Grekland: Clearview AI bötfälls med 20 miljoner euro för överträdelser av principerna om lagenlighet och öppenhet

Den grekiska dataskyddsmyndigheten Hellenic Data Protection Authority (HDPA) har bötfällt Clearview AI Inc. med 20 miljoner euro för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att en registrerad, med hjälp av organisationen Homo Digitalis, lämnat in ett klagomål till HDPA samtidigt med fyra andra klagomål till tillsynsmyndigheterna i Österrike, Frankrike, Italien och Storbritannien. Enligt den registrerade har Clearview AI kränkt dennes rätt till tillgång enligt artikel 15 GDPR.

HDPA inledde en utredning och konstaterade initialt att Clearview AI brutit mot bestämmelserna i artiklarna 3.2 och 27 GDPR om GDPR:s territoriella räckvidd och den personuppgiftsansvariges skyldighet att utse en representant om denne inte är etablerad i EU, vilket Clearview AI invände mot. Clearview AI påpekade bland annat att företaget inte tillhandahåller produkter eller tjänster till registrerade inom EU och inte heller övervakar deras beteende, och att företaget endast tillhandahåller sina tjänster till brottsbekämpande organ utanför EU. HDPA delade emellertid inte denna bedömning då myndigheten anser att Clearview AI omfattas av dataskyddsförordningens tillämpningsområde i enlighet med artikel 3.2 (b) GDPR.

HDPA konstaterade vidare att Clearview AI brutit mot principen om laglighet enligt artiklarna 5.1 (a), 6 och 9 GDPR eftersom den behandling som utförs inte grundar sig på någon rättslig grund enligt artikel 6 GDPR, och inga undantag enligt artikel 9 GDPR om särskilda kategorier av uppgifter är tillämpliga. Clearview AI har även enligt HDPA brutit mot principen om öppenhet enligt artikel 5.1 (a) GDPR samt informationsskyldigheten i artikel 14 GDPR, eftersom Clearview AI underlåtit att på ett adekvat sätt informera de registrerade om insamlingen och användningen av deras personuppgifter. Därutöver konstaterade HDPA att Clearview AI inte tillgodosett den registrerade rätt till tillgång enligt artiklarna 12 och 15 GDPR.

För att komma fram till detta beslut tog HDPA hänsyn till försvårande omständigheter, bland annat den systematiska karaktären hos överträdelsen av principen om laglighet, det faktum att behandlingen av uppgifterna gällde särskilda kategorier av uppgifter, dvs. biometriska uppgifter, och Clearview AI:s bristande samarbete med HDPA.

Som ett resultat bötfällde HDPA Clearview AI med 20 miljoner euro. HDPA beordrade också Clearview AI att uppfylla sina skyldigheter i samband med utövandet av den registrerades rätt till tillgång, förbjöd vidare insamling och behandling av personuppgifter om personer som befinner sig i Grekland, samt beordrade att personuppgifter om registrerade som är bosatta i Grekland radera.

Mer information

Myndighet: Hellenic Data Protection Authority (HDPA)

Land: Grekland

Lagrum: Art. 5 GDPR, art. 6 GDPR, art. 9 GPDR, art. 12 GDPR, art. 14 GDPR, art. 15 GDPR, art. 27 GDPR

Sanktionsavgift: 20 000 000 euro

Mottagare: Clearview AI Inc.

Beslutsnummer: 35/2022

Beslutsdatum: 2022-07-13

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

14 MAR

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.

11 APR

Introduktion till Cyber Resilience Act

En genomgång av Cyber Resilience Act och hur du kan tillverka, distribuera och sälja produkter med digitala element på ett lagenligt sätt.