A litván székhelyű Whitebridge AI eladja "hírnévjelentéseket" mindenkiről, akinek online jelenléte van. Ezek a jelentések nagy mennyiségű személyes információt gyűjtenek össze gyanútlan emberekről, amelyeket aztán bárkinek eladnak, aki hajlandó fizetni érte. Az adatok egy része nem tényszerű, hanem mesterséges intelligencia által generált, és magában foglalja a javasolt beszélgetési témákat, az állítólagos személyiségjegyek listáját és a háttérellenőrzést, hogy kiderüljön, megosztott-e már felnőtteknek szóló, politikai vagy vallási tartalmakat. A Whitebridge.ai a saját adatokhoz való szabad hozzáférés törvényes joga ellenére csak "jelentéseket" ad el az érintetteknek. Úgy tűnik, az üzleti modell nagyrészt a megijesztett felhasználókra épül, akik szeretnék felülvizsgálni a saját, korábban jogellenesen összeállított adataikat. noyb most panaszt nyújtott be a litván adatvédelmi hatósághoz.
AI-alapú online "hírnévjelentések". A Whitebridge AI weboldalán a szolgáltatásait olyan mesterséges intelligencia eszközként hirdeti, amely "mindent megtalál rólad az interneten", és azt javasolja, hogy "kereshet magára, partnerére vagy az érdeklődőire". Az emberekről szóló jelentések közé tartoznak a közösségi média adatok, a híradásokban való említések, fényképek, "rejtett profilok" és a "negatív sajtó". Az eszköz egyfajta "háttérellenőrzést" is végez annak megállapítására, hogy az interneten elérhető-e az emberekről felnőttekre vonatkozó, bűncselekményekkel kapcsolatos, mérgező, politikai vagy vallási tartalom. A kimenetek nagyrészt alacsony minőségűek, és úgy tűnik, hogy inkább véletlenszerűen generált mesterséges intelligencia szövegek, amelyek jogtalanul összegyűjtött online adatokon alapulnak. Whitebridge még azt is javasolja, hogy figyeljék meg valaki online jelenlétét. Végül, de nem utolsósorban a jelentésben szerepelnek ún "interakciós iránymutatásokat" tartalmaz a lehetséges beszélgetések dos és don't'-jait, egy listát a személyiségjegyekről, preferenciákról, valamint számos, a közösségi médiából és más online forrásokból származó fotót.
Magát az érintetteket célozta meg? A Whitebridge online hirdetései meglepő módon elsősorban magukat az érintetteket célozzák meg, többek között olyan szlogenekkel, mint pl "ez elég ijesztő" és "ellenőrizze a saját adatait". Úgy tűnik, a Whitebridge mesterséges intelligenciájának lényege, hogy kifejezetten ijesztő személyes adatokat generáljon az emberekről, és ezzel szorongást keltsen bennük - majd pénzt kérjen az ezekhez való hozzáférésért. A GDPR 15. cikke azonban valójában jogot biztosít az egyéneknek arra, hogy ingyenesen hozzájussanak adataik másolatához.
Lisa Steinfeld, az adatvédelemmel foglalkozó noyb: "A Whitebridge AI csak egy nagyon kétes üzleti modellel rendelkezik, amelynek célja, hogy megijessze az embereket, hogy fizessenek a saját, jogellenesen gyűjtött adataikért. Az uniós jog szerint az embereknek joguk van ingyenesen hozzáférni a saját adataikhoz"
"Az üzletvitel szabadsága" mint érv a GDPR megsértésére? Adatvédelmi tájékoztatójában a Whitebridge egyszerűen azt állítja, hogy a személyes adatok feldolgozása jogszerű és összhangban van "az üzletvitel szabadságával". Ezzel a Whitebridge figyelmen kívül hagyja, hogy minden üzleti tevékenységet a jogszabályok, köztük a GDPR tiszteletben tartásával kell gyakorolni. De ez még nem minden: A Whitebridge AI-nak még csak jogalapja sincs arra, hogy egyáltalán feldolgozza ezeket a személyes adatokat. Ehelyett a vállalat azt állítja, hogy csak a következő adatok feldolgozását végzi el "nyilvánosan elérhető forrásokból". A valóságban ezeknek az adatoknak a nagy része olyan közösségi hálózati oldalakról származik, amelyek nincsenek indexelve, és a keresőmotorok sem találják meg őket. Ezt már az EUB ítélkezési gyakorlata is egyértelművé tette, amely a C-252/21. sz. ügyben megerősítette, hogy az információk közösségi hálózati alkalmazásba történő bevitele nem jelenti azt, hogy azok "nyilvánvalóan nyilvánossá" válnak, ami az általános adatvédelmi rendelet 9. cikke szerinti küszöbérték.
