YÜZ TANIMA MERKEZLİ YAPAY ZEKA SİSTEMİ GELİŞTİREREK GENİŞ BİR VERİ TABANINA SAHİP OLAN ABD MERKEZLİ CLEARVIEW AI Inc. ŞİRKETİNE KİŞİSEL VERİLERİN KORUNMASI KAPSAMINDA UYGULANAN YAPTIRIMLAR

Hazırlayan: Zeynep Cemre Demirtaş

Amerika Birleşik Devletleri merkezli Clearview AI Inc. (“Clearview” veya “Şirket”) faaliyet alanını; geliştirdiği yapay zekâ temelli sistemlerle dünyanın her yerindeki kamuya açık web kaynaklardan (medya kuruluşları, sosyal medya, çevrimiçi videolar) web kazıması yoluyla topladığı 10 milyardan fazla yüz görüntüsünden oluşan biyometrik verileri kullanmak suretiyle profiller oluşturmaya izin veren, gelişmiş bir arama hizmeti sunma şeklinde ifade etmektedir. Bunun yanı sıra Şirket, geliştirdiği yazılımlar ile veri tabanında bulunan görüntüleri, görüntüler ile bağlantılı olan resim etiketleri, coğrafi konum veya kaynak web sayfaları gibi bilgilerle de zenginleştirilebilmektedir[1].

Ayrıca Şirket; Misyonunun suçları araştırmak, kamu güvenliğini artırmak ve mağdurlara adalet sağlanması amacıyla kolluk kuvvetlerinin kullanımı için son teknoloji sistemler geliştirmek ve ilgili taraflara yukarıda bahsedildiği gibi hizmetler sağlamak olduğunu, kendisinin, kolluk kuvvetlerinin etkili soruşturma yürütmelerine yardımcı olacak bir araç olarak kullanılması amaçlanan web tabanlı bir istihbarat platformu olduğunu, yüz tanıma teknolojisiyle desteklenen platformunun barındığı verileri, haber medyası, mugshot web siteleri, halka açık sosyal medya ve diğer açık kaynaklar dahil olmak üzere yalnızca herkese açık web kaynaklarından elde ettiğini ve platformda dünya genelinde 10 milyardan fazla yüz görüntüsünün mevcut olduğunu ve son olarak sundukları çözümlerin, müfettişlerin/ polislerin hem basit hem de karmaşık suçları çözmesine, memur ve kamu güvenliğini artırmasına ve topluluklarımızı ve ailelerimizi daha güvende tutmasına yardımcı olmak için ipuçları, iç görüleri ve ilişkileri ortaya çıkararak kurumların istihbarat elde etmesine ve suçların engellenmesine olanak sağladığını ifade etmektedir.[2]

Amerika Birleşik Devletleri’nde bulunan kolluk kuvvetleri 2019 yılından itibaren, özellikle çocuk pornografi soruşturmaları kapsamında, Clearview uygulamasını kullanmaktadır[3]. Ancak; Şirket’in yapısı ve faaliyetleri, dikkatleri ilk olarak New York Times isimli gazetede 18 Ocak 2020 tarihinde yayımlanan rapor[4] ile üzerine çekmiştir[5]. Sonrasında, aşağıda da detayları açıklandığı üzere, Avrupa, Amerika ve Avustralya kıtalarında bulunan ülkeler tarafından kişisel verilerin korunması amacıyla Clearview aleyhine soruşturmalar başlatılmış ve çeşitli yaptırımlar uygulanmıştır.

Şirket’in faaliyetlerine ilişkin olarak yalnızca hükümetler harekete geçmemiş, aynı zamanda sivil toplum kuruluşları (“STK”) da konuyla ilgili raporlar hazırlamış ve şikayetlerde bulunmuştur. Örneğin; Privacy International isimli STK, Birleşik Krallık‘ta bulunan yetkililere (Information Commissioner’s Office, “ICO”) ve Fransa’da bulunan yetkililere (Commission Nationale de l’Informatique et des Libertés, “CNIL”); Hermes Center for Transparency and Digital Human Rights isimli STK İtalya’da bulunan yetkililere (Garante per la protezione dei dati personali, “Garante”); Homo Digitalis isimli STK Yunanistan’da bulunan yetkililere (Hellenic Data Protection Authority) ve noyb- the European Center for Digital Rights isimli STK ise Avusturya’da bulunan yetkililere (Datenschutzbehörde) Clearview şirketi aleyhine şikâyette bulunmuştur. [6]

