Az elmúlt napokban a Meta európaiak millióit tájékoztatta arról, hogy ismét változik az adatvédelmi irányelve. Csak az értesítésben szereplő linkek közelebbi vizsgálatakor vált világossá, hogy a vállalat évekig tartó személyes bejegyzések, privát képek vagy online nyomkövető adatok felhasználását tervezi egy olyan, meg nem határozott "AI-technológia" számára, amely bármilyen forrásból származó személyes adatokat képes bekebelezni, és bármilyen információt megoszthat meg nem határozott "harmadik felekkel". Ahelyett, hogy a felhasználók hozzájárulását kérné (opt-in), a Meta azzal érvel, hogy jogos érdeke van, amely felülírja az európai felhasználók adatvédelemhez és magánélethez való alapvető jogát. Ha a felhasználók adatai egyszer bekerültek a rendszerbe, úgy tűnik, nincs lehetőségük arra, hogy azokat valaha is eltávolíttassák ("a feledésbe merüléshez való jog"). A noyb most 11 európai országban nyújtott be panaszt, arra kérve a hatóságokat, hogy indítsanak sürgősségi eljárást a változtatás azonnali leállítása érdekében, mielőtt az 2024. június 26-án hatályba lép.
- 11 panasz ( Ausztriában, Belgiumban, Franciaországban, Németországban, Görögországban, Olaszországban, Írországban, Hollandiában, Norvégiában (az NCC-vel)*, Lengyelországban és Spanyolországban)
- A Meta AI-val kapcsolatos Meta (hamis) pörgések áttekintése
Minden nem nyilvános adat valamilyen meghatározatlan jövőbeli "mesterséges intelligencia technológiához". Ellentétben azzal a már eddig is problematikus helyzettel, amikor a vállalatok bizonyos (nyilvános) adatokat egy adott mesterséges intelligencia rendszer (pl. egy chatbot) betanítására használnak fel, a Meta új adatvédelmi irányelvei alapvetően azt mondják, hogy a vállalat a 2007 óta gyűjtött összes nyilvános és nem nyilvános felhasználói adatot fel akarja használni bármilyen meghatározatlan típusú jelenlegi és jövőbeli "mesterséges intelligencia technológiához". Ebbe beletartozik az a sok "alvó" Facebook-fiók is, amelyekkel a felhasználók már alig lépnek kapcsolatba - de amelyek még mindig hatalmas mennyiségű személyes adatot tartalmaznak. Ezen túlmenően a Meta azt állítja, hogy további információkat gyűjthet bármilyen "harmadik féltől", vagy adatokat kaparhat ki online forrásokból. Az egyetlen kivételnek a magánszemélyek közötti csevegések tűnnek - de még egy céggel folytatott csevegés is szabad préda. A felhasználók semmilyen információt nem kapnak a "mesterséges intelligencia technológia" céljairól - ami ellentétes a GDPR követelményeivel. A Meta adatvédelmi irányelvei elméletileg bármilyen célt lehetővé tennének. Ez a változás azért különösen aggasztó, mert mintegy 4 milliárd Meta-felhasználó személyes adatait érinti, amelyeket lényegében korlátlanul felhasználnak majd kísérleti technológiához. Legalább az EU/EGT-ben élő felhasználókat (elméletileg) meg kellene védenie a GDPR-nak az ilyen visszaélésekkel szemben.
Max Schrems: "A Meta alapvetően azt mondja, hogy "bármilyen forrásból származó bármilyen adatot bármilyen célra felhasználhat, és bárki számára elérhetővé teheti a világon", amennyiben ez "mesterséges intelligencia technológiával" történik. Ez egyértelműen a GDPR-nak való megfelelés ellentéte. az "AI-technológia" rendkívül tág fogalom. Az "adatok adatbázisokban történő felhasználásához" hasonlóan ennek sincs valódi jogi korlátja. A Meta nem mondja meg, hogy mire fogja felhasználni az adatokat, így ez lehet egy egyszerű chatbot, rendkívül agresszív személyre szabott reklám vagy akár egy gyilkos drón is. A Meta azt is mondja, hogy a felhasználói adatokat bármely "harmadik fél" számára hozzáférhetővé lehet tenni - ami azt jelenti, hogy bárki számára a világon"."
