Niedawno Twitter International (obecnie przemianowany na "X") zaczął bezprawnie wykorzystywać dane osobowe ponad 60 milionów użytkowników w UE/EOG do szkolenia swoich technologii AI (takich jak "Grok") bez ich zgody. W przeciwieństwie do Meta (która niedawno również musiała zaprzestać szkolenia AI w UE), Twitter nawet nie poinformował swoich użytkowników z wyprzedzeniem. Posunęło się to za daleko nawet dla irlandzkiej Komisji Ochrony Danych (DPC): W zeszłym tygodniu wszczęła ona postępowanie sądowe przeciwko Twitterowi w celu powstrzymania nielegalnego przetwarzania danych, ale wydaje się, że irlandzka DPC powstrzymała się przed pełnym egzekwowaniem GDPR. noyb składa teraz dziewięć skarg.
- Skargi złożone w Austrii, Belgia, Francja, Grecja, Irlandia, Włochy, Holandia, Hiszpania i Polska
- Zapis sądowy sprawy DPC przeciwko Twitterowi w Irlandii
- Raport prasowy na temat działań prawnych podjętych przez irlandzki DPC
Dane osobowe 60 milionów ludzi do trenowania sztucznej inteligencji? Tak jakby Nieudana próba Meta nielegalnego wykorzystania danych osobowych ludzi do projektów AI nie wysłała wystarczająco jasnego komunikatu, Twitter jest kolejną amerykańską firmą, która po prostu zasysa dane użytkowników UE w celu trenowania sztucznej inteligencji. Twitter zaczął nieodwracalnie wprowadzać dane europejskich użytkowników do swojej technologii sztucznej inteligencji "Grok" w maju 2024 r., nigdy ich o tym nie informując ani nie prosząc o zgodę.
Irlandzki DPC podejmuje połowiczne działania. Rażąca ignorancja prawa przez Twittera wywołała zaskakującą reakcję (notorycznie prokorporacyjnego) irlandzkiego DPC: organ podjął postępowanie sądowe przeciwko Twitterowi w celu zaprzestania nielegalnego przetwarzania danych i wyegzekwowania nakazu dostosowania swoich systemów do RODO. Jednak rozprawa sądowa w ubiegły czwartek ujawniła, że DPC wydaje się być głównie zainteresowana tzwśrodki łagodzące" oraz faktem, że Twitter rozpoczął przetwarzanie danych, będąc nadal w obowiązkowym procesie konsultacji z DPC na mocy art. 36 RODO. Wydaje się, że DPC nie zajmuje się podstawowymi naruszeniami.
Max Schrems, przewodniczący noyb: "Dokumenty sądowe nie są jawne, ale z przesłuchania ustnego rozumiemy, że DPC nie kwestionował legalności samego przetwarzania. Wydaje się, że DPC był zaniepokojony tak zwanymi "środkami łagodzącymi" i brakiem współpracy ze strony Twittera. DPC wydaje się podejmować działania wokół krawędzi, ale unika sedna problemu."
noyb wnioskuje o pełne dochodzenie. Już podczas pierwszego przesłuchania irlandzki DPC zawarł ugodę z Twitterem (poprzez tak zwane "zobowiązanie"), aby po prostu wstrzymać dalsze szkolenie algorytmu z danymi UE do września. Nie podjęto żadnych ustaleń dotyczących legalności, a wiele pytań pozostaje bez odpowiedzi. Na przykład: Co stało się z danymi z UE, które zostały już wprowadzone do systemów i w jaki sposób Twitter może (prawidłowo) oddzielić dane z UE od danych spoza UE? Z tego powodu, noyb złożył skargi dotyczące RODO do organów ochrony danych w dziewięciu krajach, aby zapewnić, że podstawowe problemy prawne związane ze szkoleniem AI na Twitterze zostaną w pełni rozwiązane. Im więcej innych organów ochrony danych w UE zaangażuje się w postępowanie, tym większa będzie presja na irlandzki DPC, aby kontynuował swoją sprawę, a na Twitterze, aby faktycznie przestrzegał prawa UE.
Max Schrems, przewodniczący noyb: "W ostatnich latach widzieliśmy niezliczone przypadki nieefektywnego i częściowego egzekwowania prawa przez DPC. Chcemy mieć pewność, że Twitter w pełni przestrzega prawa UE, które - jako absolutne minimum - wymaga w tym przypadku zapytania użytkowników o zgodę"."
Proste rozwiązanie: Wystarczy zapytać użytkowników! RODO UE zapewnia łatwe rozwiązanie dla użytkowników, aby "przekazać" swoje dane osobowe na rozwój sztucznej inteligencji - wystarczy poprosić użytkowników o wyraźną zgodę na takie przetwarzanie. Gdyby tylko niewielka liczba z 60 milionów użytkowników Twittera wyraziła zgodę na szkolenie swoich systemów AI, Twitter miałby więcej niż wystarczającą ilość danych szkoleniowych dla każdego nowego modelu AI. Ale proszenie ludzi o zgodę nie jest obecnym podejściem Twittera, zamiast tego po prostu pobierają dane użytkowników bez informacji dla użytkowników lub zgody od nich.
