De Griekse toezichthouder heeft Clearview AI een boete van 20 miljoen euro opgelegd.

Op 13 juli heeft de Griekse autoriteit voor gegevensbescherming, de Hellenic Data Protection Authority, een boete van 20 miljoen euro opgelegd aan het Amerikaanse bedrijf Clearview AI voor het overtreden van verschillende bepalingen van de Europese Algemene Verordening Gegevensbescherming (AVG). Dit bedrag is het dubbele van de eerder uitgevaardigde hoogste boete door de HDPA, die 9,25 miljoen euro was en werd opgelegd aan het grootste telecommunicatieconcern in Griekenland.

De beslissing van de HDPA volgde op een klacht die was ingediend door de burgerlijke non-profitorganisatie Homo Digitalis namens een betrokkene, waarin werd gesteld dat Clearview niet had gereageerd op het recht van de betrokkene om toegang te krijgen tot haar persoonlijke gegevens die door Clearview AI werden verwerkt.

Er waren al klachten ingediend bij de autoriteiten voor gegevensbescherming van Oostenrijk, Frankrijk, Italië en het Verenigd Koninkrijk over vermeende schendingen van de AVG door Clearview AI. Op basis hiervan hebben de autoriteiten voor gegevensbescherming van het Verenigd Koninkrijk en Italië, respectievelijk het Information Commissioner’s Office en de Garante, boetes opgelegd, terwijl de Franse autoriteit voor gegevensbescherming, de Commission nationale de l'informatique et des libertés, en de Oostenrijkse autoriteit voor gegevensbescherming naar verwachting een vergelijkbare beslissing over Clearview AI zullen nemen.

In de zaak voor de HDPA had de betrokkene Clearview AI een e-mail gestuurd om haar persoonlijke gegevens op te vragen, gegevens die het bedrijf had verwerkt in het kader van haar diensten. Als reactie hierop bevestigde Clearview AI op dezelfde dag de ontvangst van de aanvraag, maar heeft het nooit actie ondernomen om deze te behandelen. In een latere communicatie met de betrokkene beweerde Clearview AI dat het de aanvraag nooit had ontvangen en vroeg in plaats daarvan een foto van de betrokkene aan voor haar directe identificatie als voorwaarde om de aanvraag te behandelen.

Na een formeel onderzoek concludeerde de HDPA dat Clearview AI haar gebruikers diensten biedt voor gezichtsherkenning van personen via haar online platform. Met name kwam de autoriteit tot de volgende bevindingen:

• Clearview AI verzamelt aanvankelijk foto's en video's die op internet zijn geplaatst en die gezichtskenmerken van personen weergeven. Uit dit audiovisuele materiaal worden aanvullende gegevens geëxtraheerd en verzameld (zoals metadata over de locatie en gegevens over het uiterlijk van de persoon), en de bronlink wordt opgeslagen.
• Elke foto of video wordt vervolgens gekoppeld aan een numerieke reeks, een zogenaamde vector, die leesbaar is voor de zoekmachine van Clearview AI en die wordt gebruikt om de aangeboden dienst uit te voeren.
• De vectoren worden opgeslagen in de database van Clearview AI, waar ze worden onderverdeeld en deel uitmaken van een lijst met zoekresultaten voor toekomstig gebruik.
• Om gebruik te maken van de aangeboden diensten, uploaden gebruikers van het platform een afbeelding van de persoon die ze willen identificeren. De geüploade foto of video wordt gekoppeld aan een relevante vector, die vervolgens wordt vergeleken met de vectoren die al zijn opgeslagen in de database van Clearview AI.
• Ten slotte wordt een lijst met resultaten gegenereerd, die alle vectoren bevat die mogelijk overeenkomen met de vector die is gegenereerd vanuit de door de gebruiker geüploade afbeelding of video.
• Door deze lijst te genereren, kan Clearview AI alle afbeeldingen koppelen aan hun corresponderende vector, evenals aan hun broncode.

Volgens de HDPA vormde deze praktijk een geautomatiseerde verwerking van persoonlijke gegevens om een database aan te leggen met profielen van betrokkenen, zodat gebruikers individuen kunnen zoeken en identificeren.

In het licht van deze bevindingen heeft de HDPA een brief gestuurd naar Clearview AI waarin het bedrijf werd verzocht een vertegenwoordiger aan te wijzen binnen de Europese Economische Ruimte. Na een aankondiging over de klacht, heeft de HDPA het bedrijf bevolen informatie te verstrekken over haar activiteiten met betrekking tot de verwerking van persoonsgegevens van Griekse burgers. Clearview AI heeft hierop geantwoord dat het bedrijf niet onder de territoriale reikwijdte van de AVG valt en daarom niet gebonden is aan de vereisten ervan.