A Meta érdekei felülírják a felhasználók jogait? Normális esetben a személyes adatok feldolgozása az Európai Unióban alapesetben jogellenes. Ezért a Meta a személyes adatok feldolgozásához a GDPR 6. cikkének (1) bekezdése szerinti hat jogalap egyikére kell hivatkoznia. Bár a logikus választás az opt-in hozzájárulás lenne, a Meta ismét arra hivatkozik, hogy "jogos érdeke" van, amely felülírja a felhasználók alapvető jogait. A Meta már korábban is érvelt ezzel kapcsolatban, amikor valamennyi személyes adatot reklámcélokra használt fel - és a Bíróság ezt elutasította(lásd C-252/21). Most a Meta ugyanezt a jogalapot használja fel arra, hogy az emberek személyes adatainak még szélesebb körű és agresszívebb felhasználását igazolja.
Max Schrems: "Az Európai Bíróság már világossá tette, hogy a Meta nem rendelkezik olyan "jogos érdekkel", amely felülírná a felhasználók adatvédelemhez való jogát, amikor reklámozásról van szó. A vállalat mégis ugyanezekkel az érvekkel próbál élni a meghatározatlan "mesterséges intelligencia technológia" képzése esetében. Úgy tűnik, hogy a Meta ismét szemérmetlenül figyelmen kívül hagyja az EUB ítéleteit."
A kifogás egy bohózat. A Meta még a felhasználókat is megpróbálja felelőssé tenni a magánéletükről való gondoskodásért, egy tiltakozási űrlaphoz (opt-out) irányítva őket, amelyet a felhasználóknak ki kell tölteniük, ha nem akarják, hogy a Meta minden adatukat felhasználja. Bár elméletileg az opt-out-ot úgy is meg lehetne valósítani, hogy csak egy kattintást igényeljen (mint a hírlevelek "leiratkozás" gombja), a Meta rendkívül bonyolulttá teszi a tiltakozást, sőt, személyes indokokat is megkövetel. Az opt-out linkek technikai elemzése még azt is kimutatta, hogy a Meta bejelentkezést igényel egy egyébként nyilvános oldal megtekintéséhez. Összességében a Meta mintegy 400 millió európai felhasználótól követeli meg a "tiltakozást", ahelyett, hogy a beleegyezésüket kérné.
Max Schrems: " A felelősséget a felhasználóra hárítani teljesen abszurd. A törvény előírja, hogy a Meta opt-in hozzájárulást kérjen, nem pedig egy rejtett és félrevezető opt-out űrlapot. Ha a Meta fel akarja használni az Ön adatait, akkor az Ön engedélyét kell kérnie. Ehelyett arra kényszerítik a felhasználókat, hogy könyörögjenek a kizárásért. Különösen meglepődtünk azon, hogy a Meta még arra is vette a fáradságot, hogy rengeteg apró zavaró tényezőt építsen be, hogy a felhasználóknak csak egy elenyésző hányada fog valóban tiltakozni"."
Az ír DPC (ismét) bűnrészes. Ajelentések szerint a GDPR e kirívó megsértése (ismét) az ír adatvédelmi bizottsággal kötött "alkun" alapul (a DPC a Meta uniós szabályozó hatósága). A DPC korábban már kötött egy olyan megállapodást a Metával, amely lehetővé tette a vállalat számára a GDPR megkerülését - és 395 millió eurós bírsággal végződött a Meta ellen, miután az Európai Adatvédelmi Testület (EDPB) felülbírálta az ír DPC-t.
Max Schrems: "Úgy tűnik, hogy a DPC új vezetése csak folytatja az illegális "üzleteket" az amerikai nagy technológiai cégekkel. Elképesztő, hogy a DPC továbbra is hagyja, hogy a mintegy 400 millió európai felhasználó nem nyilvános személyes adataival való visszaélést ellenőrizetlenül hagyják"."
