beleidsmonitor

Europa – Problemen voor gezichtsherkenningsbedrijf Clearview in Europa

Drie Europese gegevensbeschermingsautoriteiten (GBA's) hebben geoordeeld dat Clearview de Europese gegevensbeschermingsregels niet naleeft. Hoewel de hoofdredenering grotendeels dezelfde is, zijn er toch enkele verschillen in de respectievelijke beslissingen. Clearview is het niet eens met deze beslissingen aangezien het van mening is dat het geen activiteiten heeft in de EU. Hoe deze beslissingen zullen worden afgedwongen is echter een andere zaak.

Samenvatting

In een vorig bericht bespraken we het onwettig gebruik van Clearviews gezichtsherkenningssoftware door de Belgische federale politie. Nu bekijken we de beslissingen van de Franse (CNIL), Italiaanse (Garante per la protezione dei dati personali) en Britse (ICO) gegevensbeschermingsautoriteiten (gegevensbeschermingsautoriteiten) die hebben geoordeeld dat Clearview in strijd handelt met verschillende bepalingen van de AVG (en de GDPR UK voor de Britse betrokkenen).

Hoewel er enkele verschillen zijn in de beslissingen, zijn de belangrijkste motiveringen van de gegevensbeschermingsautoriteiten vergelijkbaar, namelijk een gebrek aan rechtsgrondslag, een gebrek aan transparantie en een schending van de rechten van de betrokkenen.

  • Gebrek aan rechtsgrond

Artikel 6 AVG bepaalt dat de verwerking van persoonsgegevens rechtmatig is indien en voor zover aan ten minste een van de in dat artikel genoemde voorwaarden is voldaan. Aangezien Clearview het internet afschraapt op zoek naar afbeeldingen van mensen, is het duidelijk dat mensen die op deze afbeeldingen te zien zijn, geen toestemming hebben gegeven. Andere rechtsgrondslagen, zoals wettelijke verplichting of vitaal belang, lijken ook hoogst onwaarschijnlijk. Dan blijft het gerechtvaardigde belang als enige mogelijke rechtsgrondslag over.

De CNIL verwijst naar advies 06/2014 van de voormalige groep werkgroep artikel 29, waarin wordt benadrukt dat "persoonsgegevens, ook als ze openbaar zijn gemaakt, nog steeds als persoonsgegevens worden beschouwd, en de verwerking ervan dus passende waarborgen blijft vereisen. Er is geen algemene toestemming om openbaar beschikbare persoonsgegevens te hergebruiken en verder te verwerken op grond van artikel 7 (f)".

Zelfs indien het rechtmatige belang van Clearview gebaseerd is op het economische belang dat zij aan haar gegevensbank ontleent, is bovendien een belangenafweging vereist tussen het belang en de rechten en vrijheden van de betrokkenen, waarbij rekening moet worden gehouden met de redelijke verwachtingen van de betrokkenen.

De CNIL beschouwt de verwerking door Clearview als zeer ingrijpend: zij verzamelt een grote hoeveelheid fotografische gegevens over een bepaalde persoon, samen met andere persoonsgegevens die verschillende aspecten van het privéleven aan het licht kunnen brengen. Ook moet worden nagegaan of de betrokkenen op het tijdstip en in de context van de verzameling van hun persoonsgegevens redelijkerwijs konden verwachten dat deze gegevens later door Clearview zouden worden verwerkt. Hoewel zij redelijkerwijs mogen verwachten dat derden van tijd tot tijd toegang zullen hebben tot de foto's in kwestie, volstaat het feit dat deze voor het publiek toegankelijk zijn niet om aan te nemen dat de betrokkenen redelijkerwijs mogen verwachten dat hun foto's in gezichtsherkenningssoftware zullen worden gebruikt.

Om deze redenen lijkt, gelet op al deze elementen, de inbreuk op de persoonlijke levenssfeer van natuurlijke personen disproportioneel te zijn tegenover de belangen van Clearview, met name haar commerciële en financiële belangen, en kan de rechtsgrond van het gerechtvaardigde belang van de onderneming niet worden aanvaard.

  • Gebrek aan transparantie en schending van de rechten van betrokkenen

Volgens de ICO is de verwerking door Clearview niet transparant omdat zij onzichtbaar is voor de betrokkenen, aangezien zij niet op de verwerking worden gewezen en redelijkerwijs niet zouden verwachten dat hun persoonsgegevens op deze wijze worden verwerkt. Zij voldoen ook niet aan artikel 14 AVG met betrekking tot het verstrekken van informatie aan betrokkenen, aangezien deze "niet op de hoogte zouden zijn van de verwerking door Clearview, tenzij zij toevallig op de website van Clearview zijn gestuit (waarop de verwerking in algemene bewoordingen wordt beschreven) en/of zij daarover toevallig berichten in de media hebben gelezen".

