Společnost Meta v uplynulých dnech informovala miliony Evropanů, že se její zásady ochrany osobních údajů opět mění. Teprve při bližším prozkoumání odkazů v oznámení vyšlo najevo, že společnost plánuje využívat roky osobních příspěvků, soukromých obrázků nebo údajů o sledování online pro blíže neurčenou "technologii umělé inteligence", která může přebírat osobní údaje z jakéhokoli zdroje a sdílet jakékoli informace s blíže neurčenými "třetími stranami". Namísto toho, aby společnost Meta požádala uživatele o souhlas (opt-in), tvrdí, že má oprávněný zájem, který převažuje nad základním právem evropských uživatelů na ochranu údajů a soukromí. Jakmile jsou jejich údaje v systému, uživatelé zřejmě nemají žádnou možnost je kdykoli odstranit ("právo být zapomenut"). noyb nyní podal stížnosti v 11 evropských zemích a žádá úřady, aby zahájily naléhavé řízení s cílem tuto změnu okamžitě zastavit, než vstoupí v platnost 26. června 2024.
- 11 stížností (podaných v Rakousku, Belgii, Francii, Německu, Řecku , Itálii, Irsku, Nizozemsku, Norsku (s NCC)*, Polsku a Španělsku)
- Přehled (nepravdivých) výroků společnosti Meta týkajících se Meta AI
Veškeré neveřejné údaje pro jakousi nedefinovanou budoucí "technologii AI". Na rozdíl od již problematické situace, kdy společnosti používají určitá (veřejná) data k tréninku konkrétního systému umělé inteligence (např. chatbota), nové zásady ochrany osobních údajů společnosti Meta v podstatě říkají, že společnost chce vzít všechna veřejná i neveřejná data uživatelů, která shromáždila od roku 2007, a použít je pro jakýkoli nedefinovaný typ současné i budoucí "technologie umělé inteligence". To se týká i mnoha "spících" účtů na Facebooku, se kterými uživatelé již téměř neinteragují - ale které stále obsahují obrovské množství osobních údajů. Kromě toho Meta tvrdí, že může shromažďovat další informace od jakékoli "třetí strany" nebo získávat data z online zdrojů. Jedinou výjimkou se zdají být chaty mezi jednotlivci - ale i chaty s firmou jsou férovou hrou. Uživatelům nejsou poskytnuty žádné informace o účelu "technologie umělé inteligence" - což je v rozporu s požadavky GDPR. Zásady ochrany osobních údajů společnosti Meta by teoreticky umožňovaly jakýkoli účel. Tato změna je obzvláště znepokojující, protože se týká osobních údajů přibližně 4 miliard uživatelů společnosti Meta, které budou v podstatě neomezeně využívány pro experimentální technologii. Přinejmenším uživatele v EU/EHP by před takovým zneužitím mělo (teoreticky) chránit nařízení GDPR.
Max Schrems: "Meta v podstatě říká, že může používat 'jakákoli data z jakéhokoli zdroje pro jakýkoli účel a zpřístupnit je komukoli na světě', pokud se tak děje prostřednictvím 'technologie umělé inteligence'. To je jednoznačně opak souladu s GDPR. "Technologie umělé inteligence" je extrémně široký pojem. Stejně jako "používání vašich údajů v databázích" nemá žádné skutečné právní omezení. Meta neříká, k čemu bude údaje používat, takže může jít buď o jednoduchého chatbota, extrémně agresivní personalizovanou reklamu, nebo dokonce o zabijáckého drona. Meta také uvádí, že uživatelská data mohou být zpřístupněna jakékoli 'třetí straně' - což znamená komukoli na světě."
Převažují zájmy společnosti Meta nad právy uživatelů? Za normálních okolností je zpracování osobních údajů v Evropské unii standardně nezákonné. Proto se společnost Meta musí při zpracování osobních údajů opírat o jeden ze šesti právních základů podle čl. 6 odst. 1 GDPR. Ačkoli logickou volbou by byl souhlas s volbou, společnost Meta opět tvrdí, že má "oprávněný zájem", který převažuje nad základními právy uživatelů. Společnost Meta takto argumentovala již dříve v souvislosti s využíváním všech osobních údajů pro reklamu - a Soudní dvůr ji odmítl(viz C-252/21). Nyní Meta využívá stejný právní základ k ospravedlnění ještě širšího a agresivnějšího využívání osobních údajů lidí.
Max Schrems: "Evropský soudní dvůr již jasně uvedl, že společnost Meta nemá žádný "oprávněný zájem", který by převážil nad právem uživatelů na ochranu údajů, pokud jde o reklamu. Přesto se společnost snaží použít stejné argumenty pro trénink nedefinované 'technologie umělé inteligence'. Zdá se, že společnost Meta opět bezostyšně ignoruje rozsudky Soudního dvora EU."
Námitka je fraška. Společnost Meta se dokonce snaží přimět uživatele k odpovědnosti za péči o své soukromí tím, že je odkazuje na formulář námitky (opt-out), který mají uživatelé vyplnit, pokud nechtějí, aby společnost Meta používala všechny jejich údaje. Ačkoli by teoreticky mohl být opt-out implementován tak, aby vyžadoval pouze jedno kliknutí (jako tlačítko "odhlásit odběr" v newsletterech), Meta námitku nesmírně komplikuje a dokonce vyžaduje osobní důvody. Technická analýza odkazů pro odhlášení dokonce ukázala, že Meta vyžaduje přihlášení pro zobrazení jinak veřejné stránky. Celkově Meta vyžaduje "námitku" od přibližně 400 milionů evropských uživatelů, místo aby je požádala o souhlas.
