Autoriteit Persoonsgegevens
Postbus 93374, 2509 AJ Den Haag
Hoge Nieuwstraat 8, 2514 EL Den Haag
T 070 8888 500 - F 088-0712140
autoriteitpersoonsgegevens.nl

Clearview AI Inc.
99 Wall Street
#5730, New York, NY, 10005
United States

Contactpersoon

Onderwerp
Besluit tot opleggen boetes en lasten onder dwangsom

Geachte leden van het bestuur,

De Autoriteit Persoonsgegevens (hierna: AP) heeft besloten om Clearview AI Inc. (hierna: Clearview) te beboeten met een totaalbedrag van € 30.500.000. Clearview heeft zich schuldig gemaakt aan het overtreden van de Algemene verordening gegevensbescherming door de volgende normen te schenden.

Ten eerste is de AP is van oordeel dat Clearview ten behoeve van haar dienst ‘Clearview for law-enforcement and public defenders’ zonder rechtmatige grondslag persoonsgegevens verwerkt van betrokkenen die zich op het Nederlandse grondgebied bevinden. Hiermee overtreedt Clearview artikel 5, eerste lid, aanhef en onder a, gelezen in samenhang met artikel 6, eerste lid, van de Algemene verordening gegevensbescherming (hierna: AVG).

Ten tweede overtreedt Clearview ten behoeve van die dienst artikel 9, eerste lid, van de AVG, door het verwerken van een bijzondere categorie van persoonsgegevens (biometrische gegevens) van betrokkenen die zich op het Nederlandse grondgebied bevinden.

Ten derde is de AP van oordeel dat Clearview betrokkenen ontoereikend informeert. Hierdoor handelt Clearview in strijd met artikel 12, eerste lid, gelezen in samenhang met artikel 14, eerste en tweede lid, van de AVG, en in strijd met artikel 5, eerste lid, aanhef en onder a, van de AVG.

Ten vierde heeft Clearview artikel 12, derde lid, gelezen in samenhang met artikel 15 van de AVG overtreden door niet te reageren op twee inzageverzoeken van betrokkenen. Omdat Clearview betrokkenen op het Nederlandse grondgebied niet faciliteert bij de uitoefening van hun inzagerecht, overtreedt zij ten vijfde artikel 12, tweede lid, gelezen in samenhang met artikel 15 van de AVG.

2/56

De omstandigheid dat Clearview geen vertegenwoordiger in de Europese Unie heeft aangewezen als bedoeld in artikel 4, aanhef en onder 17, van de AVG, hoewel zij daartoe wel verplicht is op grond van artikel 27, eerste lid, van de AVG, vormt eveneens een overtreding van de AVG. Voor die overtreding ziet de AP af van het opleggen van een boete, op de grond dat Clearview voor deze overtreding reeds is beboet door de Italiaanse en de Griekse gegevensbeschermingsautoriteit.

De AP heeft ook besloten om aan Clearview vier lasten onder dwangsom op te leggen, die zien op het beëindigen van de nog steeds voortdurende overtredingen.

De AP is van mening dat het opleggen van bestuurlijke boetes en lasten onder dwangsom aan Clearview niet alleen gepast is maar ook noodzakelijk, omdat sprake is van ernstige overtredingen. Clearview heeft de rechten en vrijheden van burgers namelijk geschonden door hun persoonsgegevens (waaronder biometrische gegevens) op onrechtmatige wijze te verwerken, door burgers onvolledig te informeren omtrent die verwerking, door niet te reageren op inzageverzoeken van burgers en geen vertegenwoordiger aan te wijzen in de Europese Unie.

In dit besluit worden de bestuurlijke boetes en de lasten onder dwangsom toegelicht. Hiertoe wordt achtereenvolgens ingegaan op (1) de aanleiding en het procesverloop, (2) de vastgestelde feiten, (3) de overtredingen, (4) de hoogte van de boetes en (5) de lasten onder dwangsom. Tot slot (onder 6) volgt het besluit en leest u wat u kunt doen als u het niet eens bent met het besluit.

3/56

Inhoud 1. Aanleiding en procesverloop . 5 2. Feiten. 5 2.1 De ondernemings- en verwerkingsactiviteiten van Clearview . 5 2.2 De werking van het algoritme en beschrijving van de dienst ‘Clearview for law-enforcement and public defenders’ . 7 3. Beoordeling . 8 3.1 Materieel toepassingsgebied van de AVG . 8 3.1.1 Juridisch kader . 8 3.1.2 Feitelijke bevindingen . 9 3.1.3 Juridische beoordeling . 10 3.2 Territoriaal toepassingsgebied van de AVG . 12 3.2.1 Juridisch kader . 12 3.2.2 Feitelijke bevindingen . 13 3.2.3 Juridische beoordeling . 13 3.3 Verwerkingsverantwoordelijke . 17 3.3.1 Juridisch kader . 17 3.3.2 Feitelijke bevindingen . 17 3.3.3 Juridische beoordeling . 18 3.4 Rechtmatigheid: artikelen 5 en 6 van de AVG . 18 3.4.1 Algemeen . 18 3.4.2 Gerechtvaardigd belang (voorwaarde 1) . 19 3.4.3 Noodzaak (voorwaarde 2) . 22 3.4.4 De belangenafweging (voorwaarde 3) .24 3.4.5 Conclusie ten aanzien van de rechtmatigheid (artikelen 5 en 6 van de AVG) . 29 3.5 Rechtmatigheid: artikel 9 van de AVG . 29 3.5.1 Juridisch kader. 29 3.5.2 Feitelijke bevindingen . 29 3.5.3 Juridische beoordeling . 30 3.5.4 Conclusie ten aanzien van rechtmatigheid (artikel 9 van de AVG) . 31 3.6 Transparantieverplichtingen: artikelen 5, 12 en 14 van de AVG . 31

4/56

3.6.1 Juridisch kader . 31 3.6.2 Feitelijke bevindingen . 32 3.6.3 Juridische beoordeling . 36 3.6.4 Conclusie ten aanzien van de transparantieverplichtingen (artikelen 5, 12 en 14 van de AVG) . 37 3.7 (Faciliteren van) inzagerecht van betrokkenen: artikelen 12 en 15 van de AVG . 37 3.7.1 Juridisch kader. 37 3.7.2 Feitelijke bevindingen . 37 3.7.3 Juridische beoordeling en conclusie ten aanzien van rechten van betrokkenen (artikelen 12 en 15 van de AVG) . 38 3.8 Vertegenwoordiger van niet in de Unie gevestigde verwerkingsverantwoordelijke: artikel 27 van de AVG . 38 3.8.1 Juridisch kader . 38 3.8.2 Feitelijke bevindingen . 39 3.8.3 Juridische beoordeling en conclusie ten aanzien van vertegenwoordiger van niet in de Unie gevestigde verwerkingsverantwoordelijke (artikel 27 van de AVG) . 40 4. Boetes . 40 4.1 Systematiek bepalen boetehoogte .42 4.2 Uitgangsbedragen voor de overtredingen . 43 4.2.1 Stap 1: Vaststellen handelingen en bepalen inbreuk . 43 4.2.2 Stap 2: Uitgangsbedragen .44 4.3 Beoordeling verzachtende of verzwarende omstandigheden voor de overtredingen. 48 4.4 Beoordeling boetemaximum (artikel 83, derde lid, van de AVG) en of de boetes doeltreffend, evenredig en afschrikkend zijn . 49 5. Lasten onder dwangsom . 50 6. Besluit . 54 Boetes . 54 Lasten onder dwangsom . 55 Rechtsmiddelenclausule . 56

5/56

1. Aanleiding en procesverloop 1 Op 3 januari 2023 heeft de AP een klacht ontvangen van een betrokkene. Deze betrokkene klaagde erover dat Clearview AI Inc. niet heeft voldaan aan een door hem ingediend inzageverzoek. Op 24 januari 2023 heeft de AP een vergelijkbare klacht ontvangen van een andere betrokkene. Tot slot heeft de AP op 11 april 2023 een tip ontvangen van een derde betrokkene. Deze betrokkene heeft in de tip verklaard dat uit de beantwoording van een inzageverzoek door Clearview volgt dat meerdere foto’s van (het gezicht van) de betrokkene zijn opgenomen in de database van Clearview. 2 Bij brief van 6 maart 2023 heeft de AP Clearview bericht over het feit dat de AP een ambtshalve onderzoek heeft ingesteld naar de verwerking van persoonsgegevens door Clearview ten behoeve van de gezichtsherkenningstool die Clearview aanbiedt. 3 Dit onderzoek heeft ertoe geleid dat de directie Beleid, Internationaal, Strategie en Communicatie van de AP op 1 mei 2023 een rapport van bevindingen heeft opgemaakt (hierna: onderzoeksrapport). Dit onderzoeksrapport is op 1 juni 2023 overgedragen aan de afdeling handhaving van de directie Juridische Zaken en Wetgevingsadvisering van de AP. 4 Bij brief van 20 juni 2023 heeft de AP aan Clearview een voornemen tot handhaving verzonden alsmede het daaraan ten grondslag liggende onderzoeksrapport en de onderliggende stukken. Clearview is daarbij in de gelegenheid gesteld haar zienswijze op het onderzoeksrapport en de onderliggende stukken kenbaar te maken. Bij e-mail van 21 juni 2023 heeft de AP een kopie van de brief van 20 juni 2023 naar Clearview gezonden. Clearview heeft geen gebruik gemaakt van de door de AP geboden gelegenheid een zienswijze te geven op het voornemen tot handhaving. 2. Feiten 2.1 De ondernemings- en verwerkingsactiviteiten van Clearview

5 Clearview is gevestigd te New York, Verenigde Staten.1 Clearview heeft geen vestiging in Europa. Ook heeft het bedrijf geen vertegenwoordiger in de Europese Unie (hierna ook: de Unie).

6 Clearview biedt diensten aan die gebruik maken van gezichtsherkenningstechnologie. Dat wil zeggen, een algoritme dat gezichten in een afbeelding dermate nauwkeurig kan analyseren dat het vervolgens hetzelfde gezicht (en dus dezelfde persoon) op andere afbeeldingen kan herkennen.

7 Om een gezicht over meerdere afbeeldingen te kunnen herkennen maakt Clearview gebruik van een geavanceerd algoritme. Het hart van dat algoritme is een ‘model’ dat is opgebouwd door middel van

1 Clearview AI Inc., 99 Wall Street #5730, New York, N.Y. 10005, USA.

6/56

zogeheten machine learning. Het model zet een afgebeeld gezicht om in een unieke code. Dit wordt ook wel ‘embedding’ of ‘vector’ genoemd. De vector wordt zo opgesteld dat wanneer er meerdere afbeeldingen van het gezicht van hetzelfde individu aan het algoritme worden onderworpen, de bijbehorende vectoren weinig van elkaar verschillen. Door de vector van het gezicht van de betrokkene te vergelijken met andere vectoren, is het mogelijk om andere afbeeldingen te vinden waarop het gezicht van die betrokkene is afgebeeld.

8 Clearview heeft een database aangelegd die bestaat uit meer dan 30 miljard foto’s (hierna: de database). De foto’s in de database zijn afkomstig uit publiek toegankelijke internetbronnen, waaronder sociale media platforms, persoonlijke en professionele websites, nieuwsartikelen, arrestatiefoto’s en Amerikaanse publieke databases met informatie over veroordeelden. De foto’s worden verzameld door zogeheten ‘crawlers’. Dit zijn softwareprogramma’s die geautomatiseerd op internet informatie vastleggen. Dit begint doorgaans op basis van een lijst met te bezoeken websites (URL’s)2, maar daarnaast kan de crawler zo worden ingesteld dat hyperlinks naar andere websites automatisch worden gevolgd. Op deze manier kan, afhankelijk van de instellingen, een groot deel van het internet worden vastgelegd, ook als de oorspronkelijke lijst met te bezoeken URL’s klein is. Het op deze manier te werk gaan wordt ook wel ‘scrapen’ of ‘scraping’ genoemd. In haar “Company Overview” heeft Clearview hierover het volgende verklaard: “Clearview AI has a propriety open-web crawling algorithm which has collected data from millions of domain names (…)”. Het gaat hierbij om een vorm van ‘ongerichte scraping’. Bij ongerichte scraping wordt de informatie ongericht en stelselmatig verzameld. Dat wil zeggen dat het verzamelen plaatsvindt op eigen initiatief van de scraper, ongeacht of er een zoekopdracht is van een klant van Clearview.

9 Clearview heeft in haar crawler geen beperkingen ingesteld op het gebied van geografische locatie of nationaliteit. De reikwijdte van de verzameling wordt door Clearview vergeleken met de data die Google opslaat, waarvoor ook geen a priori beperkingen gelden: “Clearview AI’s image repository consists of public data that can be obtained by a typical Google search”.3

10 Verder heeft de crawler van Clearview dezelfde toegangsrechten als een willekeurige andere bezoeker van dezelfde webpagina. Dit betekent dat bijvoorbeeld een sociale-mediaprofiel dat alleen voor vrienden toegankelijk is niet door Clearview kan worden bezocht en vastgelegd. Hierbij merkt de AP op dat van afgeschermde sociale-mediaprofielen regelmatig nog steeds de profielfoto en bijbehorende naam van de betrokkene zichtbaar is.

11 Van iedere afbeelding met daarop een of meerdere gezichten die de crawler van Clearview aantreft, legt Clearview de volgende informatie vast: - URL van de webpagina van de oorspronkelijke foto;

2 Een URL (Uniform Resource Locator) is – kort gezegd – het adres van een webpagina. 3 https://www.clearview.ai/post/what-clearview-ai-has-implemented-to-ensure-that-facial-recognition-technology-is-used-responsibly

7/56

- de foto zelf; - eventuele gegevens die karakteristieken van de foto beschrijven, zoals datum en tijd waarop de foto gemaakt is, indien die onderdeel zijn van de foto (hierna: metadata); - vector horende bij het gezicht (of de gezichten) op de foto. Wanneer hierna in het besluit wordt gesproken over “de foto’s”, dan worden daarmee ook de eventuele bijbehorende metadata, vector en de URL van de foto bedoeld.

12 Het machine learning algoritme dat Clearview gebruikt, is getraind en getest met foto’s die Clearview haalt uit de hiervoor genoemde database. Bij het trainen en testen gaat het om meerdere afbeeldingen van gezichten waarvan bekend is dat deze van dezelfde persoon zijn (bijvoorbeeld omdat ze op hetzelfde sociale-mediaprofiel staan). Op basis van de voorbeelden “leert” het model hoe het gezichten kan vergelijken en daarmee dus ook kan zoeken.

2.2 De werking van het algoritme en beschrijving van de dienst ‘Clearview for law-enforcement and public defenders’

13 De door Clearview aangeboden dienst ‘Clearview for law-enforcement and public defenders’, die in dit besluit centraal staat (hierna ook: de dienst), bestaat uit het doorzoekbaar maken van de in randnummer 8 genoemde database waarin meer dan 30 miljard foto’s zijn opgeslagen. Door de vectoren bij voorbaat te berekenen voor elke foto, wordt het gebruikers mogelijk gemaakt om ‘op gezicht’ (in essentie: op vector) te zoeken en zo andere afbeeldingen van hetzelfde gezicht te vinden in de database van Clearview.

14 De dienst ‘Clearview for law-enforcement and public defenders’ is bestemd voor overheids- en opsporingsinstanties. Met deze dienst kan door die instanties gezocht worden in de hiervoor genoemde database (Clearview Platform). De gebruiker van deze dienst volgt de hierna beschreven stappen.

15 Voordat het zoekproces in werking kan treden, dient de gebruiker een digitale foto van een betrokkene te hebben, ook wel een ‘probe image’ genoemd. Deze afbeelding kan afkomstig zijn van een telefoon, bewakingscamera, bodycam of van een andere bron. Het doel van de gebruiker is om te weten te komen op welke andere foto in de database van Clearview de betrokkene te zien is. Als de Clearview-database bijvoorbeeld een foto bevat van een blogpost of sociale-mediaprofiel, dan stelt dit de gebruiker in staat de betrokkene te identificeren.

16 De eerste stap bestaat uit het uploaden van de probe image naar de servers van Clearview. Hierbij wordt ook bepaalde zaakinformatie meegezonden.4 Na het uploaden berekent Clearview met behulp van het getrainde model de vector van de probe image.

4 Hierbij moet worden gedacht aan zaaknummer en type misdrijf.

8/56

17 Door de vector van het gezicht van de betrokkene te vergelijken met alle aanwezige vectoren in haar database, achterhaalt Clearview, indien in haar database aanwezig, de foto’s waarop de betrokkene ook getoond wordt. Deze afbeeldingen zijn in een eerder stadium door Clearview door middel van de in randnummers 8 en verder vermelde crawler verzameld.

18 Vervolgens worden de gevonden foto’s en bijbehorende URL’s teruggekoppeld aan de gebruiker.

19 Door de links te volgen naar de URL’s waarop de oorspronkelijke foto’s gevonden zijn door de crawler, wordt de gebruiker in staat gesteld meer persoonsgegevens van de betrokkene te achterhalen, en deze daarbij mogelijk te identificeren. Wanneer het een profielfoto op een sociaal mediaplatform betreft, is deze identificatie vaak eenvoudig omdat het doorgaans om gepersonaliseerde profielen gaat. 3. Beoordeling 20 In paragrafen 3.1 en 3.2 wordt ingegaan op het materiële en territoriale toepassingsgebied van de AVG. In paragrafen 3.3 tot en met 3.8 komen achtereenvolgens de beoordeling van de verwerkingsverantwoordelijkheid, rechtmatigheid van de verwerking, de verwerking van bijzondere categorieën van persoonsgegevens, transparantieverplichtingen, rechten van betrokkenen en vertegenwoordiging binnen de Unie aan de orde. 3.1 Materieel toepassingsgebied van de AVG

3.1.1 Juridisch kader

21 Ingevolge artikel 2, eerste lid, van de AVG is deze verordening van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. 22 Artikel 2, tweede lid, van de AVG bepaalt dat de AVG niet van toepassing is op de verwerking van persoonsgegevens: a. in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen; b. door de lidstaten bij de uitvoering van activiteiten die binnen de werkingssfeer van titel V, hoofdstuk 2, VEU vallen; c. door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit; d. door de bevoegde autoriteit met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.

