Pana/Pani dane biometryczne, BIPA ma zastosowanie.
Pokaż, że firma faktycznie zebrała/przechowywała dane biometryczne: Screenshot sugestii tagów zdjęć na Facebooku z Pana/Pani nazwiskiem. Zapisy zegarów czasu pracy odcisku palca (poproś pracodawcę na podstawie praw dostępu do danych). Aplikacja żądająca uprawnień rozpoznawania twarzy. Nagrania kamery nadzoru (poproś na podstawie GDPR Artykuł 15 / prawo dostępu CCPA). Powiadomienie o naruszeniu danych biometrycznych (jeśli firma powiadomiła Pana/Panią o naruszeniu). Zeznanie eksperta (analiza kryminalistyczna pokazująca, że aplikacja używa rozpoznawania twarzy, nawet jeśli nie ujawniono).
Illinois BIPA: NIE wymagany dowód szkody - samo naruszenie tworzy roszczenie. Texas CUBI działanie prywatne: Musi udowodnić rzeczywistą szkodę (cierpienie emocjonalne, czas/wydatki na rozwiązanie naruszenia, ryzyko kradzieży tożsamości). CCPA: Musi udowodnić naruszenie danych lub rzeczywistą szkodę. GDPR: Może odzyskać za "szkodę niematerialną" (cierpienie emocjonalne, niepokój) bez szkody finansowej. Udokumentuj szkodę: Zapisy medyczne dla niepokoju/terapii związanej z naruszeniem. Czas spędzony na rozwiązaniu problemu (godziny × rozsądna stawka godzinowa). Dowód prób kradzieży tożsamości, jeśli dane biometryczne naruszone. Screenshoty nękającego kontaktu, jeśli utworzone ryzyko stalkingu.
Dla wyższych odszkodowań BIPA ($5,000 celowe vs $1,000 niedbałe): Pokaż, że firma wiedziała o BIPA. Dowód: Firma ma pracowników/klientów Illinois (powinna wiedzieć o BIPA). Wcześniejsze pozwy BIPA przeciwko firmie lub konkurentom. Wdrożenie systemu biometrycznego po uchwaleniu BIPA (2008). Przeszkolenie personelu dotyczące BIPA lub polityk zgodności. Media lub branżowe artykuły ostrzegające o wymaganiach BIPA. Udowodnij celowe naruszenie: Firma kontynuowała po otrzymaniu skargi. Odmówiła dostarczenia polityki przechowywania/niszczenia. Odmówiła uzyskania zgody po poproszeniu. Celowo ukryła zbieranie biometryczne w politykach prywatności.
Check: (1) Did company collect your facial recognition, fingerprint, iris scan, voiceprint, or other biometric data? (2) Are you in a protected jurisdiction (Illinois, Texas, California, EU, etc.)? (3) Did you give proper written consent (for BIPA, this means separate disclosure and consent—not just general terms)? (4) Did company follow required procedures (retention policy, destruction timeline, security measures)? If company collected biometric data in Illinois without written BIPA consent, you almost certainly have a claim—consult attorney immediately (5-year statute of limitations, but don't delay).
Request your data to gather evidence: Illinois: Send written request citing BIPA Section 15(c) asking for: (1) all biometric data collected, (2) written retention and destruction policy, (3) list of third parties with whom biometric data was shared, (4) dates of collection and storage. California CCPA: Request "specific pieces of personal information" including biometric data, sources, third-party recipients. EU GDPR Article 15: Request all biometric data, processing purposes, recipients, retention period, existence of automated decision-making. Companies must respond within 30-45 days. Refusal to provide data is additional evidence of violation.
Before filing individual lawsuit, check if class action exists for your situation: Search "[Company Name] BIPA class action" or "[Company Name] biometric lawsuit". Check classaction.org, topclassactions.com, ilbipalitigation.com. Illinois BIPA lawsuits: Many pending against employers (manufacturing, healthcare, retail), tech companies (apps with facial recognition), landlords (building access systems). If class action exists and you qualify, joining is simple (file claim form when settlement approved). If no class action but many people affected, attorney may file class action (more leverage for settlement).
Find attorney specializing in: BIPA litigation (Illinois), privacy law, consumer protection, employment law (for workplace biometric claims). Most BIPA attorneys work on contingency (33-40% of recovery, no upfront fee) because: BIPA allows prevailing plaintiffs to recover attorney's fees from defendant. Statutory damages ($1,000-$5,000 per violation) make cases economically viable even without proof of harm. Initial consultation usually free. Attorney will evaluate: strength of claim, defendant's assets (no point suing judgment-proof small business), whether to file individual or class action, potential settlement value.
Illinois BIPA: File directly in Illinois state court (no administrative filing required). Venue: County where violation occurred or where defendant does business. Texas CUBI: File in Texas state court; may need to show actual harm for damages. California/other states: File under applicable privacy law, common law (invasion of privacy, negligence), or wait for AG enforcement. Many cases settle before trial: Employers often settle BIPA claims for $2,000-$10,000 per employee to avoid litigation costs and precedent. Tech companies may settle early if class action certification is likely. Demand letters (from attorney) sometimes result in quick settlement if violation is clear.
Discovery: Your attorney will subpoena company records: biometric data retention policies, IT systems documentation, consent forms (or lack thereof), records of who accessed your biometric data, communications with vendors, prior lawsuits. Expert witnesses: Forensic analysis of biometric systems, security analysis (if data breach), damages calculation. Class certification (if class action): Attorney must prove commonality (all class members have same claim), adequacy (representative plaintiffs are typical), numerosity (enough class members). Trial or arbitration: If case doesn't settle, trial (jury or bench). BIPA cases often settle during discovery when company realizes evidence is strong. Appeals: BIPA law is still developing—some cases go to Illinois Supreme Court for legal interpretation.
You can also file regulatory complaints to pressure company and protect others: Illinois Attorney General: File complaint alleging BIPA violation (AG may investigate or join lawsuit). California Privacy Protection Agency: File complaint alleging CCPA violation (can result in fines). FTC: File complaint at reportfraud.ftc.gov if company made deceptive privacy promises or violated COPPA (children). EU: File complaint with national Data Protection Authority (e.g., ICO in UK, CNIL in France) alleging GDPR Article 9 violation. Regulatory actions can run parallel to private lawsuits and increase settlement pressure.
Follow these steps to protect your biometric data and pursue compensation for violations