Halka Açık Kaynaklardan Fotoğraf Toplayarak Yüz Tanıma Yapan Clearview’e 30.5 Milyon Euro İdari Para Cezası!

Hammaddesi kişisel veri işlemek olan yapay zeka tabanlı uygulamaların, kişisel verileri korunması ve mahremiyet bakımından taşıdığı risklerden bahsediyoruz ve gün geçmiyor ki yeni bir örneği ile de karşılaşmayalım. Nitekim bu riskler gerçekleştikçe hukuki düzenlemelerin önemi artıyor ve Veri Koruma Otoriteleri de yeni kararlara ve cezalara imza atar oluyor. Özellikle biyometrik veriler gibi özel nitelikli kişisel verilerin bu kapsamda ve hukuka aykırı olarak işlenmesine yönelik katı yaklaşımlar ve büyük cezalar söz konusu ediliyor.

Diğer yandan bu kararların ortaya koyduğu önemli bir konu da bu alanda uygulamaların yaygın oluşu ve özellikle verisi işlenen ve dolayısıyla söz konusu ihlallerden etkilenen ilgili kişilerin farklı ülkelerde olması, veri koruma düzenlemelerinin uluslararası boyutunu ortaya koymaktadır. Bu alanda faaliyet gösteren, veri işleyen şirketlerin hukuki uyumluluk gereklerinin ve risklerinin bu bağlamda uluslararası değerlendirilmesi gerekmektedir.

Bu alanda ceza yeme konusunda mimli bir şirket Clearview bir kez daha biyometrik veri işlediği uygulaması hakkında ceza yedi. Daha önce de GDPR’ı ihlal ettiği gerekçesiyle 2022’de Fransız Veri Koruma Otoritesi (CNIL) 20 Milyon Euro, Yunanistan Veri Koruma Otoritesi (Hellenic DPA) 20 Milyon Euro, İtalya Veri Koruma Otoritesi (Garante)20 Milyon Euro ve İngiltere Veri Koruma Otoritesi (ICO) 7,5 Milyon Sterlin idari para cezası uygulanmıştı.

Clearview hakkında bu kez de Hollanda Veri Koruma Otoritesi (“AP”) GDPR’ı ihlal ettiği gerekçesiyle 30.5 Milyon Euro idari para cezası uyguladı. Ayrıca, AP tarafından getirilen yükümlülükleri sağlamaması halinde Clearview’e aylık 250.000 Euro’ya kadar ek para cezası uygulanabilir.

İlgili kişilerin Clearview’in yüz tanıma aracının yanıtladığı yüz tanıma taleplerinde yüzlerinin fotoğraflarının yer aldığı gerekçesiyle AP’ye yaptığı şikâyetler sonucunda 6 Mart 2023 tarihinde Clearview hakkında soruşturma başlatılmıştı. AP soruşturma kapsamındaki kararını 16 Mayıs 2024 tarihinde verdi.

Kararda öne çıkan hususlar şu şekildedir;

Clearview AI, internet üzerinden halka açık kaynaklardan topladığı fotoğrafları kullanarak geniş bir yüz tanıma 30 milyardan fazla fotoğraftan oluşan bir veri tabanı oluşturmuştur. Veri tabanındaki fotoğraflar, sosyal medya platformları, kişisel ve profesyonel web siteleri, haber makaleleri, sabıka fotoğrafları ve hüküm giymiş kişiler hakkında bilgi içeren Amerikan kamu veri tabanları dahil olmak üzere kamuya açık internet kaynaklarından gelmektedir. Clearview fotoğrafları, internet üzerindeki bilgileri otomatik olarak kaydeden yazılım programları aracılığıyla “veri kazıma” yöntemiyle toplamaktadır. Ayrıca, söz konusu veri kazıma yöntemi “hedeflenmemiş kazıma”dır. Hedeflenmemiş kazımada, bilgi hedeflenmemiş ve sistematik bir şekilde toplanır. Yani, Clearview kullanıcısı bir talep oluşturmasa bile bu veriler zaten hedeflenmemiş şekilde toplanmaktadır.

Bu yöntemlerle toplanan fotoğraflar, Clearview’in kullandığı makine öğrenimi algoritmasını eğitmek ve test etmek için kullanmaktadır. Eğitim ve testte, birden fazla yüz görüntüsü kullanılır. Makine öğrenimi algoritması sonucunda Clearview’in yüz tanıma aracı örneklere dayanarak, model yüzleri nasıl karşılaştıracağını ve sonuç olarak nasıl arama yapacağını öğrenmektedir. Bu veri tabanı, kullanıcıların bir kişinin yüzü üzerinden arama yapmasına olanak tanımaktadır.

