Den grekiska dataskyddsmyndigheten Hellenic Data Protection Authority (HDPA) har bötfällt Clearview AI Inc. med 20 miljoner euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad, med hjälp av organisationen Homo Digitalis, lämnat in ett klagomål till HDPA samtidigt med fyra andra klagomål till tillsynsmyndigheterna i Österrike, Frankrike, Italien och Storbritannien. Enligt den registrerade har Clearview AI kränkt dennes rätt till tillgång enligt artikel 15 GDPR.
HDPA inledde en utredning och konstaterade initialt att Clearview AI brutit mot bestämmelserna i artiklarna 3.2 och 27 GDPR om GDPR:s territoriella räckvidd och den personuppgiftsansvariges skyldighet att utse en representant om denne inte är etablerad i EU, vilket Clearview AI invände mot. Clearview AI påpekade bland annat att företaget inte tillhandahåller produkter eller tjänster till registrerade inom EU och inte heller övervakar deras beteende, och att företaget endast tillhandahåller sina tjänster till brottsbekämpande organ utanför EU. HDPA delade emellertid inte denna bedömning då myndigheten anser att Clearview AI omfattas av dataskyddsförordningens tillämpningsområde i enlighet med artikel 3.2 (b) GDPR.
HDPA konstaterade vidare att Clearview AI brutit mot principen om laglighet enligt artiklarna 5.1 (a), 6 och 9 GDPR eftersom den behandling som utförs inte grundar sig på någon rättslig grund enligt artikel 6 GDPR, och inga undantag enligt artikel 9 GDPR om särskilda kategorier av uppgifter är tillämpliga. Clearview AI har även enligt HDPA brutit mot principen om öppenhet enligt artikel 5.1 (a) GDPR samt informationsskyldigheten i artikel 14 GDPR, eftersom Clearview AI underlåtit att på ett adekvat sätt informera de registrerade om insamlingen och användningen av deras personuppgifter. Därutöver konstaterade HDPA att Clearview AI inte tillgodosett den registrerade rätt till tillgång enligt artiklarna 12 och 15 GDPR.
För att komma fram till detta beslut tog HDPA hänsyn till försvårande omständigheter, bland annat den systematiska karaktären hos överträdelsen av principen om laglighet, det faktum att behandlingen av uppgifterna gällde särskilda kategorier av uppgifter, dvs. biometriska uppgifter, och Clearview AI:s bristande samarbete med HDPA.
Som ett resultat bötfällde HDPA Clearview AI med 20 miljoner euro. HDPA beordrade också Clearview AI att uppfylla sina skyldigheter i samband med utövandet av den registrerades rätt till tillgång, förbjöd vidare insamling och behandling av personuppgifter om personer som befinner sig i Grekland, samt beordrade att personuppgifter om registrerade som är bosatta i Grekland radera.