9/56

23 De in artikel 2, tweede lid, van de AVG genoemde uitzonderingen op de toepasselijkheid van de AVG moeten volgens het Hof van Justitie van de Europese Unie (hierna: HvJ EU) restrictief worden uitgelegd.5

24 In dat verband heeft het HvJ EU overwogen dat artikel 2, tweede lid, aanhef en onder a van de AVG, gelezen in het licht van overweging 16 van de AVG moet worden geacht enkel tot doel te hebben de verwerking van persoonsgegevens door overheidsinstanties in het kader van activiteiten die ertoe strekken de nationale veiligheid te beschermen of in het kader van activiteiten die in dezelfde categorie kunnen worden ondergebracht, van de werkingssfeer van die verordening uit te sluiten. Daarbij gaat het met name om activiteiten die tot doel hebben de essentiële functies van de staat en de fundamentele belangen van de samenleving te beschermen.6

25 Op grond van artikel 4, aanhef en onder 1, van de AVG wordt onder persoonsgegeven verstaan alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene). 26 Artikel 4, aanhef en onder 2, van de AVG bepaalt dat onder het verwerken van persoonsgegevens wordt verstaan een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. 27 Artikel 4, aanhef en onder 14, van de AVG bepaalt dat onder “biometrische gegevens” wordt verstaan persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens. 28 Uit overweging 51 van de AVG volgt dat de verwerking van foto’s niet systematisch mag worden beschouwd als verwerking van bijzondere persoonsgegevens “aangezien foto’s alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken.” 3.1.2 Feitelijke bevindingen

29 Uit het bedrijfsmodel van Clearview volgt dat Clearview via scraping onder meer foto’s uit publieke bronnen verzamelt en opslaat in de uitoefening van haar bedrijf. Dit wordt ook onderschreven door de verschillende privacyverklaringen door Clearview. Deze foto’s kunnen, naast het beeldmateriaal, ook

5 HvJ EU 22 juni 2021, C-439/19, ECLI:EU:C:2021:504, punt 62. 6 HvJ EU 22 juni 2021, C-439/19, ECLI:EU:C:2021:504, punten 66 en 67.

10/56

metadata7 bevatten. Zoals hiervoor is beschreven in randnummer 8, bevat de Clearview database meer dan 30 miljard verschillende foto’s. 30 Op basis van de foto in de database wordt, zoals in paragraaf 2.2 uiteengezet, een vector gemaakt van het gezicht van de persoon of personen die op de foto te zien zijn. Deze gezichtskenmerken kunnen worden gebruikt om personen later te identificeren en te achterhalen op welke foto’s binnen de Clearview database deze persoon nog meer te zien is. 3.1.3 Juridische beoordeling

31 Naar het oordeel van de AP vallen de verwerkingen van Clearview onder het materiële toepassingsgebied van de AVG. De AP motiveert dit als volgt. 3.1.3.1 (Bijzondere) persoonsgegevens

32 Allereerst zijn zowel de foto’s als de daarbij behorende metadata en de bron van de foto’s persoonsgegevens als bedoeld in artikel 4, aanhef en onder 1, van de AVG. Op de foto’s die door Clearview worden verzameld zijn personen namelijk herkenbaar in beeld. Daarnaast kunnen de metadata van een foto, wanneer deze beschikbaar zijn, leiden tot identificatie van de betrokkene. Ook de bron van de foto, in de vorm van een URL, kan een unieke identificator van een betrokkene omvatten, bijvoorbeeld in de vorm van een gebruikersnaam of user-id. 33 Daarnaast zijn de met gebruikmaking van Clearviews algoritme gecreëerde vectoren van de verzamelde foto’s, biometrische gegevens in de zin van artikel 4, aanhef en onder 14, van de AVG en bijzondere persoonsgegevens in de zin van artikel 9, eerste lid, van de AVG. De AP onderbouwt dit als volgt. 34 Artikel 4, aanhef en onder 14, van de AVG bepaalt dat onder biometrische gegevens wordt verstaan persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijk persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd. Zoals gezichtsafbeeldingen of vingerafdrukgegevens. 35 Uit artikel 4, aanhef en onder 14, van de AVG en uit overweging 51 van de AVG volgt dat het enkele feit dat personen herkenbaar in beeld zijn op foto’s onvoldoende is om deze foto’s als biometrische gegevens te beschouwen. Hiervan is slechts sprake wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken. Naar het oordeel van de AP wordt aan deze voorwaarde eveneens voldaan en de AP onderbouwt dit als volgt. 36 Uit paragraaf 2.2 volgt dat Clearview een algoritme gebruikt om de verzamelde foto’s en de geüploade foto’s om te zetten in vectoren. Uit paragraaf 2.2.2 volgt dat Clearview een database beheert met

7 Zie randnummer 11.

11/56

verzamelde foto’s en de daarmee corresponderende vectoren. Met deze gezichtsherkenningstechnologie maakt Clearview dus gebruik van een technisch middel. 37 Daarnaast dient het technische middel het doel te hebben om eenduidige identificatie van natuurlijke personen mogelijk te maken. Uit paragraaf 2.2. volgt dat het besloten ligt in de aard van de dienst, dat de dienst wordt gebuikt om door middel van een te uploaden foto van de betrokkene – de probe image – andere foto’s van diezelfde betrokkene te vinden in de database van Clearview. Met behulp van het algoritme worden de vectoren van de probe image vergeleken met de vectoren van de verzamelde foto’s die in de database staan. Op deze manier kan de gebruiker achterhalen op welke foto’s de betrokkene worden getoond en wordt toegang verkregen tot de bij deze afbeelding behorende URL’s en metadata. Door het gebruik van de Clearview zoekfunctie kan een betrokkene dus eenduidig geïdentificeerd worden. 3.1.3.2 Verwerking van (bijzondere) persoonsgegevens

38 Hiervoor is vastgesteld dat de dienstverlening van Clearview bestaat uit het (onder andere via scraping) verzamelen van, opslaan, updaten en aan derden verstrekken van persoonsgegevens. De AP concludeert daarom dat sprake is van verwerking van persoonsgegevens in de zin van artikel 4, aanhef en onder 2, van de AVG. Daarmee is voldaan de voorwaarden voor toepassing van de AVG, neergelegd in artikel 2, eerste lid van de AVG. 3.1.3.3 Uitzonderingen materieel toepassingsgebied

39 De uitzonderingssituaties die zijn neergelegd in artikel 2, tweede lid, van de AVG zijn niet van toepassing. Clearview is een private partij en geen lidstaat, overheidsinstantie of bevoegde autoriteit. Daarom vallen de uitzonderingssituaties die zijn neergelegd in artikel 2, tweede lid, aanhef en onder a, b en d af. Evenmin is Clearview een natuurlijke persoon, zodat ook de uitzonderingsituatie onder c afvalt.

3.1.3.4 Conclusie materieel toepassingsgebied AVG 40 Gelet op het voorgaande concludeert de AP dat Clearview (bijzondere) persoonsgegevens verwerkt voor het aanbieden van haar diensten via het Clearview Platform. Daarmee is voldaan de voorwaarden voor toepassing van de AVG, neergelegd in artikel 2, eerste lid van de AVG. De uitzonderingssituaties, neergelegd in artikel 2, tweede lid, van de AVG zijn niet van toepassing. Gelet daarop vallen de verwerkingen van persoonsgegevens door Clearview onder het materiële toepassingsgebied van de AVG.

12/56

3.2 Territoriaal toepassingsgebied van de AVG

3.2.1 Juridisch kader

41 Artikel 3 van de AVG bepaalt de territoriale reikwijdte van de verordening. Uit het tweede lid van die bepaling volgt dat de werkingssfeer van de AVG zich niet beperkt tot het grondgebied van de Europese Unie (hierna: de Unie). De AVG kan ook gelden voor verwerkingen door verwerkingsverantwoordelijken die zich buiten de Unie bevinden. Dat is allereerst het geval als de verwerkingsverantwoordelijke goederen of diensten aanbiedt aan betrokkenen die zich in de Unie bevinden. Daarnaast is de AVG van toepassing op het monitoren van gedrag van betrokkenen in de Unie. De AVG is dus, gelet op laatstgenoemde situatie, in elk geval van toepassing indien: a. de verwerkingsverantwoordelijke niet in de Unie is gevestigd; b. er persoonsgegevens worden verwerkt van betrokkenen die zich wél in de Unie bevinden; c. de verwerking verband houdt met het monitoren van het gedrag van betrokkenen, voor zover dat gedrag in de Unie plaatsvindt. 42 In overweging 24 van de AVG is over het onder (c) bedoelde monitoren van het gedrag vermeld dat om uit te maken of een verwerking kan worden beschouwd als monitoren (“controle van het gedrag”) van betrokkenen, dient te worden vastgesteld of natuurlijke personen op het internet worden gevolgd, en onder meer of er in dat verband eventueel verwerkingstechnieken worden gebruikt waarbij een profiel wordt opgesteld van een natuurlijke persoon, in het bijzonder om besluiten ten aanzien van hem te nemen of om zijn persoonlijke voorkeuren, gedragingen en attitude te analyseren of te voorspellen. 43 In de Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG van 12 november 2019 heeft de European Data Protection Board (hierna: EDPB) opgemerkt dat het gebruik van het woord “monitoren” of “controleren” impliceert dat de verwerkingsverantwoordelijke een specifiek doel heeft met het verzamelen en vervolgens hergebruiken van de betreffende gegevens over het gedrag van een persoon in de EU. De EDPB is van mening dat het online verzamelen of analyseren van persoonsgegevens van personen in de EU niet automatisch als “monitoren” geldt. Er moet worden gekeken naar het doel van de verwerkingsverantwoordelijke met de verwerking van de gegevens en, in het bijzonder, naar eventuele technieken waarmee vervolgens aan de hand van die gegevens gedrag wordt geanalyseerd of een profiel wordt opgesteld. De EDPB houdt rekening met de bewoordingen van overweging 24 van de AVG, waarin wordt aangegeven dat het volgen van natuurlijke personen op het internet, met inbegrip van het potentiële daaropvolgende gebruik van technieken voor het opstellen van een profiel, een cruciaal element is bij het bepalen of bij verwerking het gedrag van een betrokkene wordt gemonitord.8

8 Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG van 12 november 2019, p. 22.

13/56

3.2.2 Feitelijke bevindingen

44 Bij brief van 17 maart 2023 heeft Clearview aan de AP te kennen gegeven dat zij is gevestigd in de Verenigde Staten en geen vestiging heeft in de EU. Op het briefpapier is vermeld dat Clearview adres houdt aan 99 Wall Street #5730, New York, N.Y. 10005 (Verenigde Staten). Hetzelfde adres is vermeld op de website van Clearview. 45 In haar brief heeft Clearview onder meer verklaard: “Clearview AO does not respond to Art. 15 GDPR access requests, because it is not subject to the GDPR as we have mentioned. In the past, Clearview voluntarily provided European residents with information about their appearance or non-appearance in Clearview AI search results upon request. However, we have terminated that practice, both to reduce potential security risks and to better reflect the fact that Clearview AI’s activities are not within the territorial scope of the GDPR. As such, Article 15 is not applicable to Clearview AI.” 46 In het privacy statement van Clearview van 29 januari 2020, dat op haar website was gepubliceerd, is vermeld dat inwoners van de Europese Economische Ruimte (de lidstaten van de Unie, Liechtenstein, Noorwegen en IJsland) of Zwitserland die een klacht willen indienen of een oplossing zoeken voor een geschil met Clearview over de verwerking van hun persoonsgegevens, zich kosteloos kunnen wenden tot de bevoegde gegevensbeschermingsautoriteit van hun land. 47 Volgens het Centraal Bureau voor de Statistiek had 97% van de Nederlanders vanaf 12 jaar of ouder in 2020 thuis toegang tot internet.9 Van de ondervraagde personen gaf 87,6% aan in de afgelopen drie maanden bijna elke dag gebruik te maken van het internet. In 2019 was 63% van de Nederlanders van twaalf jaar of ouder actief op een of meerdere sociale netwerken, zoals Facebook, Twitter, Instagram of Snapchat.10

3.2.3 Juridische beoordeling

3.2.3.1 Verwerkingsverantwoordelijke is niet in de Unie gevestigd

48 Vast staat dat Clearview niet is gevestigd in de Unie. Dit volgt uit de vermelding op de website van Clearview, het briefpapier van Clearview en de brief van Clearview aan de AP van 17 maart 2023.

9 https://www.cbs.nl/nl-nl/cijfers/detail/83429NED?dl=2F8AA 10https://longreads.cbs.nl/nederland-in-cijfers-2020/wie-gebruikt-het-vaakst-sociale-media/#:~:text=Vrijwel%20iedereen%20in%20de%20leeftijdsgroep,laatste%20jaren%20vaker%20sociale%20media.

14/56

3.2.3.2 Verwerking van persoonsgegevens van betrokkenen in Nederland

49 In paragraaf 3.1.3.2 is reeds geconcludeerd dat Clearview (bijzondere) persoonsgegevens verwerkt. De vraag die vervolgens moet worden beantwoord is of de verwerking ook persoonsgegevens van Nederlandse betrokkenen omvat. 50 Clearview heeft in reactie op het eerste inlichtingenverzoek van de AP slechts gereageerd dat zij van oordeel is dat de AVG niet op haar van toepassing is en heeft daarom geen antwoord gegeven op de door de AP gestelde vragen. Dat geldt ook voor de vragen over de verwerking van persoonsgegevens van Nederlandse betrokkenen. Daarnaast heeft Clearview te kennen gegeven dat zij geen inzageverzoeken van betrokkenen uit de Europese Unie meer behandelt. 51 De AP stelt echter vast dat Clearview ook gegevens van Nederlandse betrokkenen verwerkt – alsmede de persoonsgegevens van andere burgers in andere lidstaten van de Unie. Dit blijkt uit het volgende. Reactie op inzageverzoek Nederlandse betrokkene 52 Zoals vermeld in randnummer 1, heeft de AP op 11 april 2023 een tip ontvangen van een Nederlandse betrokkene die tijdig een inzageverzoek bij Clearview heeft gedaan. Dat wil zeggen dat Clearview dat verzoek heeft beantwoord vóórdat Clearview besloot om geen nieuwe verzoeken van EU-burgers meer in behandeling te nemen. Op basis van de probe image die de betrokkene heeft aangeleverd, zijn drie afbeeldingen gevonden die afkomstig zijn van verschillende websites met een .nl-domeinextensie. De gevonden afbeeldingen en de exacte URL’s waarop deze te vinden zijn, zijn opgenomen in de reactie op het inzageverzoek. Hiermee staat vast dat dat deze Nederlandse betrokkene voorkomt in de database van Clearview en dat Clearview Nederlandse websites heeft gescraped. Ontbreken van een filter voor Nederlandse betrokkenen 53 Daarnaast neemt de AP in aanmerking dat de database volgens Clearview 30 miljard afbeeldingen bevat, en dat dit aantal naar alle waarschijnlijkheid inmiddels is gegroeid. Er zijn geen maatregelen genomen om afbeeldingen van Nederlandse betrokkenen (of hun gedrag in Nederland) te filteren en te weren uit de database. Integendeel, uit het vorige randnummer volgt dat de crawler van Clearview ook Nederlandse websites scrapet. Verder neemt de AP in dit kader in aanmerking dat internet en sociale media breed worden gebruikt in Nederland. De AP wijst ter illustratie naar randnummer 47. 54 Gelet op het voorgaande stelt de AP vast dat de database van Clearview ook persoonsgegevens van Nederlandse betrokkenen omvat. Privacy statement van Clearview van 29 januari 2020 55 Zoals weergegeven in randnummer 46 vermeldde het privacy statement op de website van Clearview zelf vanaf in elk geval 29 januari 2020 dat betrokkenen uit de Europese Economische Ruimte zich bij klachten

15/56

over Clearview konden wenden tot hun nationale toezichthouder. Hieruit leidt de AP af dat Clearview van deze betrokkenen – waaronder dus ook Nederlandse betrokkenen – persoonsgegevens verwerkt. Immers, als dat niet het geval zou zijn geweest, zou de klachtverwijzing naar nationale toezichthoudende autoriteiten zinledig zijn. Gelet hierop is het door Clearview in haar brief van 17 maart 2023 ingenomen standpunt dat de AVG niet op haar van toepassing zou zijn, strijdig met de voorgaande bevindingen van de AP. Besluiten andere Europese toezichthouders 56 Daarnaast wijst de AP op de volgende op de AVG gebaseerde handhavingsbesluiten en maatregelen die andere Europese toezichthoudende autoriteiten hebben getroffen tegen Clearview. Die besluiten vormen een bevestiging dat Clearview persoonsgegevens verwerkt van betrokkenen in heel Europa. 57 De Duitse toezichthouder in Hamburg (Hamburgische Beauftragte für Datenschutz und Informationsfreiheit) heeft met toepassing van de AVG bij brief van 27 januari 2021 Clearview opgedragen de biometrische gegevens van een Duitse burger te verwijderen. Deze burger heeft een inzageverzoek gedaan en de Duitse toezichthouder heeft vastgesteld dat uit de beantwoording daarvan door Clearview volgt dat de Duitse burger daadwerkelijk in de database voorkwam. 58 De Italiaanse toezichthouder (Garante per la protezione dei Dati Personali) heeft in een op de AVG gebaseerd handhavingsbesluit van 10 februari 2022 onder andere vastgesteld dat vier klagers bij Clearview een inzageverzoek hadden gedaan en dat drie ervan een inhoudelijke reactie hebben ontvangen van Clearview. Voorts heeft de Italiaanse toezichthouder vastgesteld dat deze drie klagers op drie respectievelijk dertien en negen afbeeldingen in de database voorkomen. 59 De Britse toezichthouder (Information Commissioner’s Office) heeft in een mede op de AVG gebaseerd handhavingsbesluit van 18 mei 2022 vastgesteld dat door Clearview persoonsgegevens van Britse burgers zijn verwerkt. De Britse toezichthouder heeft die conclusie onder meer gesteund op de vaststelling dat Britse klanten proefperiodes hebben gehad om de dienst van Clearview uit te proberen, waarbij vijf handhavende instanties in totaal 721 zoekopdrachten hebben gedaan. Hierbij heeft Clearview zoekresultaten teruggegeven aan die instanties. Clearview biedt de dienst inmiddels niet meer aan in Groot-Brittannië. De Britse toezichthouder heeft overigens geen aanwijzingen dat het aantal afbeeldingen van Britse burgers in de Clearview database is afgenomen. 60 De Franse toezichthouder (Commission nationale de l’informatique et des libertés) heeft in een op de AVG gebaseerd handhavingsbesluit van 17 oktober 2022 geconcludeerd dat Clearview persoonsgegevens van Franse burgers heeft verwerkt. De Franse toezichthouder heeft in dat verband overwogen dat de afbeeldingen die Clearview verwerkt niet beperkt zijn tot het grondgebied van de Verenigde Staten, maar juist worden verzameld van onder meer wereldwijd gebruikte sociale netwerken.

