Den italienska dataskyddsmyndigheten Garante per la protezione dei dati personali (Garante) har bötfällt Clearview AI, Inc. med 20 miljoner euro för överträdelse av artiklarna 5.1 (a), (b) och (e), 6, 9, 12-15 och 27 i dataskyddsförordningen (GDPR).
Av beslutet framgår att Garante inlett en granskning av Clearview AI till följd av medias rapportering om företaget samt de klagomål som kommit in från enskilda. Enligt Garante har myndigheten också fått in rapporter från två organisationer som engagerar e sig i att försvara individers integritet och grundläggande rättigheter.
Clearview AI, ett företag med huvudkontor i USA, äger enligt Garante en databas som innehåller över 10 miljarder ansiktsbilder från personer över hela världen, vilka hämtas från offentliga webbkällor genom webbskrapning. Enligt Garante erbjuder Clearview AI en söktjänst som gör det möjligt att med hjälp av AI-system skapa profiler på grundval av biometriska uppgifter från bilderna och tillhörande metadata. Detta innebär att varje bild kan berikas med tillhörande metadata som till exempel bildens eller webbsidans titel, länken till källan, geolokalisering, kön, födelsedatum, nationalitet och språk. När programvaran identifierar en matchning extraherar den alla relaterade bilder från databasen och presenterar dem för tjänstens kund som ett resultat av sökningen tillsammans med metadata och tillhörande länkar, vilket gör det möjligt att spåra tillbaka till varje enskild källsida. En bild som samlas in på detta sätt finns därefter kvar i databasen även om originalfotot eller referenswebbsidan senare tas bort eller görs privat.
De klagomål som tagits emot gäller enligt Garante olika typer av olaglig behandling av uppgifter som Clearview AI utfört, bland annat underlåtenhet att svara på registrerades begäran om tillgång till uppgifter enligt artikel 15 GDPR och avsaknaden av registrerades samtycke till företagets behandling av personuppgifter. Enligt Garante har endast några av de klagande som kontaktat Clearview AI fått en rapport som bekräftat att Clearview AI inkluderat deras bilder i företagets databas.
Med anledning av ovanstående beslutade Garante att titta närmare på om dataskyddsförordningen var tillämplig på den behandling som Clearview AI utfört. Granskningen gjordes som svar på Clearview AI:s upprepade uttalanden om att behandlingen inte omfattas av det aktuella regelverket.
Enligt Garante har Clerview AI, som företaget också medgett, erbjudit sina tjänster inom EU. Den databas som skapats har, i motsats till vad Clearview AI påstått, inte endast genomfört enkla klassificeringer av individer på grundval av kända egenskaper såsom ålder, kön och längd. Clerview AI har i stället genomfört behandlingar som bestått i att extrahera biometriska uppgifter från bilder som samlats in på webben och använt dessa i jämförande syfte. Enligt Garante är en sådan verksamhet jämförbar med den övervakning av de registrerades beteenden som sker genom spårning på internet och efterföljande profilering. Garante fastställde därför att dataskyddsförordningen var tillämplig på behandlingen i fråga i enlighet med artikel 3.2 GDPR.
På grundval av de uppgifter som erhållits i samband med granskningen fastställde Garante följaktligen att de personuppgifter som Clearview AI innehar, inklusive biometrisk information och information om geolokalisering, behandlats i strid med:
- Artiklarna 5.1 (a), (b) och (e) GDPR eftersom Clearview AI underlåtit att informera de registrerade på ett adekvat sätt, behandlat de registrerades uppgifter för andra ändamål än de för vilka de hade gjorts tillgängliga online och inte fastställt någon lagringstid för uppgifterna.
- Artikel 6 GDPR eftersom den enda rättsliga grunden som kunde rättfärdiga behandlingen i fråga var Clearview AI:s berättigade intresse. Garante ansåg dock att detta intresse var rent ekonomiskt och därmed inte vägde tyngre än de registrerades rättigheter och friheter, särskilt med tanke på att behandlingen var särskilt ingripande i de registrerades privatsfär.
- Artikel 9 GDPR eftersom Clearview AI:s behandling av biometriska uppgifter inte uppfyllde något av de undantag från det allmänna förbudet mot behandling av känsliga uppgifter.
- Artikel 12 GDPR på grund av de otillräckliga svaren som de klagande fått, den omotiverade fördröjningen av svaren och Clearview AI:s överdrivna krav på att kontrollera de klagandes identitet.
- Artiklarna 13 och 14 GDPR eftersom integritetspolicyn på Clearview AI:s webbplats saknade väsentliga delar, såsom en specifik angivelse av det berättigade intresse som företaget har eller en specifikation över lagringstider.
- Artikel 15 GDPR eftersom den klagande inte fått exakt och öppen information på sätt som anges i förordningen.
- Artikel 27 GDPR eftersom Clearview AI inte utsett en företrädare i EU.
Med tanke på arten av de inträffade överträdelserna beslutade Garante att bötfälla Clerview AI med 20 miljoner euro. Vid bedömningen av bötesbeloppet tog Garante bland annat hänsyn till följande:
- Att överträdelserna var systematiska och hade fortsatt även efter det att tjänsten inte längre erbjöds till kunder etablerade i EU.
- Det höga antalet berörda registrerade. Även om siffran inte var exakt kvantifierbar ansåg Garante att det var rimligt att anta att den olagliga behandlingen potentiellt omfattade alla fysiska personer som befinner sig i Italien och som är närvarande på internet.
- Clearview AI:s höga grad av ansvar, eftersom företaget fortsatte behandlingen trots flera dataskyddsmyndigheters ingripanden.
Därutöver ålade Garante Clearview AI att radera uppgifter om enskilda personer i Italien, att upphöra med all fortsatt insamling och behandling av personuppgifter genom sitt system för ansiktsigenkänning, samt att inom 30 dagar utse en representant i EU. Slutligen krävde Garante att Clarview AI inom 30 dagar skulle meddela vilka åtgärder som vidtagits för att följa myndighetens beslut.