V uplynulých dňoch spoločnosť Meta informovala milióny Európanov, že jej zásady ochrany osobných údajov sa opäť menia. Až pri podrobnejšom skúmaní odkazov v oznámení sa ukázalo, že spoločnosť plánuje využiť roky osobných príspevkov, súkromných obrázkov alebo údajov o online sledovaní pre nedefinovanú "technológiu umelej inteligencie", ktorá môže prehltnúť osobné údaje z akéhokoľvek zdroja a zdieľať akékoľvek informácie s nedefinovanými "tretími stranami". Namiesto toho, aby spoločnosť Meta požiadala používateľov o súhlas (opt-in), tvrdí, že má oprávnený záujem, ktorý prevažuje nad základným právom na ochranu údajov a súkromia európskych používateľov. Zdá sa, že keď sa ich údaje dostanú do systému, používatelia nemajú žiadnu možnosť ich kedykoľvek odstrániť ("právo byť zabudnutý"). noyb teraz podal sťažnosti v 11 európskych krajinách a žiada orgány, aby začali naliehavé konanie na okamžité zastavenie tejto zmeny, skôr ako nadobudne účinnosť 26. júna 2024.
- 11 sťažností (podaných v Rakúsku, Belgicku, Francúzsku, Nemecku, Grécku, Taliansku, Írsku, Holandsku, Nórsku (s NCC)*, Poľsku a Španielsku)
- Prehľad (nepravdivých) tvrdení spoločnosti Meta týkajúcich sa Meta AI
Všetky neverejné údaje pre nejakú nedefinovanú budúcu "technológiu AI". Na rozdiel od už problematickej situácie, keď spoločnosti používajú určité (verejné) údaje na trénovanie konkrétneho systému umelej inteligencie (napr. chatbota), nové zásady ochrany osobných údajov spoločnosti Meta v podstate hovoria, že spoločnosť chce vziať všetky verejné a neverejné údaje používateľov, ktoré zhromaždila od roku 2007, a použiť ich pre akýkoľvek nedefinovaný typ súčasnej a budúcej "technológie umelej inteligencie". To zahŕňa aj množstvo "neaktívnych" účtov Facebooku, s ktorými používatelia už takmer neinteragujú - ale ktoré stále obsahujú obrovské množstvo osobných údajov. Okrem toho Meta tvrdí, že môže zhromažďovať ďalšie informácie od akejkoľvek "tretej strany" alebo získavať údaje z online zdrojov. Zdá sa, že jedinou výnimkou sú chaty medzi jednotlivcami - ale aj chaty so spoločnosťou sú férovou hrou. Používatelia nedostávajú žiadne informácie o účeloch "technológie umelej inteligencie" - čo je v rozpore s požiadavkami GDPR. Zásady ochrany osobných údajov spoločnosti Meta by teoreticky umožňovali akýkoľvek účel. Táto zmena je obzvlášť znepokojujúca, pretože sa týka osobných údajov približne 4 miliárd používateľov Meta, ktoré sa budú používať na experimentálnu technológiu v podstate bez obmedzenia. Aspoň používateľov v EÚ/EHP by malo (teoreticky) pred takýmto zneužitím chrániť nariadenie GDPR.
Max Schrems: "Meta v podstate hovorí, že môže používať "akékoľvek údaje z akéhokoľvek zdroja na akýkoľvek účel a sprístupniť ich komukoľvek na svete", pokiaľ sa tak deje prostredníctvom "technológie umelej inteligencie". To je jednoznačne opak súladu s nariadením GDPR. "Technológia AI" je mimoriadne široký pojem. Podobne ako "používanie vašich údajov v databázach" nemá žiadne skutočné právne obmedzenie. Meta nehovorí, na čo bude údaje používať, takže môže ísť buď o jednoduchého chatbota, extrémne agresívnu personalizovanú reklamu, alebo dokonca o drona zabijaka. Meta tiež uvádza, že údaje používateľov môžu byť sprístupnené akejkoľvek "tretej strane" - čo znamená komukoľvek na svete."
