Spoločnosť Whitebridge AI so sídlom v Litve predáva "správy o reputácii" o každom, kto je prítomný na internete. V týchto správach sa zhromažďuje veľké množstvo získaných osobných informácií o nič netušiacich ľuďoch, ktoré sa potom predávajú každému, kto je ochotný za ne zaplatiť. Niektoré údaje nie sú faktické, ale generované umelou inteligenciou a obsahujú navrhované témy konverzácie, zoznam údajných osobnostných vlastností a kontrolu, či ste zdieľali obsah pre dospelých, politický alebo náboženský obsah. Napriek zákonnému právu na bezplatný prístup k vlastným údajom spoločnosť Whitebridge.ai predáva "správy" len dotknutým osobám. Zdá sa, že obchodný model je do veľkej miery založený na vystrašených používateľoch, ktorí si chcú prezrieť svoje vlastné údaje, ktoré boli predtým nezákonne zostavené. noyb teraz podal sťažnosť na litovský orgán na ochranu údajov.
Online "reputačné správy" poháňané umelou inteligenciou. Spoločnosť Whitebridge AI na svojej webovej stránke propaguje svoje služby ako nástroj AI, ktorý "nájde o vás všetko online", a navrhuje, že môžete "vyhľadávať seba, svojho partnera alebo svojich potenciálnych zákazníkov". Správy o ľuďoch zahŕňajú údaje zo sociálnych médií, zmienky v správach, fotografie, "skryté profily" a "negatívnu tlač". Nástroj tiež vykonáva určitý druh "kontroly pozadia", aby zistil, či je na internete k dispozícii akýkoľvek obsah o osobách pre dospelých, súvisiaci s trestnou činnosťou, toxický, politický alebo náboženský obsah. Výstupy sú zväčša nekvalitné a zdá sa, že ide skôr o náhodne generované texty umelej inteligencie založené na nezákonne vyškrabaných online údajoch. Spoločnosť Whitebridge dokonca navrhuje monitorovať niečiu online prítomnosť. V neposlednom rade správa obsahuje aj tzv "usmernenia pre interakciu" s odporúčaniami "dos" a "don" pre potenciálne konverzácie, zoznamom osobnostných vlastností, preferencií a množstvom fotografií prevzatých zo sociálnych médií a iných online zdrojov.
Zamerané na samotné dotknuté osoby? Zdá sa, že online reklama spoločnosti Whitebridge sa prekvapivo zameriava najmä na samotných postihnutých ľudí, vrátane sloganov ako "toto je trochu desivé" a "skontrolujte si svoje vlastné údaje". Zdá sa, že myšlienkou umelej inteligencie spoločnosti Whitebridge je generovať vyslovene desivé osobné údaje o ľuďoch, ktoré im spôsobujú úzkosť - a potom za prístup k nim vyberať peniaze. Článok 15 GDPR však v skutočnosti dáva jednotlivcom právo získať bezplatnú kópiu svojich údajov.
Lisa Steinfeldová, právnička v oblasti ochrany údajov v noyb: "Spoločnosť Whitebridge AI má len veľmi pochybný obchodný model, ktorého cieľom je vystrašiť ľudí, aby zaplatili za svoje vlastné, nezákonne zhromaždené údaje. Podľa práva EÚ majú ľudia právo na bezplatný prístup k vlastným údajom."
"Sloboda podnikania" ako argument na porušenie GDPR? Spoločnosť Whitebridge vo svojom oznámení o ochrane osobných údajov jednoducho tvrdí, že jej spracovanie osobných údajov je zákonné a v súlade so "slobodou podnikania". Tým spoločnosť Whitebridge ignoruje, že akékoľvek podnikanie sa musí vykonávať s ohľadom na zákony vrátane GDPR. To však nie je všetko: Spoločnosť Whitebridge AI dokonca ani nemá právny základ na to, aby všetky tieto osobné údaje vôbec spracúvala. Namiesto toho spoločnosť tvrdí, že spracúva len údaje z "verejne dostupných zdrojov". V skutočnosti väčšina týchto údajov pochádza zo stránok sociálnych sietí, ktoré nie sú indexované ani sa nenachádzajú vo vyhľadávačoch. To už objasnila judikatúra SDEÚ, ktorý vo veci C-252/21 potvrdil, že zadanie informácií do aplikácie sociálnej siete nepredstavuje ich "zjavné zverejnenie", čo je prahová hodnota podľa článku 9 GDPR.
Lisa Steinfeldová, právnička v oblasti ochrany údajov v noyb: "Samotný odkaz na údajnú "slobodu podnikania" spoločnosti samozrejme neumožňuje ignorovať zákon. Spoločnosť Whitebridge zatiaľ zhromažďuje každý kúsok osobných údajov, ktorý nájde na sociálnych sieťach, a ani sa neobťažuje zvážiť, či má na spracovanie platný právny základ."
Údajná "sexuálna nahota" alebo "nebezpečný politický obsah". Aby sťažovatelia zistili, či sa ich to tiež týka, vyhľadali svoje mená na webovej stránke spoločnosti Whitebridge. Čoskoro si uvedomili, že ktokoľvek si môže kúpiť správu s ich údajmi bez toho, aby boli o tom informovaní. Obaja sťažovatelia preto podali žiadosť o prístup podľa článku 15 GDPR, ale nedostali žiadne informácie. Krátko na to, noyb zakúpila správy o sťažovateľoch. Obsahovali nepravdivé varovania pre "sexuálnu nahotu" a "nebezpečný politický obsah", ktoré sa podľa článku 9 GDPR považujú za osobitne chránené citlivé údaje. Sťažovatelia preto krátko nato požiadali o opravu podľa článku 16 GDPR. Spoločnosť Whitebridge AI namiesto toho, aby im vyhovela, tvrdila, že sťažovatelia potrebujú "kvalifikovaný elektronický podpis", aby mohli uplatniť svoje práva podľa práva EÚ, pretože "moderné technológie AI umožňujú čoraz ľahšie vytvárať veľmi presvedčivé falšované dokumenty". Právo EÚ nevyžaduje, aby niekto takýto elektronický podpis mal.
Aitana Pallas, tiež z noyb: "Množstvo osobných údajov, ktoré spracúva spoločnosť Whitebridge AI, je priam strašidelné, ako uvádza samotná spoločnosť Whitebridge v reklamách na túto službu. Situáciu ešte zhoršuje skutočnosť, že spoločnosť Whitebridge AI úplne ignoruje subjekty údajov, keď sa pokúšajú uplatniť svoje práva."
Sťažnosť podaná v Litve. noyb preto podal sťažnosť na litovský úrad na ochranu údajov. Celkovo spoločnosť Whitebridge AI porušila niekoľko ustanovení GDPR vrátane článkov 5, 9, 12 a 16 GDPR. Žiadame spoločnosť Whitebridge AI, aby vyhovela žiadostiam sťažovateľov o prístup a opravila nepravdivé údaje v správach o nich. Žiadame tiež, aby spoločnosť splnila svoje informačné povinnosti, zastavila všetky nezákonné spracovania a oznámila sťažovateľom výsledok procesu nápravy. V neposlednom rade navrhujeme, aby úrad uložil pokutu s cieľom zabrániť podobným porušeniam v budúcnosti.
