De afgelopen dagen heeft Meta miljoenen Europeanen geïnformeerd dat het privacybeleid van het bedrijf opnieuw verandert. Pas bij nadere inspectie van de links in de kennisgeving werd duidelijk dat het bedrijf van plan is om jarenlange persoonlijke posts, privéafbeeldingen of online trackinggegevens te gebruiken voor een niet nader gedefinieerde "AI-technologie" die persoonlijke gegevens uit elke bron kan opnemen en alle informatie kan delen met niet nader gedefinieerde "derden". In plaats van gebruikers om toestemming te vragen (opt-in), voert Meta aan dat het een legitiem belang heeft dat zwaarder weegt dan het fundamentele recht op gegevensbescherming en privacy van Europese gebruikers. Als hun gegevens eenmaal in het systeem staan, lijken gebruikers geen mogelijkheid te hebben om ze ooit te laten verwijderen ("recht om vergeten te worden"). noyb heeft nu klachten ingediend in 11 Europese landen en de autoriteiten gevraagd een urgentieprocedure te starten om deze wijziging onmiddellijk te stoppen, voordat deze op 26 juni 2024 van kracht wordt.
- 11 klachten (ingediend in Oostenrijk, België, Frankrijk, Duitsland, Griekenland, Italië, Ierland, Nederland, Noorwegen (met NCC)*, Polen en Spanje)
- Overzicht van Meta's (valse) spinsels met betrekking tot Meta AI
Allemaal niet-openbare gegevens voor een ongedefinieerde toekomstige "AI-technologie". In tegenstelling tot de al problematische situatie van bedrijven die bepaalde (openbare) gegevens gebruiken om een specifiek AI-systeem te trainen (bijv. een chatbot), zegt Meta's nieuwe privacybeleid in feite dat het bedrijf alle openbare en niet-openbare gebruikersgegevens die het sinds 2007 heeft verzameld, wil gebruiken voor elk ongedefinieerd type huidige en toekomstige "kunstmatige intelligentie-technologie". Dit omvat de vele "slapende" Facebook accounts waar gebruikers nauwelijks nog interactie mee hebben - maar die nog steeds enorme hoeveelheden persoonlijke gegevens bevatten. Daarnaast zegt Meta dat het aanvullende informatie kan verzamelen van elke "derde partij" of gegevens kan schrapen van online bronnen. De enige uitzondering lijken chats tussen individuen te zijn - maar zelfs chats met een bedrijf zijn toegestaan. Gebruikers krijgen geen informatie over de doeleinden van de "AI-technologie" - wat in strijd is met de GDPR. Meta's privacybeleid zou theoretisch elk doel toestaan. Deze verandering is vooral zorgwekkend omdat het gaat om de persoonlijke gegevens van ongeveer 4 miljard Meta-gebruikers, die in wezen onbeperkt gebruikt zullen worden voor experimentele technologie. Gebruikers in de EU/EER zouden (in theorie) tenminste beschermd moeten worden tegen dergelijk misbruik door de GDPR.
Max Schrems: "Meta zegt in feite dat het 'elke data uit elke bron voor elk doel kan gebruiken en beschikbaar kan maken voor iedereen in de wereld', zolang het maar via 'AI-technologie' gebeurt. Dit is duidelijk het tegenovergestelde van GDPR-compliance. aI-technologie' is een extreem breed begrip. Net als 'het gebruik van je gegevens in databases' heeft het geen echte wettelijke limiet. Meta zegt niet waarvoor het de gegevens zal gebruiken, dus het kan een eenvoudige chatbot zijn, extreem agressieve gepersonaliseerde reclame of zelfs een killer drone. Meta zegt ook dat gebruikersgegevens beschikbaar kunnen worden gesteld aan elke 'derde partij' - dat betekent iedereen ter wereld."
