Spoločnosť Twitter International (teraz premenovaná na "X") začala nedávno nezákonne používať osobné údaje viac ako 60 miliónov používateľov v EÚ/EHP na trénovanie svojich technológií umelej inteligencie (ako napríklad "Grok") bez ich súhlasu. Na rozdiel od spoločnosti Meta (ktorá nedávno tiež musela zastaviť školenie AI v EÚ), spoločnosť Twitter svojich používateľov ani vopred neinformovala. Zašlo to príliš ďaleko dokonca aj pre írsku komisiu na ochranu údajov (DPC): Minulý týždeň začala súdne konanie proti Twitteru s cieľom zastaviť nezákonné spracúvanie, ale zdá sa, že írska DPC sa zastavila pred úplným presadzovaním GDPR. noyb teraz sleduje deväť sťažností.
- Sťažnosti podané v Rakúsko, Belgicko, Francúzsko, Grécko, Írsko, Taliansko, Holandsko, Španielsko a Poľsko
- Záznam súdu vo veci DPC vs. Twitter v Írsku
- Spravodajská správa o súdnom konaní írskej DPC
Osobné údaje 60 miliónov ľudí na trénovanie umelej inteligencie? Akoby Neúspešný pokus spoločnosti Meta o nezákonné použitie osobných údajov ľudí na projekty umelej inteligencie nevyslal dostatočne jasný signál, Twitter je ďalšou americkou spoločnosťou, ktorá práve vysáva údaje používateľov EÚ na trénovanie umelej inteligencie. Twitter začal v máji 2024 nezvratne vkladať údaje európskych používateľov do svojej technológie AI "Grok" bez toho, aby ich o tom informoval alebo požiadal o súhlas.
Írska DPC podniká polovičaté kroky. Očividná ignorancia zákona zo strany Twitteru vyvolala prekvapivú reakciu (notoricky prokorporatívneho) írskeho DPC: Úrad prijal súdne konanie proti Twitteru s cieľom zastaviť nezákonné spracúvanie a vynútiť si príkaz na zosúladenie jeho systémov s GDPR. Súdne pojednávanie minulý štvrtok však odhalilo, že DPC sa zrejme zaoberal najmä tzvzmierňovacích opatrení " opatreniami a skutočnosťou, že spoločnosť Twitter začala spracúvať údaje ešte v čase, keď bola v povinnom konzultačnom procese s DPC podľa článku 36 GDPR. Zdá sa, že DPC nejde o základné porušenia.
Max Schrems, predseda noyb: "Súdne dokumenty nie sú verejné, ale z ústneho pojednávania sme pochopili, že DPC nespochybňovala zákonnosť tohto spracovania ako takého. Zdá sa, že DPC sa zaoberala takzvanými "zmierňujúcimi opatreniami" a nedostatočnou spoluprácou zo strany Twitteru. Zdá sa, že DPC prijíma opatrenia na okrajoch, ale vyhýba sa podstate problému."
noyb žiada o úplné prešetrenie. Už počas prvého pojednávania sa írska DPC dohodla so spoločnosťou Twitter (prostredníctvom tzv. "záväzku"), že do septembra len pozastaví ďalšie školenie algoritmu s údajmi EÚ. Nebolo prijaté žiadne rozhodnutie o zákonnosti a mnohé otázky zostávajú nezodpovedané. Napríklad: Čo sa stalo s údajmi EÚ, ktoré už boli do systémov vložené, a ako môže Twitter (správne) oddeliť údaje EÚ od údajov mimo EÚ? Z tohto dôvodu, noyb podala sťažnosti na GDPR na úrady na ochranu údajov v deviatich krajinách, aby sa zabezpečilo, že základné právne problémy okolo školenia AI spoločnosti Twitter budú plne vyriešené. Čím viac ďalších orgánov na ochranu údajov v EÚ sa zapojí do konania, tým väčší bude tlak na írsky orgán na ochranu údajov, aby svoj prípad dotiahol do konca, a na spoločnosť Twitter, aby skutočne dodržiavala právne predpisy EÚ.
Max Schrems, predseda noyb: "V uplynulých rokoch sme boli svedkami nespočetných prípadov neefektívneho a čiastočného presadzovania práva zo strany DPC. Chceme zabezpečiť, aby spoločnosť Twitter plne dodržiavala právne predpisy EÚ, ktoré - ako minimum - vyžadujú, aby v tomto prípade požiadala používateľov o súhlas."
Jednoduché riešenie: Jednoducho sa opýtajte používateľov! GDPR EÚ poskytuje jednoduché riešenie, ako používateľom "darovať" svoje osobné údaje na vývoj umelej inteligencie - stačí požiadať používateľov o ich jasný súhlas s takýmto spracovaním. Ak by len malý počet zo 60 miliónov používateľov Twitteru súhlasil s tréningom jeho systémov AI, Twitter by mal viac než dosť tréningových údajov pre akýkoľvek nový model AI. Žiadanie ľudí o súhlas však nie je súčasným prístupom spoločnosti Twitter, namiesto toho jednoducho získava údaje používateľov bez toho, aby o tom používateľov informovala alebo im dala súhlas.
Max Schrems, predseda predstavenstva spoločnosti noyb: "Spoločnosti, ktoré komunikujú priamo s používateľmi, im jednoducho musia pred použitím ich údajov ukázať výzvu áno/nie. Robia to pravidelne pri mnohých iných veciach, takže by to určite bolo možné aj pri školení umelej inteligencie."
