Extraterritoriale handhaving van de AVG in het licht van de recente Clearview AI boete

Clearview AI

Clearview AI (hierna: Clearview), een gezichtsherkenningsbedrijf uit New York, heeft een tool ontwikkeld die personen herkent door een gezichtsafbeelding te uploaden en deze te matchen met de 50 miljard afbeeldingen die in hun database zijn opgeslagen. Het bedrijf kwam in 2020 in de schijnwerpers te staan toen de New York Times een artikel publiceerde waarin werd onthuld dat Clearview miljarden afbeeldingen van individuen had verzameld door ongericht afbeeldingen van het internet te scrapen zonder dat deze individuen hier toestemming voor hadden gegeven of hiervan op de hoogte waren. ‘Data scraping' is het automatisch extraheren van grote hoeveelheden data met behulp van web scraping software. Clearview heeft gegevens verzameld van miljoenen domeinnamen door gebruik te maken van een open web crawling algoritme dat gegevens verzamelt op een ongerichte en systematische manier. De datascrapers van Clearview richten zich niet alleen op personen in de Verenigde Staten, maar op iedereen over de hele wereld wiens foto's online beschikbaar zijn. Het doel van Clearview is om elke persoon op de planeet te kunnen identificeren met behulp van hun gezichtsherkenningstool.¹

(Extra)territoriale Reikwijdte van de AVG

In vergelijking met zijn voorganger, de Databeschermingsrichtlijn, is het territoriale toepassingsgebied van de AVG aanzienlijk verruimd. Het territoriale toepassingsgebied van de AVG kan zich uitstrekken tot een breed scala aan online verwerkingsactiviteiten dat buiten de EU plaatsvindt. Een verwerkingsverantwoordelijke zonder vestiging binnen de EU kan nog steeds onder het territoriale toepassingsgebied van de AVG vallen als deze het gedrag van individuen die in de EU wonen, monitort.

De AP stelde vast dat Clearview persoonsgegevens van Nederlandse individuen verwerkt, aangezien afbeeldingen van Nederlandse burgers in de database van Clearview zijn aangetroffen. De AP verwees ook naar eerdere besluiten van andere Europese gegevensbeschermingsautoriteiten (DPA’s), waarin werd bevestigd dat de database van Clearview afbeeldingen bevatte van Duitse, Italiaanse en Franse burgers. Daarnaast worden de verwerkingsactiviteiten van Clearview geacht het gedrag van Nederlandse burgers te monitoren. De verzamelde beelden bevatten ook bijbehorende metadata, zoals titel van de webpagina, bronlink, geografische locatie, leeftijd, opleiding, geslacht, geboortedatum, nationaliteit, taal en andere gegevens.²

Het verzamelen en opslaan van gezichtsafbeeldingen kan veel informatie onthullen over iemands privéleven, vooral wanneer dit gedurende een langere tijd plaatsvindt. Wanneer afbeeldingen en de bijbehorende metadata continu worden verzameld, kan de constante stroom van informatie met betrekking tot de geografische locatie bijvoorbeeld het woonadres, werkadres, andere persoonlijke informatie over de locatie van een individu gedurende de dag onthullen. Gezien de hoeveelheid afbeeldingen dat Clearview heeft verzameld en de voortdurende updates van de database met nieuwe (meta)data, kan het gedrag van individuen in de loop van de tijd worden gemonitord.Hierdoor vallen de verwerkingsactiviteiten van Clearview onder de territoriale reikwijdte van de AVG. Eerdere handhavingsacties van Europese DPA's suggereren echter dat extraterritoriale handhaving van de AVG in de praktijk een uitdaging kan zijn.

Uitdagingen bij Extraterritoriale Handhaving

De EU is verplicht om de bescherming van persoonsgegevens te garanderen, omdat dit een grondrecht is binnen de EU. Deze bescherming kan zich zelfs tot buiten de grenzen van de EU uitstrekken. De uitdaging bij het handhaven van de AVG met betrekking tot grensoverschrijdende verwerkingen ligt in de aard van het internet. Het internet is een wereldwijd onderling verbonden netwerk dat niet wordt beperkt door geografische grenzen. Datascrapers worden niet door technologische of geografische barrières gehinderd bij het verkrijgen van toegang tot persoonsgegevens van EU inwoners op het internet. Aan de andere kant wordt de extraterritoriale reikwijdte van de AVG beperkt door de soevereiniteit van staten. In de praktijk maakt dit de handhaving van de AVG buiten de EU lastig wanneer verwerkingsverantwoordelijken geen vestiging binnen de EU hebben, aangezien Europese DPA’s geen jurisdictie hebben om de AVG buiten de EU te handhaven.

Voorafgaand aan de boete van de AP hebben verschillende Europese DPA’s, waaronder in Oostenrijk, Frankrijk, Duitsland, Italië en Griekenland vastgesteld dat de activiteiten van Clearview in strijd zijn met de AVG. Clearview beweert dat de AVG niet op haar van toepassing is omdat zij haar diensten niet in de EU aanbiedt. Het bedrijf heeft niet meegewerkt aan handhavingsacties van Europese DPA’s.

Volgende Stappen

Doordat Clearview eerdere boetes van andere Europese DPA’s niet heeft nageleefd, kijkt de AP naar alternatieve methoden om ervoor te zorgen dat Clearview zijn overtredingen stopt. De AP onderzoekt bijvoorbeeld of de directeuren van het bedrijf persoonlijk aansprakelijk kunnen worden gesteld voor de schendingen. Met de recente arrestatie van de oprichter van Telegram in Frankrijk is het wellicht de moeite waard om te overwegen of het sanctioneren van het management van Clearview een effectievere manier zou kunnen zijn om naleving van de AVG af te dwingen. Het valt echter nog te bezien of deze aanpak succesvol zal blijken.

‍Als u vergelijkbare (gezichtsherkennings)technologieën of -diensten gebruikt en AVG-advies nodig heeft, neem dan contact op met Privacy Company.

‍

‍
^{[1] Drew Harwell, ‘Facial recognition firm Clearview tells investors it’s seeking massive expansion beyond law enforcement’ (WashingtonPost 16 februari 2022) <www.washingtonpost.com/technology/2022/02/16/clearview-expansion-facial-recognition/>.‍}

^{[2] Garante per la protezione dei dati personali, Decision 9751362, Ordinanza ingiunzione nei confronti di Clearview AI, 10 febbraio 2022.}