16/56

61 De Oostenrijkse toezichthouder (Datenschutz Behörde) heeft in een op de AVG gebaseerd handhavingsbesluit van 9 mei 2023 geconcludeerd dat Clearview persoonsgegevens heeft verwerkt van een Oostenrijkse klager die een inzageverzoek had gedaan. 3.2.3.3 Verwerking houdt verband met het monitoren van gedrag van betrokkenen in Nederland

62 In de Richtsnoeren 3/2018 over het territoriale toepassingsbereik van de AVG van de EDPB is vermeld dat het voor de toepassing van artikel 3,tweede lid, aanhef en onder b, van de AVG niet noodzakelijk is dat de verwerkingsverantwoordelijke beoogt om het gedrag van een betrokkene gericht te monitoren, maar dat het van belang is of de verwerkingsverantwoordelijke een specifiek doel heeft met het verwerken van de gegevens over het gedrag van een persoon en het opstellen van een profiel van diegene. Daarbij is ook het opvolgende gebruik van belang. 63 Uit de beschrijving van de verwerking van persoonsgegevens door Clearview volgt dat de persoonsgegevens in de database van Clearview door de tijd heen worden verrijkt met nieuwe informatie. In het besluit van de Italiaanse toezichthouder is bovendien vermeld dat veranderingen in het uiterlijk van betrokkenen niet verhinderen dat nieuwe gegevens aan oude gegevens worden gekoppeld. Door het verrijken van oude gegevens met nieuwe afbeeldingen, metadata en geassocieerde URL’s, ontstaat een archief aan continue geüpdatete informatie over betrokkenen in de loop der tijd. 64 Zoals toegelicht in hoofdstuk 2 is het doel van de dienst van Clearview om de klanten in staat te stellen om probe images te matchen met reeds in de Clearview database opgenomen afbeeldingen van dezelfde betrokkene. Door op deze manier op afbeeldingen te kunnen zoeken en matchen, worden de klanten van Clearview in staat gesteld om het hiervoor bedoelde archief van informatie over een betrokkene te doorzoeken en het gedrag van degenen die op de afbeeldingen voorkomen door verloop van tijd heen te volgen. Het gaat hierbij bijvoorbeeld om de relatiestatus van de persoon, ouderlijke status, locatie of woonplaats, gebruik van sociale media, gewoonten (bijvoorbeeld of de desbetreffende persoon rookt of drinkt), beroep of tijdverdrijf, vermogen om een auto te besturen, welke (betaalde) activiteiten deze persoon verricht (en of deze legaal zijn). 65 De klanten van Clearview komen op deze manier meer te weten over de personen die op de foto’s staan afgebeeld, waaronder hun identiteit. Het vaststellen van de identiteit is echter niet de enige reden. Gelet op de beoogde klanten van de dienst (overheids- en opsporingsinstanties), is het meer dan aannemelijk dat het die instanties te doen is om personen die vanwege hun (vermoedelijke) gedrag interessant zijn voor wetshandhavers. 66 Gelet op de beoogde klanten van de dienst (overheids- en opsporingsinstanties) gebruiken zij de dienst ook om beslissingen te nemen die de betrokkenen (kunnen) raken, het gedrag van hen te voorspellen of analyseren, hen aan te houden, bewijs te verzamelen over wat zij hebben gedaan of om illegale activiteiten te voorkomen. Het monitoren van het gedrag van een persoon door een klant van Clearview kan het volgende omvatten: het vaststellen waar een persoon zich op een bepaald tijdstip bevindt of bevond, het in

17/56

de loop van de tijd observeren van een persoon door herhaalde indiening van dezelfde probe image van die persoon, het combineren van de zoekresultaten met informatie die uit andere vormen van monitoring of surveillance is verkregen. 67 Gelet op de bronnen waaruit Clearview de afbeeldingen in haar database verkrijgt (waaronder sociale media), omvat het hiervoor bedoelde gedrag onvermijdelijk ook het gedrag van Nederlandse betrokkenen in de Unie. Daarbij is ook relevant dat deze betrokkenen in de regel het merendeel van hun tijd in Nederland zullen doorbrengen, zodat het voor de hand ligt dat de foto’s die Clearview verzamelt voor het grootste deel het gedrag in Nederland zal omvatten – hetgeen allerminst uitsluit dat het ook het gedrag van Nederlandse burgers in de gehele Unie omvat. 3.2.3.4 Conclusie

68 Nu Clearview niet in de Unie is gevestigd, Clearview persoonsgegevens verwerkt van betrokkenen die zich in Nederland bevinden en de verwerking verband houdt met het monitoren van gedrag van betrokkenen in Nederland, concludeert de AP dat de verwerking van persoonsgegevens door Clearview ten behoeve van haar dienst onder de territoriale reikwijdte van de AVG valt. 3.3 Verwerkingsverantwoordelijke

3.3.1 Juridisch kader

69 Artikel 4, aanhef en onder 7, van de AVG bepaalt dat onder verwerkingsverantwoordelijke wordt verstaan een natuurlijke persoon of rechtspersoon die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. 3.3.2 Feitelijke bevindingen

70 Ten aanzien van de verwerkingsverantwoordelijkheid zijn er, gelet op de diensten die Clearview aanbiedt, twee situaties te onderscheiden. 71 Ten eerste worden er persoonsgegevens verwerkt in het kader van het aanleggen, het onderhouden en het verrijken van de Clearview database en voor het trainen van het Clearview gezichtsherkenningsalgoritme. Deze verwerkingen doet Clearview op eigen initiatief om haar (potentiële) gebruikers een dienst te kunnen aanbieden. De gebruikers van de diensten van Clearview zijn niet betrokken bij het (ongericht) door Clearview scrapen van de persoonsgegevens van het internet, de opbouw en het onderhoud van de database van verzamelde foto’s of het trainen van het algoritme. Deze gebruikers zijn immers op het moment dat Clearview deze gegevens verwerkt, over het algemeen nog niet in beeld. Zo geven de gebruikers bijvoorbeeld geen instructies of voorkeuren met betrekking tot de soorten foto’s die in de database van Clearview worden opgenomen of de bronnen waaruit deze worden verzameld.

18/56

72 Ten tweede worden er persoonsgegevens verwerkt in het kader van een zoekopdracht van een gebruiker van Clearview, waarbij de gebruiker foto’s wenst te vinden in de Clearview database waar dezelfde persoon op te zien is als op de probe image. Wanneer een gebruiker van Clearview een persoon op een foto wenst te identificeren aan de hand van de database van Clearview, moet de gebruiker deze foto zelf naar Clearview uploaden. Op basis van deze foto gaat Clearview, door middel van haar algoritme, na of er een “match” is en koppelt deze foto(’s) terug naar de gebruiker. 3.3.3 Juridische beoordeling

73 De AP stelt vast dat Clearview persoonsgegevens verwerkt bij het scrapen van het internet. Clearview bepaalt daarvoor zelfstandig het doel, namelijk het aanbieden en ontwikkelen van haar diensten aan (potentiële) klanten en het creëren van een database van miljarden foto’s die kunnen worden doorzocht op basis van een zoekopdracht van een klant (gebruiker) van Clearview. 74 In paragraaf 2.2 is de feitelijke werking van het Clearview Platform kort uiteengezet. Daaruit volgt onder meer dat Clearview het proces bepaalt met betrekking tot het verzamelen van de persoonsgegevens, het opbouwen van de database, het onderhoud daarvan, en het trainen van het Clearview gezichtsherkenningsalgoritme. Clearview bepaalt zelfstandig welke persoonsgegevens zij verzamelt, hoe zij dit doet en dus ook met welke middelen zij de persoonsgegevens verwerkt. Ook bepaalt Clearview welke technologie zij vervolgens gebruikt om de door klanten geüploade foto’s te vergelijken met alle foto’s die al in de door Clearview aangelegde en onderhouden database staan. 75 De AP merkt Clearview dan ook aan als verwerkingsverantwoordelijke in de zin van artikel 4, aanhef en onder 7, van de AVG. 3.4 Rechtmatigheid: artikelen 5 en 6 van de AVG

3.4.1 Algemeen

76 Ingevolge artikel 5, eerste lid, aanhef en onder a, van de AVG moeten persoonsgegevens worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig is. 77 Artikel 6, eerste lid, van de AVG bepaalt dat een verwerking alleen rechtmatig is indien en voor zover aan ten minste één van de onder a tot en met f genoemde voorwaarden is voldaan (grondslagen van de verwerking). 78 In deze zaak is uitsluitend de in artikel 6, eerste lid, aanhef en onder f, van de AVG genoemde grondslag van belang (te weten: gerechtvaardigd belang), omdat Clearview in een van de door de AP onderzochte

19/56

privacy statements een beroep heeft gedaan op deze grondslag en omdat de overige grondslagen uit artikel 6, eerste lid, van de AVG in dit geval evident niet van toepassing zijn.11

79 Voor een geslaagd beroep op de grondslag gerechtvaardigd belang (artikel 6, eerste lid, aanhef en onder f, van de AVG) moet aan drie cumulatieve voorwaarden worden voldaan: 1. er moet sprake zijn van een gerechtvaardigd belang van de verwerkingsverantwoordelijke of een derde; 2. de verwerking van persoonsgegevens moet noodzakelijk zijn voor de behartiging van dit gerechtvaardigde belang; 3. bij de afweging tussen de belangen van de verwerkingsverantwoordelijke (of derde) en de betrokkene prevaleren de belangen of fundamentele rechten en vrijheden van de betrokkene(n) niet. 3.4.2 Gerechtvaardigd belang (voorwaarde 1)

3.4.2.1 Juridisch kader gerechtvaardigd belang

80 Voor een geslaagd beroep op artikel 6, eerste lid, aanhef en onder f, van de AVG dient in de eerste plaats te zijn voldaan aan de voorwaarde dat Clearview als verwerkingsverantwoordelijke een belang van zichzelf of van een derde nastreeft, dat als gerechtvaardigd kan worden gekwalificeerd. Dat houdt in dat die belangen in (algemene) wetgeving of elders in het recht zijn benoemd als een rechtsbelang. Het moet gaan om een belang dat ook in rechte beschermd wordt, dat beschermingswaardig wordt geacht en dat in beginsel gerespecteerd moet worden en afgedwongen kan worden. 81 De belangen moeten voorts bestaand en actueel zijn, zo volgt uit de jurisprudentie van het HvJ EU.12

En dus niet speculatief, toekomstig of afgeleid. Een gerechtvaardigd belang moet rechtmatig (in overeenstemming met toepasselijk recht), voldoende duidelijk (voldoende specifiek) en werkelijk en aanwezig (niet speculatief) zijn.13

3.4.2.2 Feitelijke bevindingen gerechtvaardigd belang (voorwaarde 1)

82 De AP heeft Clearview door middel van een inlichtingenverzoek verzocht om dit gerechtvaardigd belang nader toe te lichten.14 Clearview heeft dat nagelaten, omdat zij zich niet gebonden acht aan de AVG. 83 In het privacy statement van Clearview van 29 januari 2020 wordt gesteld dat Clearview alleen persoonsgegevens verwerkt indien:

11 Clearview staat in geen enkele relatie tot de betrokkene, zodat de in artikel 6, eerste lid, aanhef en onder a, b en d, van de AVG genoemde grondslagen (toestemming, overeenkomst en vitale belangen) toepassing missen. Evenmin heeft Clearview een wettelijke verplichting of publieke taak die strekt tot de verwerking, zodat ook de in artikel 6, eerste lid, aanhef en onder c en e niet van toepassing zijn. 12 HvJ EU 11 december 2019, C-708/18, ECLI:EU:C:2019:1064, punt 44. 13 Advies 06/2014 over het begrip "gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke" in artikel 7 van Richtlijn 95/46/EG, 9 april 2014, Groep gegevensbescherming artikel 29, p. 31. 14 Zie dossierstuk 6.

20/56

- the processing is necessary to perform our contractual obligations towards users or to take pre-contractual steps at user request, such as authenticating your log on to our services; - the processing is necessary to comply with our legal or regulatory obligations, such as tax reporting or regulatory requirements; - the processing is necessary for the legitimate interests of Clearview, and does not unduly affect your interests or fundamental rights and freedoms; - in some cases, and as may be requested from you from time to time, we have obtained prior consent.

84 Het eerste hierboven genoemde punt ziet naar het oordeel van de AP op de grondslag voor de verwerking van persoonsgegevens van gebruikers van de dienst. Het tweede punt ziet op de grondslag voor de verwerking van persoonsgegevens om aan (administratieve) wettelijke vereisten te voldoen die aan Clearview worden opgelegd. Deze punten zien aldus niet op de verwerkingen van persoonsgegevens ten behoeve van het aanleggen van de database en de hieromheen opgezette door Clearview aangeboden dienstverlening. Ook komt toestemming niet in aanmerking als grondslag voor deze verwerkingen, aangezien Clearview geen toestemming vraagt en dus ook niet verkrijgt van betrokkenen. 85 In haar privacy statement van 29 januari 2020 geeft Clearview geen nadere toelichting op het onder het derde punt genoemde gerechtvaardigde belang van Clearview. In de andere voor het AP-onderzoek geraadpleegde privacy statements van Clearview wordt geen vermelding gemaakt van enige grondslag voor de verwerking van persoonsgegevens. 86 Het huidige privacy statement van Clearview beschrijft het doel van het verzamelen van publicly available photos and information derived from them als volgt: “As part of Clearview’s normal business operations, it collects photos that are publicly available on the internet. The photos may contain metadata which may be collected by Clearview due to it being contained in the photos, and information derived from the facial appearance of individuals in the photos.”15

87 Uit het huidige privacy statement volgt tevens dat Clearview publicly available photos and information derived from them verwerkt met als doel het aanbieden van haar producten en diensten, het verbeteren van haar producten en diensten en het trainen van haar algoritmes. 88 Over het belang van derden (in dit geval de gebruikers) stelt de AP vast dat Clearview op haar website verwijst naar de belangen die (potentiële) gebruikers van de diensten van Clearview zouden kunnen hebben bij de verwerkingen door Clearview. Zo stelt Clearview op haar website16 onder meer dat:

15 https://www.clearview.ai/privacy-policy 16 https://app.hubspot.com/documents/6595819/view/640216868?accessId=a02cbe

21/56

“Law enforcement are overwhelmed with the amount of digital evidence they have access to. This should not come as a surprise given the proliferation of smartphones, tablets, computers, and other connected devices. Some estimates show that there will be 7.5. billion smartphones in the world by 2024. […] As digital evidence grows, we find that the common thread is often faces – a person of interest’s face found online from internet crimes, found after CCTV footage captures a crime, found in agency collected evidence like body cam footage, or from footage captured by citizen public safety apps like “Ring”” en: “Clearview AI is committed to offering cutting-edge identity tools for responsible organizations charged with protecting society. Every day, our products are used to deter crime, rescue victims, and make real contributions to public safety. […] We believe that when used by responsible organizations, our technology has the power to help build a safer, more secure society” 3.4.2.3 Juridische beoordeling gerechtvaardigd belang

89 Hieronder beantwoordt de AP de vraag of het eigen belang van Clearview respectievelijk de belangen van eventuele derden als een gerechtvaardigd belang kwalificeren in de zin van artikel 6, eerste lid, aanhef en onder f, van de AVG. Het belang van Clearview zelf, om tegen betaling toegang te bieden tot het Clearview Platform 90 Uit paragraaf 2.2.2 volgt dat het business model van Clearview bestaat uit het tegen betaling toegang bieden tot het Clearview Platform. 91 Hieruit volgt dat het eigen belang van Clearview gelegen is in het feit dat de verwerking van persoonsgegevens noodzakelijk is om de reguliere bedrijfsactiviteiten te kunnen ontplooien. Het HvJ EU heeft bepaald dat iedere verwerking van persoonsgegevens altijd een inmenging is in het fundamentele recht op bescherming van persoonsgegevens.17 Hoewel de vrijheid van ondernemerschap de vrijheid omvat om economische of handelsactiviteiten uit te oefenen, strekt deze vrijheid niet zover dat hieronder activiteiten vallen die nagenoeg geheel samenvallen met het maken van een inbreuk op de fundamentele rechten van anderen. In het geval van de onderzochte dienst die Clearview aanbiedt, is de verwerking van persoonsgegevens geen bijkomstigheid van de dienst, maar ís die verwerking de dienst. Derhalve kwalificeert het eigen belang van Clearview niet als een gerechtvaardigd belang in de zin van artikel 6, eerste lid, aanhef en onder f, van de AVG.

17 HvJ EU 8 april 2014, C-293/12 en C-594/12, ECLI:EU:C:2014:238.

22/56

Het belang van derden in het bestrijden van criminaliteit, het opsporen van slachtoffers en andere publieke taken 92 Met betrekking tot het belang van de gebruikers van Clearview (overheidsinstanties en opsporingsdiensten) merkt de AP op dat indien Clearview zich op het standpunt stelt dat een belang van gebruikers kan worden gevonden in het bestrijden van criminaliteit, in het opsporen van slachtoffers en in andere publieke taken, deze belangen niet kwalificeren als gerechtvaardigd belang van derden in de zin van artikel 6, eerste lid, onder f, van de AVG. Deze belangen zijn brede maatschappelijke belangen die de Nederlandse en Europese wetgever in specifieke en concrete wetgeving bij publieke instanties (overheidsinstanties) heeft neergelegd. Op grond van artikel 6, eerste lid, van de AVG kunnen overheidsinstanties zich in het kader van de uitoefening van hun taken (dus) niet op de grondslag gerechtvaardigd belang beroepen. De belangen van de gebruikers van Clearview kwalificeren daarom niet als gerechtvaardigd belang. 3.4.2.4 Conclusie gerechtvaardigd belang

93 Voor zover Clearview zich beroept op de grondslag gerechtvaardigd belang, stuit dit beroep dus reeds af op de eerste voorwaarde. Uit oogpunt van volledigheid en zorgvuldigheid zal de AP hierna evenwel ingaan op de tweede en derde voorwaarde (noodzaak onderscheidenlijk belangenafweging). 3.4.3 Noodzaak (voorwaarde 2)

3.4.3.1 Juridisch kader noodzaak

94 Voor een geslaagd beroep op de grondslag gerechtvaardigd belang moet de verwerking ook noodzakelijk zijn voor de behartiging van het gerechtvaardigde belang. Met betrekking tot deze tweede voorwaarde heeft het HvJ EU bepaald dat uitzonderingen op de bescherming van persoonsgegevens en de beperking ervan binnen de grenzen van het strikt noodzakelijke moeten blijven.18 De concrete toets is of minder inbreuk makende middelen beschikbaar zijn voor het bereiken van hetzelfde doel.19 Deze voorwaarde moet bovendien in samenhang worden onderzocht met het beginsel van ‘minimale gegevensverwerking’, neergelegd in artikel 5, eerste lid, aanhef en onder c, van de AVG. Volgens dit beginsel moeten de persoonsgegevens “toereikend, ter zake dienend en niet bovenmatig [.] zijn, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt”.20

18 HvJ EU 11 december 2019, C-708/18, ECLI:EU:C:2019:1064, punt 46 en HvJ EU 4 mei 2017, C-13/16, ECLI:EU:C:2017:336, punt 30. 19 Advies 06/2014 over het begrip "gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke" in artikel 7 van Richtlijn 95/46/EG, 9 april 2014, Groep gegevensbescherming artikel 29, p. 35. 20 HvJ EU 11 december 2019, C-708/18, ECLI:EU:C:2019:1064, punt 48 en HvJ EU 4 juli 2023, C-252/21, ECLI:EU:C:2023:537, punt 109.