Gaan de belangen van Meta boven de rechten van de gebruikers? Normaal gesproken is de verwerking van persoonlijke gegevens in de Europese Unie standaard illegaal. Daarom moet Meta zich beroepen op een van de zes rechtsgrondslagen onder artikel 6(1) GDPR om persoonsgegevens te kunnen verwerken. Hoewel de logische keuze opt-in toestemming zou zijn, beweert Meta opnieuw dat het een "legitiem belang" heeft dat zwaarder weegt dan de fundamentele rechten van gebruikers. Meta heeft dit eerder aangevoerd in de context van het gebruik van alle persoonlijke gegevens voor reclame - en werd verworpen door het Hof van Justitie(zie C-252/21). Nu gebruikt Meta dezelfde rechtsgrondslag om een nog breder en agressiever gebruik van de persoonlijke gegevens van mensen te rechtvaardigen.
Max Schrems: "Het Europese Hof van Justitie heeft al duidelijk gemaakt dat Meta geen 'legitiem belang' heeft om het recht van gebruikers op gegevensbescherming terzijde te schuiven als het gaat om reclame. Toch probeert het bedrijf dezelfde argumenten te gebruiken voor het trainen van ongedefinieerde 'AI-technologie'. Het lijkt erop dat Meta opnieuw schaamteloos de uitspraken van het HvJEU negeert."
Het bezwaar is een farce. Meta probeert gebruikers zelfs verantwoordelijk te maken voor het verzorgen van hun privacy door ze te verwijzen naar een bezwaarformulier (opt-out) dat gebruikers geacht worden in te vullen als ze niet willen dat Meta al hun gegevens gebruikt. Hoewel een opt-out in theorie zo geïmplementeerd zou kunnen worden dat er maar één klik nodig is (zoals de 'unsubscribe' knop in nieuwsbrieven), maakt Meta het extreem ingewikkeld om bezwaar te maken, waarbij zelfs persoonlijke redenen nodig zijn. Een technische analyse van de opt-out links toonde zelfs aan dat Meta een login vereist om een anders openbare pagina te bekijken. In totaal vraagt Meta zo'n 400 miljoen Europese gebruikers om 'bezwaar' te maken, in plaats van om hun toestemming te vragen.
Max Schrems: "De verantwoordelijkheid afschuiven op de gebruiker is volkomen absurd. De wet vereist dat Meta opt-in toestemming krijgt, niet een verborgen en misleidend opt-out formulier. Als Meta je gegevens wil gebruiken, moeten ze je om toestemming vragen. In plaats daarvan laten ze gebruikers smeken om te worden uitgesloten. We waren vooral verbaasd dat Meta zelfs de moeite heeft genomen om heel veel kleine afleidingen in te bouwen om ervoor te zorgen dat slechts een heel klein aantal gebruikers daadwerkelijk de moeite zou nemen om bezwaar te maken."
Het Ierse DPC is (weer) medeplichtig. Naarverluidt is deze flagrante schending van de GDPR (opnieuw) gebaseerd op een "deal" met de Ierse Data Protection Commission (de DPC is Meta's EU-toezichthouder). De DPC had al eerder een deal met Meta waardoor het bedrijf de GDPR kon omzeilen - en eindigde met een boete van € 395 miljoen tegen Meta nadat de European Data Protection Board (EDPB) de Ierse DPC overrulede.
Max Schrems: "Het lijkt erop dat het nieuwe management van het DPC gewoon doorgaat met het maken van illegale 'deals' met grote techbedrijven uit de VS. Het is verbijsterend dat de DPC het misbruik van de niet-openbare persoonlijke gegevens van ongeveer 400 miljoen Europese gebruikers ongecontroleerd laat doorgaan."
