W ciągu ostatnich kilku dni Meta poinformowała miliony Europejczyków, że jej polityka prywatności po raz kolejny ulega zmianie. Dopiero po bliższym przyjrzeniu się linkom w powiadomieniu stało się jasne, że firma planuje wykorzystać lata osobistych postów, prywatnych zdjęć lub danych śledzenia online dla nieokreślonej "technologii sztucznej inteligencji", która może pozyskiwać dane osobowe z dowolnego źródła i udostępniać wszelkie informacje nieokreślonym "stronom trzecim". Zamiast pytać użytkowników o zgodę (opt-in), Meta twierdzi, że ma uzasadniony interes, który jest nadrzędny wobec podstawowego prawa do ochrony danych i prywatności europejskich użytkowników. Gdy ich dane znajdą się w systemie, użytkownicy wydają się nie mieć możliwości ich usunięcia ("prawo do bycia zapomnianym"). noyb złożył obecnie skargi w 11 krajach europejskich, prosząc władze o wszczęcie procedury w trybie pilnym w celu natychmiastowego powstrzymania tej zmiany, zanim wejdzie ona w życie 26 czerwca 2024 r.
- 11 skarg (złożonych w Austrii, Belgii, Francji, Niemczech, Grecji, Włoszech, Irlandii, Holandii, Norwegii (z NCC)*, Polsce i Hiszpanii)
- Przegląd (fałszywych) informacji firmy Meta dotyczących Meta AI
Wszystkie niepubliczne dane dla jakiejś nieokreślonej przyszłej "technologii AI". W przeciwieństwie do już problematycznej sytuacji, w której firmy wykorzystują pewne (publiczne) dane do szkolenia określonego systemu sztucznej inteligencji (np. chatbota), nowa polityka prywatności firmy Meta zasadniczo mówi, że firma chce wziąć wszystkie publiczne i niepubliczne dane użytkowników, które zebrała od 2007 roku i wykorzystać je do dowolnego nieokreślonego rodzaju obecnej i przyszłej "technologii sztucznej inteligencji". Obejmuje to wiele "uśpionych" kont na Facebooku, z którymi użytkownicy już prawie nie wchodzą w interakcje - ale które nadal zawierają ogromne ilości danych osobowych. Ponadto Meta twierdzi, że może zbierać dodatkowe informacje od dowolnej "strony trzeciej" lub skrobać dane ze źródeł internetowych. Jedynym wyjątkiem wydają się być czaty między osobami fizycznymi - ale nawet czaty z firmą są uczciwą grą. Użytkownicy nie otrzymują żadnych informacji na temat celów "technologii AI" - co jest sprzeczne z wymogami RODO. Polityka prywatności Meta teoretycznie zezwalałaby na dowolny cel. Zmiana ta jest szczególnie niepokojąca, ponieważ dotyczy danych osobowych około 4 miliardów użytkowników Meta, które będą wykorzystywane do eksperymentalnej technologii zasadniczo bez ograniczeń. Przynajmniej użytkownicy w UE/EOG powinni (teoretycznie) być chronieni przed takimi nadużyciami przez RODO.
Max Schrems: "Meta zasadniczo twierdzi, że może wykorzystywać" dowolne dane z dowolnego źródła w dowolnym celu i udostępniać je każdemu na świecie ", o ile odbywa się to za pomocą" technologii AI ". Jest to wyraźne przeciwieństwo zgodności z RODO. "Technologia AI" to niezwykle szerokie pojęcie. Podobnie jak "wykorzystywanie danych w bazach danych", nie ma ono żadnych ograniczeń prawnych. Meta nie mówi, do czego będzie wykorzystywać dane, więc może to być prosty chatbot, niezwykle agresywna spersonalizowana reklama, a nawet zabójczy dron. Meta twierdzi również, że dane użytkownika mogą zostać udostępnione dowolnej "stronie trzeciej" - co oznacza każdego na świecie"
Czy interesy firmy Meta są nadrzędne wobec praw użytkowników? Zwykle przetwarzanie danych osobowych w Unii Europejskiej jest domyślnie nielegalne. W związku z tym Meta musi polegać na jednej z sześciu podstaw prawnych określonych w art. 6 ust. 1 RODO w celu przetwarzania danych osobowych. Chociaż logicznym wyborem byłaby zgoda, Meta ponownie twierdzi, że ma "uzasadniony interes", który jest nadrzędny wobec podstawowych praw użytkowników. Meta wcześniej argumentowała to w kontekście wykorzystywania wszystkich danych osobowych do celów reklamowych - i została odrzucona przez Trybunał Sprawiedliwości(zob. C-252/21). Teraz Meta wykorzystuje tę samą podstawę prawną, aby uzasadnić jeszcze szersze i bardziej agresywne wykorzystanie danych osobowych.