23/56

3.4.3.2 Feitelijke bevindingen “noodzaak”

95 Clearview heeft in reactie op het inlichtingenverzoek van de AP geen toelichting gegeven op de noodzaak van de verwerkingen. 96 Clearview verzamelt voortdurend foto’s en andere daarmee te associëren persoonsgegevens van betrokkenen - zoals de bron van de afbeelding en eventuele metadata – uit openbare bronnen op het internet (zie randnummer 8). Het gaat om een vorm van ‘ongerichte scraping’. Op de website van Clearview wordt de dienstverlening gepromoot door een “unparalleled volume of data” aan te bieden.21 In randnummer 9 is vastgesteld dat bij het verzamelen van deze foto’s en andere persoonsgegevens geen maatregelen worden getroffen om gegevens van Nederlandse betrokkenen te weren uit de database. 97 Over de gehanteerde bewaartermijnen stelt Clearview in haar huidige privacyverklaring het volgende: “We store personal information for as long as necessary to carry out the purposes for which we originally collected it and for other legitimate business purposes, including to meet our legal, regulatory, or other compliance obligations.”22

3.4.3.3 Juridische beoordeling noodzaak

98 Naar het oordeel van de AP is de verwerking van persoonsgegevens door Clearview niet beperkt tot het strikt noodzakelijke. De AP motiveert dit als volgt. 99 Wat betreft de verwerkingsactiviteiten van Clearview die zien op het verzamelen en vastleggen van persoonsgegevens uit openbare bronnen op het internet is van belang dat Clearview die gegevens op eigen initiatief verzamelt, ongeacht de zoekopdracht van de gebruikers. De persoonsgegevens die Clearview voortdurend en in enorme hoeveelheden verzamelt, legt Clearview vervolgens vast in een database, terwijl op het moment van verzameling en vastlegging nog allerminst zeker is dat de betreffende persoonsgegevens relevant zijn voor de zoekopdrachten van de klanten van Clearview. Integendeel, het is juist zeer aannemelijk dat een aanzienlijk deel van de persoonsgegevens in de database van Clearview in het geheel niet relevant zal zijn voor de zoekopdrachten van specifieke gebruikers. De AP acht het niet aannemelijk dat het merendeel van de persoonsgegevens in de Clearview database ooit relevant zal worden voor toekomstige zoekopdrachten, gelet op de enorme hoeveelheid persoonsgegevens en de verscheidenheid aan openbare digitale bronnen die Clearview gebruikt om deze gegevens te verzamelen. De verwerking van de persoonsgegevens valt dan ook niet binnen de grenzen van het strikt noodzakelijke om de belangen te kunnen nastreven. 100 Daarnaast merkt de AP op dat de open formulering van de bewaartermijn in de privacyverklaring van Clearview haar de ruimte biedt om de foto’s en andere persoonsgegevens in de database tot in het oneindige te bewaren. Mede gelet op het feit dat veranderingen in het uiterlijk van betrokkenen niet

21 https://app.hubspot.com/documents/6595819/view/454213073?accessId=c85a92 22 https://www.clearview.ai/privacy-policy

24/56

verhinderen dat nieuwe gegevens aan oude gegevens worden gekoppeld, vormt het bewaren van de enorme hoeveelheid persoonsgegevens door Clearview – waarvan hiervoor door de AP al is geconcludeerd dat een aanzienlijk deel niet relevant zal zijn voor de zoekopdrachten van Clearview gebruikers – zonder concrete bewaartermijn een zware inbreuk op de persoonlijke levenssfeer van de betrokkenen die niet in verhouding staat tot de met de verwerkingen te dienen doelen. 3.4.3.4 Conclusie noodzaak

101 De AP komt tot de conclusie dat Clearview met de verwerking van persoonsgegevens zich niet beperkt tot het strikt noodzakelijke. Nu het beroep op de grondslag gerechtvaardigd belang ook afstuit op de tweede voorwaarde, kan de verwerking van persoonsgegevens door Clearview ten behoeve van haar dienstverlening ook daar niet op worden gebaseerd. Volledigheidshalve zal de AP hierna ook nog ingaan op de derde en laatste cumulatieve voorwaarde. 3.4.4 De belangenafweging (voorwaarde 3)

3.4.4.1 Juridisch kader belangenafweging

102 De derde cumulatieve voorwaarde voor een geslaagd beroep op het gerechtvaardigd belang is dat de belangen of fundamentele rechten en vrijheden van de betrokkene(n) niet zwaarder wegen dan het gerechtvaardigde belang waarop de verwerkingsverantwoordelijke zich beroept. Uit de rechtspraak van het HvJ EU volgt dat de afweging van de betrokken tegengestelde rechten en belangen in beginsel afhangt van de bijzondere omstandigheden van een concreet geval.23

103 Allereerst heeft het HvJ EU bepaald dat de ernst van de inbreuk op de rechten en vrijheden van de betrokkene een essentieel onderdeel vormt van de vereiste afweging per geval.24 In dit verband moet met name rekening worden gehouden met de aard van de betrokken persoonsgegevens, in het bijzonder de eventueel gevoelige aard ervan, alsmede met de aard en de concrete wijze van verwerking van de betrokken gegevens, in het bijzonder het aantal personen dat er toegang toe heeft en de wijze waarop zij die toegang verkrijgen. 104 Bij de beoordeling van de ernst van de inbreuk op de belangen en fundamentele rechten en vrijheden van de betrokkenen dient ook gekeken te worden naar de omvang van de verwerking en de gevolgen ervan voor de betrokkenen.25 Hierbij is ook relevant of de gegevens door de verwerkingsverantwoordelijke openbaar zijn gemaakt of anderszins toegankelijk zijn gemaakt voor een groot aantal personen, of dat grote hoeveelheden persoonsgegevens worden verwerkt in combinatie met andere gegevens. Dit is bijvoorbeeld het geval bij profilering ten behoeve van commerciële doeleinden. Ogenschijnlijk onschuldige gegevens

23 HvJ EU 4 mei 2017, C-13/16, ECLI:EU:C:2017:336, punt 31. 24 HvJ EU 11 december 2019, C-708/18, ECLI:EU:C:2019:1064, punt 56 en 57. 25 HvJ EU 4 juli 2023, C-252/21, ECLI:EU:C:2023:537, punt 116.

25/56

kunnen, wanneer ze op grote schaal worden verwerkt en worden gecombineerd met andere gegevens, leiden tot gevolgtrekkingen over gevoeligere gegevens.26

105 Daarnaast moet rekening worden gehouden met de redelijke verwachtingen van de betrokkene op basis van zijn verhouding tot de verwerkingsverantwoordelijke. Uit overweging 47 bij de AVG volgt dat hierbij betekenis toekomt aan de vraag of sprake is van een “relevante en passende” verhouding tussen de betrokkene en de verwerkingsverantwoordelijke, waarbij gedacht kan worden aan situaties waarin de betrokkene een klant is of in dienst is van de verantwoordelijke. Uit overweging 47 volgt verder dat het gaat om de verwachtingen die de betrokkene op het tijdstip en in het kader van de verzameling van persoonsgegevens redelijkerwijs heeft. Evenzo heeft het HvJ EU in dit kader overwogen dat relevant zijn de redelijke verwachtingen van de betrokkene dat zijn persoonsgegevens niet worden verwerkt wanneer hij, in de omstandigheden van het geval, redelijkerwijs geen verdere verwerking ervan kan verwachten.27 Uit vaste rechtspraak van het HvJ EU volgt verder dat er bij deze afweging rekening mee kan worden gehouden dat de ernst van de aantasting van de grondrechten van de betrokkene als gevolg van die verwerking kan verschillen afhankelijk van de vraag of de betrokken gegevens reeds zijn opgenomen in voor het publiek toegankelijke bronnen.28

106 Voorts moet bij de belangafweging rekening worden gehouden met de waarborgen die de verwerkingsverantwoordelijke mogelijk heeft getroffen. Waarborgen kunnen de gevolgen voor betrokkenen verminderen en zijn daarmee van invloed op de belangenafweging. Zo kan het voldoen aan de wettelijke verplichtingen die voortvloeien uit de AVG, onder andere wat betreft evenredigheid en transparantie, bijdragen aan het oordeel dat de verwerkingsverantwoordelijke voldoet aan de vereisten van artikel 6, eerste lid, aanhef en onder f, van de AVG.29

3.4.4.2 Feitelijke bevindingen belangenafweging

107 Clearview heeft in reactie op het inlichtingenverzoek van de AP geen toelichting gegeven op de belangenafweging die dient te worden gemaakt in het kader van het derde vereiste voor een geslaagd beroep op de grondslag gerechtvaardigd belang. 108 In paragraaf 3.1.3.1 is vastgesteld dat de toepassing van de gezichtsherkenningstechnologie door Clearview kwalificeert als een verwerking van biometrische gegevens met het oog op de unieke identificatie van een

26 Vergelijk advies 06/2014 over het begrip "gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke" in artikel 7 van Richtlijn 95/46/EG, 9 april 2014, Groep gegevensbescherming artikel 29, p. 47-48. 27 Vergelijk overweging 47 bij de AVG en HvJ EU 11 december 2019, C-708/18, ECLI:EU:C:2019:1064, punt 58 28 HvJ EU 24 november 2011, C‑468/10 en C‑469/10, ECLI:EU:C:2011:777, punt 44 en 45; HvJ EU 4 mei 2017, C-13/16, ECLI:EU:C:2017:336, punt 32; HvJ EU 11 december 2019, C-708/18, ECLI:EU:C:2019:1064, punt 54 en 55. 29 Vergelijk Advies 06/2014 over het begrip "gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke" in artikel 7 van Richtlijn 95/46/EG, 9 april 2014, Groep gegevensbescherming artikel 29, p. 49-50.

26/56

persoon in de zin van artikel 4, aanhef en onder 14, gelezen in samenhang met artikel 9, eerste lid, van de AVG. 109 Daarnaast is sprake van grootschalige verwerking van persoonsgegevens, die bovendien ook betrekking heeft op minderjarigen. Uit informatie op de website van Clearview volgt dat zij de toepassing van de gezichtsherkenningssoftware ook aanbiedt voor het identificeren van kinderen. Zo stelt Clearview op haar website: “a federal agency’s child exploitation unit tripled the number of victims identified with Clearview AI”.30

110 Verder heeft de AP vastgesteld dat de door Clearview verzamelde foto’s ook worden gebruikt om het aan de gezichtsherkenningstechnologie ten grondslag liggende algoritme te trainen. 111 Daarnaast heeft de AP vastgesteld op welke manier de verwerkingen van Clearview gebruikers van de dienstverlening in staat stellen om betrokkenen te monitoren en voor welke doeleinden de gebruikers van Clearview de zoekfunctionaliteit inzetten. Door het voortdurend verzamelen van persoonsgegevens uit openbare bronnen en de oude gegevens uit de database met deze nieuwe gegevens te verrijken, ontstaat een archief van informatie over betrokkenen in de loop der tijd. Gebruikers kunnen door het uitvoeren van een zoekopdracht met een foto van een betrokkene dit archief van informatie doorzoeken. 112 Tot slot heeft de AP vastgesteld dat Clearview niet actief maatregelen neemt om foto’s en daarmee geassocieerde gegevens uit haar database te verwijderen, wanneer die niet langer gepubliceerd staan op het openbare internet (bijvoorbeeld doordat een betrokkene de privacy-instellingen aanpast in zijn of haar sociale media account of een foto offline wordt gehaald van een publiek toegankelijke website). De betrokkene moet in een dergelijk geval zelf een verzoek indienen tot het wissen van een foto uit de Clearview database op het moment dat de betreffende foto niet langer openbaar toegankelijk is op het internet. 3.4.4.3 Beoordeling belangenafweging

Ernst van de inbreuk 113 Ten aanzien van de aard van de betrokken gegevens heeft de AP vastgesteld dat Clearview op grootschalige wijze biometrische persoonsgegevens verwerkt die eveneens betrekking hebben op minderjarige betrokkenen. Overweging 38 van de AVG vermeldt dat deze kwetsbare groep betrokkenen onder de AVG recht hebben op specifieke bescherming, aangezien zij zich allicht minder bewust zijn van de betrokken risico’s, gevolgen en waarborgen van hun rechten in verband met de verwerking van persoonsgegevens. Deze specifieke bescherming moet met name gelden voor het gebruik van persoonsgegevens van kinderen voor het opstellen van persoonlijkheids- of gebruikersprofielen. 114 Ten aanzien van de aard en concrete wijze van verwerking van de persoonsgegevens door Clearview, heeft de AP geoordeeld dat sprake is van een grote inbreuk op de persoonlijke levenssfeer van betrokkenen.

30 https://www.clearview.ai/child-exploitation

27/56

Clearview verwerkt stelselmatig op grote schaal verschillende soorten persoonsgegevens uit een groot aantal bronnen die gecombineerd en geanalyseerd worden in een database, zonder dat Clearview daar volledig transparant over is. De verwerking van persoonsgegevens is niet alleen complex en omvangrijk, maar biedt klanten van Clearview bovendien de mogelijkheid om gegevens over individuele personen te doorzoeken en een gedetailleerd beeld van het leven van deze individuele personen te verkrijgen. Deze verwerkingen zijn dan ook zeer ingrijpend voor betrokkenen. 115 Bovendien hebben de verwerkingen mogelijk negatieve gevolgen voor de betrokkenen. Doordat de database van Clearview voortdurend met nieuwe persoonsgegevens wordt verrijkt, kunnen gebruikers immers – door middel van zoekopdrachten naar personen die op de afbeelding voorkomen – het gedrag van betrokkenen door verloop van tijd volgen. 116 Gelet op het voorgaande is sprake van een zeer ernstige inbreuk op de belangen en grondrechten van de betrokkenen. Redelijke verwachtingen 117 Zoals vermeld in randnummer 105, dienen de redelijke verwachtingen van de betrokkene te worden beoordeeld op basis van diens verhouding tot de verwerkingsverantwoordelijke. Daartoe dient op het moment van de verwerking een redelijke en passende verhouding tussen hen te bestaan. Daarvan is in het geval van de dienstverlening door Clearview geen sprake: er is in het geheel geen verhouding tussen Clearview en de betrokkenen wiens persoonsgegevens in de database van Clearview zijn opgenomen. Betrokkenen hoeven alleen al daarom geen verwerking van hun persoonsgegevens door Clearview te verwachten. 118 De openbaarheid van de gegevens die door Clearview worden verzameld ten behoeve van haar dienstverlening, brengt niet met zich dat de betrokkenen erop bedacht (hadden) moeten zijn dat hun persoonsgegevens worden gebruikt op de wijze zoals Clearview dat in dit concrete geval doet. In dit kader is met name relevant dat de verzameling van persoonsgegevens geautomatiseerd wordt uitgevoerd, zonder dat de betrokkene hier vooraf of achteraf een notificatie van krijgt. Daarbij komt dat de database en gezichtsherkenningssoftware van Clearview niet openbaar toegankelijk zijn. De meerderheid van de betrokkenen is ook daarom niet eens op de hoogte van de verwerkingen door Clearview. 119 De AP concludeert dan ook dat betrokkenen in redelijkheid geen verwachting hoeven te hebben over de verwerking van hun persoonsgegevens door Clearview. Getroffen waarborgen 120 Ten aanzien van de waarborgen die door Clearview kunnen worden getroffen om de inbreuk te beperken heeft de AP vastgesteld dat Clearview niet actief maatregelen neemt om foto’s en daarmee geassocieerde gegevens uit de database te verwijderen, wanneer die niet langer gepubliceerd staan op het openbare internet.

28/56

121 Ten aanzien van de informatie die Clearview publiceert op haar website, zij opgemerkt dat Clearview hiermee niet voldoet aan de wettelijke verplichtingen die voortvloeien uit de AVG. Gelet op hetgeen hierna is vermeld in randnummer 156, is het voor Nederlandse burgers onduidelijk dat hun foto’s (inclusief metadata) voor gezichtsherkenningsdoeleinden door Clearview worden verwerkt. Betrokkenen kunnen hiervan alleen op de hoogte raken wanneer ze bij toeval de naam Clearview tegenkomen, bijvoorbeeld in mediaberichten. Hierin kan dan ook geen waarborg voor betrokkenen worden gevonden tegen ongewenste gevolgen. 122 Ook van het anderszins treffen van waarborgen om de inbreuk te beperken is de AP niet gebleken. Belangenafweging 123 Op grond van alle hiervoor genoemde omstandigheden komt de AP tot de conclusie dat 1) sprake is van een zeer ernstige inbreuk op de belangen en grondrechten van de betrokkenen, 2) betrokkenen geen redelijke verwachting hebben of hoeven te hebben van de verwerking van hun persoonsgegevens door Clearview en 3) Clearview onvoldoende waarborgen heeft genomen om de gevolgen voor betrokkenen te verminderen. 124 Hiertegenover staat het belang waarop Clearview zich in het privacy statement van 29 januari 2020 beroept, dat bestaat uit het verrichten van handelsactiviteiten met de verwerking van persoonsgegevens. Ook als zou worden aangenomen dat dit belang een gerechtvaardigd belang zou kunnen zijn, kan daaraan geenszins hetzelfde gewicht worden toegekend als aan de belangen en grondrechten van betrokkenen die nopen tot bescherming van hun persoonsgegevens. De belangen van de betrokkenen wegen zwaarder dan het eigen belang van Clearview om handelsactiviteiten te verrichten, omdat de belangen van betrokkenen (veel) verder strekken dan uitsluitend het te gelde maken van de verwerking van persoonsgegevens. Gelet hierop, maar ook op de hierboven uiteengezette ernst van de inbreuk, het ontbreken van een redelijke verwachting van de verwerking en de omstandigheid dat Clearview onvoldoende waarborgen heeft genomen om de gevolgen voor betrokkenen te verminderen, kan voor de AP de conclusie slechts zijn dat de belangen van betrokkenen dienen te prevaleren boven de door Clearview gestelde – en niet onderbouwde – gerechtvaardigde belangen. 3.4.4.4 Conclusie belangenafweging

125 De AP concludeert aldus dat de belangen, grondrechten en fundamentele vrijheden van de betrokkenen die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan de belangen waarop Clearview zich beroept. Het beroep op de grondslag gerechtvaardigd belang zou – als eraan zou worden toegekomen – afstuiten op de derde voorwaarde. 126 Gelet op de gevolgen van de verwerking voor de betrokkenen, de ernst van inbreuk en het ontbreken van waarborgen door Clearview die de gevolgen voor betrokkenen in voldoende mate beperken, concludeert de AP dat de belangen van betrokkenen in dit geval prevaleren boven het belang van Clearview.

29/56

3.4.5 Conclusie ten aanzien van de rechtmatigheid (artikelen 5 en 6 van de AVG)

127 Clearview voldoet aan geen van de drie cumulatieve voorwaarden om een geslaagd beroep te kunnen doen op de grondslag gerechtvaardigd belang. Clearview heeft hierdoor dus geen rechtmatige grondslag voor de verwerkingen van persoonsgegevens. Clearview handelt daarmee vanaf in ieder geval 13 januari 201931

onrechtmatig, want in strijd met artikel 5, eerste lid, aanhef en onder a, gelezen in samenhang met artikel 6, eerste lid, van de AVG.32 Clearview heeft deze overtreding nog niet beëindigd. 3.5 Rechtmatigheid: artikel 9 van de AVG

3.5.1 Juridisch kader

128 Artikel 9, eerste lid, van de AVG bepaalt, voor zover hier relevant: “Verwerking van (…) biometrische gegevens met het oog op de unieke identificatie van een persoon (…) zijn verboden.’’ 129 Uit overweging 51 AVG volgt dat persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden, specifieke bescherming verdienen aangezien de context van de verwerking ervan significante risico's kan meebrengen voor de grondrechten en de fundamentele vrijheden. Volgens deze overweging mogen dergelijke persoonsgegevens niet worden verwerkt, tenzij de verwerking is toegestaan in specifieke gevallen die in de AVG worden vermeld. 130 Artikel 9, tweede lid, van de AVG bepaalt, voor zover hier relevant: “Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan: a) de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden, behalve indien in Unierecht of lidstatelijk recht is bepaald dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven; (…) e) de verwerking heeft betrekking op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt”. 131 Van ‘kennelijk openbaar gemaakte gegevens’, als bedoeld in artikel 9, tweede lid, onder e, van de AVG, is sprake als de betrokkene de aan de orde zijnde persoonsgegevens uitdrukkelijk en door middel van een ondubbelzinnige actieve handeling voor een breed publiek toegankelijk heeft willen maken.33

3.5.2 Feitelijke bevindingen

31 De AP heeft deze datum als aanvangsdatum van de overtreding gehanteerd omdat uit de oudste privacyverklaring van 13 januari 2019 volgt dat de verwerkingen door Clearview op dat moment al plaatsvonden. 32 Dit volgt uit de privacyverklaring van Clearview van 1 januari 2019, zie randnummer 151. 33 HvJ EU 4 juli 2023, C-252/21, ECLI:EU:C:2023:537, punt 77.