Sú záujmy spoločnosti Meta nadradené právam používateľov? Za normálnych okolností je spracúvanie osobných údajov v Európskej únii štandardne nezákonné. Preto sa spoločnosť Meta musí pri spracúvaní osobných údajov opierať o jeden zo šiestich právnych základov podľa článku 6 ods. 1 GDPR. Hoci logickou voľbou by bol súhlas na základe voľby, spoločnosť Meta opäť tvrdí, že má "oprávnený záujem", ktorý prevažuje nad základnými právami používateľov. Spoločnosť Meta to už predtým tvrdila v súvislosti s používaním všetkých osobných údajov na reklamu - a Súdny dvor to zamietol(pozri C-252/21). Teraz Meta využíva rovnaký právny základ na odôvodnenie ešte širšieho a agresívnejšieho využívania osobných údajov ľudí.
Max Schrems: "Európsky súdny dvor už jasne uviedol, že Meta nemá žiadny "oprávnený záujem", ktorý by prevážil nad právom používateľov na ochranu údajov, pokiaľ ide o reklamu. Napriek tomu sa spoločnosť snaží použiť rovnaké argumenty na školenie nedefinovanej 'technológie umelej inteligencie'. Zdá sa, že spoločnosť Meta opäť hrubo ignoruje rozsudky SDEÚ."
Táto námietka je fraška. Spoločnosť Meta sa dokonca snaží urobiť používateľov zodpovednými za starostlivosť o svoje súkromie tým, že ich presmeruje na formulár námietky (opt-out), ktorý majú používatelia vyplniť, ak nechcú, aby spoločnosť Meta používala všetky ich údaje. Hoci by teoreticky mohol byť opt-out implementovaný tak, aby si vyžadoval len jedno kliknutie (podobne ako tlačidlo "odhlásiť sa z odberu" v bulletinoch), spoločnosť Meta mimoriadne komplikuje vznesenie námietky a dokonca vyžaduje osobné dôvody. Technická analýza odkazov na odhlásenie dokonca ukázala, že Meta vyžaduje prihlásenie na zobrazenie inak verejnej stránky. Celkovo Meta vyžaduje od približne 400 miliónov európskych používateľov, aby "namietali", namiesto toho, aby ich požiadala o súhlas.
Max Schrems: "Presúvanie zodpovednosti na používateľa je úplne absurdné. Zákon vyžaduje, aby Meta získala súhlas, nie aby poskytla skrytý a zavádzajúci formulár na odhlásenie. Ak chce Meta používať vaše údaje, musí vás požiadať o súhlas. Namiesto toho núti používateľov prosiť o vylúčenie. Obzvlášť nás prekvapilo, že spoločnosť Meta si dokonca dala tú námahu a zabudovala do systému tony malých rozptýlení, aby zabezpečila, že len nepatrný počet používateľov sa bude skutočne snažiť vzniesť námietku."
Írska DPC je (opäť) spoluvinná. Podľa správ je toto hrubé porušenie nariadenia GDPR (opäť) založené na "dohode" s írskou komisiou pre ochranu údajov (DPC je regulačným orgánom spoločnosti Meta v EÚ). DPC už predtým uzavrela so spoločnosťou Meta dohodu, ktorá jej umožnila obchádzať nariadenie GDPR - a skončila pokutou 395 miliónov EUR voči spoločnosti Meta po tom, ako Európsky výbor pre ochranu údajov (EDPB) zrušil rozhodnutie írskej DPC.
Max Schrems: "Zdá sa, že nové vedenie DPC len pokračuje v uzatváraní nezákonných "dohôd" s veľkými technologickými spoločnosťami z USA. Je zarážajúce, že DPC naďalej necháva bez kontroly zneužívať neverejné osobné údaje približne 400 miliónov európskych používateľov."