Max Schrems: "Europejski Trybunał Sprawiedliwości wyjaśnił już, że Meta nie ma "uzasadnionego interesu", który mógłby zastąpić prawo użytkowników do ochrony danych, jeśli chodzi o reklamę. Jednak firma próbuje użyć tych samych argumentów do szkolenia niezdefiniowanej "technologii AI". Wygląda na to, że Meta po raz kolejny rażąco ignoruje wyroki TSUE"
Sprzeciw jest farsą. Meta próbuje nawet uczynić użytkowników odpowiedzialnymi za dbanie o swoją prywatność, kierując ich do formularza sprzeciwu (opt-out), który użytkownicy powinni wypełnić, jeśli nie chcą, aby Meta wykorzystywała wszystkie ich dane. Chociaż teoretycznie rezygnacja mogłaby być zaimplementowana w taki sposób, że wymagałaby tylko jednego kliknięcia (jak przycisk "anuluj subskrypcję" w newsletterach), Meta sprawia, że sprzeciw jest niezwykle skomplikowany, wymagając nawet osobistych powodów. Analiza techniczna linków do rezygnacji wykazała nawet, że Meta wymaga zalogowania się, aby wyświetlić stronę publiczną. W sumie Meta wymaga od około 400 milionów europejskich użytkowników "sprzeciwu", zamiast prosić ich o zgodę.
Max Schrems: "Przerzucanie odpowiedzialności na użytkownika jest całkowitym absurdem. Prawo wymaga od firmy Meta uzyskania zgody użytkownika, a nie dostarczenia ukrytego i wprowadzającego w błąd formularza rezygnacji. Jeśli Meta chce wykorzystać dane użytkownika, musi poprosić go o zgodę. Zamiast tego zmuszają użytkowników do błagania o wykluczenie. Byliśmy szczególnie zaskoczeni, że Meta zadała sobie nawet trud wprowadzenia mnóstwa drobnych zakłóceń, aby upewnić się, że tylko niewielka liczba użytkowników faktycznie pofatyguje się, aby wyrazić sprzeciw"
Irlandzki DPC jest współwinny (ponownie). Wedługdoniesień, to rażące naruszenie RODO jest (ponownie) oparte na "umowie" z Irlandzką Komisją Ochrony Danych (DPC jest unijnym organem regulacyjnym Mety). DPC już wcześniej zawarła umowę z Meta, która pozwoliła firmie na obejście RODO - i zakończyła się grzywną w wysokości 395 milionów euro przeciwko Meta po tym, jak Europejska Rada Ochrony Danych (EDPB) uchyliła irlandzką DPC.
Max Schrems: "Wygląda na to, że nowe kierownictwo DPC po prostu kontynuuje zawieranie nielegalnych "umów" z dużymi firmami technologicznymi z USA. To zadziwiające, że DPC nadal pozwala, aby nadużywanie niepublicznych danych osobowych około 400 milionów europejskich użytkowników pozostawało bez kontroli"
Termin 26 czerwca: Wymagany tryb pilny. Biorąc pod uwagę, że przetwarzanie przez Metę nieujawnionej "technologii sztucznej inteligencji" ma już wejść w życie 26 czerwca 2024 r., a Meta twierdzi, że nie ma możliwości rezygnacji w późniejszym terminie w celu usunięcia danych (jak przewidziano w art. 17 RODO i "prawie do bycia zapomnianym"), noyb zwrócił się o "tryb pilny" na podstawie art. 66 RODO. Organy ochrony danych (OOD) w 11 krajach europejskich (Austria, Belgia, Francja, Niemcy, Grecja, Włochy, Irlandia, Holandia, Norwegia, Polska i Hiszpania) otrzymały taki wniosek w imieniu lokalnych osób, których dane dotyczą. Artykuł 66 zezwala organom ochrony danych na wydawanie wstępnych wstrzymań w sytuacjach takich jak opisana powyżej i umożliwia podjęcie decyzji w całej UE za pośrednictwem EROD. Irlandzki DPC i Meta Ireland były już wcześniej przedmiotem dwóch "pilnych wiążących decyzji" EROD (patrz pilna wiążąca decyzja 01/2023 i pilna wiążąca decyzja 01/2021) w podobnych sytuacjach.