HAMBURG (ALMANYA) VERİ KORUMA VE BİLGİ EDİNME ÖZGÜRLÜĞÜ KOMİSERLİĞİ KARARI[7]

Hamburg’da ikamet eden Matthias Marx isimli bir Alman vatandaşının kendi biyometrik verilerinin işlenmesine izni olmamasına rağmen Clearview şirketinin kişisel bilgilerini topladığına ve sakladığına ilişkin olarak Şirket aleyhine şikayetçi olması sonrasında Hamburg Veri Koruma ve Bilgi Edinme Özgürlüğü Komiserliği (The Hamburg Commissioner for Data Protection and Freedom of Information) (“Komiserlik”) tarafından, Şirket’e karşı idari soruşturma başlatılmıştır.

Soruşturma kapsamında Şirket, sadece snapshot (anlık görüntü) sağladığını ve gözlemleme faaliyetinin olmadığını, kişiler hakkında bilgi toplamadığını ve kişilerin davranışları hakkında bilgi sağlamadığını iddia etmiştir. Yürütülen soruşturma sonucunda, Şirket’in iddialarının aksine, Avrupa Genel Veri Koruma Tüzüğü’nün (“GVKT”) 58(2)(g) maddesi uyarınca karar verilmeden öncesinde 18 Mayıs 2020 tarihinde, Komiserlik soruşturma kapsamındaki görüşlerini ve tespitlerini yayınlamıştır. Bu doğrultuda; Şirket’in

·      Almanya sınırları içerisinde bulunan kişilerin davranışlarını kayıt altına almayı ve bu kişilerin kişisel verilerini depolamayı amaçladığı,

·      kişileri tanımlama amacının olduğunu ve bu tanımlamanın, özellikle sosyal ağlar, forumlar veya bloglar gibi bir fotoğrafla bağlantılı kullanıcıların yayınlarının/profillerinin/hesaplarının bir profilde saklanması veya en azından herhangi bir zamanda bir bireyin profilinin oluşturulabilmesi ile mümkün olduğunu ve

·      insanların profillerini çıkarmayı amaçlayan kişisel veri işleme tekniklerinin bu müteakip kullanımının, belirleyici bir gösterge olduğunu belirtmiştir.

GVKT doğrultusunda; Komiserlik, Şirket’in şikayetçi Matthias Marx’ın matematiksel açıdan Şirket tarafından genelleştirilen hash değerinin silinmesine hükmetmiş ve fakat şikayetçi Matthias Marx’ın fotoğraflarının silinmesi talebinde bulunmamıştır[8].

Diğer yandan; Komiserlik kararında, GVKT madde 9 kapsamında biyometrik verilerin yeterli hukuki sebeplerin varlığı halinde işlenmesi gerektiğini de vurgulanmıştır.

İSVEÇ GİZLİLİK KORUMA OTORİTESİ KARARI[9]

İsveç Polis Teşkilatı’nın Clearview şirketinin uygulamasını kullandığına dair basında çıkan haberler sonrasında İsveç Gizlilik Koruma Otoritesi (The Swedish Authority for Privacy Protection, “IMY”), polis teşkilatı aleyhine soruşturma başlatmıştır.

Yürütülen soruşturma sonucunda Clearview uygulamasının polis teşkilatı tarafından defalarca kullanıldığı tespit edilmiştir. Polis teşkilatı ise uygulamanın birkaç polis memuru tarafından polis teşkilatından kullanım öncesinde herhangi bir izin alınmadan kullanıldığını iddia etmiştir.

