Hollanda Veri Koruma Otoritesi (DPA), yüz tanıma firması Clearview AI’ya, Avrupa Birliği’nde (AB) “milyarlarca yüz fotoğrafı içeren yasadışı bir veritabanı” oluşturarak Genel Veri Koruma Tüzüğü’nü (GDPR) ihlal ettiği gerekçesiyle 30,5 milyon avro (33,7 milyon dolar) para cezası verdi. Bu fotoğrafların arasında Hollanda vatandaşlarının fotoğrafları da yer alıyor.
Hollanda Veri Koruma Ajansı (DPA) Başkanı Aleid Wolfsen, basın açıklamasında, “Yüz tanıma teknolojisi, dünyadaki herhangi birine kolayca uygulayamayacağınız, oldukça müdahaleci bir teknolojidir.” dedi.
“İnternette sizin bir fotoğrafınız varsa -ve bu hepimiz için geçerli değil mi?- o zaman Clearview’un veritabanına girebilir ve takip edilebilirsiniz. Bu, korkunç bir filmden alınmış bir felaket senaryosu değil. Ayrıca yalnızca Çin’de yapılabilecek bir şey de değil.”
Clearview AI, internetteki kamuya açık bilgileri toplayarak 50 milyardan fazla kişinin yüz fotoğrafından oluşan geniş bir veri tabanı oluşturma uygulaması nedeniyle İngiltere, Avustralya, Fransa ve İtalya gibi birçok ülkede düzenleyici sorunlarla karşı karşıya kaldı.
Bu görüntülerden tespit edilen kişilere, daha sonra kolluk kuvvetlerine sunulan istihbarat ve soruşturma hizmetlerinin bir parçası olarak paketlenen benzersiz bir biyometrik kod atanıyor ve “şüphelileri, ilgili kişileri ve mağdurları hızla tespit ederek suçları çözmeye ve önlemeye yardımcı oluyor”.
Hollanda Veri Koruma Ajansı, Clearview’u kullanıcıların yüz verilerini rızaları veya bilgileri olmadan toplamakla suçlamanın yanı sıra, şirketin veri tabanında bulunan kişileri verilerinin nasıl kullanıldığı konusunda “yetersiz” bilgilendirdiğini ve talep üzerine verilerine erişim için bir mekanizma sunmadığını belirtti.
Clearview şu anda yalnızca altı ABD eyaletinde (Kaliforniya, Kolorado, Connecticut, Oregon, Utah ve Virginia) yaşayanlara profil oluşturma işlemine erişme, silme ve devre dışı bırakma olanağı sunuyor.
Ayrıca New York merkezli firmanın soruşturmadan sonra bile ihlalleri durdurmadığını, derhal durdurmasını emrettiğini veya 5,1 milyon avro (5,6 milyon $) ek para cezasıyla karşı karşıya kalma riskini aldığını iddia etti. Ayrıca, karar Hollandalı şirketlerin Clearview’un hizmetlerini kullanmasını yasaklıyor.
Wolfsen, “Şimdi şirket yönetimini kişisel olarak sorumlu tutup, bu ihlalleri yönlendirdikleri için kendilerine para cezası verip veremeyeceğimizi araştıracağız” dedi.
“Yöneticiler GDPR’nin ihlal edildiğini biliyorlarsa, bunu durdurma yetkisine sahiplerse, ancak bunu yapmaktan kaçınıyorlarsa ve bu şekilde ihlalleri bilinçli olarak kabul ediyorlarsa, bu sorumluluk zaten mevcuttur.”
Clearview, Associated Press’e verdiği demeçte, Hollanda veya AB’de bir iş yeri bulunmadığı için AB veri koruma düzenlemeleri kapsamına girmediğini belirtti. Ayrıca kararın “yasadışı” olduğunu belirtti.
Şirket, Haziran ayında, yüz tanıma gizlilik ihlalleri nedeniyle ABD’nin Illinois eyaletinde açılan bir davayı, davacılara geleneksel bir ödeme yerine gelecekteki değerinden %23’lük bir pay vererek daha da çözdü. Ancak, herhangi bir yanlış yaptığını kabul etmedi.