Kararda Öne Çıkan GDPR İhlalleri

1. Hukuki Dayanak Olmaksızın Kişisel Veri İşleme: GDPR’ın temel ilkelerinden biri, kişisel verilerin işlenmesi için geçerli bir hukuki dayanağın bulunması gerekliliğidir. Bu dayanaklar arasında veri sahibinin rızası, yasal bir zorunluluk ya da sözleşmenin ifası gibi unsurlar bulunur. Ancak, AP’nin incelemesine göre, Clearview AI, Hollanda’daki veri sahiplerinin kişisel verilerini işlemek için gerekli hukuki dayanağı sağlayamamıştır. Clearview, bu veri toplama işlemini kullanıcılarından bağımsız olarak gerçekleştirmiş ve bu nedenle GDPR Madde 5(1)(a) ve Madde 6(1)’i ihlal etmiştir. Kişisel verilerin hukuki bir dayanak olmaksızın işlenmesi, veri sahiplerinin temel haklarını ve özgürlüklerini doğrudan tehlikeye atmaktadır.
2. Özel Nitelikli Kişisel Verilerin İşlenmesi: Clearview’in veri işleme faaliyetleri arasında, biyometrik verilerin – özellikle yüz tanıma verilerinin – işlenmesi de yer almaktadır. GDPR Madde 9(1) uyarınca, biyometrik veriler özel nitelikli kişisel veri olarak kabul edilir ve bu verilerin işlenmesi yalnızca belirli istisnalar kapsamında mümkündür. Ancak, Clearview bu tür verileri işlemeye devam etmiş ve GDPR Madde 9(2)’de yer alan istisnalardan herhangi birine dayanmamıştır. Bu durum, Clearview’in bu verileri işlerken GDPR’ı açıkça ihlal ettiğini göstermektedir. AP, bu ihlalin durdurulmasını ve bu verilerin işlenmesine derhal son verilmesini talep etmiştir​.
3. Şeffaflık Yükümlülüğünün İhlali: GDPR’ın önemli hükümlerinden biri, veri sorumlularının veri sahiplerini kişisel verilerinin nasıl toplandığı, işlendiği ve kullanıldığı konusunda bilgilendirme yükümlülüğüdür. GDPR Madde 12(1) ile bağlantılı olarak Madde 14(1) ve (2), bu yükümlülüğü düzenler. Ancak, AP’nin bulgularına göre, Clearview bu yükümlülüğü yerine getirmemiştir. Veri sahipleri, kişisel verilerinin Clearview AI tarafından nasıl kullanıldığı konusunda yeterince bilgilendirilmemiştir. Bu, GDPR Madde 5(1)(a)’nın ihlali olarak değerlendirilmiştir. Şeffaflık, veri sahiplerinin haklarını korumak için temel bir ilkedir ve bu ilkenin ihlali, kişisel verilerin kötüye kullanımına yol açabilir.
4. Veri Sahiplerinin Erişim Haklarının İhlali: GDPR Madde 15, veri sahiplerinin kişisel verilerine erişim hakkını düzenler. Bu hak, veri sahiplerine hangi kişisel verilerinin işlendiğini öğrenme ve bu verilere erişme imkânı tanır. AP, Clearview’in Hollanda’daki veri sahiplerinden gelen iki erişim talebine yanıt vermediğini tespit etmiştir. Clearview, bu talepleri yanıtsız bırakarak GDPR Madde 12(2) ve 12(3) ile bağlantılı olarak Madde 15’i ihlal etmiştir. Bu ihlal, veri sahiplerinin haklarını ciddi şekilde zedeleyen bir durumdur.
5. AB Temsilcisi Atama Zorunluluğuna Uymama: GDPR Madde 27(1), Avrupa Birliği dışında yerleşik olan veri sorumlularının AB içinde bir temsilci atamasını zorunlu kılar. Ancak, Clearview bu zorunluluğu yerine getirmemiştir. Bu durum, GDPR’ın temel yükümlülüklerinden birinin ihlal edilmesi anlamına gelir. Ancak AP, bu ihlal için ayrı bir ceza uygulamaktan kaçınmıştır çünkü Clearview, bu ihlal nedeniyle İtalya ve Yunanistan’daki Veri Koruma Otoriteleri tarafından zaten cezalandırılmıştır.

İdari Para Cezaları ve Yaptırımlar

AP, Clearview’in GDPR’ı ihlal eden bu işlemleri nedeniyle toplamda 30.500.000 € tutarında idari para cezası vermiştir. Ayrıca, Clearview’e yönelik olarak dört adet uyumsuzluk durumunda uygulanacak yaptırım kararı alınmıştır. Bu yaptırımlar, Clearview’in yasadışı veri işleme faaliyetlerine son vermesi, Hollanda’daki veri sahiplerine yeterli bilgilendirme yapması ve veri sahiplerinin erişim taleplerine yanıt vermesi gibi gereklilikleri içerir. Eğer Clearview bu yükümlülükleri yerine getirmezse, aylık 250.000 €’ya kadar ek para cezası ödemek zorunda kalabilir

Sonuç ve Değerlendirme

Clearview’in GDPR’ı ihlal eden uygulamaları, veri koruma düzenlemelerinin uluslararası boyutunu ve veri sorumlularının bu düzenlemelere tam olarak uyum sağlama gerekliliğini bir kez daha vurgulamaktadır. AP’nin bu kararı, kişisel verilerin korunmasının önemini ve özellikle biyometrik veriler gibi özel nitelikli kişisel verilerin işlenmesine yönelik katı düzenlemelerin uygulanmasının ne kadar kritik olduğunu göstermektedir.

Bu tür ihlaller, yalnızca hukuki sorumluluk doğurmakla kalmaz, aynı zamanda veri sahiplerinin mahremiyetine yönelik ciddi tehditler oluşturur. GDPR’ın getirdiği yükümlülüklere uyum sağlanması hem bireylerin haklarının korunması hem de şirketlerin hukuki risklerden kaçınması açısından büyük önem taşır. Özellikle uluslararası faaliyet gösteren şirketlerin, GDPR gibi yerel düzenlemelere uyum sağlama zorunluluğu, veri koruma alanında önemli bir gereklilik haline gelmiştir.

AP’nin Clearview’e yönelik bu kararı, gelecekte benzer faaliyetlerde bulunmayı planlayan şirketler için önemli bir emsal teşkil etmektedir. GDPR’ın ihlali durumunda karşılaşılabilecek ciddi sonuçlar, veri koruma konusundaki yasal yükümlülüklere uyumun ne kadar önemli olduğunu göstermektedir. Sonuç olarak, kişisel verilerin korunması hem bireyler hem de şirketler için üzerinde dikkatle durulması gereken bir konudur ve bu tür ihlallerin önüne geçilmesi için düzenleyici otoritelerin rolü büyük önem taşımaktadır.