Under de senaste dagarna har Meta informerat miljontals européer om att deras integritetspolicy håller på att ändras igen. Först vid en närmare granskning av länkarna i meddelandet blev det tydligt att företaget planerar att använda åratal av personliga inlägg, privata bilder eller spårningsdata online för en odefinierad "AI-teknik" som kan ta in personuppgifter från vilken källa som helst och dela all information med odefinierade "tredje parter". Istället för att be användarna om deras samtycke (opt-in) hävdar Meta att de har ett legitimt intresse som åsidosätter de europeiska användarnas grundläggande rätt till dataskydd och integritet. När deras uppgifter väl finns i systemet verkar användarna inte ha någon möjlighet att någonsin få dem borttagna ("rätten att bli bortglömd"). noyb har nu lämnat in klagomål i 11 europeiska länder och bett myndigheterna att inleda ett brådskande förfarande för att stoppa denna förändring omedelbart, innan den träder i kraft den 26 juni 2024.
- 11 klagomål (inlämnade i Österrike, Belgien, Frankrike, Tyskland, Grekland, Italien, Irland, Nederländerna, Norge (med NCC)*, Polen och Spanien)
- Översikt över Meta's (falska) snurr angående Meta AI
Alla icke-offentliga uppgifter för någon odefinierad framtida "AI-teknik". Till skillnad från den redan problematiska situationen för företag som använder vissa (offentliga) data för att träna ett specifikt AI-system (t.ex. en chatbot), säger Metas nya sekretesspolicy i princip att företaget vill ta all offentlig och icke-offentlig användardata som det har samlat in sedan 2007 och använda den för alla odefinierade typer av nuvarande och framtida "artificiell intelligensteknik". Detta inkluderar de många "vilande" Facebook-konton som användare knappast interagerar med längre - men som fortfarande innehåller enorma mängder personuppgifter. Dessutom säger Meta att det kan samla in ytterligare information från någon "tredje part" eller skrapa data från onlinekällor. Det enda undantaget verkar vara chattar mellan individer - men även chattar med ett företag är rättvist spel. Användare får ingen information om syftena med "AI-tekniken" - vilket strider mot kraven i GDPR. Metas integritetspolicy skulle teoretiskt sett tillåta alla syften. Denna förändring är särskilt oroande eftersom den involverar personuppgifter från cirka 4 miljarder Meta-användare, som kommer att användas för experimentell teknik i huvudsak utan begränsning. Åtminstone användare i EU/EES bör (i teorin) skyddas från sådant missbruk av GDPR.
Max Schrems: "Meta säger i princip att det kan använda "all data från vilken källa som helst för vilket syfte som helst och göra den tillgänglig för alla i världen", så länge det görs via "AI-teknik". Detta är helt klart motsatsen till GDPR-efterlevnad. "AI-teknik" är en extremt bred term. Precis som att "använda dina data i databaser" har den ingen verklig juridisk gräns. Meta säger inte vad den kommer att använda data för, så det kan antingen vara en enkel chatbot, extremt aggressiv personlig reklam eller till och med en mördare drönare. Meta säger också att användardata kan göras tillgängliga för alla "tredje parter" - vilket betyder vem som helst i världen
Åsidosätter Metas intressen användarnas rättigheter? Normalt är behandlingen av personuppgifter i Europeiska unionen olaglig som standard. Därför måste Meta förlita sig på en av de sex rättsliga grunderna enligt artikel 6.1 GDPR för att kunna behandla personuppgifter. Även om det logiska valet skulle vara opt-in-samtycke, hävdar Meta återigen att det har ett "legitimt intresse" som åsidosätter användarnas grundläggande rättigheter. Meta har tidigare hävdat detta i samband med användning av alla personuppgifter för reklam - och avvisades av domstolen(se C-252/21). Nu använder Meta samma rättsliga grund för att motivera en ännu bredare och mer aggressiv användning av människors personuppgifter.
Max Schrems: "EU-domstolen har redan klargjort att Meta inte har något "berättigat intresse" att åsidosätta användarnas rätt till dataskydd när det gäller reklam. Ändå försöker företaget använda samma argument för utbildning av odefinierad 'AI-teknik'. Det verkar som om Meta än en gång helt uppenbart ignorerar EU-domstolens domar."
Invändningen är en fars. Meta försöker till och med göra användarna ansvariga för att ta hand om sin integritet genom att hänvisa dem till ett invändningsformulär (opt-out) som användarna ska fylla i om de inte vill att Meta ska använda alla sina uppgifter. Även om en opt-out i teorin kan implementeras på ett sådant sätt att det bara kräver ett klick (som "unsubscribe" -knappen i nyhetsbrev), gör Meta det extremt komplicerat att invända, även om det krävs personliga skäl. En teknisk analys av opt-out-länkarna visade till och med att Meta kräver en inloggning för att visa en annars offentlig sida. Totalt kräver Meta att cirka 400 miljoner europeiska användare ska "invända", istället för att be om deras samtycke.