IMY, yürütülen soruşturma sonucunda polis teşkilatının;

·      Uygulamanın kullanılması ile ilişkili olarak veri sorumlusu olarak yükümlülüklerini yerine getirmediğine,

·      Suç Verileri Yasası (Criminal Data Act) isimli yerel yasaya[10] uygun şekilde, kişisel verilerin işlenmesinde gerekli ve yeterli organizasyonel tedbirleri uygulamadığını,

·      polis teşkilatı tarafından uygulama kullanılırken biyometrik verilerin yüz tanıma amacıyla hukuka aykırı şekilde işlendiğini ve

·      konunun gerektirdiği şekilde etkili bir veri koruma etki değerlendirilmesinin yapılmadığını tespit etmiştir.

Ayrıca IMY, polis teşkilatının, özellikle kanunu uygulama amacı ile paralel şekilde kişisel veri işleme koşullarının, kurallarının ve düzenlemelerinin açık şekilde düzenlendiğini ve polis memurlarının bu düzenlemeleri benimsemelerinin polis teşkilatının sorumluluğunda olduğunu da ifade etmiştir.

IMY yukarıda bahsi geçen hukuka aykırılıklara ilişkin olarak;

·      Suç Verileri Yasası’nın ihlali nedeniyle polis teşkilatına 2,500,000 İsveç Kronu (yaklaşık 250,000 Euro) idari para cezasına,

·      gelecekteki kişisel veri işleme süreçlerinde veri koruma mevzuatının ihlal edilmesinin önlenmesi amacıyla polis teşkilatı tarafından teşkilat bünyesinde çalışan kişilere daha fazla eğitim verilmesine ve

·      kişisel verileri Clearview ile paylaşılan ilgili kişilerin, gizlilik kuralları izin verdiği kadarıyla, polis teşkilatı tarafından bilgilendirmelerine karar vermiştir.

IMY’ nin konuya ilişkin kararı, 12 Şubat 2021 tarihinde Avrupa Veri Koruma Kurulu (European Data Protection Board) tarafından duyurulmuştur[11].

AVUSTRALYA VERİ KORUMA OTORİTESİ KARARI[12]

ICO ile Avrupa Bilgi Komiserliği (“OAIC”), Clearview şirketine kişisel verileri (kazınmış veri ve kişilerin biyometrik verileri) kullanmasına ilişkin ortak soruşturma başlatıldığını 9 Temmuz 2020 tarihinde duyurmuş ve ilgili soruşturma, 3 Kasım 2021 tarihinde tamamlanmıştır.

Her ne kadar soruşturma sürecinde kanıt toplanması hususunda birlikte hareket etmiş olsalar da her iki kurum da soruşturmayı kendi iç mevzuatlarına (2018 tarihli Birleşik Krallık Veri Koruma Kanunu, UK Data Protection Act 2018 ve 1998 tarihli Avustralya Gizlilik Kanunu, the Australian Privacy Act 1988) göre yürütmüş ve soruşturmanın sonucunu da ayrı ayrı değerlendirmiştir[13],[14].

Söz konusu soruşturma sonucunda Avustralya Bilgi Komiserliği 14 Ekim 2021 tarihli kararını, 03 Kasım 2021 tarihinde yayımlamıştır.

Kararda Clearview ‘nin;

·      1988 tarihli Gizlilik Kanunu Ek 1’de yer alan Avustralya Gizlilik Prensipleri (Australian Privacy Principle (APP)) madde 1.2. kapsamındaki şartları yerine getirmediği,

·      işleri ve faaliyetleri ile ilgili uygulamalar, süreçler ve sistemler ile ilgili gerekli adımları atmadığı ve

·      istisnai durumlar hariçilgili kişilerin hassas verilerinin ancak rızası ile toplanabileceğine ilişkin maddenin, kişisel verilerin dürüst ve hukuka uygun şekilde toplanabilmesine ilişkin maddenin, kişisel verileri toplanan ilgili kişilerin bilgilendirilmesi için gerekli makul adımların atılmasına ilişkin maddenin ve kişisel bilgilerin kullanılması veya açıklanmasına ilişkin olarak gerekli makul önlemlerin alınması gerekmesine ilişkin maddenin ortaya çıkardığı yükümlülüklerin hiçbirinin Şirket tarafından yerine getirilmediği ve Avustralya’da bulunan kişilerin gizliliğinin ihlal edildiği tespit edilmiştir.