Határidő: június 26: Sürgősségi eljárást kértek. Tekintettel arra, hogy a Meta által a nyilvánosságra nem hozott "mesterséges intelligencia technológiára" vonatkozó adatkezelés már 2024. június 26-án hatályba lép, és a Meta állítása szerint nincs lehetőség arra, hogy később lemondjon az adatok törléséről (ahogyan azt a GDPR 17. cikke és az "elfeledtetéshez való jog" előírja), a noyb "sürgősségi eljárást" kért a GDPR 66. cikke alapján. A 11 európai ország (Ausztria, Belgium, Franciaország, Németország, Görögország, Hollandia, Írország, Hollandia, Írország, Norvégia, Franciaország, Lengyelország, Németország, Olaszország, Spanyolország és Ausztria) adatvédelmi hatóságai (DPA) ilyen kérelmet kaptak a helyi érintettek nevében. A 66. cikk lehetővé teszi az adatvédelmi hatóságok számára, hogy a fent leírtakhoz hasonló helyzetekben előzetes leállítást rendeljenek el, és lehetővé teszi, hogy az egész EU-ra kiterjedő határozatot hozzanak az EDPB-n keresztül. Az ír adatvédelmi hatóság és a Meta Ireland korábban már két "sürgős kötelező erejű határozatot" hozott az EDPB által hasonló helyzetekben (lásd a 01/2023. számú sürgős kötelező erejű határozatot és a 01/2021. számú sürgős kötelező erejű határozatot).
Max Schrems: "Reméljük, hogy az Írországon kívüli hatóságok gyorsan intézkednek, és legalább a teljes kivizsgálás idejére leállítják ezt a projektet. Az EDPB már két ilyen sürgősségi határozatot hozott a Meta és az ír adatvédelmi biztos ellen. Szomorúan látjuk, hogy erre az intézkedésre úgy tűnik, újra és újra szükség van."
További problémák. Amellett, hogy nincs jogalapja a több mint egy évtizednyi felhasználói adat elszívásának, a Meta korábban azt mondta, hogy technikailag képtelen különbséget tenni az EU/EGT-ben és az EU-ban élő felhasználók adatai és más országok adatai között, ahol az emberek nem élveznek GDPR-védelmet. A Meta azt is elmondta, hogy nem tud különbséget tenni a GDPR 9. cikke szerinti érzékeny adatok, például az etnikai hovatartozás, a politikai vélemény, a vallási meggyőződés (amelyek esetében a "jogos érdek" érv nem áll rendelkezésre a törvény értelmében) és más olyan adatok között, amelyek esetében elméletileg "jogos érdek" állítható. Úgy tűnik, hogy a Meta a mesterséges intelligencia technológiájának bevezetésével számos más GDPR rendelkezést is megsértett, beleértve a GDPR alapelveit, az átláthatósági szabályokat és a működési szabályokat. Összességében a noyb panaszai legalább a GDPR 5. cikke (1) és (2) bekezdésének, 6. cikke (1) bekezdésének, 9. cikke (1) bekezdésének, 12. cikke (1) és (2) bekezdésének, 13. cikke (1) és (2) bekezdésének, 17. cikke (1) bekezdésének c) pontjának, 18. cikke (1) bekezdésének d) pontjának, 19. cikkének, 21. cikke (1) bekezdésének és 25. cikkének megsértését sorolják fel .
Max Schrems: " Azzal a megközelítéssel, hogy a Meta egyszerűen bármilyen adatot bármilyen célra bármilyen "AI-technológiához" felhasznál, a Meta egyértelműen elhagyta a GDPR szinte teljes keretrendszerét. Legalább tíz törvénycikk megsértését számoltuk össze"
Következő lépések. Az illetékes adatvédelmi hatóságoknak most gyorsan dönteniük kell, hogy sürgősségi eljárást indítanak-e, vagy normál eljárás keretében kezelik a panaszokat. Két nappal ezelőtt a norvég adatvédelmi hatóság már közzétett egy blogbejegyzést, amelyben azzal érvelt, hogy "kétséges" ("tvilsomt"), hogy a Meta megközelítése jogszerű-e. A sürgősségi eljárás gyors ideiglenes tilalomhoz és az EDPB néhány hónapon belüli végleges döntéséhez vezethet. Bár a mai panaszok csak az első lépést jelentik, valószínűnek tűnik, hogy más szervezetek is követni fogják a tiltó végzésekkel, polgári perekkel vagy akár csoportos keresetekkel, ha a Meta folytatja terveit. Ez a Meta-t potenciálisan újabb jogi problémákba sodorhatja az Európai Unióban. Csak a noyb által a Meta ellen indított eljárások eddig több mint 1,5 milliárd eurós közigazgatási bírságot eredményeztek.
*A norvégiai panaszt a Norvég Fogyasztói Tanáccsal ("NCC") közösen nyújtották be. További információ a következő címen érhető el www.forbrukerradet.no.
