Datenschutzbehörde (DSB) konstaterar att Clearview AI:s behandling av personuppgifter strider mot dataskyddsförordningen (GDPR) och beordrar företaget att radera en registrerads personuppgifter
Av beslutet framgår att Clearview är ett USA-baserat företag vars verksamhet består i att skrapa webben för att samla in bilder från flera källor, hitta korrelationer mellan bilder och indexera dem. Den databas som skapas på detta sätt får Clearviews kunder tillgång till genom att ladda upp en bild på de personer som kunderna söker. På så sätt får kunderna tillgång till andra bilder och relaterade webbadresser.
Den registrerade lämnade in ett klagomål till DSB. Enligt den registrerade har Clearview olagligen behandlat personuppgifter utan rättslig grund i strid med artikel 6.1 och artikel 9 GDPR. Clearview bröt också mot principen om ändamålsbegränsning enligt artikel 5.1 (b) GDPR och artikel 27.2 GDPR eftersom företaget inte hade en representant i EU. Den registrerade ville att DSB skulle förbjuda behandlingen av den registrerades uppgifter, samt att förhindra Clearview från att behandla personuppgifter för andra personer som bor i EU.
Clearview hävdade att dataskyddsförordningen inte var tillämplig, eftersom Clearview inte hade någon etablering i EU, inte erbjöd varor eller tjänster i EU och inte heller övervakade personer i EU. Clearview hävdade att företagets sökverktyg gav tillgång till färre personuppgifter än en sökning på allmänna sökmotorer. Clearview analyserade inte beteendet hos de registrerade vars bild samlades in och profilerade dem inte heller på något sätt. Clearview spårade inte heller användarnas aktiviteter på internet.
Den registrerade svarade att en serie länkade bilder inte var något annat än en annan form av övervakning. Dessutom skedde skrapningen och indexeringen av nya bilder som rörde enskilda personer kontinuerligt, så snart ett nytt foto dök upp på internet samlades det in av Clearview för att uppdatera denna övervakning. En jämförelse med allmänna sökmotorer var felaktig, eftersom Clearview använde ett biometriskt kriterium och sökningen endast gav bilder av den personen. Om man däremot skriver in en persons namn på sökmotorer som Google får man även tillgång till information som inte är relaterad till den personen.
DSB konstaterade att dataskyddsförordningen var tillämplig på de aktuella omständigheterna och tog upp frågan om artikel 3.2 (b) GDPR omfattade Clearviews behandling av personuppgifter. DSB betonade att artikel 3.2 GDPR är mycket bred i sin formulering, inte bara behandlingar som direkt syftar till övervakning, utan även behandlingar relaterade till övervakningen omfattas. Enligt DSB faller både profilering och spårning inom kategorin övervakning. Av dessa skäl omfattades Clearview av dataskyddsförordningen.
DSB konstaterade att Clearview brutit mot principen om ändamålsbegränsning enligt artikel 5.1 (b) GDPR eftersom det ändamål för vilket Clearview behandlade personuppgifter skilde sig från de ändamål för vilka uppgifterna publicerades på internet. Clearview bröt också mot principerna om rättvisa och öppenhet enligt artikel 5.1 (a) GDPR eftersom den registrerade inte kunde förvänta sig att dennes uppgifter lämnades ut till Clearviews kunder, framför allt brottsbekämpande myndigheter. DSB konstaterade vidare att artikel 9 GDPR överträtts genom att Clearview behandlat särskilda kategorier av uppgifter (biometriska uppgifter).
Mot denna bakgrund konstaterade DSB att Clearviews behandling av personuppgifter var olaglig och beordrade företaget att radera den registrerades personuppgifter. DSB beslutade dock inte om ett förbud gällande Clearviews verksamhet i EU i enlighet med artikel 58.2 (f) GDPR, utan ansåg att raderingen var tillräcklig för att tillämpa kraven i dataskyddsförordningen.