De Britse privacywaakhond ICO beboet gezichtsherkenningsdatabasebedrijf Clearview AI voor meer dan  7,5 miljoen pond en geeft opdracht om alle gegevens van inwoners van het Verenigd Koninkrijk uit de database te verwijderen. Het bedrijf biedt zonder toestemming van betrokkenen 20 miljard foto’s met persoonsgegevens te koop aan.

Het Information Commissioner’s Office (ICO) heeft Clearview AI een boete gegeven van 7.552.800 pond wegens het gebruik van afbeeldingen van mensen in het Verenigd Koninkrijk en elders, die zijn verzameld van internet en sociale media om een ​​wereldwijde online database te creëren die kan worden gebruikt voor gezichtsherkenning. De ICO heeft ook een handhavingsverklaring uitgevaardigd waarin het bedrijf wordt gelast om te stoppen met het verkrijgen en gebruiken van de persoonlijke gegevens van inwoners van het Verenigd Koninkrijk om die beschikbaar te stellen via internet. Alle gegevens van inwoners van het Verenigd Koninkrijk moeten uit de systemen worden verwijderd.

Gezamenlijk onderzoek
De ICO-handhavingsactie komt na een gezamenlijk onderzoek met het Office of the Australian Information Commissioner (OAIC), dat zich richtte op het gebruik van afbeeldingen van mensen door Clearview AI, gegevens die van internet worden gehaald en het gebruik van biometrische gegevens voor gezichtsherkenning. Clearview AI heeft meer dan 20 miljard afbeeldingen van de gezichten van mensen en gegevens verzameld van openbaar beschikbare informatie op internet en sociale-mediaplatforms over de hele wereld om een ​​online database te creëren. Mensen werden niet geïnformeerd dat hun afbeeldingen op deze manier werden verzameld of gebruikt. Het bedrijf biedt een service waarmee klanten, waaronder de politie, een afbeelding van een persoon kunnen uploaden naar de app van het bedrijf, die vervolgens wordt gecontroleerd op een overeenkomst met alle afbeeldingen in de database. De app geeft vervolgens een lijst met afbeeldingen die vergelijkbare kenmerken hebben als de foto die door de klant is aangeleverd, met een link naar de websites waar die afbeeldingen vandaan komen.

Aanzienlijke hoeveelheid gegevens
Gezien het grote aantal gebruikers van internet en sociale media in het VK, zal de database van Clearview AI waarschijnlijk een aanzienlijke hoeveelheid gegevens bevatten van inwoners van het Verenigd Koninkrijk, die zonder hun medeweten zijn verzameld. Hoewel Clearview AI zijn diensten niet langer aan Britse organisaties aanbiedt, heeft het bedrijf klanten in andere landen, dus het bedrijf gebruikt nog steeds persoonsgegevens van inwoners van het Verenigd Koninkrijk.

Internationale handhaving
John Edwards, UK Information Commissioner, zei: “Clearview AI heeft meerdere afbeeldingen van mensen over de hele wereld verzameld, ook in het Verenigd Koninkrijk, van verschillende websites en sociale-mediaplatforms, waardoor een database met meer dan 20 miljard afbeeldingen is ontstaan. Het bedrijf maakt niet alleen identificatie van die mensen mogelijk, maar volgt hun gedrag en biedt de informatie aan als een commerciële dienst. Dat is onaanvaardbaar. Daarom hebben we maatregelen genomen om mensen in het Verenigd Koninkrijk te beschermen door zowel het bedrijf te beboeten als een handhavingsbevel uit te vaardigen. “Mensen verwachten dat hun persoonlijke informatie wordt gerespecteerd, waar ter wereld hun gegevens ook worden gebruikt. Daarom hebben internationale bedrijven internationale handhaving nodig. Door met collega’s over de hele wereld samen te werken, konden we deze actie ondernemen en mensen beschermen tegen dergelijke opdringerige activiteiten. “Deze internationale samenwerking is essentieel om de privacyrechten van mensen in 2022 te beschermen. Dat betekent samenwerken met toezichthouders in andere landen, zoals we in dit geval hebben gedaan met onze Australische collega’s. En het betekent samenwerken met regelgevers in Europa, daarom ontmoet ik ze deze week in Brussel, zodat we kunnen samenwerken om wereldwijde privacyschendingen aan te pakken.”

Details van de overtredingen
De ICO heeft vastgesteld dat Clearview AI de Britse gegevensbeschermingswetten heeft geschonden door het nalaten om de informatie van mensen in het Verenigd Koninkrijk op een eerlijke en transparante manier te gebruiken, aangezien individuen niet op de hoogte zijn of redelijkerwijs niet kunnen verwachten dat hun persoonlijke gegevens op deze manier worden gebruikt. Andere punten zijn het niet hebben van een wettige reden voor het verzamelen van informatie van mensen en het niet hebben van een proces om te voorkomen dat de gegevens voor onbepaalde tijd worden bewaard. Ook wordt niet voldaan aan de hogere gegevensbeschermingsnormen die vereist zijn voor biometrische gegevens (geclassificeerd als ‘speciale categoriegegevens’ onder de AVG en de VK AVG) en wordt niet gereageerd op verzoeken om aanvullende persoonlijke informatie, inclusief foto’s, van mensen die vragen of ze in de database van Clearview AI staan. Dit kan een ontmoedigend effect hebben gehad op personen die bezwaar willen maken tegen het verzamelen en gebruiken van hun gegevens. Het gezamenlijke onderzoek werd uitgevoerd in overeenstemming met de Australische Privacywet en de Britse Data Protection Act 2018. Het werd ook uitgevoerd in het kader van de Global Cross Border Enforcement Cooperation Arrangement van de Global Privacy Assembly en de MOU tussen de ICO en de OAIC. Het is afwachten of Clearview AI gehoor zal geven aan de vorderingen. Dit is niet waarschijnlijk.