Termín 26. júna: Vyžiadané naliehavé konanie. Vzhľadom na to, že spracúvanie údajov spoločnosťou Meta pre nezverejnenú "technológiu umelej inteligencie" má nadobudnúť účinnosť už 26. júna 2024 a spoločnosť Meta tvrdí, že neexistuje žiadna možnosť neskoršieho odhlásenia, aby boli vaše údaje odstránené (ako to predpokladá článok 17 GDPR a "právo byť zabudnutý"), spoločnosť noyb požiadala o "naliehavé konanie" podľa článku 66 GDPR. Orgány na ochranu údajov (OOÚ) v 11 európskych krajinách (Rakúsko, Belgicko, Francúzsko, Nemecko, Grécko, Taliansko, Írsko, Holandsko, Nórsko, Poľsko a Španielsko) dostali takúto žiadosť v mene miestnych dotknutých osôb. Článok 66 umožňuje orgánom na ochranu údajov vydávať predbežné zastavenia v situáciách, ako je opísaná vyššie, a umožňuje vydanie rozhodnutia v celej EÚ prostredníctvom EDPB. Írske DPC a Meta Ireland boli už predtým predmetom dvoch "naliehavých záväzných rozhodnutí" EDPB (pozri naliehavé záväzné rozhodnutie 01/2023 a naliehavé záväzné rozhodnutie 01/2021) v podobných situáciách.
Max Schrems: "Dúfame, že orgány mimo Írska prijmú rýchle opatrenia a prinajmenšom zastavia tento projekt na úplné prešetrenie. EDPB už vydal dve takéto naliehavé rozhodnutia proti spoločnosti Meta a írskemu komisárovi pre ochranu údajov. Je smutné, že toto opatrenie sa zdá byť potrebné znova a znova."
Ďalšie problémy. Okrem toho, že chýba akýkoľvek právny základ na vysávanie údajov používateľov za viac ako desať rokov, spoločnosť Meta už skôr uviedla, že technicky nie je schopná rozlišovať medzi údajmi používateľov z EÚ/EHP a iných krajín, v ktorých ľudia nepožívajú ochranu GDPR. Spoločnosť Meta tiež uviedla, že nedokáže rozlišovať medzi citlivými údajmi podľa článku 9 GDPR, ako sú etnický pôvod, politické názory, náboženské presvedčenie (v prípade ktorých nie je podľa zákona k dispozícii argument "oprávneného záujmu"), a inými údajmi, v prípade ktorých by sa teoreticky mohol uplatniť "oprávnený záujem". Zdá sa, že spoločnosť Meta zavedením svojej technológie umelej inteligencie porušila niekoľko ďalších ustanovení GDPR vrátane zásad GDPR, pravidiel transparentnosti a prevádzkových pravidiel. Celkovo sa v sťažnostiach spoločnosti noyb uvádza porušenie minimálne článku 5 ods. 1 a 2, článku 6 ods. 1, článku 9 ods. 1, článku 12 ods. 1 a 2, článku 13 ods. 1 a 2, článku 17 ods. 1 písm. c), článku 18 ods. 1 písm. d), článku 19, článku 21 ods. 1 a článku 25 GDPR.
Max Schrems: "S prístupom jednoduchého používania akýchkoľvek údajov na akýkoľvek účel pre akúkoľvek "technológiu umelej inteligencie" Meta jednoznačne opustila takmer celý rámec GDPR. Napočítali sme porušenie najmenej desiatich článkov zákona."
Ďalšie kroky. Príslušné orgány na ochranu údajov teraz budú musieť rýchlo rozhodnúť, či začnú naliehavé konanie, alebo sa budú sťažnosťami zaoberať v rámci bežného konania. Nórsky orgán DPA už pred dvoma dňami uverejnil blogový príspevok, v ktorom tvrdí, že je "pochybné" ("tvilsomt"), či je postup spoločnosti Meta zákonný. Naliehavé konanie by mohlo viesť k rýchlemu predbežnému zákazu a konečnému rozhodnutiu EDPB v priebehu niekoľkých mesiacov. Hoci dnešné sťažnosti sú prvým krokom, zdá sa pravdepodobné, že ak Meta bude pokračovať vo svojich plánoch, budú nasledovať ďalšie organizácie so súdnymi príkazmi, občianskoprávnymi žalobami alebo dokonca hromadnými žalobami. To by mohlo spoločnosť Meta potenciálne uvrhnúť do ďalšieho kola právnych problémov v Európskej únii. len žaloby noyb proti spoločnosti Meta doteraz vyústili do správnych pokút vo výške viac ako 1,5 miliardy EUR.
*Sťažnosť v Nórsku bola podaná spoločne s Nórskou radou spotrebiteľov (ďalej len "NCC"). Viac informácií nájdete na www.forbrukerradet.no.
