Hollanda Veri Koruma Otoritesi (DPA) 30,5 milyon avroluk ağır bir para cezası verdi [approximately US$33.7 million] Yüz tanıma hizmeti sunan bir Amerikan şirketi olan Clearview AI’da.
Hollanda Veri Koruma Ajansı ayrıca Hollanda’daki kuruluşlara Clearview’un hizmetlerinin kullanımını yasaklayan bir uyarı yayınladı. Şirketin, Hollandalı vatandaşların da aralarında bulunduğu milyarlarca yüz fotoğrafından oluşan yasadışı bir veri tabanı oluşturduğu ve bunu onların bilgisi veya izni olmadan yaptığı tespit edildi.
İstihbarat ve soruşturma ajanslarına yüz tanıma hizmetleri sağlayan Clearview, internetten toplanan 30 milyardan fazla fotoğraftan oluşan geniş bir veri tabanı oluşturdu. Bu görüntüler daha sonra benzersiz biyometrik kodlara dönüştürülüyor ve müşterilerin kamera görüntülerine dayanarak kişileri tanımlamasına olanak sağlıyor. Hollanda Veri Koruma Ajansı bu uygulamayı gizlilik yasalarının ciddi bir ihlali olarak değerlendirdi.
Clearview AI’ya Verilen Para Cezasının Neden Haklı Olduğu
Hollanda Veri Koruma Ajansı başkanı Aleid Wolfsen, “Yüz tanıma, dünyadaki hiç kimseye uygulanamayacak kadar müdahaleci bir teknolojidir” dedi. “İnternette sizin bir fotoğrafınız varsa -ve bu hepimiz için geçerli değil mi?- o zaman Clearview’un veri tabanında yer alabilir ve takip edilebilirsiniz. Bu, korkunç bir filmden alınmış bir felaket senaryosu değil.”
Wolfsen, güvenliğin ve suçluların resmi makamlarca tespit edilmesinin önemini kabul ederken, bu tür teknolojilerin kullanımının son derece istisnai durumlarda yetkili makamlarla sınırlandırılması gerektiğini öne sürdü. Clearview gibi ticari işletmeler, bu tür veritabanlarını oluşturmaya ve sürdürmeye yetkili değildir.
Clearview’un Birçok GDPR İhlali
Hollanda Veri Koruma Ajansı, Clearview’u yasadışı bir veri tabanı oluşturmak ve verileri saklanan kişilere yeterli şeffaflık sağlamamak da dahil olmak üzere birden fazla suçlamayla Genel Veri Koruma Yönetmeliği’ni (GDPR) ihlal etmekle suçladı. Şirket ayrıca verilere erişim taleplerine ilişkin iş birliği yapmaması nedeniyle eleştirildi.
Avrupa Veri Koruma Kurulu (EDPB), para cezasının dayanağı olarak şu ihlalleri sıraladı:
- Hukuka aykırı veri işleme: Clearview, yasal bir dayanak olmaksızın Hollanda’da kişisel verileri işliyor ve bu da GDPR Madde 5(1) ve 6(1)’i ihlal ediyor.
- Biyometrik Veri İhlali: Clearview, biyometrik verileri hukuka aykırı olarak işleyerek GDPR Madde 9(1)’i ihlal ediyor.
- Yetersiz Açıklama: Clearview, veri sahiplerini uygun şekilde bilgilendirmede başarısız olup GDPR Madde 12(1), 14(1), 14(2) ve 5(1)’i ihlal etmektedir.
- Erişim İstekleri Göz Ardı Edildi: Clearview, GDPR Madde 12(3) ve 15’i ihlal ederek erişim taleplerine yanıt vermedi.
- AB Temsilinin Eksikliği: Clearview, GDPR Madde 4(17) ve 27(1)’i ihlal ederek bir AB temsilcisi atamadı.
Hollanda DPA, para cezasına ek olarak Clearview’a suç teşkil eden uygulamalarını durdurmasını emretti. Şirket uymaz ise 5,1 milyon avroya kadar ek cezalarla karşı karşıya kalabilir. Hollanda DPA ayrıca Clearview yöneticilerini ihlallerden kişisel olarak sorumlu tutmanın yollarını araştırıyor; bu hareket şirketin geleceği için önemli sonuçlar doğurabilir.
Hollanda DPA’nın bu kararı, diğer Avrupa ülkelerinde benzer yasal zorluklarla karşılaşan Clearview AI için büyük bir aksiliktir. Hollanda DPA’nın verdiği para cezası, gizlilik ihlalleri için verilen en büyük para cezalarından biridir ve yüz tanıma teknolojisinde yer alan diğer şirketlere güçlü bir mesaj göndermektedir. Hollanda DPA’nın yüz tanıma kullanımına ilişkin duruşunun, bu teknolojinin Avrupa Birliği’nde ve ötesinde geliştirilmesini ve düzenlenmesini etkilemesi muhtemeldir.