Společnost Twitter International (nyní přejmenovaná na "X") začala nedávno nezákonně používat osobní údaje více než 60 milionů uživatelů v EU/EHP k trénování svých technologií umělé inteligence (jako je "Grok") bez jejich souhlasu. Na rozdíl od společnosti Meta (která nedávno rovněž musela zastavit trénink umělé inteligence v EU) o tom Twitter své uživatele ani předem neinformoval. To zašlo příliš daleko i pro irskou Komisi pro ochranu osobních údajů (DPC): Minulý týden zahájila proti Twitteru soudní řízení s cílem zastavit nezákonné zpracování, ale irská DPC se zřejmě zastavila před plným prosazením GDPR. noyb nyní následuje devět stížností.
- Stížnosti podané v Rakousko, Belgie, Francie, Řecko, Irsko, Itálie, Nizozemsko, Španělsko a Polsko
- Soudní záznam případu DPC vs. Twitter v Irsku
- Zpravodajská zpráva o soudní žalobě irské DPC
Osobní údaje 60 milionů lidí k tréninku umělé inteligence? Jako by Neúspěšný pokus společnosti Meta o nezákonné využití osobních údajů lidí pro projekty umělé inteligence nevyslal dostatečně jasný signál, je Twitter další americkou společností, která právě vysává údaje uživatelů EU k trénování umělé inteligence. Společnost Twitter začala v květnu 2024 nevratně vkládat údaje evropských uživatelů do své technologie "Grok" AI, aniž by je o tom informovala nebo požádala o souhlas.
Irská DPC podniká polovičaté kroky. Zjevná ignorace zákona ze strany Twitteru vyvolala překvapivou reakci (notoricky prokorporativního) irského úřadu DPC: Úřad přijal soudní řízení proti společnosti Twitter aby zastavil nezákonné zpracování a vynutil příkaz k uvedení jeho systémů do souladu s GDPR. Soudní jednání minulý čtvrtek však odhalilo, že DPC se zřejmě zabýval především tzvzmírnění dopadů" opatření a skutečnost, že Twitter zahájil zpracování ještě v době, kdy byl v povinném konzultačním procesu s DPC podle článku 36 GDPR. Zdá se, že DPC nejde o zásadní porušení.
Max Schrems, předseda noyb: "Soudní dokumenty nejsou veřejné, ale z ústního jednání jsme pochopili, že DPC nezpochybňovala zákonnost tohoto zpracování jako takového. Zdá se, že DPC se zabývala takzvanými "zmírňujícími opatřeními" a nedostatkem spolupráce ze strany Twitteru. Zdá se, že DPC přijímá opatření na okrajích, ale od jádra problému se vyhýbá."
noyb žádá o úplné prošetření. Již během prvního slyšení se irská DPC dohodla s Twitterem (prostřednictvím tzv. "závazku"), že do září pouze pozastaví další školení algoritmu s údaji EU. Žádné rozhodnutí o zákonnosti nebylo učiněno a mnoho otázek zůstává nezodpovězeno. Např: Co se stalo s daty EU, která již byla do systémů vložena, a jak může Twitter (správně) oddělit data EU a mimo EU? Z tohoto důvodu, noyb podala stížnosti na GDPR u úřadů pro ochranu osobních údajů v devíti zemích, aby zajistila, že budou plně vyřešeny základní právní problémy související s tréninkem umělé inteligence společnosti Twitter. Čím více dalších orgánů pro ochranu údajů v EU se do řízení zapojí, tím větší bude tlak na irský úřad pro ochranu údajů, aby svůj případ dotáhl do konce, a na společnost Twitter, aby skutečně dodržovala právo EU.
Max Schrems, předseda noyb: "V minulých letech jsme byli svědky nespočtu případů, kdy DPC neúčinně a částečně vymáhala práva. Chceme zajistit, aby Twitter plně dodržoval právo EU, které - jako minimum - vyžaduje v tomto případě požádat uživatele o souhlas."
Jednoduché řešení: Stačí se zeptat uživatelů! Nařízení EU GDPR nabízí jednoduché řešení, jak uživatelům "darovat" své osobní údaje pro vývoj umělé inteligence - stačí požádat uživatele o jejich jasný souhlas s takovým zpracováním. Pokud by jen malý počet z 60 milionů uživatelů Twitteru dal souhlas k trénování jeho systémů AI, měl by Twitter více než dost tréninkových dat pro jakýkoli nový model AI. Žádat lidi o souhlas však není současný přístup společnosti Twitter, místo toho prostě bere data uživatelů, aniž by je o tom informovala nebo jim dala svolení.
Max Schrems, předseda představenstva společnosti noyb: "Společnosti, které komunikují přímo s uživateli, jim prostě musí před použitím jejich údajů ukázat výzvu ano/ne. Dělají to pravidelně u spousty jiných věcí, takže by to určitě bylo možné i pro školení AI."
