Meta on viime päivinä ilmoittanut miljoonille eurooppalaisille, että sen tietosuojakäytäntö muuttuu jälleen kerran. Vasta ilmoituksessa olevien linkkien tarkempi tarkastelu osoitti, että yritys aikoo käyttää vuosien henkilökohtaisia viestejä, yksityisiä kuvia tai verkkoseurantatietoja määrittelemättömään "tekoälytekniikkaan", joka voi omaksua henkilötietoja mistä tahansa lähteestä ja jakaa tietoja määrittelemättömien "kolmansien osapuolten" kanssa. Sen sijaan, että Meta pyytäisi käyttäjiltä suostumusta (opt-in), se väittää, että sillä on oikeutettu etu, joka ohittaa eurooppalaisten käyttäjien perusoikeuden tietosuojaan ja yksityisyyteen. Kun heidän tietonsa ovat kerran järjestelmässä, käyttäjillä ei näytä olevan mahdollisuutta saada niitä koskaan poistettua ("oikeus tulla unohdetuksi"). noyb on nyt tehnyt valituksia 11 Euroopan maassa ja pyytänyt viranomaisia käynnistämään kiireellisen menettelyn tämän muutoksen lopettamiseksi välittömästi, ennen kuin se tulee voimaan 26. kesäkuuta 2024.
- 11 valitusta (tehty Itävallassa, Belgiassa, Ranskassa, Saksassa, Kreikassa, Italiassa, Irlannissa, Alankomaissa, Norjassa (yhdessä NCC:n kanssa)*, Puolassa ja Espanjassa)
- Katsaus Meta AI:ta koskeviin Meta AI:n (vääriin) väitteisiin
Kaikki ei-julkiset tiedot jostakin määrittelemättömästä tulevasta "tekoälyteknologiasta". Toisin kuin jo ennestään ongelmallisessa tilanteessa, jossa yritykset käyttävät tiettyjä (julkisia) tietoja tietyn tekoälyjärjestelmän (esim. chatbotin) kouluttamiseen, Metan uusissa tietosuojakäytännöissä sanotaan periaatteessa, että yritys haluaa ottaa kaikki vuodesta 2007 lähtien keräämänsä julkiset ja ei-julkiset käyttäjätiedot ja käyttää niitä minkä tahansa määrittelemättömän nykyisen ja tulevan "tekoälyteknologian" käyttöön. Tämä koskee myös monia "uinuvia" Facebook-tilejä, joiden kanssa käyttäjät eivät ole enää juurikaan tekemisissä - mutta jotka silti sisältävät valtavia määriä henkilötietoja. Lisäksi Meta sanoo, että se voi kerätä lisätietoja miltä tahansa "kolmannelta osapuolelta" tai kaapia tietoja verkkolähteistä. Ainoa poikkeus näyttäisi olevan yksityishenkilöiden väliset keskustelut - mutta myös yrityksen kanssa käytävät keskustelut ovat vapaata riistaa. Käyttäjille ei anneta mitään tietoa "tekoälyteknologian" tarkoituksista - mikä on vastoin tietosuoja-asetuksen vaatimuksia. Metan tietosuojakäytäntö mahdollistaisi teoriassa minkä tahansa käyttötarkoituksen. Tämä muutos on erityisen huolestuttava, koska se koskee noin 4 miljardin Meta-käyttäjän henkilötietoja, joita käytetään kokeelliseen teknologiaan periaatteessa rajattomasti. Ainakin EU:n/ETA:n käyttäjiä pitäisi (teoriassa) suojella tällaiselta väärinkäytöltä GDPR:n avulla.
Max Schrems: "Meta sanoo periaatteessa, että se voi käyttää 'mitä tahansa tietoja mistä tahansa lähteestä mihin tahansa tarkoitukseen ja saattaa ne kenen tahansa käyttöön maailmassa', kunhan se tehdään 'tekoälyteknologian' avulla. Tämä on selvästi GDPR:n noudattamisen vastakohta. tekoälyteknologia on erittäin laaja käsite. Aivan kuten "tietojen käyttämisellä tietokannoissa", sillä ei ole todellista oikeudellista rajaa. Meta ei kerro, mihin tietoja käytetään, joten kyseessä voi olla joko yksinkertainen chatbot, erittäin aggressiivinen henkilökohtainen mainonta tai jopa tappaja-robotti. Meta sanoo myös, että käyttäjätiedot voidaan antaa minkä tahansa 'kolmannen osapuolen' käyttöön - mikä tarkoittaa ketä tahansa maailmassa."
