image

Clearview AI krijgt opnieuw boete van 20 miljoen euro voor overtreden GDPR

woensdag 13 juli 2022, 16:14 door Redactie, 9 reacties

Gezichtsherkenningsbedrijf Clearview AI heeft opnieuw een boete van 20 miljoen euro gekregen voor het overtreden van de Europese privacywetgeving GDPR. Na een eerste boete van 20 miljoen euro van de Italiaanse privacytoezichthouder besloot de Griekse privacytoezichthouder een zelfde boete op te leggen. Dat meldt privacyorganisatie noyb.

Noyb besloot samen met een alliantie van andere organisaties vorig jaar een reeks klachten tegen Clearview in te dienen. Clearview beschikt over een systeem met twintig miljard afbeeldingen van gezichten. Daarmee kunnen politiediensten onbekende verdachten herkennen. Meer dan zeshonderd Amerikaanse politie- en opsporingsdiensten zouden van Clearview gebruik hebben gemaakt. Het bedrijf wil de database uitbreiden naar honderd miljard gezichtsafbeeldingen, wat neerkomt op veertien foto's voor elk persoon op aarde.

Naar aanleiding van klachten stelden de Italiaanse en Griekse privacytoezichthouders een onderzoek naar Clearview AI in. Daaruit bleek dat het bedrijf biometrische en locatiegegevens van Italiaanse en Griekse burgers illegaal verwerkt. Ook heeft het de GDPR overtreden door gebruikers niet adequaat te informeren, het niet beperken van de gegevensverwerking en het niet hebben van een dataretentiebeleid. Vanwege de overtredingen besloten de toezichthouders elk een boete van 20 miljoen euro op te leggen.

"De uitspraak is duidelijk: de GDPR is van toepassing omdat Clearview AI zijn software gebruikt om het gedrag van mensen in Griekenland te monitoren, ook al is het bedrijf gevestigd in de VS en biedt het zijn diensten niet aan in Griekenland of de EU. Het verzamelen van beelden voor een biometrische zoekmachine is illegaal. Niet alleen zou Clearview nu alle tot nu toe verzamelde afbeeldingen van Griekse burgers moeten verwijderen, maar ook de biometrische informatie die nodig is om naar een specifiek gezicht te zoeken", aldus noyb.

De Griekse privacytoezichthouder oordeelde ook dat Clearview een Europese vertegenwoordiger moet aanwijzen, zodat Europese burgers eenvoudiger hun rechten kunnen uitoefenen en toezichthouders een contractpersoon in de EU hebben.

Reacties (9)
13-07-2022, 16:34 door karma4
Meerdere toezichthouders die aan één bedrijf een boete opleggen?
Dat zou volgens de uitgangspunten van de GDPR niet mogelijk moeten zijn. Als het geen vestiging in Europa heeft dan kan het ook geen postie als verwerker hebben. Vreemd want met Google en verwijderingsverzoeken is alles wat buiten de EU gevonden kan worden niet onder de GDPR van toepassing ook als betreft het een burger van de EU.
13-07-2022, 17:29 door Anoniem
Waarom ontbreken er alweer een paar nullen in die boeten?
Wederom: veel en veel te laag :(
13-07-2022, 18:05 door Anoniem
Ik zet mijn gezicht niet meer online! Beter mijn intieme delen! Die staan zelfs in mijn paspoort terwijl geen functionaris ze ooit heeft gezien. Ik kan je vertellen, er heeft nog nooooooit niemand nergens naar durven kijken om mijn ID vast te stellen op die twee of drie bitjes data. Vanaf mijn geboorte tot mijn laatste pas aanvraag. Ik durf het zelf niet eens aan te bieden voor controle want op zich heb ik er geen moeite mee. Maar je wilt toch ook beleefd blijven en niemand in verlegenheid brengen. Het zit daar allemaal belangrijk te wezen in die uniformen en achter die loketjes. Maar ook daar is de lef eindig!

Veiliger kan ik het niet bedenken.

Pakkans NULL.
13-07-2022, 22:07 door Anoniem
Door karma4: Meerdere toezichthouders die aan één bedrijf een boete opleggen?
Dat zou volgens de uitgangspunten van de GDPR niet mogelijk moeten zijn. Als het geen vestiging in Europa heeft dan kan het ook geen postie als verwerker hebben. Vreemd want met Google en verwijderingsverzoeken is alles wat buiten de EU gevonden kan worden niet onder de GDPR van toepassing ook als betreft het een burger van de EU.

De GDPR is van toepassing op alle data over / van EU burgers, juist ook als hun data of data over hen zich buiten de EU bevindt. Dat is precies waarom eerder het PrivacyShield om zeep is geholpen door het EU hof.