Obchodní zájmy nadřazené základním právům uživatelů? Za normálních okolností je zpracování osobních údajů v Evropské unii standardně nezákonné. Proto se Twitter musí při zpracování osobních údajů opírat o jeden ze šesti právních základů podle čl. 6 odst. 1 GDPR. Ačkoli logickou volbou by byl souhlas s volbou, společnost Twitter - podobně jako společnost Meta - tvrdí, že má "oprávněný zájem", který má přednost před základními právy uživatelů. Tento přístup již byl Soudním dvorem zamítnut ve věci týkající se používání osobních údajů společností Meta pro cílenou reklamu. Zdá se však, že irská DPC v posledních měsících "vyjednávala" o "oprávněném zájmu" v rámci "konzultacích" podle článku 36 GDPR.
Max Schrems: "Skutečnosti, které nyní známe z irského soudního řízení, naznačují, že DPC ve skutečnosti nezpochybnila hlavní problém, kterým je pořizování všech těchto osobních údajů bez souhlasu uživatele."
Informace poskytnuté prostřednictvím "virálního" příspěvku X. Jak bylo uvedeno výše, společnost Twitter nikdy aktivně neinformovala své uživatele o tom, že jejich osobní údaje jsou používány k trénování umělé inteligence - přestože je zasypává oznámeními pokaždé, když někdo lajkuje nebo retweetuje jejich příspěvky. Naopak se zdá, že většina lidí se o novém výchozím nastavení dozvěděla prostřednictvím virálního příspěvku uživatele jménem '@EasyBakedOven' 26. července 2024, tedy více než dva měsíce po zahájení tréninku umělé inteligence.
Jak je to s dalšími právy GDPR? V současné době poskytovatelé systémů umělé inteligence většinou tvrdí, že nejsou schopni splnit další požadavky GDPR, jako je právo být zapomenut (článek 17 GDPR), jakmile byly údaje do jejich systémů umělé inteligence vloženy. Stejně tak mají společnosti tendenci tvrdit, že nemohou odpovědět na žádosti o získání kopie osobních údajů obsažených v tréninkových údajích nebo zdrojů těchto údajů (jak požaduje článek 15 GDPR), ani nemohou opravit nepřesné osobní údaje (jak požaduje článek 16 GDPR). To vyvolává další otázky, pokud jde o neomezené vkládání osobních údajů do systémů umělé inteligence.
Rozsáhlá porušení GDPR vyžadují mimořádný postup. Vzhledem k tomu, že společnost Twitter již začala zpracovávat údaje lidí pro svou technologii umělé inteligence a že v podstatě neexistuje možnost odstranit požité údaje, noyb má požádala o "naléhavé řízení" podle článku 66 GDPR. Takovou žádost jménem místních subjektů údajů obdržely úřady pro ochranu osobních údajů v devíti evropských zemích (Belgie, Francie, Irsko, Itálie, Nizozemsko, Polsko, Rakousko, Řecko a Španělsko). Článek 66 opravňuje orgány pro ochranu údajů k vydávání předběžných zastavení v situacích, jako je výše popsaná, a umožňuje vydat rozhodnutí v celé EU prostřednictvím EDPB. Irské DPC a Meta Ireland již byly předmětem dvou "naléhavých závazných rozhodnutí" EDPB v podobných situacích (viz naléhavé závazné rozhodnutí 01/2023 a naléhavé závazné rozhodnutí 01/2021).
Porušeno několik ustanovení GDPR. Kromě toho, že chybí platný právní základ, je velmi nepravděpodobné, že by společnost Twitter řádně rozlišovala mezi údaji uživatelů z EU/EHP a jiných zemí, kde lidé nepožívají ochrany GDPR. Totéž platí pro citlivé údaje podle článku 9 GDPR (pro které platí "oprávněný zájem" není podle zákona možné argumentovat), jako jsou údaje odhalující etnickou příslušnost, politické názory a náboženské přesvědčení, a také další údaje, u nichž je "oprávněný zájem" lze teoreticky uplatnit. Zavedením technologie umělé inteligence společnost Twitter zřejmě porušila řadu dalších ustanovení GDPR, včetně zásad GDPR, pravidel transparentnosti a provozních pravidel. Celkově, noyb'stížnosti uvádí porušení přinejmenším čl. 5 odst. 1 a 2, čl. 6 odst. 1, čl. 9 odst. 1, čl. 12 odst. 1 a 2, čl. 13 odst. 1 a 2, čl. 17 odst. 1 písm. c), čl. 18 odst. 1 písm. d), článku 19, čl. 21 odst. 1 a článku 25 GDPR.
