Clearview AI krijgt opnieuw boete van 20 miljoen euro voor overtreden GDPR
Gezichtsherkenningsbedrijf Clearview AI heeft opnieuw een boete van 20 miljoen euro gekregen voor het overtreden van de Europese privacywetgeving GDPR. Na een eerste boete van 20 miljoen euro van de Italiaanse privacytoezichthouder besloot de Griekse privacytoezichthouder een zelfde boete op te leggen. Dat meldt privacyorganisatie noyb.
Noyb besloot samen met een alliantie van andere organisaties vorig jaar een reeks klachten tegen Clearview in te dienen. Clearview beschikt over een systeem met twintig miljard afbeeldingen van gezichten. Daarmee kunnen politiediensten onbekende verdachten herkennen. Meer dan zeshonderd Amerikaanse politie- en opsporingsdiensten zouden van Clearview gebruik hebben gemaakt. Het bedrijf wil de database uitbreiden naar honderd miljard gezichtsafbeeldingen, wat neerkomt op veertien foto's voor elk persoon op aarde.
Naar aanleiding van klachten stelden de Italiaanse en Griekse privacytoezichthouders een onderzoek naar Clearview AI in. Daaruit bleek dat het bedrijf biometrische en locatiegegevens van Italiaanse en Griekse burgers illegaal verwerkt. Ook heeft het de GDPR overtreden door gebruikers niet adequaat te informeren, het niet beperken van de gegevensverwerking en het niet hebben van een dataretentiebeleid. Vanwege de overtredingen besloten de toezichthouders elk een boete van 20 miljoen euro op te leggen.
"De uitspraak is duidelijk: de GDPR is van toepassing omdat Clearview AI zijn software gebruikt om het gedrag van mensen in Griekenland te monitoren, ook al is het bedrijf gevestigd in de VS en biedt het zijn diensten niet aan in Griekenland of de EU. Het verzamelen van beelden voor een biometrische zoekmachine is illegaal. Niet alleen zou Clearview nu alle tot nu toe verzamelde afbeeldingen van Griekse burgers moeten verwijderen, maar ook de biometrische informatie die nodig is om naar een specifiek gezicht te zoeken", aldus noyb.
De Griekse privacytoezichthouder oordeelde ook dat Clearview een Europese vertegenwoordiger moet aanwijzen, zodat Europese burgers eenvoudiger hun rechten kunnen uitoefenen en toezichthouders een contractpersoon in de EU hebben.
Dat zou volgens de uitgangspunten van de GDPR niet mogelijk moeten zijn. Als het geen vestiging in Europa heeft dan kan het ook geen postie als verwerker hebben. Vreemd want met Google en verwijderingsverzoeken is alles wat buiten de EU gevonden kan worden niet onder de GDPR van toepassing ook als betreft het een burger van de EU.
Wederom: veel en veel te laag :(
Veiliger kan ik het niet bedenken.
Pakkans NULL.
Dat zou volgens de uitgangspunten van de GDPR niet mogelijk moeten zijn. Als het geen vestiging in Europa heeft dan kan het ook geen postie als verwerker hebben. Vreemd want met Google en verwijderingsverzoeken is alles wat buiten de EU gevonden kan worden niet onder de GDPR van toepassing ook als betreft het een burger van de EU.
De GDPR is van toepassing op alle data over / van EU burgers, juist ook als hun data of data over hen zich buiten de EU bevindt. Dat is precies waarom eerder het PrivacyShield om zeep is geholpen door het EU hof.
Om die reden hoeft een verwerker (of zelfs maar verwerkingsverantwoordelijke) zich niet uitsluitend in de EU te bevinden.
Dat zou volgens de uitgangspunten van de GDPR niet mogelijk moeten zijn. Als het geen vestiging in Europa heeft dan kan het ook geen postie als verwerker hebben. Vreemd want met Google en verwijderingsverzoeken is alles wat buiten de EU gevonden kan worden niet onder de GDPR van toepassing ook als betreft het een burger van de EU.
https://www.grcworldforums.com/privsec-world-forum/can-european-regulators-stop-clearview-ai/5617.article
Helaas denken ze ook onderuit te komen, maar de GDPR is veel meer dan alleen maar wat je denkt ;)
“They dispute the applicability of GDPR to their activities, arguing that they’re based in the US,” said Privacy International’s Audibert.
“But GDPR was drafted specifically to protect all people in Europe against abuse of their data, including by companies that do not do business in Europe.”
The GDPR’s broad territorial reach extends to companies based overseas if they “monitor the behaviour” of people in the EU or the UK. Several European regulators have asserted that this provision applies to Clearview AI’s activities (though this has yet to be tested in court).
And legal text aside, it remains unclear how European regulators can enforce their orders against Clearview AI—or recover the millions of dollars they assert the company owes them.
And Clearview AI also has legal issues at home.
In May 2020, the American Civil Liberties Union (ACLU) of Illinois launched a court case against Clearview AI under the state’s Biometric Information Processing Act (BIPA).
In a settlement with the ACLU in May 2022, Clearview AI agreed to several restrictions of its activities—including that it would not offer access to its database to any private entities across the whole of the US.
Dat zou volgens de uitgangspunten van de GDPR niet mogelijk moeten zijn. Als het geen vestiging in Europa heeft...
Als het gemonitorde gedrag in de EU plaatsvindt hoeft de partij die het doet niet in de EU gevestigd te zijn, en is toch de AVG van toepassing.
Verder zijn hier biometrische gegevens in het spel (gezichtsherkenning), en dat zijn bijzondere persoonsgegevens die onder een strikter regime vallen dan waar het bij Google om ging. Wat voor de ene categorie geldt hoeft niet voor de andere categorie te gelden. De vergelijking ermee gaat daarom mank.
Dat zou volgens de uitgangspunten van de GDPR niet mogelijk moeten zijn. Als het geen vestiging in Europa heeft dan kan het ook geen postie als verwerker hebben. Vreemd want met Google en verwijderingsverzoeken is alles wat buiten de EU gevonden kan worden niet onder de GDPR van toepassing ook als betreft het een burger van de EU.
Meerdere onjuistheden in deze reactie. Het one stop shop principe uit de AVG is afhankelijk van verwerkingsverantwoordelijken die een vestiging in een lidstaat hebben of een vertegenwoordiger aanwijzen. Doen ze dat niet is elke toezichthouder bevoegd om te handhaven op de overtredingen binnen hun eigen grenzen. Bovendien is Clearview AI geen verwerker maar een verwerkingsverantwoordelijke. Dat is een ander soort rol onder de AVG. Of de AVG van toepassing is is niet afhankelijk van het hebben van een vestiging in een lidstaat. Ook als je bijvoorbeeld het gedrag van betrokkenen in de Unie in de gaten houdt is de AVG van toepassing. Handhaving kan wel lastig zijn getuige de eerdere boetes voor Clearview AI die botweg genegeerd worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.