Obchodné záujmy sú nadradené základným právam používateľov? Za normálnych okolností je spracúvanie osobných údajov v Európskej únii štandardne nezákonné. Preto sa spoločnosť Twitter musí pri spracúvaní osobných údajov opierať o jeden zo šiestich právnych základov podľa článku 6 ods. 1 GDPR. Hoci logickou voľbou by bol súhlas na základe voľby, spoločnosť Twitter - podobne ako spoločnosť Meta - tvrdí, že má "oprávnený záujem", ktorý má prednosť pred základnými právami používateľov. Tento prístup už Súdny dvor zamietol vo veci týkajúcej sa používania osobných údajov spoločnosťou Meta na cielenú reklamu. Zdá sa však, že írska DPC v posledných mesiacoch "rokovalo o" o "oprávneného záujmu" v rámci "konzultáciách" podľa článku 36 GDPR.
Max Schrems: "Skutočnosti, ktoré teraz poznáme z írskeho súdneho konania, naznačujú, že DPC sa v skutočnosti nepýtala na základný problém, ktorým je získavanie všetkých týchto osobných údajov bez súhlasu používateľa."
Informácie poskytnuté prostredníctvom "vírusového" X príspevku. Ako bolo uvedené vyššie, Twitter nikdy aktívne neinformoval svojich používateľov o tom, že ich osobné údaje sa používajú na trénovanie umelej inteligencie - aj keď ich zasypáva oznámeniami zakaždým, keď niekto lajkuje alebo opätovne tweetuje ich príspevky. Naopak, zdá sa, že väčšina ľudí sa o novom predvolenom nastavení dozvedela prostredníctvom virálneho príspevku používateľa s názvom '@EasyBakedOven' 26. júla 2024, teda viac ako dva mesiace po začatí tréningu umelej inteligencie.
Ako je to s ďalšími právami GDPR? V súčasnosti poskytovatelia systémov umelej inteligencie zväčša tvrdia, že nie sú schopní splniť ďalšie požiadavky nariadenia GDPR, ako napríklad právo byť zabudnutý (článok 17 nariadenia GDPR), a to po tom, ako boli údaje prijaté do ich systémov umelej inteligencie. Podobne spoločnosti zvyknú tvrdiť, že nemôžu odpovedať na žiadosti o získanie kópie osobných údajov obsiahnutých vo vzdelávacích údajoch alebo zdrojov týchto údajov (ako sa vyžaduje podľa článku 15 GDPR), ani nemôžu opraviť nepresné osobné údaje (ako sa vyžaduje podľa článku 16 GDPR). To vyvoláva ďalšie otázky, pokiaľ ide o neobmedzené prijímanie osobných údajov do systémov umelej inteligencie.
Rozsiahle porušenia GDPR si vyžadujú núdzový postup. Vzhľadom na to, že spoločnosť Twitter už začala spracúvať údaje ľudí pre svoju technológiu umelej inteligencie a že v podstate neexistuje žiadna možnosť odstránenia požitých údajov, noyb má požiadala o "naliehavé konanie" podľa článku 66 GDPR. Orgány na ochranu údajov (OOÚ) v deviatich európskych krajinách (Rakúsko, Belgicko, Francúzsko, Grécko, Írsko, Taliansko, Holandsko, Poľsko a Španielsko) dostali takúto žiadosť v mene miestnych dotknutých osôb. Článok 66 oprávňuje orgány na ochranu údajov vydávať predbežné zastavenia v situáciách, ako je opísaná vyššie, a umožňuje vydanie rozhodnutia v celej EÚ prostredníctvom EDPB. Írske DPC a Meta Ireland už boli predmetom dvoch "naliehavých záväzných rozhodnutí" EDPB v podobných situáciách (pozri naliehavé záväzné rozhodnutie 01/2023 a naliehavé záväzné rozhodnutie 01/2021).
Porušené viaceré ustanovenia GDPR. Okrem toho, že chýba platný právny základ, je veľmi nepravdepodobné, že spoločnosť Twitter správne rozlišuje medzi údajmi používateľov z EÚ/EHP a iných krajín, v ktorých ľudia nepožívajú ochranu podľa nariadenia GDPR. To isté platí pre citlivé údaje podľa článku 9 GDPR (pre ktoré platí "oprávnený záujem" argument nie je podľa zákona k dispozícii), ako sú údaje odhaľujúce etnickú príslušnosť, politické názory a náboženské presvedčenie, ako aj iné údaje, v prípade ktorých je "oprávnený záujem" by sa teoreticky mohol uplatniť. Zdá sa, že spoločnosť Twitter zavedením svojej technológie umelej inteligencie porušila niekoľko ďalších ustanovení GDPR vrátane zásad GDPR, pravidiel transparentnosti a prevádzkových pravidiel. Celkovo, noyb'v sťažnostiach uvádza porušenie minimálne článku 5 ods. 1 a 2, článku 6 ods. 1, článku 9 ods. 1, článku 12 ods. 1 a 2, článku 13 ods. 1 a 2, článku 17 ods. 1 písm. c), článku 18 ods. 1 písm. d), článku 19, článku 21 ods. 1 a článku 25 GDPR.