Ovatko Metan edut tärkeämpiä kuin käyttäjien oikeudet? Normaalisti henkilötietojen käsittely on Euroopan unionissa lähtökohtaisesti laitonta. Siksi Metan on vedottava johonkin kuudesta yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan mukaisesta oikeusperustasta henkilötietojen käsittelyä varten. Vaikka looginen valinta olisi opt-in-suostumus, Meta väittää jälleen, että sillä on "oikeutettu etu", joka syrjäyttää käyttäjien perusoikeudet. Meta on aiemmin väittänyt näin kaikkien henkilötietojen käyttämisen yhteydessä mainontaan - ja yhteisöjen tuomioistuin hylkäsi tämän väitteen(ks. C-252/21). Nyt Meta käyttää samaa oikeusperustaa perustellakseen entistä laajempaa ja aggressiivisempaa ihmisten henkilötietojen käyttöä.
Max Schrems: "Euroopan yhteisöjen tuomioistuin on jo tehnyt selväksi, että Metalla ei ole "oikeutettua etua", joka syrjäyttäisi käyttäjien oikeuden tietosuojaan mainonnan yhteydessä. Silti yritys yrittää käyttää samoja perusteita määrittelemättömän 'tekoälyteknologian' kouluttamiseen. Näyttää siltä, että Meta jättää jälleen kerran räikeästi huomiotta EUT:n tuomiot.""
Vastalause on farssi. Meta yrittää jopa asettaa käyttäjät vastuuseen yksityisyydestään huolehtimisesta ohjaamalla heidät vastustuslomakkeeseen (opt-out), joka käyttäjien on täytettävä, jos he eivät halua, että Meta käyttää kaikkia heidän tietojaan. Teoriassa opt-out-lomakkeen voisi toteuttaa niin, että se vaatii vain yhden napsautuksen (kuten uutiskirjeiden peruutuspainike), mutta Meta tekee vastustamisesta erittäin monimutkaista ja vaatii jopa henkilökohtaisia syitä. Opt-out-linkkien tekninen analyysi osoitti jopa, että Meta vaatii kirjautumista muuten julkisen sivun tarkasteluun. Meta vaatii yhteensä noin 400 miljoonaa eurooppalaista käyttäjää "vastustamaan" sen sijaan, että kysyisi heidän suostumustaan.
Max Schrems: " Vastuun siirtäminen käyttäjälle on täysin järjetöntä. Laki vaatii Metaa hankkimaan suostumuksen, ei tarjoamaan piilotettua ja harhaanjohtavaa opt-out-lomaketta. Jos Meta haluaa käyttää tietojasi, sen on pyydettävä suostumuksesi. Sen sijaan se pakottaa käyttäjät anelemaan, että heidät suljetaan pois. Olimme erityisen yllättyneitä siitä, että Meta on jopa nähnyt vaivaa rakentaakseen tonneittain pieniä häiriötekijöitä varmistaakseen, että vain pieni osa käyttäjistä todella vaivautuu vastustamaan."
Irlantilainen DPC on (taas) osallinen. Raporttien mukaan tämä räikeä GDPR:n rikkominen perustuu (jälleen kerran) "sopimukseen" Irlannin tietosuojakomission kanssa (DPC on Metan EU:n sääntelyviranomainen). DPC:llä oli aiemmin sopimus Metan kanssa, jonka avulla yritys pystyi kiertämään GDPR:ää - ja joka päättyi 395 miljoonan euron sakkoon Metalle sen jälkeen, kun Euroopan tietosuojaneuvosto (EDPB) kumosi Irlannin DPC:n.
Max Schrems: "Vaikuttaa siltä, että DPC:n uusi johto jatkaa laittomien "sopimusten" tekemistä yhdysvaltalaisten suurten teknologiayritysten kanssa. On järjetöntä, että tietosuojaviranomainen antaa edelleen noin 400 miljoonan eurooppalaisen käyttäjän ei-julkisten henkilötietojen väärinkäytön jäädä valvomatta."