30/56

132 Uit paragraaf 2.1 volgt dat Clearview verzamelde en geüploade foto’s omzet in vectoren door middel van gezichtsherkenningstechnologie met het doel om betrokkenen eenduidig te kunnen identificeren voor hun gebruikers. 133 In de privacyverklaring van Clearview staat vermeld dat Clearview, als onderdeel van haar bedrijfsactiviteiten, publiek toegankelijke foto’s van het internet verzamelt met het doel om producten en diensten aan te bieden, het verbeteren van de producten en diensten en om de algoritmes te trainen. 134 De publiek toegankelijke foto’s van het internet die door Clearview worden verzameld, worden omgezet in een vector en tezamen met eventuele metadata opgeslagen in de database. Gebruikers van de dienst kunnen deze database doorzoeken. 3.5.3 Juridische beoordeling

135 Vast staat dat de verwerkingen door Clearview verband houden met de toepassing van gezichtsherkenningstechnologie op de door Clearview verzamelde en/of door gebruikers geüploade foto’s. De persoonsgegevens die het resultaat zijn van deze verwerkingen kwalificeren als biometrische gegevens in de zin van artikel 4, aanhef en onder 14, van de AVG en vormen daarmee een ‘‘bijzondere categorie van persoonsgegevens’’ als bedoeld in artikel 9 van de AVG. 136 Het voorgaande betekent dat voor deze verwerkingen het verwerkingsverbod neergelegd in artikel 9, eerste lid, van de AVG, van toepassing is, tenzij een van de in het tweede lid van die bepaling genoemde uitzonderingsgronden van toepassing is. In dat verband merkt de AP op dat artikel 9, tweede lid, van de AVG, volgens het HvJ EU, restrictief moet worden uitgelegd.34

137 Clearview heeft in de onderzochte privacy statements noch elders een beroep gedaan op een van de in artikel 9, tweede lid, van de AVG genoemde uitzonderingsgronden. 138 In deze zaak is uitsluitend de in artikel 9, tweede lid, aanhef en onder e, van de AVG genoemde uitzonderingsgrond mogelijk van belang. Deze uitzondering is alleen van toepassing op gegevens die door de betrokkene kennelijk openbaar zijn gemaakt. Hiervan is sprake, zoals in het voorgaande al overwogen, als de betrokkene de aan de orde zijnde persoonsgegevens uitdrukkelijk en door middel van een ondubbelzinnige actieve handeling voor een breed publiek toegankelijk heeft willen maken. 139 De overige uitzonderingsgronden uit artikel 9, tweede lid, van de AVG zijn in dit geval evident niet van toepassing. Zoals al in randnummer 77 is geconstateerd, wordt geen toestemming verkregen van de betrokkenen, zodat de in artikel 9, tweede lid, aanhef en onder a, van de AVG genoemde uitzonderingsgrond eveneens toepassing mist.

34 Zie bijvoorbeeld HvJ EU 4 juli 2023, C-252/21, ECLI:EU:C:2023:537, punt 76.

31/56

140 Naar het oordeel van de AP is de in artikel 9, tweede lid, aanhef en onder e, van de AVG artikel genoemde uitzonderingsgrond evenmin van toepassing. De enkele omstandigheid dat de hiervoor bedoelde persoonsgegevens online gevonden worden, betekent niet dat betrokkenen al die gegevens uitdrukkelijk en door middel van een ondubbelzinnige actieve handeling voor een breed toegankelijk publiek openbaar hebben willen maken. Dit is bijvoorbeeld al niet het geval wanneer een foto van (het gezicht van) een betrokkene door een derde op het internet is geplaatst. Ook de situatie waarin een gebruiker zijn of haar sociale mediaprofiel op privé heeft gezet en deze gebruiker niet de mogelijkheid heeft om de profielfoto af te schermen (of zich van die mogelijkheid niet bewust is), geldt niet als kennelijk openbaar maken, als hiervoor bedoeld. Er is namelijk geen sprake van dat die gebruiker uitdrukkelijk en door middel van een ondubbelzinnige actieve handeling zijn persoonsgegevens voor een breed publiek toegankelijk heeft willen maken. 3.5.4 Conclusie ten aanzien van rechtmatigheid (artikel 9 van de AVG)

141 Nu Clearview zich niet kan beroepen op één van de uitzonderingsgronden van artikel 9, tweede lid, van de AVG handelt Clearview vanaf in ieder geval 13 januari 201935 in strijd met artikel 9, eerste lid, van de AVG wegens het verwerken van een bijzondere categorie van persoonsgegevens (biometrische gegevens) van betrokkenen die zich op het Nederlandse grondgebied bevinden. Clearview heeft deze overtreding nog niet beëindigd. 3.6 Transparantieverplichtingen: artikelen 5, 12 en 14 van de AVG

3.6.1 Juridisch kader

142 Artikel 5, eerste lid, aanhef en onder a, van de AVG bepaalt dat persoonsgegevens verwerkt moeten worden op een wijze die ten aanzien van de betrokkene transparant is. Transparantie is, samen met rechtmatigheid en behoorlijkheid, één van de basisbeginselen van de verwerking van persoonsgegevens. 143 In overweging 60 van de AVG is vermeld dat overeenkomstig de beginselen van transparantie betrokkenen op de hoogte moeten worden gesteld van het feit dat de verwerking plaatsvindt en de doeleinden daarvan. 144 In overweging 39 van de AVG is daarnaast vermeld dat betrokkenen bewust moeten worden gemaakt van de risico’s, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens, alsook de wijze waarop zij hun rechten met betrekking tot de verwerking kunnen uitoefenen. 145 In de Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679 (hierna: Richtsnoeren transparantie) wordt benadrukt dat één van de kernelementen van het beginsel van transparantie en behoorlijkheid is dat betrokkenen van tevoren de reikwijdte en de gevolgen van de

35 Zie voetnoot 31.

32/56

verwerking moeten kunnen bepalen en later niet verrast worden door andere manieren waarop hun persoonsgegevens zijn gebruikt.36

146 Artikel 12, eerste lid, van de AVG bepaalt dat de verwerkingsverantwoordelijke passende maatregelen neemt opdat de betrokkenen de informatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt. De informatie wordt schriftelijk of met andere middelen verstrekt. 147 In artikel 14, eerste en tweede lid, van de AVG zijn de concrete inhoudelijke vereisten neergelegd waar verwerkingsverantwoordelijken aan moeten voldoen waar het gaat om het informeren van betrokkenen indien de informatie niet rechtstreeks van de betrokkene is verkregen. De Richtsnoeren transparantie verduidelijken de aard, het toepassingsgebied en de inhoud van deze vereisten.37 Aangezien Clearview de persoonsgegevens niet direct van betrokkenen ontvangt, maar via andere (openbare) bronnen zoals sociale mediaplatforms, is artikel 14 van de AVG leidend voor de beoordeling of Clearview voldoet aan de transparantieverplichtingen van de AVG. 148 In de Richtsnoeren transparantie is vermeld dat verwerkingsverantwoordelijken de informatie op een efficiënte en bondige wijze moeten weergeven om informatiemoeheid te voorkomen en dat deze informatie duidelijk moet worden onderscheiden van andere, niet-privacy gerelateerde informatie. Daarnaast moet de informatie op een zo eenvoudig mogelijke manier worden aangeboden, waarbij ingewikkelde zinnen en taalstructuren dienen te worden vermeden. De informatie dient concreet en definitief te zijn, geen abstracte of ambivalente formuleringen te bevatten en geen ruimte voor verschillende interpretaties te laten. Met name de doeleinden van en de rechtsgrond voor de verwerking van persoonsgegevens moeten duidelijk zijn.38

3.6.2 Feitelijke bevindingen

149 De AP heeft vier verschillende versies van de privacyverklaring van Clearview onderzocht: - de privacyverklaring met laatste wijzigingen op 29 december 2022 (de meest recente privacyverklaring); - de privacyverklaring met laatste wijzigingen op 20 maart 2021; - de privacyverklaring met laatste wijzigingen op 29 januari 2020; en - de privacyverklaring met laatste wijzigingen op 13 januari 2019. 150 De AP heeft deze vier documenten vergeleken met de eisen die zijn neergelegd in artikel 14 van de AVG. Het resultaat van deze vergelijking is in de onderstaande tabel opgenomen: Type informatie Privacyverklaring 29-12-2022 Privacyverklaring 20-3-2021 Privacyverklaring 29-1-2020 Privacyverklaring 13-1-2019

36 Richtsnoeren transparantie, punt 10. 37 Richtsnoeren transparantie, punt 23 en verder. 38 Richtsnoeren transparantie, punt 8-13.

33/56

De identiteit en contactgegevens van de vvw Art. 14, eerste lid, onder a + + + + Contactgegevens Functionaris voor gegevensbescherming Art. 14, eerste lid, onder b - - + + De doeleinden van en de rechtsgrond voor de verwerking Art. 14, eerste lid, onder c - - +/- (wel melding van de mogelijke gronden, geen verwijzing naar de art. 6 en 9 AVG) +/- (wel melding van de mogelijke gronden, geen verwijzing naar de art. 6 en 9 AVG) De categorieën van persoonsgegevens Art. 14, eerste lid, onder d + + + + De ontvangers van de gegevens Art. 14, eerste lid, onder e - - - - Details van doorgiften aan derde landen Art. 14, eerste lid,, onder f - - - (wel melding dat int. doorgifte kan plaatsvinden, maar niet naar welke landen) - (wel melding dat int. doorgifte kan plaatsvinden, maar niet naar welke landen) Bewaartermijnen Art. 14, tweede lid, onder a + + - - De gerechtvaardigde belangen van Clearview Art. 14, tweede lid, onder b - - - - Rechten van betrokkenen Art. 14, tweede lid, onder c - - (alleen inzage) + + Het recht om te allen tijde de toestemming in te trekken Art. 14, tweede lid, onder d n.v.t. n.v.t. n.v.t. n.v.t. Het recht om een klacht in te dienen bij een toezichthouder Art. 14, tweede lid, onder e - - + -

34/56

De bron waaruit de persoonsgegevens afkomstig zijn Art. 14, tweede lid, onder f - - - - Het bestaan van geautomatiseerde besluitvorming Art. 14, tweede lid, onder g n.v.t. n.v.t. n.v.t. n.v.t.

151 De vier verschillende privacyverklaringen van Clearview beschrijven hoe Clearview informatie gebruikt en welke informatie Clearview verzamelt van (1) de gebruikers van de producten van Clearview, (2) de zakelijke contacten van Clearview (denk aan de service providers en de verwerkers van Clearview) en van (3) “others online”. Zo maken de vier privacyverklaringen duidelijk dat Clearview foto’s verwerkt die publiekelijk beschikbaar zijn op het internet (en de daarbij beschikbare metadata zoals geolocatie), persoonsgegevens van gebruikers (zoals naam en contactgegevens) en gegevens van individuen die zelf hun gegevens aan Clearview hebben verstrekt (bijvoorbeeld in het kader van een inzageverzoek). De reden waarom Clearview deze informatie verwerkt wordt door Clearview beperkt omschreven (zie randnummer 152 hierna) en in ieder geval zonder verwijzing naar de specifieke gronden (en eventuele gerechtvaardigde belangen) uit de artikelen 6 en 9 van de AVG. Over de vraag hoe lang de gegevens vervolgens worden bewaard, zegt Clearview in de twee meest recente privacyverklaringen: “as long as possible to carry out the purposes”. 152 Als ‘globale’ reden voor deze verwerkingen stelt Clearview dat zij deze gegevens verzamelt voor het verlenen van haar producten en diensten. Over de specifieke verwerking van de template (vectoren) en de foto’s zelf, staat in de meest recente privacyverklaring (d.d. 29 december 2022) het volgende:

35/56

153 De reden voor deze specifieke verwerking is volgens de privacyverklaring het verlenen van een dienst aan de klanten van Clearview zoals overheidsinstanties, opsporingsdiensten of andere publieke/private veiligheidsdiensten. Op deze wijze werkt Clearview mee aan onderzoeken van haar klanten naar mogelijke schendingen van federale of lokale wet- en regelgeving, aldus Clearview. Behalve dat de foto’s uit openbare bronnen komen (“From the internet”), volgt uit de privacyverklaringen niet welke specifieke bronnen Clearview hiervoor gebruikt. In de eerste twee, door de AP op het web gevonden privacyverklaringen (van 13 januari 2019 en 29 januari 2020), staat verder het volgende vermeld over het gebruik van de foto’s: “Clearview does not compile, analyze, combine with other data, or otherwise process the images we collect in order to link them to real persons on behalf of users.” 154 Het extract hierboven (onder randnummer 152) illustreert ook dat Clearview persoonsgegevens die volgen uit de (templates) van de verzamelde foto’s niet deelt met derden voor online marketingdoeleinden, maar wel deelt met serviceproviders, leveranciers en verwerkers. In alle vier door de AP bestudeerde privacyverklaringen van Clearview staat een korte toelichting over de vraag wanneer Clearview persoonsgegevens verstrekt aan deze derden. In geen van de gevallen worden de specifieke categorieën van ontvangers vermeld of de ontvangers zelf. Ook is onduidelijk naar welke landen buiten de Verenigde Staten de gegevens worden doorgegeven en welke waarborgen dan gelden. 155 Met betrekking tot het vermelden van de rechten van betrokkenen, laten de privacyverklaringen in tijd een kentering zien. De privacyverklaringen van 20 maart 2021 en 29 december 2022 (de twee meest recente privacyverklaringen) vermelden niet wat de rechten van betrokkenen inhouden en de wijze waarop betrokkenen stappen kunnen ondernemen om dat recht uit te oefenen. Wel zijn er aparte webpagina’s

36/56

voor ingezeten uit Californië, Virginia en Illinois met specifieke formulieren voor het indienen van bijvoorbeeld een inzage-, rectificatie- en/of verwijderverzoek. Ook vermelden deze privacyverklaringen niet dat de betrokkene het recht heeft om een klacht in te dienen bij een toezichthoudende autoriteit. De privacyverklaringen van 29 januari 2020 en 13 januari 2019 vermelden wel alle rechten van betrokkenen, en de privacyverklaring van 29 januari 2020 vermeldt ook het recht om een klacht in te dienen bij een toezichthoudende autoriteit. 3.6.3 Juridische beoordeling

156 De door de AP beoordeelde privacyverklaringen voldoen geen van alle aan de transparantieverplichtingen die voortvloeien uit artikel 12, eerste lid, gelezen in samenhang met artikel 14 van de AVG. Het belangrijkste bezwaar is dat het voor betrokkenen onduidelijk is dat Clearview (mogelijk) hun foto’s (inclusief metadata) voor gezichtsherkenningsdoeleinden verwerkt. Betrokkenen kunnen hiervan alleen op de hoogte zijn wanneer ze bij toeval de naam Clearview tegenkomen, bijvoorbeeld in mediaberichten.39

157 Meer in het bijzonder schendt Clearview deze bepalingen door na te laten passende maatregelen te treffen opdat betrokkenen de volgende informatie ontvangen: (1) de rechtsgronden voor de verwerking van de persoonsgegevens (inclusief een verwijzing naar de toepasselijke bepaling van artikel 9 van de AVG); (2) de bewaartermijnen, (3) de (categorieën van) ontvangers van de gegevens, (4) de details van doorgiften naar derde landen, (5) de rechten van betrokkenen40, (6) de mogelijkheid om een klacht in te dienen bij een toezichthoudende autoriteit (met uitzondering de privacyverklaring van 29 januari 2020), en (7) de bron waaruit de persoonsgegevens afkomstig zijn (indien de specifieke bron niet wordt genoemd: de aard van de bronnen en het type organisatie/industrie/sector). 158 Bovendien is het enkel plaatsen van een privacyverklaring op de website van Clearview niet voldoende om te spreken van “verstrekken” als bedoeld in artikel 14 van de AVG. De AP merkt in dit verband op dat Clearview ten behoeve van haar dienstverlening via ongerichte scraping persoonsgegevens verzamelt uit publieke bronnen en opslaat, waaronder foto’s, de URL van die de foto’s, metadata van die foto’s en vectoren horende bij het gezicht (of de gezichten) op die foto’s, terwijl betrokkenen daarvan doorgaans door Clearview niet op de hoogte zijn gesteld (ook niet achteraf). Clearview dient ook actief stappen te ondernemen om de informatie in kwestie aan de betrokkene te bezorgen. Artikel 12, eerste lid, van de AVG schrijft immers voor dat de verwerkingsverantwoordelijke de bedoelde informatie verstrekt en dat de verwerkingsverantwoordelijke passende maatregelen neemt om te zorgen dat de betrokkene de informatie ontvangt. Zij kan dus niet volstaan met het enkel vermelden van informatie op haar website.

39 Betrokkenen kunnen dit bovendien niet met zekerheid vaststellen, aangezien Clearview niet (meer) reageert op inzageverzoeken, zie hierna in paragraaf 3.7. 40 Dit geldt alleen voor de privacyverklaringen van 20 maart 2021 en 29 december 2022, waarbij in de versie van 20 maart 2021 echter nog wel het recht op inzage was vermeld.