Deadline 26 juni: Spoedprocedure aangevraagd. Aangezien Meta's verwerking voor niet nader genoemde "kunstmatige intelligentie-technologie" al op 26 juni 2024 van kracht wordt, en Meta beweert dat er geen optie is om op een later moment af te zien van deelname om je gegevens te laten verwijderen (zoals voorzien in artikel 17 GDPR en het "recht om vergeten te worden"), heeft noyb een "urgentieprocedure" aangevraagd onder artikel 66 GDPR. Gegevensbeschermingsautoriteiten (DPA's) in 11 Europese landen (Oostenrijk, België, Frankrijk, Duitsland, Griekenland, Italië, Ierland, Nederland, Noorwegen, Polen en Spanje) hebben een dergelijk verzoek ontvangen namens lokale betrokkenen. Artikel 66 stelt de gegevensbeschermingsautoriteiten in staat om in situaties zoals hierboven beschreven een voorlopige stop uit te vaardigen en maakt een EU-brede beslissing via de EDPB mogelijk. De Ierse DPC en Meta Ireland zijn al eerder onderworpen geweest aan twee "Urgent Binding Decisions" van de EDPB (zie Urgent Binding Decision 01/2023 en Urgent Binding Decision 01/2021) in vergelijkbare situaties.
Max Schrems: "We hopen dat de autoriteiten buiten Ierland snel actie zullen ondernemen en dit project op zijn minst zullen stopzetten voor een volledig onderzoek. De EDPB heeft al twee van dergelijke urgentiebesluiten genomen tegen Meta en de Ierse commissaris voor gegevensbescherming. Het is triest om te zien dat deze maatregel steeds weer nodig lijkt te zijn."
Bijkomende problemen. Naast het ontbreken van een wettelijke basis voor het opzuigen van meer dan tien jaar aan gebruikersgegevens, heeft Meta eerder gezegd dat het technisch niet in staat is om onderscheid te maken tussen gegevens van gebruikers in de EU/EER en andere landen waar mensen geen GDPR-bescherming genieten. Meta heeft ook gezegd dat het geen onderscheid kan maken tussen gevoelige gegevens onder Artikel 9 GDPR, zoals etniciteit, politieke opvattingen, religieuze overtuigingen (waarvoor het "legitiem belang" argument niet beschikbaar is onder de wet), en andere gegevens waarvoor theoretisch een "legitiem belang" zou kunnen worden geclaimd. Met de introductie van zijn AI-technologie lijkt Meta een aantal andere GDPR-bepalingen te hebben geschonden, waaronder GDPR-beginselen, transparantieregels en operationele regels. In totaal vermelden de klachten van noyb schendingen van ten minste artikel 5, leden 1 en 2, artikel 6, lid 1, artikel 9, lid 1, artikel 12, leden 1 en 2, artikel 13, leden 1 en 2, artikel 17, lid 1, onder c), artikel 18, lid 1, onder d), artikel 19, artikel 21, lid 1, en artikel 25 GDPR.
Max Schrems: "Met de aanpak van het simpelweg gebruiken van alle gegevens voor elk doel voor elke 'AI-technologie', heeft Meta duidelijk bijna het hele GDPR-kader verlaten. We telden schendingen van ten minste tien artikelen van de wet."
Volgende stappen. De relevante DPA's zullen nu snel moeten beslissen of ze een urgentieprocedure starten of de klachten in een normale procedure behandelen. Twee dagen geleden heeft de Noorse gegevensbeschermingsautoriteit al een blogbericht gepubliceerd waarin ze stelt dat het "twijfelachtig" ("tvilsomt") is of de aanpak van Meta legaal is. Een spoedprocedure zou kunnen leiden tot een snel voorlopig verbod en een definitieve beslissing van de EDPB binnen enkele maanden. Hoewel de klachten van vandaag een eerste stap zijn, lijkt het aannemelijk dat andere organisaties zullen volgen met gerechtelijke bevelen, civiele rechtszaken of zelfs groepsacties, als Meta doorgaat met zijn plannen. Dit zou Meta kunnen verdrinken in een nieuwe ronde van juridische problemen in de Europese Unie. noyb's acties tegen Meta alleen al hebben tot nu toe geresulteerd in administratieve boetes van meer dan € 1,5 miljard.
*De klacht in Noorwegen werd samen met de Noorse Consumentenraad ("NCC") ingediend. Meer informatie is te vinden op www.forbrukerradet.no.