Max Schrems, przewodniczący noyb: "Firmy, które wchodzą w bezpośrednią interakcję z użytkownikami, muszą po prostu wyświetlić im monit tak/nie przed wykorzystaniem ich danych. Robią to regularnie w przypadku wielu innych rzeczy, więc z pewnością byłoby to możliwe również w przypadku szkolenia AI"."
Interesy biznesowe nadrzędne wobec podstawowych praw użytkowników? Zwykle przetwarzanie danych osobowych jest domyślnie niezgodne z prawem w Unii Europejskiej. Dlatego też, aby przetwarzać dane osobowe, Twitter musi opierać się na jednej z sześciu podstaw prawnych określonych w art. 6 ust. 1 RODO. Chociaż logicznym wyborem byłaby zgoda, Twitter - podobnie jak Meta - twierdzi, że ma "uzasadniony interes", który jest nadrzędny wobec podstawowych praw użytkowników. Podejście to zostało już odrzucone przez Trybunał Sprawiedliwości w sprawie dotyczącej wykorzystywania przez Metę danych osobowych do celów reklamy ukierunkowanej. Wydaje się jednak, że irlandzki DPC przez ostatnie miesiące "negocjował" nad "uzasadnionego interesu" w ramach "konsultacji" zgodnie z art. 36 RODO.
Max Schrems: "Fakty, które znamy obecnie z irlandzkiego postępowania sądowego, wskazują, że DPC tak naprawdę nie kwestionuje podstawowej kwestii, jaką jest pobieranie wszystkich tych danych osobowych bez zgody użytkownika"."
Informacja dostarczona za pośrednictwem "wirusowego" postu X. Jak wspomniano powyżej, Twitter nigdy proaktywnie nie informował swoich użytkowników, że ich dane osobowe są wykorzystywane do szkolenia sztucznej inteligencji - mimo że spamuje ich powiadomieniami za każdym razem, gdy ktoś lubi lub ponownie tweetuje ich posty. Wręcz przeciwnie, wydaje się, że większość ludzi dowiedziała się o nowym domyślnym ustawieniu poprzez wirusowy post użytkownika o nazwie "@EasyBakedOven 26 lipca 2024 r. - ponad dwa miesiące po rozpoczęciu szkolenia AI.
A co z innymi prawami wynikającymi z RODO? Obecnie dostawcy systemów AI w dużej mierze twierdzą, że nie są w stanie spełnić innych wymogów RODO, takich jak prawo do bycia zapomnianym (art. 17 RODO), po wprowadzeniu danych do swoich systemów AI. Podobnie, firmy zwykle twierdzą, że nie mogą odpowiedzieć na prośby o uzyskanie kopii danych osobowych zawartych w danych szkoleniowych lub źródeł takich danych (zgodnie z wymogami art. 15 RODO), ani nie mogą poprawić niedokładnych danych osobowych (zgodnie z wymogami art. 16 RODO). Rodzi to dodatkowe pytania, jeśli chodzi o nieograniczone wprowadzanie danych osobowych do systemów sztucznej inteligencji.
Naruszenia RODO na dużą skalę wymagają zastosowania procedury awaryjnej. Biorąc pod uwagę, że Twitter już zaczął przetwarzać dane ludzi na potrzeby swojej technologii AI i że zasadniczo nie ma możliwości usunięcia wprowadzonych danych, noyb ma zwrócił się o zastosowanie "trybu pilnego" na mocy art. 66 RODO. Organy ochrony danych (OOD) w dziewięciu krajach europejskich (Austria, Belgia, Francja, Grecja, Irlandia, Włochy, Holandia, Polska i Hiszpania) otrzymały taki wniosek w imieniu lokalnych osób, których dane dotyczą. Artykuł 66 upoważnia organy ochrony danych do wydawania wstępnych wstrzymań w sytuacjach takich jak ta opisana powyżej i umożliwia podjęcie decyzji w całej UE za pośrednictwem EROD. Irlandzki organ ochrony danych i Meta Ireland były już przedmiotem dwóch "pilnych wiążących decyzji" wydanych przez EROD w podobnych sytuacjach (zob. pilna wiążąca decyzja 01/2023 i pilna wiążąca decyzja 01/2021).
Naruszono kilka przepisów RODO. Oprócz braku ważnej podstawy prawnej jest bardzo mało prawdopodobne, aby Twitter prawidłowo rozróżniał dane użytkowników w UE/EOG i innych krajach, w których ludzie nie korzystają z ochrony RODO. To samo dotyczy danych wrażliwych zgodnie z art. 9 RODO (dla których "uzasadniony interes" nie jest dostępny na mocy prawa), takich jak dane ujawniające pochodzenie etniczne, poglądy polityczne i przekonania religijne, a także inne dane, dla których "uzasadniony interes" teoretycznie można by się powołać. Wydaje się, że wraz z wprowadzeniem technologii sztucznej inteligencji Twitter naruszył szereg innych przepisów RODO, w tym zasady RODO, zasady przejrzystości i zasady operacyjne. Ogólnie, noybwymienia naruszenia co najmniej art. 5 ust. 1 i 2, art. 6 ust. 1, art. 9 ust. 1, art. 12 ust. 1 i 2, art. 13 ust. 1 i 2, art. 17 ust. 1 lit. c), art. 18 ust. 1 lit. d), art. 19, art. 21 ust. 1 i art. 25 RODO.