İnsanların rızaları olmadan internetten çektikleri özçekimleri tarayarak 30 milyon görselden oluşan aranabilir bir veri tabanı oluşturan, ABD merkezli tartışmalı yüz tanıma girişimi Clearview AI, Avrupa’da bugüne kadarki en büyük gizlilik cezasına çarptırıldı.
Hollanda’nın veri koruma otoritesi Autoriteit Persoonsgegevens (AP), Salı günü yaptığı açıklamada, Clearview AI’ya Avrupa Birliği Genel Veri Koruma Yönetmeliği’ni (GDPR) ihlal ettiği gerekçesiyle 30,5 milyon avro (güncel döviz kurlarıyla yaklaşık 33,7 milyon dolar) ceza verdiğini duyurdu. Veri tabanında Hollanda vatandaşlarına ait görsellerin yer aldığı doğrulandı.
Bu ceza, Fransa, İtalya, Yunanistan ve İngiltere’deki veri koruma otoritelerinin 2022’de uyguladığı ayrı ayrı GDPR yaptırımlarından daha büyük.
Birinde basın bülteniAP, devam eden uyumsuzluk için 5,1 milyon avroya kadar ek bir ceza emri verdiğini ve Clearview’un soruşturmanın sonuçlanmasının ardından GDPR ihlallerini durdurmadığını ve bu nedenle ek emir verdiğini söyledi. Clearview AI Hollanda düzenleyicisini görmezden gelmeye devam ederse toplam para cezası 35,6 milyon avroya ulaşabilir.
Hollanda veri koruma otoritesi, şirketin veri erişim taleplerine uymamasıyla ilgili üç kişiden şikayet aldıktan sonra Mart 2023’te Clearview AI’yı araştırmaya başladı. GDPR, AB sakinlerine kişisel verileriyle ilgili bir dizi hak veriyor; bu haklar arasında verilerinin bir kopyasını talep etme veya silinmesini isteme hakkı da yer alıyor. Clearview AI bu tür taleplere uymuyor.
AP’nin Clearview AI’ya yaptırım uyguladığı diğer GDPR ihlalleri arasında, geçerli bir yasal dayanak olmaksızın insanların biyometrik verilerini toplayarak bir veritabanı oluşturması da yer alıyor. Ayrıca GDPR şeffaflık ihlalleri nedeniyle de yaptırım uygulanıyor.
AP, “Clearview, veritabanını asla fotoğraflar, benzersiz biyometrik kodlar ve bunlara bağlı diğer bilgilerle oluşturmamalıydı” diye yazdı. “Bu özellikle [face-derived unique biometric] kodlar. Parmak izleri gibi bunlar da biyometrik verilerdir. Bunları toplamak ve kullanmak yasaktır. Bu yasağın bazı yasal istisnaları vardır, ancak Clearview bunlara güvenemez.”
Karara göre şirket, kişisel verilerini toplayıp veri tabanına eklediği kişilere bilgi vermede de başarısız oldu.
Yorum almak için ulaşılan Clearview temsilcisi, Washington, DC merkezli PR firması Resilere Partners’tan Lisa Linden, sorulara yanıt vermedi ancak TechCrunch’a Clearview’un baş hukuk müşaviri Jack Mulcaire’e atfedilen bir açıklama gönderdi.
Mulcaire, “Clearview AI’nın Hollanda veya AB’de bir iş yeri yoktur, Hollanda veya AB’de herhangi bir müşterisi yoktur ve aksi takdirde GDPR’ye tabi olacağı anlamına gelecek herhangi bir faaliyette bulunmamaktadır” diye yazdı ve ekledi: “Bu karar hukuka aykırıdır, usulüne uygun yargılanmadan yoksundur ve uygulanamaz.”
Hollanda düzenleyicisine göre şirket, karara itiraz etmediği için cezaya itiraz edemiyor.
Ayrıca GDPR’nin kapsam olarak ülke sınırlarının dışına çıktığını, yani AB vatandaşlarının kişisel verilerinin işlenmesinin gerçekleştiği her yeri kapsadığını da belirtmekte fayda var.
ABD merkezli Clearview, hükümet kurumları, kolluk kuvvetleri ve diğer güvenlik hizmetlerini içerebilen müşterilere kimlik eşleştirme hizmeti satmak için insanların topladığı verileri kullanıyor. Ancak müşterilerinin, gizlilik yasasını ihlal eden teknolojinin kullanımının düzenleyici yaptırım riski taşıdığı AB’den gelme olasılığı giderek azalıyor; bu, 2021’de bir İsveç polis otoritesinin başına gelen bir şeydi.
AP, Clearview AI kullanmaya çalışan tüm Hollandalı kuruluşlara sert yaptırımlar uygulayacağı konusunda uyardı. “Clearview yasayı ihlal ediyor ve bu da Clearview hizmetlerini kullanmayı yasadışı hale getiriyor. Clearview kullanan Hollandalı kuruluşlar bu nedenle Hollanda DPA’sından ağır para cezaları bekleyebilir,” diye yazdı Hollanda DPA başkanı Aleid Wolfsen.
AP’nin İngilizce dilindeki versiyonu karar Bu bağlantıdan ulaşabilirsiniz.
Kişisel sorumluluk?
Clearview AI, son birkaç yıldır bir dizi GDPR cezasıyla karşı karşıya kaldı (kağıt üzerinde, AB gizlilik cezalarında toplam yaklaşık 100 milyon avro biriktirdi), ancak bölgesel veri koruma yetkilileri görünüşe göre bu cezaların hiçbirini toplamada pek başarılı olamadı. ABD merkezli şirket iş birliği yapmıyor ve AB’de yasal bir temsilci atamadı.
Daha da önemlisi, Clearview AI, GDPR’yi ihlal eden davranışını değiştirmedi; başka bir yerde bulunması nedeniyle görünürdeki operasyonel dokunulmazlıkla Avrupa gizlilik yasalarını çiğnemeye devam etti.
Hollandalı AP bundan endişe duyuyor ve Clearview’un yasayı ihlal etmeyi bırakmasını sağlamanın yollarını araştırdığını söylüyor. Düzenleyici, şirketin yöneticilerinin ihlallerden kişisel olarak sorumlu tutulup tutulamayacağını araştırıyor.
“Böyle bir şirket Avrupalıların haklarını ihlal etmeye ve bundan sıyrılmaya devam edemez. Kesinlikle bu kadar ciddi bir şekilde ve bu kadar büyük bir ölçekte değil. Şimdi şirket yönetimini kişisel olarak sorumlu tutup bu ihlalleri yönlendirdikleri için para cezası verip veremeyeceğimizi araştıracağız,” diye yazdı Wolfsen. “Yöneticiler GDPR’nin ihlal edildiğini biliyorlarsa, bunu durdurma yetkisine sahiplerse ancak bunu yapmayı ihmal ediyorlarsa ve bu şekilde bu ihlalleri bilinçli bir şekilde kabul ediyorlarsa, bu sorumluluk zaten mevcuttur.”
Mesajlaşma uygulaması Telegram’ın kurucusu Pavel Durov’un, platformunda yasadışı içerik yayıldığı iddiasıyla Fransa topraklarında tutuklandığını gördüğümüzden beri, Clearview’u yöneten kişilere yaptırım uygulanmasının uyumu sağlamada daha büyük bir şansa sahip olup olmayacağını düşünmek ilginçtir; sonuçta onlar AB içinde ve çevresinde serbestçe seyahat etmek isteyebilirler.