Lisa Steinfeld, adatvédelmi jogász, a noyb: "Egy vállalat állítólagos "üzleti tevékenységének szabadságára" való puszta hivatkozás nyilvánvalóan nem teszi lehetővé, hogy figyelmen kívül hagyja a törvényt. Eközben a Whitebridge minden egyes személyes adatot összegyűjt, amit csak talál a közösségi hálózatokon, és még csak nem is veszi a fáradságot, hogy megvizsgálja, van-e érvényes jogalapja az adatkezelésre."
Állítólagos "szexuális meztelenség" vagy "veszélyes politikai tartalom". Hogy megtudják, hogy ők is érintettek-e, a panaszosok rákerestek nevükre a Whitebridge honlapján. Hamarosan rájöttek, hogy bárki vásárolhat az adataikkal egy jelentést anélkül, hogy erről valaha is értesültek volna. Mindkét panaszos ezért a GDPR 15. cikke alapján hozzáférési kérelmet nyújtott be, de nem kaptak tájékoztatást. Röviddel ezután, noyb megvásárolta a panaszosokról szóló jelentéseket. Ezek hamis figyelmeztetéseket tartalmaztak a "szexuális meztelenség" és a "veszélyes politikai tartalom"amelyek a GDPR 9. cikke szerint különösen védett érzékeny adatoknak minősülnek. A panaszosok ezért nem sokkal később a GDPR 16. cikke alapján helyesbítést kértek. A Whitebridge AI ahelyett, hogy eleget tett volna a kérésnek, azt állította, hogy a panaszosoknak "minősített elektronikus aláírásra" van szükségük az uniós jog szerinti jogaik gyakorlásához, mivel "[a]a modern mesterséges intelligencia-technológiák segítségével egyre könnyebben lehet rendkívül meggyőző hamisított dokumentumokat létrehozni". Az uniós jog nem írja elő, hogy bárkinek is rendelkeznie kell ilyen elektronikus aláírással.
Aitana Pallas, szintén a noyb: "A Whitebridge AI által feldolgozott személyes adatok mennyisége egyenesen kísérteties, ahogy azt maga a Whitebridge is állítja a szolgáltatás reklámjaiban. Ezt tovább rontja az a tény, hogy a Whitebridge AI teljesen figyelmen kívül hagyja az érintetteket, amikor azok megpróbálnak élni a jogaikkal."
Litvániában benyújtott panasz. noyb ezért panaszt nyújtott be a litván adatvédelmi hatósághoz. Összességében a Whitebridge AI több GDPR rendelkezést is megsértett, többek között a GDPR 5., 9., 12. és 16. cikkét. Felszólítjuk a Whitebridge AI-t, hogy tegyen eleget a panaszosok hozzáférési kérelmének, és helyesbítse a róluk szóló jelentésekben szereplő hamis adatokat. Felszólítjuk továbbá a vállalatot, hogy tegyen eleget tájékoztatási kötelezettségeinek, állítsa le a jogellenes adatkezelést, és értesítse a panaszosokat a helyesbítési eljárás eredményéről. Végül, de nem utolsósorban javasoljuk, hogy a hatóság szabjon ki bírságot a hasonló jogsértések jövőbeni megelőzése érdekében.