Max Schrems: "Přenášení odpovědnosti na uživatele je zcela absurdní. Zákon vyžaduje, aby společnost Meta získala souhlas, nikoli aby poskytla skrytý a zavádějící formulář pro odhlášení. Pokud chce společnost Meta používat vaše údaje, musí vás požádat o souhlas. Místo toho nutí uživatele prosit o vyloučení. Obzvláště nás překvapilo, že si společnost Meta dala dokonce tu práci a zabudovala spoustu drobných rozptylujících prvků, aby zajistila, že se jen nepatrný počet uživatelů bude skutečně obtěžovat vznést námitku."
Irské DPC je (opět) spoluviníkem. Podle zpráv je toto zjevné porušení GDPR (opět) založeno na "dohodě" s irskou komisí pro ochranu údajů (DPC je regulátorem společnosti Meta v EU). DPC již dříve uzavřela se společností Meta dohodu, která jí umožňovala obcházet GDPR - a skončila pokutou 395 milionů eur vůči společnosti Meta poté, co Evropský sbor pro ochranu osobních údajů (EDPB) irskou DPC přehlasoval.
Max Schrems: "Zdá se, že nové vedení DPC jen pokračuje v uzavírání nezákonných "dohod" s velkými technologickými společnostmi z USA. Je zarážející, že DPC nadále nechává bez kontroly zneužívání neveřejných osobních údajů přibližně 400 milionů evropských uživatelů."
Uzávěrka 26. června: Vyžádáno naléhavé řízení. Vzhledem k tomu, že zpracování údajů společností Meta pro nezveřejněnou "technologii umělé inteligence" má vstoupit v platnost již 26. června 2024 a společnost Meta tvrdí, že neexistuje možnost pozdějšího odhlášení, aby byly údaje odstraněny (jak předpokládá článek 17 GDPR a "právo být zapomenut"), požádala společnost noyb o "naléhavé řízení" podle článku 66 GDPR. Takovou žádost jménem místních subjektů údajů obdržely úřady pro ochranu osobních údajů v 11 evropských zemích (Rakousko, Belgie, Francie, Německo, Řecko, Itálie, Irsko, Nizozemsko, Norsko, Polsko a Španělsko). Článek 66 umožňuje orgánům pro ochranu údajů vydávat předběžná zastavení v situacích, jako je výše popsaná, a umožňuje vydat rozhodnutí v celé EU prostřednictvím EDPB. Irské DPC a Meta Ireland byly již dříve předmětem dvou "naléhavých závazných rozhodnutí" EDPB (viz naléhavé závazné rozhodnutí 01/2023 a naléhavé závazné rozhodnutí 01/2021) v podobných situacích.
Max Schrems: "Doufáme, že orgány mimo Irsko přijmou rychlá opatření a přinejmenším zastaví tento projekt za účelem úplného prošetření. EDPB již vydal dvě taková naléhavá rozhodnutí proti společnosti Meta a irskému komisaři pro ochranu údajů. Je smutné, že se toto opatření zdá být znovu a znovu nezbytné."
Další problémy. Kromě toho, že chybí jakýkoli právní základ pro vysávání více než desetiletých uživatelských dat, Meta již dříve uvedla, že není technicky schopna rozlišovat mezi daty uživatelů z EU/EHP a jiných zemí, kde lidé nepožívají ochrany GDPR. Společnost Meta rovněž uvedla, že nedokáže rozlišovat mezi citlivými údaji podle článku 9 GDPR, jako je etnická příslušnost, politické názory, náboženské přesvědčení (pro které není podle zákona k dispozici argument "oprávněného zájmu"), a dalšími údaji, u nichž by teoreticky bylo možné uplatnit "oprávněný zájem". Zavedením technologie umělé inteligence společnost Meta zřejmě porušila řadu dalších ustanovení GDPR, včetně zásad GDPR, pravidel transparentnosti a provozních pravidel. Celkově stížnosti společnosti noyb uvádějí porušení přinejmenším čl. 5 odst. 1 a 2, čl. 6 odst. 1, čl. 9 odst. 1, čl. 12 odst. 1 a 2, čl. 13 odst. 1 a 2, čl. 17 odst. 1 písm. c), čl. 18 odst. 1 písm. d), článku 19, čl. 21 odst. 1 a článku 25 GDPR.
Max Schrems: "Meta svým přístupem, který spočívá v jednoduchém používání jakýchkoli údajů k jakémukoli účelu pro jakoukoli "technologii umělé inteligence", zjevně opustila téměř celý rámec GDPR. Napočítali jsme porušení nejméně deseti článků zákona."
Další kroky. Příslušné orgány pro ochranu údajů nyní budou muset rychle rozhodnout, zda zahájí naléhavé řízení, nebo se budou stížnostmi zabývat v rámci běžného řízení. Norský úřad DPA již před dvěma dny zveřejnil blogový příspěvek, v němž tvrdí, že je "pochybné" ("tvilsomt"), zda je postup společnosti Meta legální. Naléhavé řízení by mohlo vést k rychlému předběžnému zákazu a konečnému rozhodnutí EDPB v řádu měsíců. Zatímco dnešní stížnosti jsou prvním krokem, zdá se pravděpodobné, že další organizace budou následovat soudní příkazy, občanskoprávní žaloby nebo dokonce hromadné žaloby, pokud bude Meta ve svých plánech pokračovat. To by mohlo společnost Meta potenciálně utopit v dalším kole právních problémů v Evropské unii. jen žaloby noyb proti společnosti Meta dosud vyústily ve správní pokuty ve výši více než 1,5 miliardy eur.
*Stížnost v Norsku byla podána společně s Norskou radou pro ochranu spotřebitelů ("NCC"). Další informace naleznete na adrese www.forbrukerradet.no.