37/56

3.6.4 Conclusie ten aanzien van de transparantieverplichtingen (artikelen 5, 12 en 14 van de AVG)

159 De AP concludeert dat Clearview in ieder geval vanaf 13 januari 2019 in strijd handelt met artikel 12, eerste lid, gelezen in samenhang met artikel 14, eerste en tweede lid, van de AVG. Door niet aan deze verplichting te voldoen concludeert de AP ook dat Clearview tevens de beginselen van transparantie en behoorlijke gegevensverwerking, neergelegd in artikel 5, eerste lid, aanhef en onder a, van de AVG overtreedt. Clearview heeft deze overtredingen nog niet beëindigd. 3.7 (Faciliteren van) inzagerecht van betrokkenen: artikelen 12 en 15 van de AVG

3.7.1 Juridisch kader

160 Artikel 12, tweede lid, van de AVG bepaalt dat de verwerkingsverantwoordelijke de uitoefening van de rechten uit hoofde van de artikelen 15 tot en met 22 van de AVG faciliteert. In dat kader is overweging 59 van de AVG vermeld dat er regelingen voorhanden dienen te zijn om de betrokkene in staat te stellen zijn rechten uit hoofde van de AVG gemakkelijker uit te oefenen. 161 Op grond van artikel 12, derde lid, van de AVG verstrekt de verwerkingsverantwoordelijke betrokkenen onverwijld, en in ieder geval binnen een maand na ontvangst van een verzoek krachtens de artikelen 15 tot en met 22 van de AVG, informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken, en van het aantal verzoeken, kan die termijn nog eens met twee maanden worden verlengd. 162 Op grond van artikel 15, eerste lid, van de AVG heeft een betrokkene het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens. 3.7.2 Feitelijke bevindingen

163 In het voorgaande heeft de AP vastgesteld dat de meest recente privacyverklaring van 29 december 2022 van Clearview geen melding maakt van de mogelijkheden voor EU-burgers om hun rechten van betrokkenen uit te oefenen zoals bedoeld in de artikelen 15 tot en met 22 van AVG.41

164 Clearview heeft daarnaast in haar reactie van 17 maart 2023 aan de AP medegedeeld dat zij is gestopt met het beantwoorden van inzageverzoeken: “Clearview AI does not respond to Art. 15 GDPR access requests, because it is not subject to the GDPR as we have mentioned. In the past, Clearview AI voluntarily provided European residents with information about their appearance or non-appearance in Clearview AI search results upon request. However, we have

41 Zoals in de vorige voetnoot vermeld geldt dit voor zowel de privacyverklaring van 20 maart 2021 als de privacyverklaring van 29 december 2022, waarbij echter in de versie van 20 maart 2021 nog wel het recht op inzage was vermeld.

38/56

terminated that practice, both to reduce potential security risks and to better reflect the fact that Clearview AI’s activities are not within the territorial scope of the GDPR. As such, Article 15 is not applicable to Clearview AI.”

165 De AP heeft twee klachten ontvangen over twee inzageverzoeken die zijn ingediend bij Clearview op 6 oktober 2022 respectievelijk 20 december 2022. Klagers hebben de AP meegedeeld dat Clearview niet op die verzoeken heeft gereageerd.

3.7.3 Juridische beoordeling en conclusie ten aanzien van rechten van betrokkenen (artikelen 12 en 15 van de AVG)

166 Ten aanzien van twee inzageverzoeken van 6 oktober 2022 en 20 december 2022 staat vast dat Clearview niet heeft gereageerd op die verzoeken. Hiermee heeft Clearview artikel 12, derde lid, gelezen in samenhang met artikel 15 van de AVG overtreden.

167 De AP betrekt de overtreding van artikel 12, derde lid, gelezen in samenhang met artikel 15 van de AVG bij de vraag of Clearview tevens artikel 12, tweede lid, van de AVG overtreedt. Hiertoe overweegt de AP als volgt.

168 Op grond van artikel 12, tweede lid, van de AVG dient de verwerkingsverantwoordelijke de uitoefening van de rechten van de betrokkene uit hoofde van de artikel 15 te faciliteren. Clearview laat echter na betrokkenen te faciliteren bij het uitoefenen van hun inzagerecht. Ten eerste is ten aanzien van de twee hiervoor genoemde inzageverzoeken vastgesteld dat Clearview daarop niet heeft gereageerd. Daarnaast heeft Clearview in reactie op een vraag van de AP verklaard in het geheel niet meer te zullen reageren op inzageverzoeken. Dit beleid heeft zijn weerslag gekregen in de op 29 december 2022 gewijzigde privacyverklaring van Clearview.

169 Gelet op het voorgaande concludeert de AP dat Clearview in ieder geval vanaf 6 oktober 202242 artikel 12, tweede lid, gelezen in samenhang met artikel 15 van de AVG overtreedt door betrokkenen die zich op het Nederlandse grondgebied bevinden niet te faciliteren bij de uitoefening van hun inzagerecht. Clearview heeft deze overtreding nog niet beëindigd.

3.8 Vertegenwoordiger van niet in de Unie gevestigde verwerkingsverantwoordelijke: artikel 27 van de AVG

3.8.1 Juridisch kader

170 Artikel 4, aanhef en onder 17, van de AVG bepaalt dat onder vertegenwoordiger wordt verstaan een in de Europese Unie gevestigde natuurlijke persoon of rechtspersoon die uit hoofde van artikel 27 van de AVG

42 De AP merkt 6 oktober 2022 aan als aanvangsdatum van de overtredingen, zijnde de datum van het eerste inzageverzoek naar aanleiding waarvan een betrokkene bij de AP een klacht heeft ingediend, zie randnummers 1 en 165.

39/56

schriftelijk door de verwerkingsverantwoordelijke of de verwerker is aangewezen om de verwerkingsverantwoordelijke of de verwerker te vertegenwoordigen in verband met hun respectieve verplichtingen krachtens de AVG.

171 Artikel 27, eerste lid, van de AVG bepaalt dat wanneer artikel 3, tweede lid, van de AVG, van toepassing is, de verwerkingsverantwoordelijke of de verwerker schriftelijk een vertegenwoordiger in de Unie aanwijst. Het tweede lid van artikel 27 van de AVG bepaalt dat deze verplichting niet geldt voor: a. incidentele verwerking die geen grootschalige verwerking van bijzondere categorieën van persoonsgegevens, als bedoeld in artikel 9, eerste lid, van AVG, betreft noch verwerking van persoonsgegevens die verband houden met strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 van de AVG, en waarbij de kans gering is dat zij een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, rekening houdend met de aard, de context, de omvang en de verwerkingsdoeleinden, of b. een overheidsinstantie of overheidsorgaan.

172 Op grond van artikel 27, derde lid, van de AVG moet deze vertegenwoordiger zijn gevestigd in een van de lidstaten van de Europese Unie waar zich de betrokkenen bevinden wier persoonsgegevens in verband met het hun aanbieden van goederen of diensten worden verwerkt, of wier gedrag wordt geobserveerd.

3.8.2 Feitelijke bevindingen

173 In paragraaf 3.1.3.2 heeft de AP al geconcludeerd dat Clearview persoonsgegevens verwerkt. Daarnaast is geoordeeld dat artikel 3, tweede lid, van de AVG op Clearview van toepassing is en dat de verwerkingen van Clearview verband houden met het monitoren van het gedrag van betrokkenen in de Unie.

174 De AP heeft vastgesteld dat Clearview voor de verwerking van persoonsgegevens geen vertegenwoordiger heeft aangewezen binnen de Unie.

175 Raadpleging door de AP van het Handelsregister van de Kamer van Koophandel heeft geen bedrijven opgeleverd die gelieerd zijn aan Clearview. Uit een soortgelijke raadpleging van het Europese Justitie portaal (E-Justice portal) is evenmin een vestiging of vertegenwoordiger in de Europese Unie van Clearview gebleken.

176 De AP heeft Clearview onder meer gevraagd of Clearview een vestiging of vertegenwoordiger heeft binnen de Unie. Clearview heeft op die vraag geen reactie gegeven. Clearview heeft wel verklaard dat zij geen vestiging heeft binnen de Unie. Clearview stelt dat zij geen klanten heeft in Nederland en de Unie en dat zij zich niet bezig houdt met het monitoren van gedrag binnen de Unie. Zie ook randnummer 50 van dit besluit waarin Clearview aan de AP heeft laten weten geen inzageverzoeken (van EU-burgers) meer te zullen beoordelen.

40/56

177 De website van Clearview, en een zoekslag op het internet zelf, tonen ook geen vertegenwoordiger of vestigingsadres van Clearview in de Unie.

3.8.3 Juridische beoordeling en conclusie ten aanzien van vertegenwoordiger van niet in de Unie gevestigde verwerkingsverantwoordelijke (artikel 27 van de AVG)

178 Zoals hiervoor in randnummer 68 al is geconcludeerd, valt de verwerking van persoonsgegevens door Clearview ten behoeve van haar dienst onder de territoriale reikwijdte van de AVG. 179 Daarnaast stelt de AP vast dat Clearview geen vertegenwoordiger in de EU heeft aangewezen als bedoeld in artikel 4, aanhef en onder 17, van de AVG, hoewel dat wel verplicht is op grond van artikel 27, eerste lid, van de AVG. De in artikel 27, tweede lid, van de AVG genoemde uitzonderingen op deze verplichting zijn niet van toepassing omdat Clearview een private partij is die op grote schaal bijzondere categorieën van persoonsgegevens verwerkt. 180 De AP komt dan ook tot de conclusie dat Clearview in strijd handelt met artikel 27, eerste lid, van de AVG. Clearview heeft deze overtreding nog niet beëindigd. 4. Boetes 181 Clearview heeft de volgende overtredingen begaan:

1. Onrechtmatig verwerken van persoonsgegevens Clearview verwerkt in ieder geval vanaf 13 januari 2019 ten behoeve van haar dienst ‘Clearview for law-enforcement and public defenders’ persoonsgegevens van betrokkenen die zich op het Nederlandse grondgebied bevinden zonder rechtmatige wettelijke grondslag, en overtreedt daarmee artikel 5, eerste lid, aanhef en onder a, gelezen in samenhang met artikel 6, eerste lid, van de AVG (hierna ook: overtreding 1). Clearview heeft deze overtreding nog niet beëindigd.

2. Onrechtmatig verwerken van bijzondere persoonsgegevens Clearview overtreedt in ieder geval vanaf 13 januari 2019 ten behoeve van haar dienst ‘Clearview for law-enforcement and public defenders’ artikel 9, eerste lid, van de AVG wegens het verwerken van een bijzondere categorie van persoonsgegevens (biometrische gegevens) van betrokkenen die zich op het Nederlandse grondgebied bevinden (hierna ook: overtreding 2). Clearview heeft deze overtreding nog niet beëindigd.

3. Overtreding transparantieverplichting Clearview overtreedt in ieder geval vanaf 13 januari 2019 artikel 12, eerste lid, gelezen in samenhang met artikel 14, eerste en tweede lid, van de AVG alsmede artikel 5, eerste lid, aanhef en onder a, van de

41/56

AVG door na te laten passende maatregelen te treffen opdat betrokkenen die zich op het Nederlandse grondgebied bevinden alle in artikel 14 van de AVG bedoelde informatie ontvangen (hierna ook: overtreding 3). Clearview heeft deze overtreding nog niet beëindigd.

4. Niet ingaan op twee inzageverzoeken Clearview heeft artikel 12, derde lid, gelezen in samenhang met artikel 15 van de AVG overtreden door ten onrechte niet te reageren op twee inzageverzoeken van betrokkenen (hierna ook: overtreding 4).

5. Niet faciliteren van betrokkenen bij de uitoefening van hun inzagerecht Clearview overtreedt in ieder geval vanaf 6 oktober 2022 artikel 12, tweede lid, gelezen in samenhang met artikel 15 van de AVG door betrokkenen die zich op het Nederlandse grondgebied bevinden niet te faciliteren bij de uitoefening van hun inzagerecht (hierna ook: overtreding 5). Clearview heeft deze overtreding nog niet beëindigd.

6. Geen vertegenwoordiger in de Unie aangewezen Clearview overtreedt artikel 27, eerste lid, van de AVG door geen vertegenwoordiger in de Unie aan te wijzen als bedoeld in artikel 4, aanhef en onder 17, van de AVG (hierna ook: overtreding 6). Clearview heeft deze overtreding nog niet beëindigd.

182 De AP is op grond van artikel 58, tweede lid, aanhef en onder i, in verbinding met artikel 83 van de AVG en gelezen in samenhang met artikel 14, derde lid, van de Uitvoeringswet Algemene verordening gegevensbescherming (hierna: UAVG), bevoegd om een bestuurlijke boete op te leggen. Uit de jurisprudentie van het HvJ EU blijkt dat uit de bewoordingen van artikel 83, tweede lid, van de AVG volgt dat inbreuken op de bepalingen van AVG die door de verwerkingsverantwoordelijke op verwijtbare wijze zijn begaan – dat wil zeggen opzettelijk of uit nalatigheid begane inbreuken – ertoe kunnen leiden dat aan de verwerkingsverantwoordelijke op grond van dat artikel een administratieve geldboete kan worden opgelegd.43 In dit geval is sprake van verwijtbare gedragingen van Clearview waarvoor de AP boetes zal opleggen. 183 Naar de mening van de AP is het opleggen van boetes niet alleen gepast maar ook geboden, nu Clearview de rechten en vrijheden van burgers op verschillende wijzen heeft geschonden. De AP vindt dat ernstig en gaat daarom over tot het opleggen van boetes voor overtredingen 1 tot en met 5. 184 Omdat overtreding 5 (niet faciliteren van betrokkenen bij de uitoefening van hun inzagerecht) noodzakelijkerwijs leidt tot overtreding 4 (niet ingaan op twee inzageverzoeken) legt de AP voor deze twee overtredingen één boete op.

43 HvJ EU 5 december 2023, C-683/21, ECLI:EU:C:2023:949 (NVSC), punt 73 en 83; HvJ EU 5 december 2023, C-807/21, ECLI:EU:C:2023:950 (Deutsche Wohnen), punt 68 en 76.

42/56

185 De AP ziet, gelet op artikel 50 van het Handvest van de grondrechten van de Europese Unie (hierna: Handvest) en artikel 5:43 van de Algemene wet bestuursrecht (hierna: Awb), af van het opleggen van een boete wegens overtreding van artikel 27, eerste lid, van de AVG (overtreding 6, geen vertegenwoordiger in de Unie aangewezen), aangezien Clearview voor dezelfde overtreding reeds is beboet door de Italiaanse gegevensbeschermingsautoriteit en de Griekse gegevensbeschermingsautoriteit. Deze beslissingen zijn reeds definitief geworden.44

Richtsnoeren berekening administratieve boetes 186 De EDPB heeft in de plenaire vergadering van 24 mei 2023 ingestemd met de definitieve tekst van de Guidelines 04/2022 on the calculation of administrative fines under the GDPR (hierna: de Richtsnoeren berekening administratieve boetes).45 De AP zal deze Richtsnoeren toepassen op deze zaak.46 De (nationale) beleidsregels van de AP over het bepalen van de hoogte van bestuurlijke boetes zijn niet van toepassing op overtredingen van de AVG begaan door ondernemingen.47

4.1 Systematiek bepalen boetehoogte

187 De Richtsnoeren berekening administratieve boetes beschrijven de volgende methode voor het berekenen van administratieve geldboeten voor inbreuken op de AVG: 1. in kaart brengen welke en hoeveel handelingen en inbreuken ter beoordeling voorliggen; 2. het uitgangsbedrag voor de verdere berekening van de boete bepalen; 3. nagaan of er verzachtende of verzwarende omstandigheden zijn die nopen tot verhoging of verlaging van de geldboete; 4. nagaan welke maximumbedragen gelden voor de overtredingen en of die maximumbedragen niet worden overschreden als gevolg van in voorgaande of volgende stappen toegepaste verhogingen; 5. nagaan of het berekende eindbedrag van de geldboete voldoet aan de vereisten van effectiviteit, afschrikking en proportionaliteit, en zo nodig de geldboete hieraan aanpassen.

188 Deze stappen worden hierna achtereenvolgens doorlopen. In paragraaf 4.2 gaat de AP in op de uitgangsbedragen voor de overtredingen. In paragraaf 4.3 beoordeelt de AP de verzachtende of verzwarende omstandigheden voor de overtreding. Tot slot beoordeelt de AP in paragraaf 4.4 of het wettelijk boetemaximum wordt overschreden en of de boetes doeltreffend, evenredig en afschrikkend zijn.

44 Vergelijk de uitspraak van de Centrale Raad van Beroep van 3 juli 2018 (ECLI:NL:CRVB:2018:2059), ow. 4.1-4.5. Zie ook HvJ EU 14 september 2023, C-27/22, ECLI:EU:C:2023:265. 45 Zie ook Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG. 46 Zie ook https://www.autoriteitpersoonsgegevens.nl/actueel/nieuw-boetebeleid-voor-overtredingen-avg 47 Zie https://www.autoriteitpersoonsgegevens.nl/documenten/boetebeleidsregels-autoriteit-persoonsgegevens-2023

43/56

4.2 Uitgangsbedragen voor de overtredingen

4.2.1 Stap 1: Vaststellen handelingen en bepalen inbreuk

189 Om het uitgangsbedrag van de boete te bepalen, moet zoals in de Richtsnoeren berekening administratieve boetes is beschreven, allereerst worden bezien of sprake is van één of meerdere sanctioneerbare gedragingen. 190 De AP heeft hiervoor allereerst geconcludeerd dat Clearview ten behoeve van haar dienst ‘Clearview for law-enforcement and public defenders’ zonder rechtmatige grondslag persoonsgegevens verwerkt van betrokkenen die zich op het Nederlandse grondgebied bevinden. Daarmee heeft Clearview artikel 5, eerste lid, aanhef en onder a, gelezen in samenhang met artikel 6, eerste lid, van de AVG overtreden (overtreding 1, onrechtmatig verwerken van persoonsgegevens). De AP heeft daarnaast geconcludeerd dat Clearview ten behoeve van die dienst artikel 9, eerste lid, van de AVG heeft overtreden door het verwerken van een bijzondere categorie van persoonsgegevens (biometrische gegevens) van betrokkenen die zich op het Nederlandse grondgebied bevinden (overtreding 2, onrechtmatig verwerken van bijzondere persoonsgegevens). 191 De AP heeft voorts geconcludeerd dat Clearview artikel 12, eerste lid, gelezen in samenhang met artikel 14, eerste en tweede lid, van de AVG alsmede in artikel 5, eerste lid, aanhef en onder a, van de AVG overtreedt door na te laten passende maatregelen te treffen opdat betrokkenen die zich op het Nederlandse grondgebied bevinden alle in artikel 14 van de AVG bedoelde informatie ontvangen (overtreding 3, overtreding transparantieverplichting). Daarnaast heeft de AP geconcludeerd dat Clearview artikel 12, tweede lid, gelezen in samenhang met artikel 15 van de AVG en artikel 12, derde lid, gelezen in samenhang met artikel 15 van de AVG overtreedt door betrokkenen die zich op het Nederlandse grondgebied bevinden niet te faciliteren bij de uitoefening van hun inzagerecht door niet te reageren op inzageverzoeken (overtredingen 4 en 5). 192 Hoewel zelfstandig beboetbaar, moeten de overtredingen ten aanzien van de rechtmatigheid van de verwerking (overtredingen 1 en 2, onrechtmatig verwerken van – bijzondere – persoonsgegevens), alsmede de overtreding die ziet op het nalaten om passende maatregelen te treffen opdat betrokkenen alle in artikel 14 van de AVG bedoelde informatie ontvangen (overtreding 3, overtreding transparantieverplichting), worden aangemerkt als inbreuken die betrekking hebben op dezelfde of daarmee verband houdende verwerkingsactiviteiten als bedoeld in artikel 83, derde lid, van de AVG. Dit artikel bepaalt namelijk dat indien een verwerkingsverantwoordelijke of een verwerker opzettelijk of uit nalatigheid met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten een inbreuk pleegt op meerdere bepalingen van deze verordening, de totale geldboete niet hoger is dan die voor de zwaarste inbreuk. De AP zal hiermee rekening houden bij de uiteindelijke vaststelling van de boetehoogte (zie paragraaf 4.3).

