Autoriteit Persoonsgegevens beboet overtreding AVG

De Nederlandse privacywaakhond Autoriteit Persoonsgegevens (AP) legt een boete van 30,5 miljoen euro op aan het Amerikaanse bedrijf Clearview AI Inc. (Clearview). Dit bedrijf schraapte illegaal foto’s van miljoenen mensen van het internet. En voorzag deze foto’s vervolgens van een biometrische code per gezicht. Internationale inlichtingen- en opsporingsdiensten kunnen deze data kopen voor gezichtsherkenning doeleinden. Bijvoorbeeld om de identiteit te achterhalen van een persoon door de biometrische gegevens in de database te vergelijken met beelden van een bewakingscamera.

Mogen foto’s die online te vinden zijn hiervoor gebruikt worden?

De AP oordeelde op 16 mei 2024 al dat deze activiteiten van Clearview in strijd zijn met de privacywet Algemene Verordening Gegevensbescherming (AVG) artikel 9 lid 1. De AP stelt ook nu dat Clearview de AVG op meerdere punten ernstig heeft overtreden: “…het bedrijf had de database nooit mogen aanleggen en is onvoldoende transparant…”. Doel van de boete is om een einde te maken aan de overtredingen. Om herhaling in de toekomst tegen te gaan heeft de AP inmiddels dwangsommen opgelegd tot maximaal 5,1 miljoen euro.

Mogelijke reactie Clearview

Clearview heeft geen reactie gegeven, anders dan dat ze in de VS is gevestigd en niet onder de reikwijdte van de AVG valt, hetgeen zachtst gezegd juridisch kwetsbaar is. Ze hadden zich mogelijk kunnen beroepen op artikel 9 lid 2 onder e van de AVG: dat de informatie zelf is openbaar gemaakt. Het eigen schuld, dikke bult principe. Maar zo makkelijk komt Clearview er niet mee weg. De AP heeft haar beslissing al uitvoerig gemotiveerd. In dit artikel ga ik in op slechts één aspect dat in het oog springt. De wijze waarop de AP zich boog over de vraag óf het verzamelen van openbare foto’s onder uitzonderingbepaling van artikel 9 lid 2 aanhef en onder de AVG valt.

Zijn door de betrokkene op internet gepubliceerde foto’s als het ware vrijgegeven?

De AP oordeelt dat de uitzonderingsgrond van artikel 9 lid 2 onder e niet van toepassing is:

“…De enkele omstandigheid dat de hiervoor bedoelde persoonsgegevens online gevonden worden, betekent niet dat betrokkenen al die gegevens uitdrukkelijk en door middel van een ondubbelzinnige actieve handeling voor een breed toegankelijk publiek openbaar hebben willen maken. Dit is bijvoorbeeld al niet het geval wanneer een foto van (het gezicht van) een betrokkene door een derde op het internet is geplaatst. Ook de situatie waarin een gebruiker zijn of haar sociale mediaprofiel op privé heeft gezet en deze gebruiker niet de mogelijkheid heeft om de profielfoto af te schermen (of zich van die mogelijkheid niet bewust is), geldt niet als kennelijk openbaar maken, als hiervoor bedoeld. Er is namelijk geen sprake van dat die gebruiker uitdrukkelijk en door middel van een ondubbelzinnige actieve handeling zijn persoonsgegevens voor een breed publiek toegankelijk heeft willen maken…”

Richtlijnen m.b.t. scraping

Op 1 mei 2024 publiceerde de AP al een handreiking (richtsnoer) over Scraping, waarin een uitgebreide verfijning is gegeven ten aanzien van kennelijk door de betrokkene openbaargemaakte persoonsgegevens, waaronder ook foto’s. Zie ook ons eerdere artikel scraping is bijna altijd illegaal.

De AP zegt in die richtlijn op pagina 21 dat als de standaardinstellingen van een socialemediaplatform ervoor zorgen dat informatie niet openbaar is, en iemand kiest ervoor om de instellingen te veranderen zodat de informatie wel openbaar is, er dan pas sprake is van openbaarmaking. Dan geldt er dus wel een uitzondering op het verwerkingsverbod, aldus de AP.

Die conclusie wordt echter een alinea verder onderuit gehaald met het volgende, onder verwijzing naar de EDPB Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement, kantlijn nr. 76 van 26 april 2023 : Bij door een betrokkene openbaar geplaatste foto’s is nog iets anders van belang. Het enkele feit dat een gezichtsafbeelding kennelijk openbaar is gemaakt door de betrokkene, betekent niet dat u de eventuele biometrische gegevens (die u met specifieke technische middelen uit een foto kunt halen) ook kunt beschouwen als kennelijk openbaar gemaakt door de betrokkene. Biometrische gegevens mag u alleen als kennelijk openbaar gemaakt beschouwen als de betrokkene zelf het biometrische sjabloon – dus niet enkel een gezichtsafbeelding – weloverwogen vrij toegankelijk heeft gemaakt in een openbare bron.

Gemiste kans op duidelijkheid in besluit

Zo bezien lijkt de beslissing inzake Clearview wat kort door de bocht gemotiveerd. Het was voor de praktijk duidelijker geweest als de beslissing beter in overeenstemming met de eerder gepubliceerde handreiking was gemotiveerd. In het besluit had de AP kunnen verwijzen naar de handreiking m.b.t. tot het scrapen en daarmee ook de EDPB guidelines

Is uw bedrijf nog AVG compliant?

Sinds de introductie van de AVG in 2018 is er het nodige verduidelijkt en is de AP begonnen met het uitdelen van boetes. Heeft u zelf vragen over AVG privacy wetgeving? Of wilt u weten of uw bedrijfsvoering nog steeds in lijn is met de privacy wetgeving? Contact dan een van onze advocaten via de mail, telefonisch of vul het contactformulier in voor een vrijblijvend eerste gesprek. Wij denken graag met u mee!