Tegelijkertijd beweerde Clearview AI dat haar diensten uitsluitend bestemd zijn voor handhavingsinstanties met als doel het identificeren van personen door middel van beeldherkenning, zonder enige systematische monitoring van de betrokkenen. Bovendien verklaarde het bedrijf dat er geen inferentiemechanismen worden gebruikt bij de verwerking.

In reactie op de bewering van Clearview AI dat het bedrijf niet onder de AVG valt, heeft de HDPA besloten dat Clearview, volgens het criterium van doelgerichtheid, gebonden is aan de verplichtingen van de verordening. Met name was de HDPA van mening dat Clearview AI de specifieke intentie had om persoonsgegevens te verzamelen en te verwerken om profielen op te stellen en het gedrag van betrokkenen te volgen. Zoals de HDPA benadrukte, vormt het gebruik van profieltechnieken door Clearview op zichzelf al een vorm van doelgerichtheid ten opzichte van betrokkenen die in de Europese Unie wonen, wat de toepassing van de bepalingen van de AVG trigger.

Daarom heeft de HDPA, in overeenstemming met artikel 27 van de AVG, besloten dat Clearview AI verplicht was een vertegenwoordiger aan te wijzen die gevestigd is binnen de EEA.

Daarnaast, en in overeenstemming met de vereisten van het samenwerkingsmechanisme, heeft de HDPA besloten dat het criterium van doelgerichtheid ook haar bevoegdheid vaststelt om de naleving van de AVG binnen haar grondgebied te controleren. Daarom heeft de HDPA vastgesteld dat de klacht, ingediend op grond van artikel 60 van de AVG met betrekking tot de naleving van de bepalingen van de AVG door Clearview AI binnen de geografische grenzen van Griekenland, rechtmatig was ingediend.

De HDPA was aanvankelijk van mening dat de gegevens die uit afbeeldingen worden verzameld en die door Clearview worden opgeslagen en verwerkt, onmiskenbaar biometrische gegevens zijn, zoals beschreven in artikel 4(14) van de AVG. Bovendien was de HDPA van mening dat de kritieke verwerking niet slechts een eenvoudige verzameling van gegevens betreft, maar resulteert in de omzetting van de verzamelde foto's in biometrische gegevens, die verwerkt moeten worden volgens de strengste bepalingen van artikel 9 van de AVG.

Bovendien was de HDPA van mening dat, hoewel de afbeeldingen door de betrokkenen zelf openbaar zijn gemaakt, de persoonsgegevens die in onderzoek zijn, beschermd worden door de AVG. Met name hebben betrokkenen, door de online publicatie van hun foto's, geen redelijke verwachtingen dat deze verder verwerkt zullen worden op de manier die in onderzoek is. Deze conclusie werd ook versterkt door het feit dat de verwerking die door Clearview AI wordt uitgevoerd, geen enkele wettelijke basis heeft.

Samenvattend heeft de HDPA vastgesteld dat Clearview AI de volgende bepalingen van de AVG heeft overtreden:

• Overtreding van de bepaling van artikel 27 van de AVG vanwege het niet nakomen van de verplichting om een vertegenwoordiger aan te wijzen binnen de EEA.
• Overtreding van de bepalingen van de artikelen 5(1)(a), 6 en 9 van de AVG vanwege het niet nakomen van het beginsel van rechtmatigheid van de verwerking.
• Overtreding van de bepaling van artikel 14 van de AVG vanwege het niet nakomen van het beginsel van transparantie en het recht om betrokkenen te informeren.
• Ten slotte, de schending van het recht op inzage van de betrokken persoon, vertegenwoordigd door Homo Digitalis, aangezien Clearview AI geen reactie heeft gegeven op haar relevante verzoek.

Gezien het bovenstaande heeft de HDPA aan Clearview AI een boete opgelegd, de hoogste boete die zij ooit heeft opgelegd in haar bestaan, van 20 miljoen euro. Bovendien heeft de HDPA, om de fundamentele rechten van betrokkenen die woonachtig zijn binnen het grondgebied van Griekenland te beschermen, Clearview AI bevolen alle gegevens over Griekse betrokkenen te verwijderen en elke verdere verwerking van dergelijke gegevens te verbieden.

De beslissing van de HDPA sluit aan bij beslissingen van andere toezichthoudende autoriteiten met betrekking tot Clearview AI. Volgens de beslissing vallen aanbieders (zoals Clearview AI) die wereldwijd actief zijn en aan bepaalde criteria voldoen, onder de reikwijdte van de AVG. Deze aanbieders kunnen in de hele EU te maken krijgen met ernstige sancties als ze de persoonlijke gegevens van inwoners van de EU blijven verwerken zonder te voldoen aan de databeschermingsgaranties van de AVG.

---

Deze inhoud is automatisch vertaald met behulp van machinevertaling. De originele versie is beschikbaar in de brontaal.