Onlangs begon Twitter International (nu omgedoopt tot "X") met het onrechtmatig gebruik van de persoonlijke gegevens van meer dan 60 miljoen gebruikers in de EU/EER om zijn AI-technologieën (zoals "Grok") te trainen zonder hun toestemming. In tegenstelling tot Meta (dat onlangs ook moest stoppen met het trainen van AI in de EU), heeft Twitter zijn gebruikers niet eens vooraf geïnformeerd. Dit ging zelfs de Ierse Data Protection Commission (DPC) te ver: Vorige week startte het een rechtszaak tegen Twitter om de illegale verwerking te stoppen, maar de Ierse DPC lijkt te kort te zijn geschoten in het volledig handhaven van de GDPR. noyb volgt nu met negen klachten.
- Klachten ingediend in Oostenrijk, België, Frankrijk, Griekenland, Ierland, Italië, Nederland, Spanje en Polen
- Gerechtelijk verslag van de zaak DPC tegen Twitter in Ierland
- Nieuwsbericht over de rechtszaak van de Ierse DPC
Persoonlijke gegevens van 60 miljoen mensen om AI te trainen? Alsof Meta's mislukte poging om illegaal persoonlijke gegevens van mensen te gebruiken voor AI-projecten niet duidelijk genoeg was, is Twitter het volgende Amerikaanse bedrijf dat gegevens van EU-gebruikers opzuigt om AI te trainen. Twitter is in mei 2024 begonnen met het onomkeerbaar invoeren van gegevens van Europese gebruikers in zijn "Grok" AI-technologie, zonder hen ooit te informeren of om hun toestemming te vragen.
Ierse DPC onderneemt halfslachtige actie. Twitter's flagrante onwetendheid heeft geleid tot een verrassende reactie van de (notoir pro-bedrijfsleven) Ierse DPC: De autoriteit heeft gerechtelijke stappen ondernomen tegen Twitter om de illegale verwerking te stoppen en een bevel af te dwingen om de systemen in overeenstemming te brengen met de GDPR. Tijdens een rechtszitting afgelopen donderdag bleek echter dat het DPC vooral bezig lijkt te zijn geweest met zogenaamde "verzachtende"maatregelen en het feit dat Twitter de verwerking startte terwijl het nog in een verplicht overlegproces met de DPC zat onder artikel 36 GDPR. De DPC lijkt niet voor de kern van de overtredingen te gaan.
Max Schrems, voorzitter van noyb: "De gerechtelijke documenten zijn niet openbaar, maar uit de hoorzitting hebben we begrepen dat de DPC de wettelijkheid van deze verwerking zelf niet in twijfel trok. Het lijkt erop dat de DPC zich zorgen maakte over zogenaamde 'verzachtende maatregelen' en een gebrek aan medewerking van Twitter. De DPC lijkt actie te ondernemen rond de randen, maar gaat het kernprobleem uit de weg."
noyb vraagt volledig onderzoek aan. Al tijdens de eerste hoorzitting heeft de Ierse DPC een schikking getroffen met Twitter (via een zogenaamde "undertaking") om verdere training van het algoritme met EU-gegevens slechts op te schorten tot september. Er is geen uitspraak gedaan over de rechtmatigheid en veel vragen blijven onbeantwoord. Bijvoorbeeld: Wat is er gebeurd met EU-data die al in de systemen was opgenomen en hoe kan Twitter EU- en niet-EU-data (goed) scheiden? Om deze reden, noyb gDPR-klachten ingediend bij de gegevensbeschermingsautoriteiten in negen landen, om ervoor te zorgen dat de belangrijkste juridische problemen rond de AI-training van Twitter volledig worden aangepakt. Hoe meer andere gegevensbeschermingsautoriteiten in de EU bij de procedure betrokken raken, hoe groter de druk op de Ierse gegevensbeschermingsautoriteit om haar zaak door te zetten en op Twitter om de EU-wetgeving daadwerkelijk na te leven.
Max Schrems, voorzitter van noyb: "We hebben de afgelopen jaren talloze gevallen gezien van inefficiënte en gedeeltelijke handhaving door de DPC. We willen ervoor zorgen dat Twitter volledig voldoet aan de EU-wetgeving, die - op zijn minst - vereist dat gebruikers in dit geval om toestemming wordt gevraagd."
Simpele oplossing: Vraag het gewoon aan gebruikers! De GDPR van de EU biedt een eenvoudige oplossing voor gebruikers om hun persoonlijke gegevens te "doneren" voor AI-ontwikkeling - vraag gebruikers gewoon om hun duidelijke toestemming voor een dergelijke verwerking. Als slechts een klein aantal van de 60 miljoen gebruikers van Twitter toestemming zou geven voor het trainen van zijn AI-systemen, zou Twitter meer dan genoeg trainingsgegevens hebben voor elk nieuw AI-model. Maar mensen om toestemming vragen is niet Twitter's huidige aanpak, in plaats daarvan nemen ze gewoon gebruikersgegevens zonder informatie aan gebruikers of toestemming van hen.