Yukarıda bahsedilen ihlal sonucunda Komiserlik;

·      Şirket’in faaliyetlerini tekrarlamamasına veya devam etmemesine,

·      Avustralya’da bulunan kişilerden kazınmış görüntülerin, kazınmış görüntü vektörlerinin, probe görüntü vektörlerinin ve opt-out vektörlerin toplanmasına son verilmesine,

·      işbu karar tarihinden itibaren 90 (doksan) gün içerisinde Avustralya’da bulunan kişilerden toplanmış olan tüm kazınmış görüntülerin, probe görüntülerin, kazınmış görüntü vektörlerinin ve opt-out vektörlerin yok edilmesine ve

·      aynı süre içerisinde, Şirket’in kararda belirtildiği gibi artık görüntü ve vektör toplamadığına ve görüntü ve vektörlerin talep edildiği gibi yok edildiğine ilişkin yazılı bir teyit sunmasına hükmetmiştir.

BİRLEŞİK KRALLIK VERİ KORUMA OTORİTESİ KARARI

Yukarıda bahsi geçen ortak soruşturma sonucunda Şirket’in veri tabanındaki görüntülerin, Birleşik Krallık’ tan önemli sayıda kişinin verilerini içermesinin olası olduğu ve sosyal medya platformları da dahil olmak üzere çevrimiçi şekilde herkese açık olan verilerin insanların bilgisi olmadan toplanmış olabileceği ve Şirket tarafından sağlanan hizmetin Birleşik Krallık kolluk kuvvetleri tarafından da geçmişte ücretsiz deneme kapsamında kullanıldığı tespit edilmiştir.

ICO tarafından yürütülen soruşturma sonucunda Birleşik Krallık mevzuatı kapsamında Şirket’in;

·      Birleşik Krallık sınırları içerisinde yaşayan insanların bilgilerini ilgili kişilerin beklemedikleri ve hukuka aykırı şekilde işlediği,

·      İşlediği verileri süresiz olarak saklamasının önüne geçilmesi için herhangi bir prosedürünün mevcut olmadığı,

·      kişilerin verilerinin hukuki dayanaktan yoksun olarak topladığı,

·      GVKT ve 2018 tarihli Birleşik Krallık Veri Koruma Kanunu kapsamında “özel sınıflandırmaya tabi veri” olan biyometrik veri için gerekli yüksek veri koruma standardını karşılamadığı,

·      Birleşik Krallık’ta bulunan kişilerin işlenen verileri ile ne yapıldığı hususunda bilgilendirmediği ve

·      işlenmiş verilerinin silinmesini talep eden kişiler lehine caydırıcı olacak şekilde fotoğraf dahil olmak üzere ek kişisel bilgiler istemesi de dahil olmak üzere Şirket’in birçok hukuka aykırı faaliyeti olduğunu tespit etmiş ve bu faaliyetlerin Birleşik Krallık Veri Koruma mevzuatına aykırı olduğuna hükmetmiştir.

ICO; Şirket’e yukarıdaki hukuka aykırı faaliyetleri nedeniyle 17 Milyon sterlinden biraz fazla para cezası verme eğiliminde olduğunu duyurmuş ve ayrıca Şirket’in Birleşik Krallık’da bulunan kişilerin kişisel verilerinin başlangıçtaki amaçtan daha ileri şekilde işlenmesini (further processing) durdurması ve Birleşik Krallık veri koruma mevzuatının ciddi şekilde ihlal edildiği iddialarının ardından bu verilerin silinmesi amacıyla 29 Kasım 2021 tarihinde bir bildiri yayımlamıştır.

Mevzuat kapsamında Şirket’in yukarıda bahsi geçen iddialara ilişkin olarak beyanda bulunma hakkı bulunmaktadır. Şirket tarafından sunulan beyanlar, konuya ilişkin nihai karar verilmeden önce ICO tarafından dikkatlice değerlendirilecektir.

Sonuç olarak; her ne kadar ICO, Şirket’e 17 Milyon sterlinlik bir para cezası verme eğiliminde olduğunu açıklamış olsa da bu para cezası ve ön bilgilendirmede yer alan diğer hususlarda değişiklik yapılması mümkündür. ICO’nun konuya ilişkin nihai kararını 2022 yılının ortasına kadar vermesi beklenmektedir[15].

