Autoriteit Persoonsgegevens (AP) har utfärdat en sanktionsavgift på 30,5 miljoner euro mot Clearview AI Inc. för överträdelse av dataskyddsförordningen (GDPR).
Av beslutet framgår att Clearview tillhandahåller tjänster för ansiktsigenkänning. Företaget erbjuder bland annat en tjänst som kallas “Clearview for law-enforcement and public defenders”. Tjänsten gör det möjligt för regeringar och utredningsmyndigheter att söka efter bilder i en databas. Användaren av tjänsten kan på så sätt ladda upp en bild på en registrerad och ta reda på vilka andra bilder i databasen som visar samma registrerade.
Clearview har skapat databasen genom att skapa bilder som laddats upp på internet, inklusive bilder på sociala medieplattformar. Clearview har inte gjort några inga begränsningar vad gäller geografiskt läge eller nationalitet, så även personuppgifter som rör registrerade inom EU/EES. Databasen innehåller i dagsläget över 30 miljarder bilder. Registrerade har noterat att deras bild fanns med i Clearviews databas och lämnade in ett klagomål till AP. AP beslutade att inleda en utredning på eget initiativ i ärendet.
Efter en genomgång av ärendet konstaterade AP att:
- Clearviews behandling av personuppgifter i syfte att tillhandahålla denna tjänst omfattas av det territoriella tillämpningsområdet enligt artikel 3.2 GDPR.
- De uppgifter som behandlades av Clearview omfattas av definitionen av biometriska uppgifter enligt artikel 4.14 GDPR.
- Clearview bestämmer ändamålen och medlen för denna behandling och ska betraktas som personuppgiftsansvarig enligt artikel 4.7 GDPR.
- Clearview inte åberopa den rättsliga grund som anges i artikel 6.1 (f) GDPR för denna behandling, vilket innebar att agerat i strid med artiklarna 5.1 och 6.1 GDPR.
- Den aktuella behandlingen omfattar biometriska uppgifter och därför är förbjuden enligt artikel 9.1 GDPR.
- Clearview brutit mot artiklarna 12.1 och 14 GDPR eftersom företaget inte gett de registrerade den information som föreskrivs i artikel 14 GDPR.
- Clearview uttryckligen angett att företaget inte besvarar förfrågningar om tillgång som görs av registrerade inom EES, vilket utgör en överträdelse av artikel 12.3 GDPR jämförd med artikel 15 GDPR.
- Clearview inte utsett skriftligen utse en företrädare i unionen vilket utgör en överträdelse av artikel 27 GDPR.
På dessa grunder utfärdade AP en sanktionsavgift på 30,5 miljoner euro. Dessutom förelades Clearview att upphöra med behandlingen av nederländska registrerades personuppgifter och att ta bort de personuppgifter som Clearview olagligen erhållit, att förse de registrerade med den information som avses i artikel 14 GDPR i en kortfattad, transparent, begriplig och lättillgänglig form, att besvara de registrerades förfrågningar, samt att utse en företrädare i EU. Slutligen förelades Clearview att följa bestämmelserna inom tre månader, annars fastställs ett vite på 250 000 euro per månad för var och en av de tidigare korrigerande åtgärderna.