Clearview AI is de grootste verzamelaar van persoonlijke foto’s ter wereld. Nadat de Britse privacytoezichthouder (ICO) het bedrijf vorig jaar een miljoenenboete oplegde en opdroeg alle foto’s van Britse burgers te verwijderen, ging Clearview in beroep. Dinsdag verklaarde de rechter dat de ICO niet bevoegd was in deze situatie.
23 oktober 2023 • Nieuws
Britse toezichthouder verliest rechtszaak van Clearview AI
In 2020 meldde de New York Times dat het Amerikaanse softwarebedrijf Clearview AI, gespecialiseerd in het ontwikkelen van gezichtsherkenningstechnologie, miljarden foto’s van social media gebruikers had verzameld met web scraping. De foto’s werden zonder toestemming in een database opgeslagen. Als gevolg van dit schandaal trok het bedrijf zich terug uit de EU- en VK-markten en stopte het met het leveren van zijn diensten aan commerciële entiteiten.
De Britse privacytoezichthouder Information Commissioner’s Office (ICO) besloot vorig jaar om Clearview een boete van 7,5 miljoen Britse pond op te leggen voor het verzamelen van de data. De ICO argumenteerde dat het bedrijf persoonsgegevens van Britse betrokkenen onrechtmatig had verzameld met als doel hun gedrag te monitoren. Daarnaast droeg de ICO Clearview op alle foto’s van Britse individuen uit zijn database te verwijderen. Clearview ging in beroep tegen de beslissing van de ICO . En terecht, zoals dinsdag bleek uit de uitspraak van het gerecht van eerste aanleg.
De zaak in het kort:
In mei vorig jaar heeft de ICO een boetebevel (Monetary Penalty Notice, ‘MPN’) en een dwangbevel (Enforcement Notice, ‘EN’) uitgevaardigd tegen Clearview, vanwege verschillende schendingen van VK-privacywetgeving door het softwarebedrijf. Deze schendingen omvatten onder andere het ontbreken van een wettelijke basis en een Data Protection Impact Assessment (DPIA) bij de verwerking van biometrische persoonsgegevens van Britse burgers.
Clearview vocht niet alleen de vermeende inbreuken aan, maar ook de rechtmatigheid van de bevelen en de bevoegdheid van de ICO om de MPN en EN aan Clearview op te leggen. Het gerecht moest beslissen over dit laatste punt.
AVG niet van toepassing
De core business van Clearview heeft te maken met de ondersteuning van handhavingsautoriteiten en inlichtingendiensten bij de identificatie van verdachte criminelen en bedreigingen voor de nationale veiligheid. Het bedrijf biedt software aan klanten (overheden van niet-Europese landen) waarmee ze foto’s van verdachten en slachtoffers kunnen vergelijken met de Clearview-databank.
De ICO onderscheidde in haar argumentatie twee verwerkingsactiviteiten van Clearview: het web scrapen en verzamelen van persoonlijke foto’s en het vergelijken van door klanten ingevoerde foto’s met andere afbeeldingen in de databank. Aangezien de gegevensverwerking in beide gevallen alleen wordt uitgevoerd door entiteiten zonder vestiging in het VK, namelijk Clearview en buitenlandse overheden, rees de vraag over de territoriale en materiële toepassing van de Britse Algemene Verordening Gegevensbescherming (VK AVG).
Aan de ene kant moesten de rechters beoordelen of de verwerkingsactiviteiten van Clearview en zijn klanten werden beschouwd als ‘gedragsmonitoring van betrokkenen, voor zover dit gedrag in het VK plaatsvindt’. Dit is een van de uitzonderingen waarbij de VK AVG extraterritoriale effecten heeft (dus buiten het VK). In dit geval hebben de rechters bevestigend geantwoord: de gegevensverwerking door Clearview is essentieel voor de monitoringstaken van zijn klanten en valt dus onder het territoriale toepassingsgebied van de AVG.
Wat betreft het materiële toepassingsgebied erkenden de rechters dat er waarschijnlijk Britse persoonsgegevens in de database aanwezig zijn, wat betekent dat de Britse privacywetgeving in principe van toepassing zou zijn. Aan de andere kant beweerde Clearview dat al zijn klanten buitenlandse overheden zijn die de database gebruiken voor nationale strafrechtelijke en veiligheidstaken.
Zowel onder de Europese Unie (EU) AVG, waaraan het VK gebonden was tot zijn wettelijke vertrek uit de Unie in 2020, als onder de VK AVG, vallen dergelijke activiteiten buiten het toepassingskader van EU-wetgeving en dus ook buiten de AVG zelf. De rechtbank was het hiermee eens. Het feit dat Clearview in de toekomst mogelijk zijn diensten weer aan commerciële partijen zou kunnen aanbieden, was geen zelfstandige reden om de beoogde verwerkingsactiviteiten onder het materiële toepassingsgebied van de AVG te brengen. De rechters kwamen dus tot de conclusie dat de ICO zijn bevoegdheid heeft overschreden door de twee bevelen uit te vaardigen.
Wat nu?
Een woordvoerder van de ICO verklaarde tegen het Amerikaanse Forbes Magazine dat de toezichthouder vervolgstappen gaat onderzoeken (2). “De uitspraak verhindert de bevoegdheid van de ICO niet om internationale bedrijven te onderzoeken die gegevens van Britse burgers verwerken, met name via commerciële web scraping. Het betreft slechts een specifieke uitzondering met betrekking tot de activiteiten van buitenlandse handhavingsautoriteiten”, voegde de woordvoerder toe.
Bron: privacy-web.nl
Heeft u vragen naar aanleiding van dit artikel?
Neem dan contact met ons op.
