Commission Nationale de l’Informatique et des Libertés (CNIL) har bötfällt Clearview AI Inc. med 20 miljoner euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att CNIL och flera andra europeiska dataskyddsmyndigheter tagit emot klagomål om Clearview AI:s användning av programvara för ansiktsigenkänning. Enligt CNIL har myndigheten dessutom tagit emot klagomål från registrerade under perioden maj till december 2020 om svårigheter som de stött på när de utövade sina rättigheter enligt dataskyddsförordningen, särskilt rätten till tillgång och rätten till radering.
Enligt CNIL bygger Clearview AI:s programvara för ansiktsigenkänning på systematisk och omfattande insamling av bilder med ansikten. Dessa uppgifter används därefter för kommersiella ändamål, bland annat för att tillhandahålla uppgifter till brottsbekämpande myndigheter i USA. Enligt CNIL har Clearview AI inte inhämtat ett samtycke från de personer vars personuppgifter behandlats, varför företaget brutit mot artikel 6 GDPR då det saknas en rättslig grund för behandling av personuppgifter.
CNIL påpekade vidare att Clearview AI inte svarat effektivt på de registrerades förfrågningar om tillgång och inte underlättat rättigheten i tillämpliga fall, då företaget i vissa fall besvarade registrerades förfrågningar först efter sju brev och fyra månader efter det att de första förfrågningarna gjorts. Enligt CNIL har Clearview AI inte uppfyllt företagets skyldighet att underlätta rätten till tillgång och därutöver även avstått från att ge registrerade tillfredsställande svar, vilket innebär en överträdelse av artiklarna 12 och 15 GDPR. CNIL konstaterade dessutom att Clearview AI inte svarat på registrerades begäran om att radera deras personuppgifter, varför företaget brutit mot artikel 17 GDPR.
Slutligen konstaterade CNIL att Clearview AI inte svarat på CNIL:s begäran om samarbete inom den fastställda tidsramen och att företaget inte lämnat in några synpunkter på myndighetens frågor i ärendet, inklusive ett formellt frågeformulär som Clearview AI endast delvis besvarat. Enligt CNIL har Clearview AI därmed brutit mot artikel 31 GDPR genom att underlåta att samarbeta med tillsynsmyndigheten.
Mot bakgrund av ovanstående bötfälldes Clearview AI med 20 miljoner euro. CNIL utfärdade också ett föreläggande om att Clearview AI inte fick fortsätta att behandla och samla in personuppgifter om registrerade på franskt territorium, samt beordrade företaget att radera personuppgifter om personer vars personuppgifter samlats in eller behandlats, med särskild hänsyn tagen till dem som har begärt att deras personuppgifter ska raderas.
CNIL ålade även Clearview AI ett vite på 10 000 euro per dag från och med två månader efter offentliggörandet av beslutet för det fallet företaget underlåter att genomföra ovanstående krav.