FRANSA VERİ KORUMA OTORİTESİ KARARI[16]

CNIL, Mayıs-Aralık 2020 tarihleri arasında GVKT kapsamındaki erişim haklarının kullanılmasında birçok zorluk olduğuna ilişkin de dahil olmak üzere[17] Şirket aleyhine birçok şikâyet almıştır. Diğer yandan; Mayıs 2021 tarihinde, Privacy International isimli uluslararası kuruluş hem Şirket’i faaliyetlerine ilişkin olarak uyarmış[18] hem de CNIL’e şikâyette bulunmuştur[19]. Bu şikayetler doğrultusunda CNIL tarafından Clearview ile ilgili soruşturma başlatılmıştır.

Soruşturma başında; Şirket’in verilere erişim talepleri dahil olmak üzere, kişilerin haklarını etkili ve yeterli olarak ele almadığı iddia edilmiştir. Yapılan soruşturma sonucunda Şirket’in GVKT hükümlerini açık şekilde ihlal ettiği, ilgili kişilerin biyometrik verilerini herhangi hukuki dayanak ve ilgili kişilerin rızası olmadan topladığı ve kullandığı tespit edilmiştir. Şöyle ki;

·      Şirket, herhangi bir hukuki dayanak olmadan biyometrik verileri toplamakta ve kullanmaktadır. Bu doğrultuda; GVKT 6. maddesini (işleme faaliyetinin hukuka uygunluğu) ihlal edilmektedir. Zira; Şirket, ne ilgili kişilerden yüz biyometrik verilerini kullanmak için rızalarını almaktadır, ne de şirketin gerçekleştirdiği işlemler, işlemlerin büyüklüğü ve müdahaleci niteliği göz önünde bulundurulduğunda, meşru bir hukuki dayanağa dayanmaktadır. Ayrıca; soruşturma sürecinde fotoğraflarını veya videolarını çeşitli web sitelerinde ve/veya sosyal medya platformlarında paylaşan kişilerin bu verilerinin bir yüz tanıma sistemi tarafından işlenerek kolluk kuvvetleri aracılığı ile idare tarafından kullanılabileceğinin öngörülebilmesinin de mümkün olmadığı ve Şirket tarafından özellikle ilgili kişilerin kişisel verilerine erişim talepleri olmak üzere, kişilerin haklarının etkili ve yeterli şekilde göz önünde bulundurulmadığı tespit edilmiştir.

·      Son olarak; Şirket, ilgili kişilerin erişim hakkını “yılda 2 kere” olmak üzere geçerli bir sebep olmadan sınırlamış, erişim hakkını “önceki 12 ay içerisinde toplanan veriler” veya sadece “aynı kişiden gelen çok fazlaca sayıda talep sonrasında belirli taleplere cevap verilmesi” şeklinde sınırlamalar da koymuş ve veriye erişim ve verilerin silinmesi taleplerine ya kısmen cevap vermiş ya da hiç cevap vermemiştir. Bu doğrultuda; Şirket’in, ilgili kişilerin GVKT 12. maddede (veri sahibinin haklarının kullanımına ilişkin şeffaf bilgilendirme, bildirim ve yöntemler), 15. maddede (veri sahibinin erişim hakkı) ve 17. maddede (silme -unutulma- hakkı) düzenlenmiş olan çeşitli haklarını da ihlal etmiştir. Ayrıca; bu durum, Şirket’in talepti bulunan kişilere etkili şekilde cevap vermediğini ortaya koymakta ve bu durum GVKT’nin ihlaline yol açmaktadır.

Yukarıda bahsi geçen ihlallere ilişkin olarak CNIL 6 Aralık 2021 tarihli kararıyla[20];

·         Şirket’in, Fransa’da ilgili kişilerin verilerini hukuki dayanaktan yoksun şekilde toplamasına ve kullanmasına son vermesine ve

·         ilgili kişilerin haklarının kullanımını kolaylaştırılmasına ve verilerinin silinmesi taleplerini yerine getirmesine karar vermiştir.