Zowel de Garante als de CNIL hebben hun onderzoek ingesteld naar aanleiding van klachten in verband met het recht van inzage (artikel 15 AVG). De klagers hebben de informatie niet tijdig ontvangen en hebben slechts gedeeltelijke informatie ontvangen. Bovendien heeft Clearview de uitoefening door de klagers van hun recht van inzage niet vergemakkelijkt, bijvoorbeeld door "pas na zeven brieven en meer dan vier maanden na haar eerste verzoek te antwoorden op het verzoek om toegang van de klager, en door een kopie van haar identiteitsbewijs te verlangen terwijl de klager reeds identificatiegegevens en een foto van zichzelf had verstrekt". Bovendien beperkte het privacybeleid van de onderneming de uitoefening van het recht van inzage tot persoonsgegevens die in de twaalf maanden voorafgaand aan het verzoek waren verzameld en beperkte het de uitoefening van dit recht tot tweemaal per jaar.

Ten slotte stelt de CNIL ook een schending van artikel 17 (het recht op vergetelheid, recht op gegevenswissing) vast omdat de klaagster geen antwoord van Clearview heeft ontvangen met betrekking tot de verwijdering van haar persoonsgegevens die zij had verzocht. Met betrekking tot dit recht heeft de ICO vastgesteld dat "hoewel Clearview vroeger een mechanisme heeft toegepast waardoor betrokkenen konden vragen hun persoonsgegevens uit de Clearview-databank te laten verwijderen, zij dit nu niet meer doet", wat impliceert dat de onderneming ook inbreuk maakt op artikel 17.

  • Andere overwegingen

De ICO en de Garante stelden ook een schending van het beginsel van opslagbeperking (artikel 5, lid 1, (e), AVG) vast. Het bedrijf heeft geen beleid voor het bewaren van gegevens, wat tot de overtuiging leidt dat persoonsgegevens voor onbepaalde tijd worden opgeslagen. Volgens de ICO blijkt uit haar bewijsmateriaal dat de omvang van de Clearview-databank blijft toenemen.

Bovendien stellen zij een schending vast van de verwerking van bijzondere categorieën van persoonsgegevens (artikel 9, lid 1, AVG). De verwerking door Clearview blijft niet beperkt tot het louter verzamelen van gegevens, maar bestaat ook uit verdere verwerking waardoor de verzamelde foto's "biometrische gegevens" worden en dus onder de strengere bescherming van artikel 9 AVG vallen. Om de verwerking van bijzondere categorieën van gegevens te rechtvaardigen, kan een verwerkingsverantwoordelijke zich nooit alleen beroepen op een rechtsgrondslag krachtens artikel 6 (supra), maar moet hij ook, cumulatief, de bepalingen van voornoemd artikel 9 toepassen om het relevante beschermingsniveau te waarborgen. Clearview heeft niet alleen geen rechtsgrond onder artikel 6, maar voldoet ook niet aan de voorwaarden van artikel 9, lid 2, AVG met betrekking tot haar verwerking van biometrische gegevens.

Ten slotte stelt de ICO vast dat de onderneming op geen enkel moment een gegevensbeschermingseffectbeoordeling (GBEB, artikel 35 AVG) heeft uitgevoerd met betrekking tot haar verwerking van de persoonsgegevens van inwoners van het Verenigd Koninkrijk. Uit de verklaringen blijkt ook niet dat Clearview van plan is dit op enig moment in de toekomst te doen.

In haar reactie op de uitspraken voert Clearview aan dat zij niet onder de GDPR (UK) valt omdat zij geen zaken doet in de landen waar zij is onderzocht. De Garante heeft Clearview dan ook gelast een vertegenwoordiger in de EU aan te wijzen "om de uitoefening van de rechten van betrokkenen te vergemakkelijken". Hoewel de GDPR een extraterritoriale reikwijdte heeft, valt nog af te wachten hoe sancties tegen buitenlandse entiteiten die geen lokale vestigingen of leidinggevenden in de EU hebben, zullen worden gehandhaafd.

Update:

October 2022: CNIL fines Clearview AI: https://techcrunch.com/2022/10...