De Nederlandse Autoriteit Persoonsgegevens (AP) heeft onlangs een boete van €30 miljoen opgelegd aan Clearview AI, een Amerikaans bedrijf gespecialiseerd in gezichtsherkenningstechnologie, wegens illegale dataverzamelingspraktijken. Deze zaak heeft een debat doen oplaaien over de toepasbaarheid van de Algemene Verordening Gegevensbescherming (AVG) op buitenlandse entiteiten en de uitvoerbaarheid van dergelijke sancties.
Waarom is Clearview AI beboet?
Clearview AI verzamelde zonder toestemming meer dan 30 miljard beelden van mensen via internet, die het omzette in biometrische gegevens voor gezichtsherkenning. Deze technologie werd vooral door Amerikaanse politiediensten gebruikt, maar wekte zorgen in Europa vanwege de strenge privacyregels onder de AVG. Eerder legden ook Frankrijk, Griekenland en Italië boetes op aan Clearview AI voor soortgelijke overtredingen, die het bedrijf stelselmatig negeerde.
De Gronden van de AP
Clearview AI argumenteerde dat het buiten de reikwijdte van de AVG valt, omdat het geen vestiging in de EU heeft. Volgens artikel 3(2) van de AVG kunnen echter ook bedrijven buiten de EU onder de AVG vallen als zij goederen of diensten aanbieden aan, of gedragingen monitoren van personen in de EU. De AP concludeerde dat de activiteiten van Clearview AI, waaronder het identificeren en monitoren van individuen via gezichtsherkenning, in de EU vallen en daarom onder de AVG-regels vallen. Het bedrijf schond volgens de AP ook fundamentele AVG-principes, zoals het verkrijgen van toestemming en het verbod op biometrische verwerking zonder expliciete toestemming.
Kritiek op de Boete
Sommige juridische experts twijfelen aan de uitvoerbaarheid van de boete, gezien Clearview AI’s afwezigheid in de EU en haar eerdere weigering om Europese boetes te betalen. Er is kritiek dat de boete voornamelijk symbolisch is en dat de AP beperkte middelen heeft om naleving te handhaven bij bedrijven zonder EU-vestiging. De reikwijdte van de AVG en de interpretatie van “gedragsmonitoring” roepen eveneens vragen op. Sommigen menen dat deze zaak voorgelegd had moeten worden aan het Hof van Justitie van de EU (HvJ-EU) om de interpretatie van de AVG-richtlijnen verder te verduidelijken.
Toekomstige Implicaties
Deze boete benadrukt dat Europese toezichthouders bereid zijn buitenlandse bedrijven verantwoordelijk te houden, zelfs als deze buiten de EU opereren. Het incident toont echter ook de juridische grenzen bij het handhaven van sancties tegen bedrijven zonder EU-vestiging. Toekomstige regelgevende stappen zouden kunnen bestaan uit het vereenvoudigen van internationale handhavingsmechanismen of het bestraffen van bestuurders. De AP heeft bijvoorbeeld de Nederlandse wetgever gevraagd om te onderzoeken of strafrechtelijke vervolging tegen bestuursleden mogelijk is.
Bovendien kan deze zaak betekenen dat bedrijven die diensten aan klanten aanbieden, zorgvuldiger moeten toezien op hoe hun technologie wordt gebruikt. Bedrijven kunnen verantwoordelijk worden gehouden voor het oneigenlijk gebruik van gegevens door hun klanten. Dit kan leiden tot strengere controles op klanten om te verzekeren dat hun dataverwerkingspraktijken aan de wet voldoen.
Conclusie
De boete van €30 miljoen voor Clearview AI onderstreept de uitdaging waarmee Europese privacytoezichthouders worden geconfronteerd bij de handhaving van privacywetten bij buitenlandse bedrijven. Hoewel de boete privacyrechten benadrukt, werpt het ook vragen op over de praktische beperkingen van de internationale handhaving van de AVG en de interpretatie van het begrip “gedragsmonitoring”.