Om die reden hoeft een verwerker (of zelfs maar verwerkingsverantwoordelijke) zich niet uitsluitend in de EU te bevinden.
14-07-2022, 00:18 door Power2All - Bijgewerkt: 14-07-2022, 00:21
Door karma4: Meerdere toezichthouders die aan één bedrijf een boete opleggen?
Dat zou volgens de uitgangspunten van de GDPR niet mogelijk moeten zijn. Als het geen vestiging in Europa heeft dan kan het ook geen postie als verwerker hebben. Vreemd want met Google en verwijderingsverzoeken is alles wat buiten de EU gevonden kan worden niet onder de GDPR van toepassing ook als betreft het een burger van de EU.

https://www.grcworldforums.com/privsec-world-forum/can-european-regulators-stop-clearview-ai/5617.article

Helaas denken ze ook onderuit te komen, maar de GDPR is veel meer dan alleen maar wat je denkt ;)

Legally speaking, Clearview AI is arguably missing the point.

“They dispute the applicability of GDPR to their activities, arguing that they’re based in the US,” said Privacy International’s Audibert.

“But GDPR was drafted specifically to protect all people in Europe against abuse of their data, including by companies that do not do business in Europe.”

The GDPR’s broad territorial reach extends to companies based overseas if they “monitor the behaviour” of people in the EU or the UK. Several European regulators have asserted that this provision applies to Clearview AI’s activities (though this has yet to be tested in court).

And legal text aside, it remains unclear how European regulators can enforce their orders against Clearview AI—or recover the millions of dollars they assert the company owes them.

The walls are closing in on Clearview AI outside of Europe, too, with authorities in Canada and Australia also having found the company’s operations incompatible with their domestic privacy laws.

And Clearview AI also has legal issues at home.

In May 2020, the American Civil Liberties Union (ACLU) of Illinois launched a court case against Clearview AI under the state’s Biometric Information Processing Act (BIPA).

In a settlement with the ACLU in May 2022, Clearview AI agreed to several restrictions of its activities—including that it would not offer access to its database to any private entities across the whole of the US.
14-07-2022, 07:36 door Anoniem
Door karma4: Meerdere toezichthouders die aan één bedrijf een boete opleggen?
Dat zou volgens de uitgangspunten van de GDPR niet mogelijk moeten zijn. Als het geen vestiging in Europa heeft...
...dan kan er geen hoofdvestiging worden aangewezen en ook geen leidende toezichthoudende autoriteit. Als een bedrijf overslaat een (hoofd-)vestiging in de EU te hebben, dan sluit het zichzelf uit van het voordeel van een one-stop-shop-mechanisme.
...dan kan het ook geen postie als verwerker hebben.
Zeker wel. Artikel 3, lid 2b van de AVG: Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking verband houdt met het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.

Als het gemonitorde gedrag in de EU plaatsvindt hoeft de partij die het doet niet in de EU gevestigd te zijn, en is toch de AVG van toepassing.

Vreemd want met Google en verwijderingsverzoeken is alles wat buiten de EU gevonden kan worden niet onder de GDPR van toepassing ook als betreft het een burger van de EU.
Dat is iets dat de Franse toezichthouder wél van Google wilde maar waar het Europese Hof van Justitie niet in meeging. In die uitspraak speelde mee dat het recht op vergetelheid niet absoluut is en afgewogen moet worden tegen andere belangen. Die afweging viel voor het hof anders voor beschikbaarheid van deze gegevens buiten de EU dan voor beschikbaarheid erbinnen.

Verder zijn hier biometrische gegevens in het spel (gezichtsherkenning), en dat zijn bijzondere persoonsgegevens die onder een strikter regime vallen dan waar het bij Google om ging. Wat voor de ene categorie geldt hoeft niet voor de andere categorie te gelden. De vergelijking ermee gaat daarom mank.
14-07-2022, 07:59 door Anoniem
Door karma4: Meerdere toezichthouders die aan één bedrijf een boete opleggen?
Dat zou volgens de uitgangspunten van de GDPR niet mogelijk moeten zijn. Als het geen vestiging in Europa heeft dan kan het ook geen postie als verwerker hebben. Vreemd want met Google en verwijderingsverzoeken is alles wat buiten de EU gevonden kan worden niet onder de GDPR van toepassing ook als betreft het een burger van de EU.

Meerdere onjuistheden in deze reactie. Het one stop shop principe uit de AVG is afhankelijk van verwerkingsverantwoordelijken die een vestiging in een lidstaat hebben of een vertegenwoordiger aanwijzen. Doen ze dat niet is elke toezichthouder bevoegd om te handhaven op de overtredingen binnen hun eigen grenzen. Bovendien is Clearview AI geen verwerker maar een verwerkingsverantwoordelijke. Dat is een ander soort rol onder de AVG. Of de AVG van toepassing is is niet afhankelijk van het hebben van een vestiging in een lidstaat. Ook als je bijvoorbeeld het gedrag van betrokkenen in de Unie in de gaten houdt is de AVG van toepassing. Handhaving kan wel lastig zijn getuige de eerdere boetes voor Clearview AI die botweg genegeerd worden.
14-07-2022, 08:57 door Anoniem
De winst is hoger dan de boete. Men gaat gewoon door....lijkt wel een ubertje....of middelvinger
14-07-2022, 10:47 door Anoniem
Tijd voor de maximum boete.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.