Määräaika 26. kesäkuuta: Kiireellistä menettelyä pyydetään. Koska Metan tietojenkäsittely julkistamatonta "tekoälyteknologiaa" varten on jo tarkoitus aloittaa 26. kesäkuuta 2024, ja Meta väittää, ettei ole mahdollisuutta kieltäytyä myöhemmin tietojen poistamisesta (kuten yleisen tietosuoja-asetuksen 17 artiklassa ja "oikeudessa tulla unohdetuksi" säädetään), noyb on pyytänyt yleisen tietosuoja-asetuksen 66 artiklan mukaista "kiireellistä menettelyä". Tietosuojaviranomaiset 11 Euroopan maassa (Alankomaat, Belgia, Espanja, Irlanti, Italia, Itävalta, Kreikka, Norja, Portugali, Puola, Ranska, Saksa, Irlanti, Itävalta ja Kreikka) ovat saaneet tällaisen pyynnön paikallisten rekisteröityjen puolesta. Direktiivin 66 artiklan mukaan tietosuojaviranomaiset voivat antaa alustavia keskeytyksiä edellä kuvatun kaltaisissa tilanteissa ja tehdä EU:n laajuisen päätöksen Euroopan tietosuojaneuvoston kautta. Irlannin tietosuojaviranomainen ja Meta Ireland ovat jo aiemmin tehneet kaksi EDPB:n "kiireellistä sitovaa päätöstä" (ks. kiireellinen sitova päätös 01/2023 ja kiireellinen sitova päätös 01/2021) vastaavissa tilanteissa.
Max Schrems: "Toivomme, että Irlannin ulkopuoliset viranomaiset ryhtyvät nopeasti toimiin ja ainakin pysäyttävät hankkeen täydellistä tutkintaa varten. EDPB on jo tehnyt kaksi tällaista kiireellistä päätöstä Metaa ja Irlannin tietosuojavaltuutettua vastaan. On surullista nähdä, että tämä toimenpide näyttää olevan tarpeen yhä uudelleen ja uudelleen."
Lisäongelmia. Sen lisäksi, että oikeusperustan puuttuminen yli vuosikymmenen käyttäjätietojen imemiselle ei riitä, Meta on aiemmin sanonut, että se ei pysty teknisesti erottamaan EU:n/ETA:n käyttäjien tietoja muista maista, joissa ihmiset eivät nauti GDPR:n suojaa. Meta on myös sanonut, ettei se pysty tekemään eroa GDPR:n 9 artiklan mukaisten arkaluonteisten tietojen, kuten etnisen alkuperän, poliittisten mielipiteiden ja uskonnollisen vakaumuksen (joiden osalta "oikeutettua etua" koskeva peruste ei ole lain mukaan käytettävissä), ja muiden sellaisten tietojen välillä, joiden osalta voitaisiin teoriassa vedota "oikeutettuun etuun". Tekoälyteknologiansa käyttöönoton myötä Meta näyttää rikkoneen useita muita tietosuoja-asetuksen säännöksiä, kuten tietosuoja-asetuksen periaatteita, avoimuussääntöjä ja toimintasääntöjä. Kaiken kaikkiaan noybin valituksissa luetellaan ainakin yleisen tietosuoja-asetuksen 5 artiklan 1 ja 2 kohdan, 6 artiklan 1 kohdan, 9 artiklan 1 kohdan, 12 artiklan 1 ja 2 kohdan, 13 artiklan 1 ja 2 kohdan, 17 artiklan 1 kohdan c alakohdan, 18 artiklan 1 kohdan d alakohdan, 19 artiklan, 21 artiklan 1 kohdan ja 25 artiklan rikkomukset.
Max Schrems: " Lähestymistavalla, jonka mukaan mitä tahansa tietoja käytetään mihin tahansa tarkoitukseen mitä tahansa 'tekoälyteknologiaa' varten, Meta on selvästi jättänyt lähes koko GDPR:n kehyksen. Laskimme ainakin kymmenen lainkohdan rikkomisen."
Seuraavat vaiheet. Asianomaisten tietosuojaviranomaisten on nyt tehtävä nopea päätös siitä, käynnistetäänkö kiireellinen menettely vai käsitelläänkö kantelut tavanomaisessa menettelyssä. Norjan tietosuojaviranomainen julkaisi jo kaksi päivää sitten blogikirjoituksen, jossa se väitti, että on "kyseenalaista" ("tvilsomt"), onko Metan lähestymistapa laillinen. Kiireellinen menettely voisi johtaa nopeaan väliaikaiseen kieltoon ja EDPB:n lopulliseen päätökseen muutamassa kuukaudessa. Vaikka tämänpäiväiset valitukset ovatkin ensimmäinen askel, näyttää todennäköiseltä, että muut organisaatiot ryhtyvät toimiin kieltokanteiden, siviilioikeudenkäyntien tai jopa ryhmäkanteiden muodossa, jos Meta jatkaa suunnitelmiaan. Pelkästään noybin Metaa vastaan nostamat kanteet ovat tähän mennessä johtaneet yli 1,5 miljardin euron hallinnollisiin sakkoihin.
*Norjassa valitus tehtiin yhdessä Norjan kuluttajaneuvoston (NCC) kanssa. Lisätietoja osoitteessa www.forbrukerradet.no.