Hollanda Veri Koruma Kurumu (DPA) 3 Eylül Salı günü Clearview AI firmasına 30 milyardan fazla fotoğraf içeren yasadışı bir veri tabanı oluşturduğu gerekçesiyle 30,5 milyon avro para cezası verdi.
DPA’ya göre, istihbarat kurumlarına ve kolluk kuvvetlerine yüz tanıma hizmetleri sağlayan bir ABD firması olan Clearview AI, Genel Veri Koruma Yönetmeliğini (GDPR) ihlal ederek, 30 milyardan fazla insanın yüzünün fotoğraflarını içeren yasadışı bir veri tabanı oluşturdu.
Avrupa Dijital Haklar savunuculuk grubu EDRi’nin Politika Başkanı Ella Jakubowska, “Hollanda DPA dişlerini gösteriyor ve GDPR’nin düzgün bir şekilde uygulandığında ne kadar güçlü olduğunu gösteriyor,” dedi.
Kurum, yasak olduğunu söylediği şirket hizmetlerinin kullanımına karşı uyarıda bulundu.
Şirkete göre Hollanda’nın kararı hukuka aykırı
Veri gözlemcisine göre Clearview, soruşturmalar başladıktan sonra bile ihlallerini durdurmadı. Yapay zeka şirketi ihlallerine devam ederse 5,1 milyon avroya varan ek cezalarla karşı karşıya kalabilir.
Firmanın Baş Hukuk Sorumlusu Jack Mulcaire, salı günü Euractiv’e e-posta yoluyla yaptığı açıklamada, Clearview’in Hollanda veya AB’de “bir iş yeri” veya müşterisi olmadığı veya GDPR’ye tabi olmasını sağlayacak başka faaliyetlerde bulunmadığı için kararın “hukuka aykırı, yasal süreçten yoksun ve uygulanamaz” olduğunu savundu.
Yetkili makam ayrıca, şirketin diğer makamlardan daha önce aldığı cezalara rağmen uygulamalarını değiştirmemesi nedeniyle “şirket yöneticilerinin ihlallerden kişisel olarak sorumlu tutulup tutulamayacağını araştırıyor”.
Amerikan şirketi bilgileri istihbarat kurumlarına sunuyormuş
DPA ayrıca şirketin hizmetlerini sadece AB dışındaki istihbarat ve soruşturma kurumlarına sunduğunu iddia ettiğini söyledi.
Mart ayında Ukrayna Savunma Bakanlığı, şirketin “Rus saldırganları ortaya çıkarma”, yanlış bilgilendirme ile mücadele etme ve ölülerin kimliklerini belirleme teklifinin ardından Clearview AI’nın yüz tanıma teknolojisini kullanmaya başlamıştı.
Biyometrik veriler izinsiz toplandı
DPA, veri tabanındaki fotoğrafların otomatik olarak internetten toplandığını ve ilgili kişilerin bilgisi veya rızası olmadan her yüz için benzersiz biyometrik kodlara dönüştürüldüğünü söyledi.
Hollanda DPA Başkanı Aleid Wolfsen, “Eğer internette bir fotoğrafınız varsa –ve bu hepimiz için geçerli değil mi?– o zaman Clearview’in veri tabanına girebilir ve takip edilebilirsiniz. Bu bir korku filmindeki kıyamet senaryosu değil. Sadece Çin’de yapılabilecek bir şey de değil,” dedi.
DPA özellikle, parmak izi işlevi gördüğünü söylediği, bireylerin yüzlerine ait benzersiz biyometrik kodlar konusunda endişe duyuyor.
ABD’li şirket cezalara rağmen ihlale devam etti
Yetkili, Clearview’in hak kazanmadığı bazı istisnalar olsa da, bu tür biyometrik verilerin toplanması ve kullanılmasının yasak olduğunu söyledi.
Hollanda veri gözlemcisi, Clearview’in GDPR’nin gerektirdiği şekilde bireylerin verilerine erişim taleplerine de uymadığını söyledi.
Avrupa’da ofisi olmayan bir Amerikan şirketi olan Clearview, soruşturmaya ve diğer yetkililerin daha önce verdiği cezalara rağmen veri koruma kurallarını ihlal etmeye devam etti.
AB’de veri kullanımı ihlalleri bitmiyor
AB’de biyometrik verilerin kolluk kuvvetleri tarafından kullanımı tartışmalı olageldi.
Yapay Zeka (AI) Yasası, bu tür teknolojinin kolluk kuvvetleri tarafından halka açık yerlerde gerçek zamanlı kullanımı da dahil olmak üzere, biyometrik tanımlamanın belirli kullanımlarını yasaklıyor ve sınırlıyor.
Ocak ayında Avrupa Adalet Divanı, kolluk kuvvetlerinin hüküm giymiş bireylerin biyometrik ve genetik verilerini süresiz olarak saklayamayacağına karar vermişti.
Kasım ayında, Fransız ulusal polisinin 2015 yılından bu yana İsrail yüz tanıma yazılımı Briefcam’i yasadışı olarak kullandığı ortaya çıkmıştı.
