Clearview Al Inc.: Non-compliance with general data processing principles

€20,000,000 fine - Hellenic Data Protection Authority (HDPA)

Jul 13, 2022 Source

Content

The Hellenic DPA has imposed a fine of EUR 20,000,000 on Clearview AI Inc. The non-profit organization 'Homos Digitalis' had filed a complaint with the DPA on behalf of the data subject. The company holds a database of more than 20 billion facial images (including those of greek residents and nationals) from around the world. The data is collected online from publicly accessible platforms such as social networks. The company offers a search service that allows individuals be identified based on the biometric data extracted from the images. Individuals' profiles can be enriched with information associated with those images, such as image tags and geolocation. In the course of its investigation the DPA found that the personal data contained in the company's database had been processed unlawfully and without a valid legal basis. Also, the DPA found that the company had not provided the data subject with access to their personal data and thus violating Art. 15 GDPR. Furthermore, Cleaview had violated the principle of transparency by failing to adequately inform users about the processing of their data.

GDPR Articles: Art. 5 (1) a) GDPR, Art. 6 GDPR, Art. 9 GDPR, Art. 12 GDPR, Art. 14 GDPR, Art. 15 GDPR, Art. 27 GDPR
Industry: Industry and Commerce

Key Excerpts from Decision

Κατηγορία Απόφαση Ημερομηνία 13/07/2022 Αριθμός πράξης 35 Θεματική ενότητα 08. Ιδιωτική οικονομία Εφαρμοζόμενες διατάξεις Άρθρο 3 : Εδαφικό πεδίο εφαρμογής Άρθρο 5.1.α : Αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας Άρθρο 5.2 : Αρχή της λογοδοσίας Άρθρο 6.1.α : Νομική βάση συγκατάθεσης Άρθρο 6.1.β : Νομική βάση εκτέλεση σύμβασης Άρθρο 6.1.γ : Νομική βάση συμμόρφωσης με έννομη υποχρέωση Άρθρο 6.1.δ : Νομική βάση διαφύλαξης ζωτικού συμφέροντος Άρθρο 6.1.ε : Νομική βάση εκπλήρωσης δημόσιου καθήκοντος Άρθρο 6.1.στ : Νομική βάση υπέρτερου έννομου συμφέροντος Άρθρο 9.1 : Eιδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα Άρθρο 9.2.ε : Πρόδηλη δημοσιοποίηση Άρθρο 12 : Διαφανής ενημέρωση Άρθρο 14 : Πληροφορίες όταν η συλλογή δεν γίνεται από το υποκείμενο των δεδομένων Άρθρο 15 : Δικαίωμα πρόσβασης Άρθρο 27 : Εκπρόσωποι υπευθύνων ή εκτελούντων εκτός Ε.Ε. Περίληψη Η Αρχή, με την υπ’ αριθ. 35/2022 Απόφαση, εξέτασε καταγγελία κατά της εταιρείας με την επωνυμία Clearview AI, Inc, υποβληθείσα από την Αστική μη Κερδοσκοπική Εταιρεία με την επωνυμία «Ηomo Digitalis» για λογαριασμό καταγγέλλουσας, η οποία κατά τους ισχυρισμούς της, δεν ικανοποιήθηκε ως προς το δικαίωμα πρόσβασης που άσκησε ενώπιον της ως άνω εταιρείας. Με την εν λόγω καταγγελία ζητήθηκε, επίσης, η εξέταση των πρακτικών συλλήβδην της καθ’ ης εταιρείας από πλευράς προστασίας προσωπικών δεδομένων. Ειδικότερα, η Αρχή διαπίστωσε ότι στη συγκεκριμένη περίπτωση η καταγγελλόμενη εταιρεία, η οποία εμπορεύεται υπηρεσίες αναγνώρισης προσώπων, παραβίασε τις αρχές της νομιμότητας και διαφάνειας (άρ. 5 παρ. 1 α’, 6, 9 ΓΚΠΔ) καθώς και τις απορρέουσες από τις διατάξεις των άρθρων 12, 14, 15 και 27 του ΓΚΠΔ υποχρεώσεις της, επιβάλλοντας χρηματικό πρόστιμο ύψους είκοσι εκατομμυρίων ευρώ (20.000.000). Επιπλέον, η Αρχή απηύθυνε εντολή συμμόρφωσης στην ίδια ως άνω εταιρεία για την ικανοποίηση του ασκηθέντος ενώπιόν της αιτήματος πρόσβασης σε προσωπικά δεδομένα της καταγγέλλουσας, ενώ επέβαλε στην αυτή εταιρεία απαγόρευση ως προς τη συλλογή και επεξεργασία προσωπικών δεδομένων υποκειμένων ευρισκομένων στην ελληνική επικράτεια, με τη χρήση μεθόδων που περιλαμβάνει η υπηρεσία αναγνώρισης προσώπου. Τέλος, με την επίμαχη απόφαση η Αρχή απηύθυνε στην εταιρεία Clearview AI, Inc και εντολή διαγραφής των προσωπικών δεδομένων των ως άνω ευρισκόμενων στην ελληνική επικράτεια υποκειμένων, τα οποία η καταγγελλομένη συλλέγει και επεξεργάζεται με τη χρήση των αυτών ως άνω μεθόδων. PDF Απόφασης 35_2022 anonym_0.pdf454.08 KB

View Full Original Decision (English)