Max Schrems, voorzitter van noyb: "Bedrijven die rechtstreeks met gebruikers communiceren, moeten hen gewoon een ja/nee-melding laten zien voordat ze hun gegevens gebruiken. Ze doen dit regelmatig voor een heleboel andere dingen, dus het zou zeker ook mogelijk zijn voor AI-training."
Gaan zakelijke belangen boven de grondrechten van gebruikers? Normaal gesproken is de verwerking van persoonsgegevens in de Europese Unie standaard onwettig. Om persoonsgegevens te verwerken, moet Twitter zich dus beroepen op een van de zes rechtsgrondslagen onder artikel 6(1) GDPR. Hoewel de logische keuze opt-in toestemming zou zijn, beweert Twitter - net als Meta - dat het een "legitiem belang"dat zwaarder weegt dan de grondrechten van gebruikers. Deze benadering is al verworpen door het Hof van Justitie in een zaak over het gebruik van persoonlijke gegevens door Meta voor gerichte reclame. Het lijkt er echter op dat de Ierse DPC de afgelopen maanden "onderhandeld over" over het "legitiem belang"benadering in een "raadpleging"procedure onder artikel 36 GDPR.
Max Schrems: "De feiten die we nu weten uit de Ierse rechtszaak geven aan dat de DPC niet echt vragen heeft gesteld over de kern van de zaak, namelijk het nemen van al die persoonlijke gegevens zonder toestemming van de gebruiker."
Informatie verstrekt via "virale" X post. Zoals hierboven vermeld, heeft Twitter zijn gebruikers nooit proactief geïnformeerd dat hun persoonlijke gegevens worden gebruikt om AI te trainen - ook al overlaadt het hen met meldingen elke keer dat iemand hun posts leuk vindt of her-tweet. Integendeel, het lijkt erop dat de meeste mensen achter de nieuwe standaardinstelling zijn gekomen door een viraal bericht van een gebruiker met de naam '@EasyBakedOven' op 26 juli 2024 - meer dan twee maanden nadat de AI-training was begonnen.
Hoe zit het met andere GDPR-rechten? Op dit moment beweren leveranciers van AI-systemen grotendeels dat ze niet kunnen voldoen aan andere GDPR-vereisten, zoals het recht om vergeten te worden (artikel 17 GDPR), zodra de gegevens zijn opgenomen in hun AI-systemen. Ook beweren bedrijven vaak dat ze geen antwoord kunnen geven op verzoeken om een kopie van de persoonsgegevens in trainingsgegevens of de bronnen van deze gegevens (zoals vereist onder Artikel 15 GDPR), en dat ze onjuiste persoonsgegevens niet kunnen corrigeren (zoals vereist onder Artikel 16 GDPR). Dit roept extra vragen op als het gaat om het onbeperkt opnemen van persoonsgegevens in AI-systemen.
Grootschalige GDPR-inbreuken rechtvaardigen noodprocedures. Gezien het feit dat Twitter al is begonnen met het verwerken van gegevens van mensen voor zijn AI-technologie, en dat er in wezen geen optie is om opgenomen gegevens te verwijderen, noyb heeft een "spoedprocedure" aangevraagd onder Artikel 66 GDPR. Gegevensbeschermingsautoriteiten (DPA's) in negen Europese landen (Oostenrijk, België, Frankrijk, Griekenland, Ierland, Italië, Nederland, Polen en Spanje) hebben een dergelijk verzoek ontvangen namens lokale betrokkenen. Artikel 66 geeft de gegevensbeschermingsautoriteiten de bevoegdheid om in situaties zoals hierboven beschreven een voorlopig beschermingsverbod uit te vaardigen en maakt een EU-breed besluit via de EDPB mogelijk. De Ierse DPC en Meta Ireland zijn al onderworpen aan twee "Urgent Binding Decisions" van de EDPB in vergelijkbare situaties (zie Urgent Binding Decision 01/2023 en Urgent Binding Decision 01/2021).
Verschillende GDPR-bepalingen geschonden. Naast het ontbreken van een geldige rechtsgrondslag is het zeer onwaarschijnlijk dat Twitter een goed onderscheid maakt tussen gegevens van gebruikers in de EU/EER en andere landen waar mensen geen GDPR-bescherming genieten. Hetzelfde geldt voor gevoelige gegevens onder artikel 9 GDPR (waarvoor de "legitiem belang" argument niet beschikbaar is onder de wet), zoals gegevens die etniciteit, politieke opvattingen en religieuze overtuigingen onthullen, evenals andere gegevens waarvoor een "legitiem belang" theoretisch zou kunnen worden geclaimd. Met de introductie van zijn AI-technologie lijkt Twitter een aantal andere GDPR-bepalingen te hebben overtreden, waaronder GDPR-beginselen, transparantieregels en operationele regels. Algemeen, noybde klachten schendingen van ten minste artikel 5, leden 1 en 2, artikel 6, lid 1, artikel 9, lid 1, artikel 12, leden 1 en 2, artikel 13, leden 1 en 2, artikel 17, lid 1, onder c), artikel 18, lid 1, onder d), artikel 19, artikel 21, lid 1, en artikel 25 GDPR.