Eddigi legnagyobb GDPR-bírságát kapta a Clearview AI

A világ egyik legnagyobb arcfelismerő-adatbázisát szállító amerikai Clearview AI startup mostanra már több mint 30 millió képet harácsolhatott össze magának az interneten szabadon elérhető szelfikből a felhasználók hozzájárulása nélkül, amiért eddigi legnagyobb adatvédelmi bírságát kapja az Európai Unióban.

A holland adatvédelmi hatóság, az Autoriteit Persoonsgegevens (AP) kedden közölte, hogy 30,5 millió eurós (kb. 11,9 milliárd forint) büntetést szabott ki a startupra az általános adatvédelmi rendelet (GDPR) megsértése miatt, miután sikerült megerősíteni, hogy az adatbázis jelentős számban holland állampolgárok képeit is tartalmazza. A holland adatvédelmi hatóság 2023 márciusában kezdte vizsgálni az ügyet, miután három holland állampolgár panaszt tett azzal kapcsolatban, hogy a vállalat nem teljesítette az adathozzáférési kérelmeiket. A holland hatóság további 5,1 millió euróval növelheti az összeget, amennyiben a cég nem tesz eleget a kéréseinek, így a teljes bírság elérheti a 35,6 millió eurót.

A Clearview AI szóvivője szerint a határozat jogellenes, és a korábbi eseteknél is közölt indokokat hozta elő: úgy gondolja, hogy mivel nincs üzlethelye Hollandiában vagy az EU-ban, és ügyfelei sincsenek a régióban,  nem tartozik a GDPR hatálya alá. A holland szabályozó szerint a startup nem lebbezhet fel a büntetés eltörléséért, mivel nem emelt kifogást a döntés ellen. Azt is érdemes megjegyezni, hogy a GDPR hatályát tekintve területen kívüli, vagyis az uniós polgárok személyes adatainak feldolgozására vonatkozik, bárhol is történik az adatkezelés.

Gyere el az AWS Hungary első felhőmigrációs rendezvényére! (x) Nemzetközi előadók, és valódi hazai tapasztalatok a személyes találkozás lehetőségével - szeptember 20-án a MagNet Házban.

A ClearView-nak mondhatni a működésébe vannak kódolva a hasonló afférok, a New York-i székhelyű céget hasonló okból büntették meg korábban Nagy-Britanniában 17 millió angol fontra, emellett a cég működése több országban is kifejezetten tiltott, így többek közt Svédország, Franciaország és Ausztrália már korábban megtiltotta a ClearView számára, hogy a helyi lakosok képmásait bármilyen formában kezelje. 

A friss uniós bírság magasabb, mint a korábbi, szintén GDPR megsértéséért kirótt bírságok, melyek jelentős részét 2022-ben kapta a cég Franciaországban, Olaszországban, Görögországban és az Egyesült Királyságban.

A GDPR az uniós lakosok számára egy sor jogot biztosít a személyes adataik felett, többek közt az adataik másolatának kikérését vagy azok törlését, de a Clearview AI a panaszok szerint több alkalommal sem tett eleget az adatokra vonatkozó kérvényeknek. A további GDPR-sértések közé tartozik az adatbázis létrehozása az emberek biometrikus adatainak érvényes jogalap nélküli gyűjtése, de a cég az átláthatósági követelményeket sem teljesíti maradéktalanul. A társaság a határozat értelmében elmulasztotta tájékoztatni az érintett személyeket is, akiknek a személyes adatait felvette adatbázisába.