Max Schrems: "Att flytta ansvaret till användaren är helt absurt. Lagen kräver att Meta får opt-in-samtycke, inte att tillhandahålla ett dolt och vilseledande opt-out-formulär. Om Meta vill använda dina uppgifter måste de be om ditt tillstånd. Istället får de användarna att be om att bli uteslutna. Vi blev särskilt förvånade över att Meta till och med har gjort sig besväret att bygga in massor av små distraktioner för att säkerställa att endast ett litet antal användare faktiskt skulle bry sig om att invända
Irländska DPC är medbrottslig (igen). Enligt rapporter är detta uppenbara brott mot GDPR (igen) baserat på en "affär" med den irländska dataskyddskommissionen (DPC är Metas EU-regulator). DPC har tidigare haft ett avtal med Meta som gjorde det möjligt för företaget att kringgå GDPR - och slutade med en böter på 395 miljoner euro mot Meta efter att Europeiska dataskyddsstyrelsen (EDPB) åsidosatte den irländska DPC.
Max Schrems: "Det verkar som om DPC:s nya ledning bara fortsätter att göra olagliga "affärer" med stora teknikföretag från USA. Det är häpnadsväckande att DPC fortsätter att låta missbruket av icke-offentliga personuppgifter för cirka 400 miljoner europeiska användare gå okontrollerat."
Deadline 26 juni: Brådskande förfarande begärs. Med tanke på att Metas behandling för icke avslöjad "artificiell intelligens-teknik" redan är inställd på att träda i kraft den 26 juni 2024, och Meta hävdar att det inte finns något alternativ att välja bort vid en senare tidpunkt för att få dina uppgifter borttagna (enligt artikel 17 GDPR och "rätten att bli bortglömd"), har noyb begärt ett "brådskande förfarande" enligt artikel 66 GDPR. Dataskyddsmyndigheter i 11 europeiska länder (Österrike, Belgien, Frankrike, Tyskland, Grekland, Italien, Irland, Nederländerna, Norge, Polen och Spanien) har mottagit en sådan begäran för lokala registrerades räkning. Artikel 66 tillåter dataskyddsmyndigheter att utfärda preliminära stopp i situationer som den som beskrivs ovan och möjliggör ett EU-omfattande beslut via EDPB. Den irländska DPC och Meta Ireland har redan varit föremål för två "brådskande bindande beslut" av EDPB (se Brådskande bindande beslut 01/2023 och Brådskande bindande beslut 01/2021) i liknande situationer tidigare.
Max Schrems: "Vi hoppas att myndigheterna utanför Irland kommer att vidta snabba åtgärder och åtminstone stoppa projektet för en fullständig utredning. EDPB har redan utfärdat två sådana brådskande beslut mot Meta och den irländska dataskyddskommissionären. Det är tråkigt att se att denna åtgärd verkar vara nödvändig om och om igen."
Ytterligare problem. Förutom bristen på någon rättslig grund för att suga upp mer än ett decennium av användardata, har Meta tidigare sagt att det tekniskt inte går att skilja mellan data från användare i EU / EES och andra länder där människor inte åtnjuter GDPR-skydd. Meta har också sagt att det inte kan skilja mellan känsliga uppgifter enligt artikel 9 GDPR, såsom etnicitet, politiska åsikter, religiösa övertygelser (för vilka argumentet "legitimt intresse" inte är tillgängligt enligt lagen) och andra uppgifter för vilka ett "legitimt intresse" teoretiskt skulle kunna hävdas. Med introduktionen av sin AI-teknik verkar Meta ha brutit mot ett antal andra GDPR-bestämmelser, inklusive GDPR-principer, transparensregler och operativa regler. Sammantaget innehåller noybs klagomål överträdelser av åtminstone artiklarna 5.1 och 5.2, 6.1, 9.1, 12.1 och 12.2, 13.1 och 13.2, 17.1 c, 18.1 d, 19, 21.1 och 25 i GDPR.
Max Schrems: "Med tillvägagångssättet att helt enkelt använda alla data för alla ändamål för någon 'AI-teknik' har Meta tydligt lämnat nästan hela GDPR-ramverket. Vi räknade överträdelser av minst tio artiklar i lagen."
Nästa steg. De berörda dataskyddsmyndigheterna måste nu fatta ett snabbt beslut om huruvida de ska inleda ett brådskande förfarande eller hantera klagomålen i ett normalt förfarande. För två dagar sedan publicerade den norska dataskyddsmyndigheten redan ett blogginlägg där man hävdade att det är "tveksamt" ("tvilsomt") om Metas tillvägagångssätt är lagligt. Ett brådskande förfarande kan leda till ett snabbt interimistiskt förbud och ett slutligt beslut av EDPB inom några månader. Även om dagens klagomål är ett första steg verkar det troligt att andra organisationer kommer att följa upp med förelägganden, civilrättsliga mål eller till och med grupptalan, om Meta går vidare med sina planer. Detta kan potentiellt drunkna Meta i en annan omgång av juridiska problem i Europeiska unionen. noybs åtgärder mot Meta ensam har hittills resulterat i administrativa böter på mer än 1,5 miljarder euro.
*Klagomålet i Norge lämnades in tillsammans med det norska konsumentrådet ("NCC"). Mer information finns på www.forbrukerradet.no.