Şirket’e, bahsi geçen talimatların yerine getirilmesi için 2 (iki) aylık süre verilmiştir. Kararda, bu 2 aylık süre içerisinde CNIL kararına uygun hareket edilmemesi halinde ve gerekli görmesi halinde CNIL’in idari para cezası da dahil olmak üzere, çeşitli yaptırımlar uygulayabileceği de ayrıca belirtmiştir.[21]

CNIL kararına ilişkin olarak Şirket yetkilileri;

·      Şirket’in Fransa’da veya AB sınırları içerisinde bir şirket merkezinin olmadığını ve bu doğrultuda GVKT’ye tabi olmadıklarını ve

·      Şirket’in sadece kamuya açık internet sitelerinden gizlilik ve hukuk standartlarına uygun şekilde topladığını ifade etmiştir.

KANADA GİZLİLİK KOMİSERLİĞİ OFİSİ KARARI

Kanada Gizlilik Komiserliği Ofisi (“OPC”), 14 Aralık 2021 tarihinde bir bildiri yayınlamış ve Şirket’e, Kanada Gizlilik Komiseri Ofisi’nin tavsiyelerine uyma çağrısı yapmıştır. Zira; öncesinde, Temmuz 2020 tarihinde, Kanada gizlilik koruma otoriteleri tarafından yürütülen ortak soruşturmalar doğrultusunda, Şirket’e Kanada’daki yüz tanıma hizmetlerini sonlandırması teklif edilmiştir[22].

OPC ve paydaşları Quebec Bilgi Erişim Komisyonu (the Commission d’accès à l’information du Québec, “CAI”), British Kolombiya Bilgi ve Gizlilik Komiserliği (the Information and Privacy Commissioner for British Columbia, “OIPC BC”) ve Alberta Gizlilik Komiserliği (Privacy Commissioner of Alberta “OIPC AB”) tarafından ortak bir soruşturma yürütülmüştür. Soruşturma kapsamında özellikle Şirket’in;

·      Kişisel verilerin toplanması, kullanılması ve açıklanmasına ilişkin zorunlu rızanın alınıp alınmadığı ve

·      kişisel verilerin uygun bir amaç için toplanıp toplanmadığı, kullanılıp kullanılmadığı ve açıklanıp açıklanmadığının tespit edilmesi amaçlanmıştır. Bunlara ek olarak CAI, Şirket’in biyometrik özelliklerin veya ölçümlerin yer aldığı bir veri tabanının oluşturulduğunun bildirip bildirmediğini de incelemiştir.[23]

Yürütülen ortak soruşturma sonucunda Şirket’in ilgili kişilerin rızası olmadan görüntüleri internetten kazımak suretiyle federal ve bölgesel gizlilik mevzuatını ihlal ettiği tespit edilmiştir. Bu kapsamda; hukuken bağlayıcılığı bulunan bölgesel emirlerle Şirket’in;

·      Soruşturmaya konu olan üç bölgede yüz tanıma hizmetlerini sonlandırmasına,

·      bahsi geçen üç bölgede rıza olmadan kişilerin görüntülerini toplamayı, kullanmayı ve başkalarına açıklamayı durdurmasına ve

·      bu üç bölgede bulunan kişilerin, ilgili kişilerin rızası olmadan, toplanan görüntülerinin ve biyometrik yüz diziliminin silinmesine hükmetmiştir.[24]

Bu karar sonrasında Şirket, Kanada’daki tüm faaliyetlerini sonlandırmıştır.[25]

İTALYA VERİ KORUMA OTORİTESİ KARARI [26]^,[27]

2021 yılı içerisinde ilgili dört kişi, GVKT’nin 15. maddesi kapsamında Clearview şirketinden bilgi talep etmiştir. Şirket, sadece üç ilgili kişiye cevap vermiş ve bu kişilere, Clearview yazılımı aracılığıyla alınan sonuçlara ilişkin “özel bir rapor” sunmuştur. Bu dört ilgili kişi Garante’ye kişisel verilerinin rızaları olmadan işlenmesine ilişkin şikâyette bulunmuştur. Ek olarak; iki STK da kişilerin gizlilik ve temel haklarının korunmasına ilişkin Almanya ve İsveç’de bulunan yetkililere bilgi vermiş ve Garante’ye de raporlarını sunmuştur[28]. Bu durum sonrasında Garante, 09 Mart 2021 tarihinde Şirket hakkında soruşturma başlatmıştır. Yürütülen soruşturma sonucunda Şirket’in hukuka aykırı çeşitli faaliyetleri tespit edilmiştir[29].

