Gündem Hukuk

İzinsiz Yüz Tanıma Yolu İle Veri İhlaline 20 Milyon Euro Para Cezası

Yazar Sıla

Fransız Kişisel Verileri Koruma Kurumu CNIL, çevrimiçi veri analizi yoluyla izinsiz yüz tanıma hizmeti sunan Clerview AI şirketine 20M€ para cezası kesti.

İzinsiz yüz tanıma şikayetleri üzerine CNIL, ilk olarak yazılı bildirim yoluyla şirketten açıklama talep etti. Sorularının yanıtsız kalması üzerine ise şirkete kişisel verileri hukuka aykırı işlediği gerekçesiyle 20 milyon euro para cezası verdi.

Clearview AI Nedir ve Nasıl Çalışır?

Clearview AI şirketi, herhangi bir hesaba giriş yapmadan internette serbest dolaşımda bulunan fotoğrafları topluyor. Bu görüntüler örneğin, veri sahibinin sosyal medyada yayımladığı fotoğraflar olabilir. Şirket aynı zamanda dağıtım kanalı fark etmeksizin videolardan kesitleri de işliyor.

Şirketin veri tabanında, bu şekilde dünya çapında topladığı 20 milyardan fazla görüntü barındırdığı tahmin ediliyor.

Siteden hizmet satın alan kullanıcılar, şirketin geliştirdiği motor sayesinde herhangi bir fotoğrafı aratarak bu fotoğrafa benzeyen görüntüleri elde edebiliyor. Şirketin müşterilerinin çoğunluğunu ise devletler ve kolluk kuvvetleri oluşturuyor. 

Fotoğrafları toplanarak kolluk kuvvetlerine veya diğer üçüncü kişilere satılan kişilerin ise bu faaliyetlerden haberi olmuyor.

İzinsiz Yüz Tanıma Dosyası Kapsamında Soruşturma Evresi ve Karar

CNIL, 2020 yılının Mayıs ayından itibaren Clearview’in kişisel verilerin korunmasını ihlal ettiğine yönelik şikayetler aldığını açıkladı. Aynı zamanda, bir sene sonra Privacy International derneğinin de şirketin faaliyetleri hakkında kuruma uyarıda bulunduğunu iletti.

Yürüttüğü soruşturmalar neticesinde CNIL, şirketin Avrupa Birliği Genel Veri Koruma Tüzüğü’nü (GDPR) iki eksende ihlal ettiğine karar verdi:

  • Biyometrik verileri yasal bir dayanak olmaksızın kullanmak (Madde 6)
  • Bireylerin haklarını tatmin edici ve etkili bir şekilde dikkate almamak (Madde 12, 15, 17).

CNIL, şirkete gönderdiği yazıda söz konusu faaliyetlere son verilmesini talep etti. Clearview  AI’nin yasal süre içinde cevap vermemesi üzerine ise, şirketi 20 milyon euro para cezasına çarptırdı.

Milyonlarca Fransızın Verisi Hukuka Aykırı Olarak İşlendi

Kişisel Verileri Hukuki Sebep Olmaksızın İşlemek

Kişisel verilerin hukuka uygun olarak işlenmesi için söz konusu faaliyetin GDPR 6. Maddede sayılan hukuki sebeplerden birine dayanması gerekiyor. Söz konusu sebeplerden herhangi birine dayanmadan fotoğrafları işleyen Clearview’in faaliyeti bu sebeple hukuka aykırılık teşkil ediyor.

CNIL, açıklamasında Fransa’da milyonlarca internet kullanıcısının bu faaliyetten etkilendiğinin altını çiziyor. Aynı zamanda faaliyetin müdahaleci ve kitlesel yönünü göz önünde bulundurarak şirketin herhangi bir meşru menfaatinin bulunmadığına dikkat çekiyor.

CNIL’in açıklamasında dikkat çeken diğer bir bölüm ise kolluk kuvvetlerine yönelik. CNIL, görüntülerini çeşitli internet sitesine yükleyen bireylerin bu görüntülerinin bir veri tabanında toplanarak kolluk kuvvetlerine teslim edileceğini beklemesinin hayatın olağan akışına aykırı olduğunu söylüyor.

İzinsiz Yüz Tanıma Yolu İle Veri Sahibinin Haklarına Saygı Göstermemek

CNIL şirketin:

  1. Veri sahiplerine haklarını kullandırırken yalnızca talepten önceki 12 aylık dönemi kapsaması,
  2. Aynı hak sahibinden gelen birden fazla talebe cevap vermemesi, 
  3. Herhangi bir gerekçe olmaksızın hak kullanımını ayni yıl içerisinde iki defayla sınırlandırması

sebepleriyle şirketin Madde 12, 15 ve 17’yi de ihlal ettiğine karar verdi.

Sonuç

Bu karar bize kişisel verilerin korunmasında iki önemli noktanın varlığını bir kez daha hatırlattı:

İlk olarak, gönüllü faaliyet gösteren dernek ve örgütlerin bireylerin haklarının korunmasındaki etkin rolü. CNIL’in zaman zaman derneklerden gelen şikayetler üzerine harekete geçtiğini biliyoruz. Nitekim bu kararla da öyle olduğuna ilişkin sinyaller mevcut.

İkinci olarak ise kamusal erişime açık olsa dahi kişisel verilerin amaca aykırı şekilde kullanılamayacağı. Nitekim şirket yalnızca kamusal erişime açık herhangi özel bir hesaba giriş yapmadan topladığı kişisel verileri işliyor. Ancak CNIL, veri sahibinin kolluk kuvvetlerinin hizmetine sunulacak şekilde paylaşmasının kabülünün hayatın olağan akışına aykırı olduğunu bu sebeple kanunsuz kabul edilmesi gerektiğini hatırlatıyor.

İzinsiz yüz tanıma konusundaki bu karar ilginizi çektiyse Fransız hukukuna ilişkin diğer içeriklerimize de göz atmayı unutmayın!

Yazar Hakkında

Sıla

1 Yorum

Yorum yap

Paylaş
Bağlantıyı kopyala