44/56

193 Overtredingen 4 en 5 (niet ingaan op twee inzageverzoeken respectievelijk niet faciliteren van betrokkenen bij de uitoefening van hun inzagerecht) vormen echter een afzonderlijke inbreukmakende gedraging. De AP betrekt hierbij allereerst het feit dat Clearview op een later moment (namelijk in 2022) heeft besloten niet meer te reageren op inzageverzoeken. Ten tweede ziet de gedraging niet noodzakelijkerwijs op dezelfde groep betrokkenen. Lang niet elke betrokkene van wie zijn persoonsgegevens worden verwerkt of op wie de privacyverklaring betrekking heeft, doet immers een inzageverzoek. 4.2.2 Stap 2: Uitgangsbedragen

194 Het uitgangsbedrag vormt het uitgangspunt voor de verdere berekening van de boetehoogte in de latere stappen, waarbij alle relevante feiten en omstandigheden in aanmerking worden genomen. In de Richtsnoeren berekening administratieve boetes is vermeld dat het uitgangsbedrag wordt bepaald aan de hand van drie elementen: i) de indeling van de inbreuken volgens artikel 83, vierde tot en met zesde lid, van de AVG; ii) de zwaarte van de inbreuk en iii) de omzet van de onderneming. Hierna wordt ingegaan op alle drie de elementen.

Ad i) Indeling van de inbreuken volgens artikel 83, vierde tot en met zesde lid, van de AVG

195 Zoals vermeld in de Richtsnoeren berekening administratieve boetes, zijn vrijwel alle verplichtingen van de verwerkingsverantwoordelijke gecategoriseerd in de bepalingen van artikel 83, vierde tot en met zesde lid, van de AVG. De AVG maakt onderscheid tussen twee soorten inbreuken. Enerzijds de inbreuken die sanctioneerbaar zijn op grond van artikel 83, vierde lid, van de AVG en waarvoor een maximumboete geldt van € 10 miljoen (of in geval van een onderneming, 2% van de jaaromzet, indien dat hoger is), anderzijds de inbreuken die sanctioneerbaar zijn op grond van artikel 83, vijfde en zesde lid, van de AVG en waarvoor een maximumboete geldt van € 20 miljoen (of in geval van een onderneming, 4% van de jaaromzet, indien dat hoger is). Met dit onderscheid heeft de wetgever voorzien in een eerste indicatie in abstracto van de ernst van de inbreuk: hoe ernstiger de inbreuk, hoe hoger de boete.

196 In dit geval kan, gelet op artikel 83, vijfde lid, van de AVG en voor zover hier van belang, voor de overtredingen 1 tot en met 5 een bestuurlijke boete worden opgelegd van maximaal € 20 miljoen. Uit deze categorisering volgt dat die inbreuken door de wetgever als ernstig worden gezien.

Ad ii) Zwaarte van de inbreuken

197 Bij het bepalen van de zwaarte van de inbreuk moet rekening worden gehouden met de aard, ernst en duur van de overtreding, alsmede met de opzettelijke of nalatige aard van de inbreuk en de categorieën betrokken persoonsgegevens.

45/56

Aard van de overtredingen

198 Met betrekking tot de aard van overtredingen 1 en 2 (onrechtmatig verwerken van – bijzondere – persoonsgegevens) merkt de AP het volgende op. Artikel 6 van de AVG is een uitwerking van het in artikel 5 van de AVG neergelegde beginsel van rechtmatigheid. Dit is een van de zes basisbeginselen van de AVG en daarmee een fundamenteel vereiste voor de bescherming van persoonsgegevens. Het beginsel van rechtmatigheid waarborgt de zeggenschap van betrokkenen over hun persoonsgegevens. Door dit beginsel te overtreden wordt die zeggenschap geschaad. Artikel 9 van de AVG biedt daarnaast een extra hoog beschermingsniveau voor gegevens waarvan de verwerking situaties met zich kan brengen waarin een ernstig risico kan ontstaan vanwege de gevolgen die de verwerking voor betrokkenen kan hebben. Dit risico wordt geacht zo schadelijk te zijn, dat de verwerking van deze gegevens verboden is tenzij een uitzondering van toepassing is.

199 De aard van overtredingen 1 en 2 zien in dit geval op het onrechtmatig verwerken van (biometrische) persoonsgegevens van betrokkenen. Deze artikelen vertegenwoordigen de voorwaarden voor rechtmatigheid en daarmee de fundamentele vereisten voor de verwerking onder de AVG. Met betrekking tot de aard van deze overtredingen moet voorts in ogenschouw worden genomen dat de verwerkingen betrekking hebben op bijzondere categorieën van persoonsgegevens, namelijk biometrische gegevens, ten aanzien waarvan een hoger beschermingsniveau geldt.

200 Met betrekking tot de aard van de overtredingen 3, 4 en 5 (overtreding transparantieverplichting respectievelijk overtredingen van – de faciliteerplicht van – het inzagerecht) merkt de AP op dat de verwerkingsverantwoordelijke de betrokkene de informatie dient te verstrekken die noodzakelijk is om tegenover de betrokkene een behoorlijke en transparante verwerking te waarborgen, met inachtneming van de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt. Betrokkenen hebben het recht om alle in artikel 14, eerste en tweede lid, van de AVG genoemde informatie te ontvangen, zodat zij in staat zijn om hun andere rechten op grond van de AVG uit te oefenen. Het recht op inzage is noodzakelijk om betrokkenen in staat te stellen om hun andere rechten op grond van de AVG uit te oefenen. Een verwerkingsverantwoordelijke dient betrokkene in staat te stellen de uitoefening van zijn inzagerecht gemakkelijker uit te oefenen. Van dat laatste is in dit geval in het geheel geen sprake nu Clearview het beleid hanteert om niet te reageren op inzageverzoeken. Wanneer een verwerkingsverantwoordelijke deze verplichtingen niet naleeft, raakt dit het recht dat betrokkenen hebben op de eerbiediging van hun persoonlijke levenssfeer en de bescherming van hun persoonsgegevens.

Ernst van de overtredingen

201 Met betrekking tot de ernst van de overtredingen 1 en 2 (onrechtmatig verwerken van – bijzondere –persoonsgegevens) merkt de AP allereerst op dat de onrechtmatige verwerkingen de kern vormen van de bedrijfsactiviteit van Clearview. Clearview verwerkt niet incidenteel, maar stelselmatig en op grote schaal

46/56

verschillende soorten persoonsgegevens voor gezichtsherkenningsdoeleinden. Clearview maakt hierbij gebruik van persoonsgegevens uit een groot aantal bronnen die gecombineerd en geanalyseerd worden in een database. Die database wordt bovendien voortdurend met nieuwe persoonsgegevens verrijkt. Het biedt gebruikers de mogelijkheid om gegevens over individuen te doorzoeken, een gedetailleerd beeld van het leven van deze personen verkrijgen en het gedrag van hen te volgen. Deze verwerkingen zijn zeer ingrijpend voor betrokkenen en hebben mogelijk zelfs negatieve gevolgen voor hen. Clearview voert deze verwerkingen uit zonder toestemming van betrokkenen en zonder dat zij beschikt over een gerechtvaardigd belang. De onrechtmatige verwerkingen hebben bovendien betrekking op een zeer groot aantal betrokkenen in Nederland, waaronder minderjarigen, die een speciale bescherming verdienen ten opzichte van een verwerkingsverantwoordelijke. Tevens neemt de AP het onzichtbare karakter van de verwerking in aanmerking. Betrokkenen zijn immers meestal niet op de hoogte van de verwerking en hoeven redelijkerwijs ook niet te verwachten dat hun persoonsgegevens op deze manier worden verwerkt. Betrokkenen kunnen hiervan alleen op de hoogte raken wanneer ze bij toeval de naam Clearview tegenkomen, bijvoorbeeld in mediaberichten of op de website van Clearview (die de verwerking slechts in algemene termen beschrijft).

202 Voor de motivering van de ernst van de overtredingen 3, 4 en 5 (overtreding transparantieverplichting respectievelijk overtredingen van – de faciliteerplicht van – het inzagerecht) merkt de AP op – in aanvulling op hetgeen in het vorige randnummer is overwogen – dat omdat Clearview in het kader van haar bedrijfsactiviteit (biometrische) persoonsgegevens op voor betrokkenen zeer ingrijpende wijze verwerkt, het van groot belang is dat Clearview ook transparant is over verwerking van de persoonsgegevens, dat betrokkenen het recht hebben om de persoonsgegevens die Clearview over hen heeft verzameld in te zien en dat zij dat recht eenvoudig kunnen uitoefenen. Het feit dat Clearview betrokkenen de uitoefening van hun inzagerecht feitelijk onmogelijk heeft gemaakt en betrokkenen niet voorziet van alle in artikel 14 van de AVG genoemde informatie acht de AP ernstig. Wel merkt de AP op dat Clearview wel enige informatie in haar privacyverklaring(en) heeft opgenomen.

Duur van de overtredingen

203 Voor wat betreft de duur van de overtredingen 1 en 2 (onrechtmatig verwerken van – bijzondere – persoonsgegevens) heeft de AP vastgesteld dat de onrechtmatige verwerking (in strijd met de artikelen 6 en 9 van de AVG) in ieder geval vanaf 13 januari 2019 plaatsvindt en nog steeds voortduurt. Hetzelfde geldt voor overtreding 3 (overtreding transparantieverplichting). Dit betreft een aanzienlijke periode. Dat Clearview de overtredingen 1, 2 en 3 nog niet heeft beëindigd acht de AP ernstig.

204 Tevens heeft de AP geconcludeerd dat Clearview in ieder geval vanaf 6 oktober 2022 betrokkenen niet faciliteert bij de uitoefening van hun inzagerecht (overtreding 5) en dat die overtreding nog steeds voortduurt. Laatstgenoemde overtreding is weliswaar op een later tijdstip gestart dan overtreding 3 (overtreding transparantieverplichting), maar heeft er toe geleid dat de controle van betrokkenen op de

47/56

verwerking van hun persoonsgegevens verder is afgenomen. Het feit dat Clearview overtreding 5 (niet faciliteren van betrokkenen bij de uitoefening van hun inzagerecht) nog niet heeft beëindigd vindt de AP eveneens ernstig.

Mate van verwijtbaarheid van de overtredingen

205 Ten aanzien van het opzettelijke of nalatige karakter van de inbreuken slaat de AP acht op de omstandigheid dat Clearview zich doelbewust buiten de AVG-rechtsorde heeft willen plaatsen, terwijl Clearview weet dat zij bewust foto’s van Nederlandse burgers door middel van scraping uit publieke bronnen verzamelt en opslaat, waarna zij op basis daarvan een vector maakt van de persoon of personen die op de foto’s te zien zijn. Daardoor kunnen personen worden geïdentificeerd en gemonitord. Dit, gevoegd bij het feit dat meerdere toezichthoudende autoriteiten in de Unie ten aanzien van Clearview inbreuken op de AVG hebben vastgesteld, maakt dat Clearview niet alleen kennis had van het feit dat haar gedragingen zich niet verdroegen met de AVG, maar die gedragingen bovendien doelbewust heeft voortgezet ook nadat aan haar sancties zijn opgelegd door die andere toezichthoudende autoriteiten in de Unie. Die sancties zijn voor het merendeel opgelegd nog voordat de AP haar onderzoek naar Clearview startte. Onder die omstandigheden kan naar het oordeel van de AP niet worden gesproken van nalatigheid, maar is sprake van opzet.

Categorieën van persoonsgegevens waarop de inbreuken betrekking op hebben

206 De AP overweegt tot slot dat Clearview bijzondere (biometrische) persoonsgegevens verwerkt in de zin van artikel 9 van de AVG, hetgeen een verzwarende omstandigheid vormt.

Conclusie zwaarte van de inbreuken

207 Gelet op de hiervoor genoemde omstandigheden concludeert de AP dat het bij overtredingen 1 tot en met 5 gaat om zware overtredingen - in de categorie “inbreuken van een hoge zwaarte”, als bedoeld in de Richtsnoeren berekening administratieve boetes.

Ad iii) Omzet van de onderneming

208 Uit artikel 83, vijfde lid, van de AVG volgt dat voor overtredingen 1 tot en met 5 aan Clearview een bestuurlijke boete kan worden opgelegd van maximaal € 20 miljoen.

209 Zoals in randnummer 64 van de Richtsnoeren berekening administratieve boetes is opgemerkt, is het eerlijk om in de te bepalen uitgangsbedragen een onderscheid naar de omvang van de onderneming tot uiting te laten komen en daarin rekening te houden met de omzet van de onderneming.

48/56

210 De AP wijst er echter op dat Clearview ondanks herhaalde verzoeken van de AP ten enenmale geen informatie heeft verstrekt over haar omzet. Hiermee ontneemt Clearview de AP bewust de mogelijkheid om bij de boetetoemeting de omzet van Clearview in aanmerking te nemen en daarmee rekening te houden. De AP ziet zich daarom genoodzaakt uit te gaan van het boetemaximum van € 20 miljoen.

Conclusie uitgangsbedragen overtredingen

211 Zoals hiervoor uiteengezet gaat het in dit geval om zware overtredingen, in de categorie “inbreuken van een hoge zwaarte”. Volgens de Richtsnoeren berekening administratieve boetes geldt bij het berekenen van de administratieve geldboete voor dergelijke inbreuken, dat de toezichthoudende autoriteit het uitgangsbedrag voor de verdere berekening vaststelt op een punt tussen 20% en 100% van het boetemaximum van in dit geval € 20 miljoen. Dit komt overeen met een uitgangsbedrag tussen de € 4 miljoen en € 20 miljoen. Daarbij geldt als algemene regel, volgens de Richtsnoeren berekening administratieve boetes, dat hoe ernstiger de inbeuk binnen zijn eigen categorie is, hoe hoger het uitgangsbedrag zal zijn.

212 Gelet op het voorgaande is de AP heeft van oordeel dat ten aanzien van de overtredingen 1 en 2 (onrechtmatig verwerken van – bijzondere – persoonsgegevens) het uitgangsbedrag voor de berekening van de boete aanzienlijk hoog moet zijn.

213 Ten aanzien van overtredingen 3, 4 en 5 (overtreding transparantieverplichting respectievelijk overtreding van – de faciliteerplicht van – het inzagerecht) is geconcludeerd dat het daar eveneens zware overtredingen betreft. Naar het oordeel van de AP moeten de uitgangsbedragen voor die overtredingen daarom ook hoog zijn. Wel houdt de AP voor overtreding 3 (overtreding transparantieverplichting) rekening met het feit dat Clearview wel enige informatie in haar privacyverklaring(en) heeft opgenomen.

4.3 Beoordeling verzachtende of verzwarende omstandigheden voor de overtredingen

214 Volgens de Richtsnoeren berekening administratieve boetes moet vervolgens worden bezien of in de omstandigheden van het geval aanleiding wordt gevonden om de boete hoger of lager vast te stellen dan het hiervoor bepaalde startbedrag. De in aanmerking te nemen omstandigheden zijn vermeld in artikel 83, tweede lid, aanhef en onder a tot en met k, van de AVG. De in die bepaling vermelde omstandigheden moeten elk slechts eenmaal worden bezien. In de vorige stap – voor zover van toepassing – is al rekening gehouden met de aard, zwaarte en duur van de overtredingen (onderdeel a), de opzettelijke of nalatige aard van de inbreuken (onderdeel b) en de categorieën van persoonsgegevens (onderdeel g). Daardoor resteren nog de onderdelen c tot en met f en h tot en met k.

49/56

215 Een van toepassing zijnde omstandigheid is de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken (onderdeel f).

216 De AP neemt in dat verband als verzwarende omstandigheid in aanmerking dat Clearview, ondanks de hierboven genoemde tussenkomsten van de meerdere toezichthoudende autoriteiten (binnen en buiten de EU), geen enkele maatregel heeft genomen om haar activiteiten in overeenstemming te brengen met de AVG, Clearview zich op het standpunt heeft gesteld dat zij niet onder de AVG valt en zij heeft geweigerd vragen van de AP te beantwoorden. De AP kent deze boeteverzwarende omstandigheid in gelijke delen toe aan (i) overtreding 1, (ii) overtreding 2, (iii) overtreding 3 en (iv) overtredingen 4 en 5.

217 Van de overige in artikel 83, tweede lid, aanhef en onder c en e en g tot en met k, van de AVG genoemde omstandigheden is niet gebleken dan wel geven geen aanleiding tot verhoging of verlaging van de boete.

4.4 Beoordeling boetemaximum (artikel 83, derde lid, van de AVG) en of de boetes doeltreffend, evenredig en afschrikkend zijn

218 De AP heeft hiervoor in paragraaf 4.2.1 geoordeeld dat overtredingen 1, 2 en 3 (onrechtmatig verwerken van – bijzondere – persoonsgegevens respectievelijk overtreding transparantieverplichting) moeten worden aangemerkt als inbreuken die betrekking hebben op dezelfde of daarmee verband houdende verwerkingsactiviteiten als bedoeld in artikel 83, derde lid, van de AVG.

219 Gelet op artikel 83, derde lid, van de AVG48 en het feit dat inbreuken onderworpen zijn aan geldboetes op grond van artikel 83, vijfde lid, van de AVG stelt de AP de boete voor die overtredingen vast op € 20.000.000.

220 Zoals hiervoor in randnummer 193 is uiteengezet, vormen overtredingen overtredingen 4 en 5 (niet ingaan op twee inzageverzoeken respectievelijk niet faciliteren van betrokkenen bij de uitoefening van hun inzagerecht) echter een afzonderlijke inbreuk makende gedraging, zodat deze overtredingen niet onder artikel 83, derde lid, van de AVG vallen. Gelet daarop stelt de AP het boetebedrag voor die overtredingen vast op € 10.500.000.

Boetes doeltreffend, evenredig en afschrikkend

221 Tot slot beoordeelt de AP of de boetes doeltreffend, evenredig en afschrikkend zijn en of het wettelijk boetemaximum wordt overschreden. Ook op grond van de artikelen 3:4 en 5:46, tweede lid, van de Awb

48 Artikel 83, derde lid, van de AVG bepaalt: “Indien een verwerkingsverantwoordelijke of een verwerker opzettelijk of uit nalatigheid met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten een inbreuk pleegt op meerdere bepalingen van deze verordening, is de totale geldboete niet hoger dan die voor de zwaarste inbreuk”.

50/56

mag de bestuurlijke boete, gezien de omstandigheden van het concrete geval, niet tot een onevenredige uitkomst leiden. Dit is ook neergelegd in artikel 49 van het Handvest.