Max Schrems: "Mamy nadzieję, że władze poza Irlandią podejmą szybkie działania i przynajmniej wstrzymają ten projekt w celu przeprowadzenia pełnego dochodzenia. Europejska Rada Ochrony Danych wydała już dwie takie pilne decyzje przeciwko firmie Meta i irlandzkiemu komisarzowi ds. ochrony danych. To smutne, że ten środek wydaje się być konieczny raz za razem"
Dodatkowe problemy. Oprócz braku jakiejkolwiek podstawy prawnej do zasysania danych użytkowników z ponad dekady, Meta wcześniej stwierdziła, że technicznie nie jest w stanie rozróżnić danych od użytkowników z UE/EOG i innych krajów, w których ludzie nie korzystają z ochrony RODO. Meta stwierdziła również, że nie jest w stanie rozróżnić danych wrażliwych zgodnie z art. 9 RODO, takich jak pochodzenie etniczne, poglądy polityczne, przekonania religijne (w przypadku których argument "uzasadnionego interesu" nie jest dostępny na mocy prawa), od innych danych, w przypadku których teoretycznie można domagać się "uzasadnionego interesu". Wydaje się, że wraz z wprowadzeniem technologii sztucznej inteligencji Meta naruszyła szereg innych przepisów RODO, w tym zasady RODO, zasady przejrzystości i zasady operacyjne. Ogólnie rzecz biorąc, skargi Noyb wymieniają naruszenia co najmniej art. 5 ust. 1 i 2, art. 6 ust. 1, art. 9 ust. 1, art. 12 ust. 1 i 2, art. 13 ust. 1 i 2, art. 17 ust. 1 lit. c), art. 18 ust. 1 lit. d), art. 19, art. 21 ust. 1 i art. 25 RODO.
Max Schrems: "Dzięki podejściu polegającemu na wykorzystywaniu dowolnych danych w dowolnym celu dla dowolnej "technologii AI", Meta wyraźnie opuściła prawie całe ramy RODO. Naliczyliśmy naruszenia co najmniej dziesięciu artykułów prawa"
Kolejne kroki. Odpowiednie organy ochrony danych będą teraz musiały szybko podjąć decyzję, czy uruchomić procedurę w trybie pilnym, czy też rozpatrzyć skargi w normalnym trybie. Dwa dni temu norweski organ ochrony danych opublikował już wpis na blogu, w którym argumentuje, że "wątpliwe" ("tvilsomt") jest, czy podejście Mety jest zgodne z prawem. Procedura w trybie pilnym mogłaby doprowadzić do szybkiego tymczasowego zakazu i ostatecznej decyzji EROD w ciągu kilku miesięcy. Podczas gdy dzisiejsze skargi są pierwszym krokiem, wydaje się prawdopodobne, że inne organizacje podejmą działania następcze w postaci nakazów sądowych, spraw cywilnych, a nawet pozwów zbiorowych, jeśli Meta zrealizuje swoje plany. Mogłoby to potencjalnie pogrążyć Metę w kolejnej rundzie kłopotów prawnych w Unii Europejskiej. Działania Noyb przeciwko samej tylko Mecie zaowocowały do tej pory grzywnami administracyjnymi w wysokości ponad 1,5 miliarda euro.
*Skarga w Norwegii została złożona wspólnie z Norweską Radą Konsumentów ("NCC"). Więcej informacji można znaleźć na stronie www.forbrukerradet.no.
