Eddigi legnagyobb GDPR-bírságát kapta a Clearview AI

A világ egyik legnagyobb arcfelismerő-adatbázisát szállító amerikai Clearview AI startup mostanra már több mint 30 millió képet harácsolhatott össze magának az interneten szabadon elérhető szelfikből a felhasználók hozzájárulása nélkül, amiért eddigi legnagyobb adatvédelmi bírságát kapja az Európai Unióban.

A holland adatvédelmi hatóság, az Autoriteit Persoonsgegevens (AP) kedden közölte, hogy 30,5 millió eurós (kb. 11,9 milliárd forint) büntetést szabott ki a startupra az általános adatvédelmi rendelet (GDPR) megsértése miatt, miután sikerült megerősíteni, hogy az adatbázis jelentős számban holland állampolgárok képeit is tartalmazza. A holland adatvédelmi hatóság 2023 márciusában kezdte vizsgálni az ügyet, miután három holland állampolgár panaszt tett azzal kapcsolatban, hogy a vállalat nem teljesítette az adathozzáférési kérelmeiket. A holland hatóság további 5,1 millió euróval növelheti az összeget, amennyiben a cég nem tesz eleget a kéréseinek, így a teljes bírság elérheti a 35,6 millió eurót.

A Clearview AI szóvivője szerint a határozat jogellenes, és a korábbi eseteknél is közölt indokokat hozta elő: úgy gondolja, hogy mivel nincs üzlethelye Hollandiában vagy az EU-ban, és ügyfelei sincsenek a régióban,  nem tartozik a GDPR hatálya alá. A holland szabályozó szerint a startup nem lebbezhet fel a büntetés eltörléséért, mivel nem emelt kifogást a döntés ellen. Azt is érdemes megjegyezni, hogy a GDPR hatályát tekintve területen kívüli, vagyis az uniós polgárok személyes adatainak feldolgozására vonatkozik, bárhol is történik az adatkezelés.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

A ClearView-nak mondhatni a működésébe vannak kódolva a hasonló afférok, a New York-i székhelyű céget hasonló okból büntették meg korábban Nagy-Britanniában 17 millió angol fontra, emellett a cég működése több országban is kifejezetten tiltott, így többek közt Svédország, Franciaország és Ausztrália már korábban megtiltotta a ClearView számára, hogy a helyi lakosok képmásait bármilyen formában kezelje. 

A friss uniós bírság magasabb, mint a korábbi, szintén GDPR megsértéséért kirótt bírságok, melyek jelentős részét 2022-ben kapta a cég Franciaországban, Olaszországban, Görögországban és az Egyesült Királyságban.

A GDPR az uniós lakosok számára egy sor jogot biztosít a személyes adataik felett, többek közt az adataik másolatának kikérését vagy azok törlését, de a Clearview AI a panaszok szerint több alkalommal sem tett eleget az adatokra vonatkozó kérvényeknek. A további GDPR-sértések közé tartozik az adatbázis létrehozása az emberek biometrikus adatainak érvényes jogalap nélküli gyűjtése, de a cég az átláthatósági követelményeket sem teljesíti maradéktalanul. A társaság a határozat értelmében elmulasztotta tájékoztatni az érintett személyeket is, akiknek a személyes adatait felvette adatbázisába.