Soruşturma sonucunda; Garante, Şirket’in sadece müşterilerinin erişebilmesi için görüntüleri toplamadığını, aynı zamanda web kazıma ile toplanan görüntüleri yüz tanıma algoritmaları ile mevcut kılavuz veri ile ilişkilendirmek ve böylece yüksek kalitede biyometrik arama hizmeti sağlamak için işlediğini tespit etmiştir[30].

Ayrıca; Şirket’in İtalya’da bulunan kişileri izlediği tespit edilmiş ve soruşturma sonucunda ortaya çıkan bulgular, Clearview tarafından biyometrik ve coğrafi konum bilgileri de dahil olmak üzere İtalya’da bulunan kişilerin kişisel verilerinin saklandığını ve uygun hukuki dayanak olmadan hukuka aykırı şekilde işlendiğini ortaya koymuştur.

Ek olarak; Şirket’in kullanıcıları, bu kişilerin selfie fotoğrafları ile ne yaptığına ilişkin yeterli şekilde aydınlatmayarak şeffaflık yükümlülüklerini, kullanıcıların selfie fotoğraflarını çevrimiçi olarak yayınladıkları amaçlar dışında kullanarak amaca bağlılık ilkesini, kullanıcıların verilerini çevrimiçi olarak kullanıma sunduktan sonra bu amaçlar dışında işlediği, ilgili kişilerin verilerini depolama sınırı olmadan veri saklayarak saklama sınırlaması ilkesini ve veri saklama süresine ilişkin herhangi bir hususu düzenlemediği için şeffaflık ilkesi dahil olmak üzere GVKT’nin birçok temel ilkesini ve bu durumla bağlantılı olarak gizliliğin korunması ve ayrımcılığa uğramama hakkı dahil olmak üzere ilgili kişilerin özgürlüklerini ihlal ettiği tespit edilmiştir.

Özetle Garante, Şirket’in faaliyetleri ile GVKT’nin;

·      Kişisel verilerin işlenmesine ilişkin ilkeler hususundaki 5(1)(a)(b) (e) maddelerinin,

·      hukuka uygun veri işleme hususundaki 6. maddesinin,

·      özel nitelikli verilerin işlenmesi hususundaki 9. maddesinin, 

·      ilgili kişinin haklarının kullanımına yönelik şeffaf bilgi, iletişim ve usuller hususundaki 12. maddesinin,

·      ilgili kişiden kişisel verilerin toplandığı durumlarda sağlanan bilgiler hususundaki 13. maddesinin,

·      ilgili kişiden alınmayan kişisel bilginin durumlarda sağlanan bilgiler hususundaki 14. maddesinin,

·      ilgili kişilerce erişim hakkı hususundaki 15. maddesinin ve

·      AB sınırları içerisinde temsilci veya sorumlu bulundurulması hususundaki 27 maddesinin ihlali tespit edilmiştir[31].

Tespit edilen hukuka aykırılıklarla bağlantılı olarak Garante, 10 Şubat 2022 tarihli[32] kararıyla, Şirket’in, AB mevzuatını ihlal ettiği gerekçesiyle;

·      20 Milyon Euro ceza ödemesine ve

·      İtalya vatandaşlarına ilişkin olarak sahip oldukları tüm yüz biyometrik verileri silmesine ve faaliyetlerine son vermesine karar verilmiş, ve

·      Şirket’in yüz tanıma sistemi aracılığıyla kişisel verilerin daha fazla toplanması ve işlemesi yasaklanmıştır.

·      Son olarak; Şirket’e , ilgili kişinin haklarının kullanımını kolaylaştırmak amacıyla ABD merkezli kontrole ek olarak veya onun yerine AB’de bir temsilci ataması emredilmiştir.