222 Op grond van artikel 83, vijfde lid, aanhef en onder a en b, van de AVG kan de AP voor de hierboven beschreven overtredingen een bestuurlijke boete opleggen. Zoals in de Richtsnoeren berekening administratieve boetes omschreven, kan het opleggen van een boete als effectief worden beschouwd als deze het doel bereikt waarvoor deze is opgelegd. Dat doel kan zijn gelegen in enerzijds het bestraffen van onrechtmatige gedragingen en anderzijds het bevorderen van naleving van de geldende voorschriften. Gelet op de aard, ernst en de duur van de inbreuken, alsmede de overige factoren uit artikel 83, tweede lid, AVG zoals hiervoor beoordeeld, is de AP van oordeel dat het opleggen van bestuurlijke boetes onder deze omstandigheden beide doelen bereikt en derhalve effectief en afschrikkend is. De hoogte van de bestuurlijke boetes acht de AP eveneens doeltreffend en afschrikkend, mede gelet op de omstandigheid dat Clearview te enenmale heeft geweigerd inzicht te geven in de door haar behaalde omzet. 5. Lasten onder dwangsom 223 De AP stelt vast dat Clearview de onrechtmatige verwerkingen nog niet heeft beëindigd. Daarnaast voldoet Clearview nog niet aan de eisen van transparantie, voortvloeiend uit artikel 12, eerste lid, gelezen in samenhang met artikel 14, eerste en tweede lid, van de AVG. Ook laat Clearview nog na om betrokkenen te faciliteren bij de uitoefening van hun inzagerechten heeft Clearview nog geen vertegenwoordiger in de Unie aangewezen.

224 Clearview dient deze overtredingen alsnog zo spoedig mogelijk te beëindigen. De AP legt daarom vier lasten onder dwangsom op. De AP doet dit op grond van artikel 58, tweede lid, aanhef en onder d, van de AVG en artikel 16, eerste lid, van de UAVG gelezen in samenhang met artikel 5:32, eerste lid, van de Awb.

225 De AP gelast Clearview voor de verwerking van persoonsgegevens in het kader van de dienst ‘Clearview for law-enforcement and public defenders’:

I. de overtreding van artikel 5, eerste lid, aanhef en onder a, gelezen in samenhang met artikel 6, eerste lid, van de AVG (overtreding 1, onrechtmatig verwerken van persoonsgegevens) alsmede de overtreding van artikel 9, eerste lid, van de AVG (overtreding 2, onrechtmatig verwerken van bijzondere persoonsgegevens) te beëindigen en deze beëindigd te houden. Dit kan Clearview doen door de verwerking van persoonsgegevens van betrokkenen die zich op het Nederlandse grondgebied bevinden aantoonbaar te beëindigen en de door Clearview onrechtmatig verkregen persoonsgegevens te verwijderen.

II. de overtreding van artikel 12, eerste lid gelezen in samenhang met artikel 14, eerste en tweede lid, van de AVG alsmede artikel 5, eerste lid, aanhef en onder a, van de AVG (overtreding 3, overtreding transparantieverplichting) te beëindigen en deze beëindigd te houden. Dit kan

51/56

Clearview doen door alsnog aantoonbaar actief en volledig de in artikel 14 van de AVG bedoelde informatie in beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm te verstrekken aan betrokkenen die zich op het Nederlandse grondgebied bevinden.

III. de overtreding van artikel 12, tweede lid, gelezen in samenhang met artikel 15 van de AVG (overtreding 5, niet faciliteren van betrokkenen bij de uitoefening van hun inzagerecht) te beëindigen en beëindigd te houden. Dit kan Clearview doen door haar beleid om niet te reageren op inzageverzoeken van betrokkenen die zich op het Nederlandse grondgebied bevinden aantoonbaar te staken.

IV. de overtreding van artikel 27, eerste lid, van de AVG (overtreding 6, geen vertegenwoordiger in de Unie aangewezen) te beëindigen en beëindigd te houden. Dit kan Clearview doen door aantoonbaar schriftelijk een vertegenwoordiger in de Unie aan te wijzen als bedoeld in artikel 4, aanhef en onder 17, van de AVG.

226 De AP verwijst voor last II naar de Richtsnoeren transparantie. Hierin worden voorbeelden gegeven over hoe een verwerkingsverantwoordelijke in beknopte, transparante, begrijpelijke en gemakkelijke toegankelijke vorm informatie kan verschaffen.

227 De AP verbindt aan voornoemde lasten de onderstaande begunstigingstermijnen en dwangsommen. De AP heeft bij het bepalen van de begunstigingstermijnen rekening gehouden met de geschatte tijd die Clearview nodig zal hebben voor de naleving van de lasten. Voor wat betreft de hoogte van de dwangsom bepaalt artikel 5:32b, derde lid, van de Awb dat dwangsombedragen in redelijke verhouding moeten staan tot de zwaarte van het geschonden belang en tot de beoogde werking van de dwangsom. Bij dat laatste is van belang dat van een dwangsom een zodanige prikkel moet uitgaan dat aan de last wordt voldaan.49

Als een overtreder voordeel behaalt met een overtreding dan kan dat relevant zijn en mag dat worden meegewogen bij het bepalen van de hoogte van de dwangsom.50

Last I: begunstigingstermijn en hoogte dwangsom 228 De AP verbindt aan last I (het beëindigen van de overtredingen met betrekking tot de rechtmatigheid van de verwerking en het overtreden van het verwerkingsverbod voor bijzondere persoonsgegevens) een begunstigingstermijn van drie maanden. Als Clearview besluit om de verwerking van persoonsgegevens van betrokkenen die zich op het Nederlandse grondgebied bevinden in het kader van de dienst ‘Clearview for law-enforcement and public defenders’ te beëindigen dan kan dit op korte termijn gebeuren. De AP acht daarvoor een begunstigingstermijn van drie maanden voldoende.

49 Zie bijvoorbeeld de uitspraak van de Afdeling Bestuursrechtspraak Raad van State van 17 juli 2013, ECLI:NL:RVS:2013:343, ow. 9.1. en de uitspraak van de Afdeling Bestuursrechtspraak Raad van State van 19 april 2017, ECLI:NL:RVS:2017:1100, ow. 4.2. 50 Zie bijvoorbeeld de uitspraak van de Afdeling Bestuursrechtspraak Raad van State van 6 februari 2019 (ECLI:NL:RVS:2019:321), ow. 4.2.

52/56

229 Indien Clearview de geconstateerde overtreding niet binnen drie maanden beëindigt, verbeurt zij na afloop van die begunstigingstermijn voor iedere maand (of een gedeelte daarvan) dat niet of niet geheel aan de last is voldaan een dwangsom. De AP stelt de hoogte van deze dwangsom voor iedere maand na afloop van de begunstigingstermijn vast op een bedrag van € 250.000 (zegge: tweehonderdvijftigduizend euro), tot een maximumbedrag van in totaal € 1.500.000 (zegge: één miljoen vijfhonderdduizend euro). Bij het bepalen van de hoogte van de dwangsom heeft de AP in acht genomen dat het gaat om een grootschalige en langdurige overtreding van het beginsel van de AVG dat persoonsgegevens slechts verwerkt mogen worden indien sprake is van een rechtmatige grondslag en dat Clearview bovendien onrechtmatig een bijzondere categorie van persoonsgegevens (biometrische gegevens) verwerkt. De hoogte van de dwangsom is mede gebaseerd op de omstandigheid dat Clearview met de verwerking waarbij de AVG wordt overtreden financieel voordeel behaalt.

Last II: begunstigingstermijn en hoogte dwangsom 230 De AP verbindt aan last II (het beëindigen van de overtreding met betrekking tot de transparantieverplichting) een begunstigingstermijn van drie maanden. Clearview zal tijd nodig hebben om betrokkenen die zich op het Nederlandse grondgebied bevinden in overeenstemming met artikel 12, eerste lid, gelezen in samenhang met artikel 14, eerste en tweede lid van de AVG te informeren. Clearview kan online maatregelen nemen om betrokkenen in beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm te voorzien van alle informatie. Het ligt in de macht van Clearview om deze maatregelen te nemen. Gelet op het voorgaande acht de AP een begunstigingstermijn van drie maanden voldoende.

231 Indien Clearview de geconstateerde overtreding niet binnen drie maanden beëindigt, verbeurt zij na afloop van die begunstigingstermijn voor iedere maand (of een gedeelte daarvan) dat niet of niet geheel aan de last is voldaan een dwangsom. De AP stelt de hoogte van deze dwangsom voor iedere maand na afloop van de begunstigingstermijn vast op een bedrag van € 250.000 (zegge: tweehonderdvijftigduizend euro), tot een maximumbedrag van in totaal € 1.500.000 (zegge: één miljoen vijfhonderdduizend euro). Bij het bepalen van de hoogte van de dwangsom heeft de AP rekening gehouden met de omvang van de overtreding en het feit dat daarbij inbreuk is gemaakt op een bepaling die onderdeel uitmaakt van één van de beginselen van de AVG, namelijk het transparantiebeginsel. Het is belangrijk dat betrokkenen zo snel mogelijk volledig en op duidelijke wijze worden geïnformeerd over de verwerking van hun persoonsgegevens.

Last III: begunstigingstermijn en hoogte dwangsom 232 De AP verbindt aan last III (het beëindigen van de overtreding met betrekking tot de omgang met inzageverzoeken) een begunstigingstermijn van één maand. Als Clearview besluit om haar beleid om niet te reageren op inzageverzoeken van betrokkenen te staken dan kan dit op korte termijn gebeuren. De AP acht daarvoor een begunstigingstermijn van één maand voldoende.

53/56

233 Indien Clearview de geconstateerde overtreding niet binnen één maand beëindigt, verbeurt zij na afloop van die begunstigingstermijn voor iedere maand (of een gedeelte daarvan) dat niet of niet geheel aan de last is voldaan een dwangsom. De AP stelt de hoogte van deze dwangsom voor iedere maand na afloop van de begunstigingstermijn vast op een bedrag van € 250.000 (zegge: tweehonderdvijftigduizend euro), tot een maximumbedrag van in totaal € 1.500.000 (zegge: één miljoen vijfhonderdduizend euro). Bij het bepalen van de hoogte van de dwangsom heeft de AP rekening gehouden met de omvang van de overtreding en het belang van betrokkenen om hun inzagerecht zo snel en eenvoudig mogelijk te kunnen uitoefenen aangezien de uitoefening van dat het recht op inzage noodzakelijk is om betrokkenen in staat te stellen om hun andere rechten op grond van de AVG uit te oefenen.

Last IV: begunstigingstermijn en hoogte dwangsom 234 De AP verbindt aan last IV (het beëindigen van de overtreding geen vertegenwoordiger in de Unie te hebben aangewezen) een begunstigingstermijn van drie maanden. Deze periode biedt Clearview naar het oordeel van de AP voldoende gelegenheid om de overtreding te kunnen opheffen.

235 Indien Clearview de geconstateerde overtreding niet binnen drie maanden beëindigt, verbeurt zij na afloop van die begunstigingstermijn voor iedere maand (of een gedeelte daarvan) dat niet of niet geheel aan de last is voldaan een dwangsom. De AP stelt de hoogte van deze dwangsom voor iedere maand na afloop van de begunstigingstermijn vast op een bedrag van € 200.000 (zegge: tweehonderdduizend euro), tot een maximumbedrag van in totaal € 600.000 (zegge: zeshonderdduizend euro). Bij het bepalen van de hoogte van de dwangsom heeft de AP rekening gehouden met de grootschalige verwerking van (een bijzondere categorie van) persoonsgegevens en het belang dat is gelegen in het feit een vertegenwoordiger ten behoeve van een verwerkingsverantwoordelijke optreedt en door iedere toezichthoudende autoriteit kan worden benaderd.

Voorkomen van verbeuren dwangsommen 236 Als Clearview het verbeuren van dwangsommen wenst te voorkomen dan dient zij tijdig bij de AP stukken in te dienen waarmee zij aantoont dat aan de lasten wordt voldaan.

Slotoverwegingen Uit al het voorgaande in dit besluit komt de AP allereerst tot het oordeel dat Clearview AI Inc. ten behoeve van de dienst ‘Clearview for law-enforcement and public defenders’ geen grondslag heeft voor de verwerking van persoonsgegevens van betrokkenen die zich op het Nederlandse grondgebied bevinden. Hierdoor overtreedt Clearview AI Inc. artikel 5, eerste lid, aanhef en onder a, gelezen in samenhang met artikel 6, eerste lid, van de AVG. Ook is de AP van oordeel dat Clearview AI Inc. ten behoeve van die dienst onrechtmatig een bijzondere categorie van persoonsgegevens verwerkt, namelijk biometrische gegevens, van betrokkenen die zich op het Nederlandse grondgebied bevinden. Hierdoor overtreedt Clearview AI Inc. artikel 9, eerste lid, van de AVG.

54/56

Tevens concludeert de AP dat Clearview AI Inc. nalaat passende maatregelen te treffen opdat betrokkenen die zich op het Nederlandse grondgebied bevinden alle in artikel 14 van de AVG bedoelde informatie ontvangen. Hierdoor handelt Clearview AI Inc. in strijd met artikel 12, eerste lid, gelezen in samenhang met artikel 14, eerste en tweede lid, van de AVG, en in strijd met artikel 5, eerste lid, aanhef en onder a, van de AVG. Ook is de AP van oordeel dat Clearview AI Inc. ten onrechte niet heeft gereageerd op twee inzageverzoeken van betrokkenen en dat Clearview AI Inc. ten onrechte nalaat betrokkenen die zich op het Nederlandse grondgebied bevinden te faciliteren bij de uitoefening van hun inzagerecht door niet te reageren op inzageverzoeken. Hiermee overtreedt Cleaview AI Inc. artikel 12, derde lid, gelezen in samenhang met artikel 15 van de AVG en artikel 12, tweede lid, gelezen in samenhang met artikel 15 van de AVG.

De AP komt tot de slotsom dat de geconstateerde inbreuken op de rechten en vrijheden van betrokkenen ernstig zijn en gaat daarom over tot handhaving jegens Clearview AI Inc. De AP legt de volgende maatregelen op:

6. Besluit Boetes

I. De AP legt aan Clearview AI Inc. een bestuurlijke boete op van € 20.000.000,00 (zegge: twintig miljoen euro) wegens overtreding van - artikel 5, eerste lid, aanhef en onder a, gelezen in samenhang met artikel 6, eerste lid, van de AVG, - artikel 9, eerste lid, van de AVG, en - artikel 12, eerste lid, gelezen in samenhang met artikel 14, eerste en tweede lid, van de AVG alsmede artikel 5, eerste lid, aanhef en onder a, van de AVG.

II. De AP legt aan Clearview AI Inc. een bestuurlijke boete op van € 10.500.000,00 (zegge: tien miljoen vijfhonderdduizend euro) wegens overtreding van artikel 12, tweede en derde lid, gelezen in samenhang met artikel 15 van de AVG.51

51 De AP zal de vorderingen uit handen geven aan het Centraal Justitieel Incassobureau (CJIB). De AP zal pas tot invordering van de boetes overgaan nadat eventuele juridische (vervolg)procedures over dit besluit zijn afgerond.

55/56

Lasten onder dwangsom

De AP gelast Clearview AI Inc. voor de verwerking van persoonsgegevens in het kader van de dienst ‘Clearview for law-enforcement and public defenders’:

I. de overtreding van artikel 5, eerste lid, aanhef en onder a, gelezen in samenhang met artikel 6, eerste lid, van de AVG alsmede de overtreding van artikel 9, eerste lid, van de AVG te beëindigen en deze beëindigd te houden. Dit kan Clearview AI Inc. doen door de verwerking van persoonsgegevens van betrokkenen die zich op het Nederlandse grondgebied bevinden aantoonbaar te beëindigen en de door Clearview AI Inc. onrechtmatig verkregen persoonsgegevens te verwijderen.

Clearview AI Inc. verbeurt na afloop van de begunstigingstermijn van drie maanden na bekendmaking van dit besluit een dwangsom van € 250.000,00 (zegge: tweehonderdvijftigduizend euro), voor iedere maand (of een gedeelte daarvan) dat niet volledig aan de last is voldaan tot een maximum van € 1.500.000,00 (zegge: één miljoen vijfhonderdduizend euro).

II. de overtreding van artikel 12, eerste lid, gelezen in samenhang met artikel 14, eerste en tweede lid, van de AVG alsmede artikel 5, eerste lid, aanhef en onder a, van de AVG te beëindigen en deze beëindigd te houden. Dit kan Clearview AI Inc. doen door alsnog aantoonbaar actief en volledig de in artikel 14 van de AVG bedoelde informatie in beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm te verstrekken aan betrokkenen die zich op het Nederlandse grondgebied bevinden.

Clearview AI Inc. verbeurt na afloop van de begunstigingstermijn van drie maanden na bekendmaking van dit besluit een dwangsom van € 250.000,00 (zegge: tweehonderdvijftigduizend euro) voor iedere maand (of gedeelte daarvan) dat niet volledig aan de last is voldaan tot een maximum van € 1.500.000,00 (zegge: één miljoen vijfhonderdduizend euro).

III. de overtreding van artikel 12, tweede lid, gelezen in samenhang met artikel 15 van de AVG te beëindigen en beëindigd te houden. Dit kan Clearview doen door haar beleid om niet te reageren op inzageverzoeken van betrokkenen die zich op het Nederlandse grondgebied bevinden aantoonbaar te staken.

Clearview AI Inc. verbeurt na afloop van de begunstigingstermijn van één maand na bekendmaking van dit besluit een dwangsom van € 250.000,00 (zegge: tweehonderdvijftigduizend euro) voor iedere maand (of een gedeelte daarvan) dat niet volledig aan de last is voldaan tot een maximum van € 1.500.000,00 (zegge: één miljoen vijfhonderdduizend euro).

56/56

IV. de overtreding van artikel 27, eerste lid, van de AVG te beëindigen en beëindigd te houden. Dit kan Clearview doen door aantoonbaar schriftelijk een vertegenwoordiger in de Unie aan te wijzen als bedoeld in artikel 4, aanhef en onder 17, van de AVG.

Clearview AI Inc. verbeurt na afloop van de begunstigingstermijn van drie maanden na bekendmaking van dit besluit een dwangsom van € 200.000,00 (zegge: tweehonderdduizend euro) voor iedere maand (of een gedeelte daarvan) dat niet volledig aan de last is voldaan tot een maximum van € 600.000,00 (zegge: zeshonderdduizend euro).

Hoogachtend, Autoriteit Persoonsgegevens,

mr. A. Wolfsen voorzitter

Rechtsmiddelenclausule

Indien u het niet eens bent met dit besluit kunt u binnen zes weken na de datum van verzending van het besluit digitaal of op papier een bezwaarschrift indienen bij de Autoriteit Persoonsgegevens. Ingevolge artikel 38 van de UAVG schort het indienen van een bezwaarschrift de werking van de beschikking tot oplegging van de bestuurlijke boete op. Voor het indienen van digitaal bezwaar, zie www.autoriteitpersoonsgegevens.nl, onder het kopje Contact, item “Bezwaar of klacht over de AP”.52

Het adres voor het indienen op papier is:

Autoriteit Persoonsgegevens Postbus 93374 2509 AJ Den Haag.

Vermeld op de envelop ‘Awb-bezwaar’ en zet in de titel van uw brief ‘bezwaarschrift’.

Schrijf in uw bezwaarschrift ten minste: - uw naam en adres; - de datum van uw bezwaarschrift; - het in deze brief genoemde kenmerk (zaaknummer), of voeg een kopie van dit besluit bij; - de reden(en) waarom u het niet eens bent met dit besluit; - uw handtekening.

52 De directe URL is .