Bu karar, 10 Mart 2022 tarihinde yayınlanmıştır.

Şirket’e verilen bu 20 Milyon Euro’luk para cezası, Şirket’e Avrupa ülkeleri tarafından verilen en büyük ikinci para cezasıdır. Yukarıda açıklandığı gibi, daha öncesinde Birleşik Krallık, Şirket’ten veri işlemeyi durdurmasını talep etmiş ve aksi takdirde Şirket’e 17 Milyon Pound’luk para cezası verme niyetinde olduğunu açıklamıştır. Aralık 2021 tarihinde ise Fransa, Şirket’e Fransa vatandaşlarının verilerini işlemeyi durdurmasını ve mevcut verileri silmesi için iki aylık bir süre vermiş ve fakat henüz, herhangi bir para cezası uygulamamıştır[33].

Son olarak; Şirket yetkilisi, Garante tarafından verilen karara ilişkin olarak;

·      Şirket’in faaliyetlerinde GVKT’nin geçerli olmadığını ve Şirket’in İtalya’da hizmet vermediğini ve İtalyan IP adreslerinin Clearview hizmetlerine erişmesini engellemek için teknik önlemler kullandığı için İtalya Veri Koruma Otoritesi’nin yargı yetkisinin kapsamında olmadığını,

·      Şirket’in GVKT’nin 3(2)(b) maddesi uyarınca herhangi bir izleme faaliyeti yürütmediğini ve Şirket’in arama sonuçlarının Google Search sistemine benzediği,

·      Şirketin İtalyan müşteri listesinin bulunmadığını ve Şirket’in gizlilik politikasında GVKT‘ye atıfta bulunmadığını,

·      Şirket’in GVKT’nin 27. maddesi kapsamında bir temsilcisinin bulunmadığını ve bu doğrultuda Şirket faaliyetlerinin GVKT kapsamında olmadığını[34],

·      Şirket’in sadece internette herkese açık alanlarda bulunan verileri gizlilik ve hukuki standartlara uygun şekilde topladığını ve amaçlarının toplumlara yardım etmek, insanların daha iyi ve daha güvenli yaşamaları olduğunu iddia etmiştir[35].

Diğer yandan; her ne kadar federal polis teşkilatı tarafından açıkça reddedilse de Belçika’da da Clearview uygulamasının polis teşkilatı tarafından kullanıldığına ilişkin haberler basında yer almıştır[36] [37]. Konuya ilişkin olarak basında çeşitli haberler yer alsa da Belçika Veri Koruma Otoritesi (Autorité de protection des données Gegevensbeschermingsautoriteit) tarafından henüz herhangi bir soruşturma başlatılmamış ve herhangi bir yaptırım uygulanmamıştır.

Buna karşılık; her ne kadar gerek AB ülkeleri gerekse diğer kıtalarda bulunan ülkeler tarafından Şirket’e para cezaları verilip, faaliyetlerini durdurması talep edilmekteyse de Şirket faaliyetlerine devam etmekte ve etki alanını arttırmaktadır. Bu durumun en güncel ve somut örneği ise, 12-13 Mart 2022 tarihlerinde Ukrayna’nın Rusya karşısında Clearview yüz tanıma sistemlerinin kullanmaya başladığına ilişkin haber sitelerine düşen gelişmedir. Çıkan haberlere göre; Ukrayna Savunma Bakanlığı, 12 Mart 2022 tarihi itibariyle Clearview şirketinin yüz tanıma teknolojilerini kullanmaya başlamıştır. Ukrayna tarafı, Clearview veri tabanı ve yüz tanıma sistemlerinin kullanılması ile hem Ukrayna’nın, ölmüş kişilerin kimlik tespitinde parmak izlerinin eşleştirilmesine çalışmaktan daha kolay bir şekilde tanımlamasına ve eşleştirilmesine, hem ailelerinden ayrılan mültecilerin aileleri ile yeniden bir araya getirilmesine katkı sağlayacağını hem de Rus ajanlarının tespit edilmesine ve hükümetin savaşla ilgili yanlış sosyal medya paylaşımlarının çürütülmesine yardımcı olacağını düşünmektedir[38]^,[39].