Nyligen började Twitter International (nu omprofilerat som "X") olagligen använda personuppgifter från mer än 60 miljoner användare i EU/EES för att träna sin AI-teknik (som "Grok") utan deras samtycke. Till skillnad från Meta (som nyligen också tvingades stoppa AI-utbildningen i EU) informerade Twitter inte ens sina användare i förväg. Detta gick för långt även för den irländska dataskyddskommissionen (DPC): Förra veckan inledde den ett domstolsförfarande mot Twitter för att stoppa den olagliga behandlingen, men den irländska dataskyddsmyndigheten verkar inte ha lyckats genomdriva GDPR fullt ut. noyb följer nu upp med nio klagomål.
- Klagomål inlämnade i Österrike, Belgien, Frankrike, Grekland, Irland, Italien, Nederländerna, Spanien och Polen
- Domstolsprotokoll från DPC -v- Twitter-fallet i Irland
- Nyhetsrapport om den irländska dataskyddsmyndighetens rättsliga åtgärder
Personuppgifter från 60 miljoner människor för att träna AI? Som om Metas misslyckade försök att olagligt använda människors personuppgifter för AI-projekt inte skickade ett tillräckligt tydligt budskap, är Twitter nästa amerikanska företag att bara suga upp EU-användares uppgifter för att träna AI. Twitter började oåterkalleligen mata in europeiska användares uppgifter i sin AI-teknik "Grok" i maj 2024, utan att någonsin informera dem eller be om deras samtycke.
Irländska DPC vidtar halvhjärtade åtgärder. Twitters uppenbara okunnighet om lagen har lett till ett överraskande svar från den (notoriskt företagsvänliga) irländska dataskyddsmyndigheten: Myndigheten har vidtagit domstolsåtgärder mot Twitter för att stoppa den olagliga behandlingen och genomdriva ett föreläggande om att få sina system att överensstämma med GDPR. Vid en domstolsförhandling i torsdags framkom dock att DPC verkar ha varit mest intresserad av så kallade "begränsande" åtgärder och det faktum att Twitter påbörjade behandlingen medan man fortfarande befann sig i en obligatorisk samrådsprocess med dataskyddsmyndigheten enligt artikel 36 i GDPR. DPC verkar inte gå efter de grundläggande överträdelserna.
Max Schrems, ordförande för noyb: "Domstolsdokumenten är inte offentliga, men från den muntliga förhandlingen förstår vi att DPC inte ifrågasatte lagligheten i denna behandling i sig. Det verkar som om DPC var bekymrad över så kallade "mildrande åtgärder" och en brist på samarbete från Twitter. DPC verkar vidta åtgärder runt kanterna, men viker undan från kärnproblemet."
noyb ansöker om fullständig utredning. Redan under den första utfrågningen har den irländska dataskyddsmyndigheten kommit överens med Twitter (via ett så kallat "åtagande") om att bara pausa ytterligare träning av algoritmen med EU-data fram till september. Inget beslut om lagligheten fattades och många frågor förblir obesvarade. Till exempel följande: Vad hände med EU-data som redan fanns i systemen och hur kan Twitter (på ett korrekt sätt) skilja på EU-data och data från länder utanför EU? Av denna anledning, noyb lämnat in GDPR-klagomål till dataskyddsmyndigheterna i nio länder för att säkerställa att de grundläggande juridiska problemen kring Twitters AI-träning åtgärdas fullt ut. Ju fler andra dataskyddsmyndigheter i EU som blir involverade i förfarandet, desto högre blir trycket på den irländska dataskyddsmyndigheten att fullfölja sitt ärende och på Twitter att faktiskt följa EU-lagstiftningen.
Max Schrems, ordförande för noyb: "Vi har sett otaliga fall av ineffektiv och partiell verkställighet av DPC under de senaste åren. Vi vill se till att Twitter fullt ut följer EU-lagstiftningen, vilket - som ett minimum - kräver att man ber användarna om samtycke i det här fallet."
Enkel lösning: Fråga bara användarna! EU:s GDPR ger en enkel lösning för användare att "donera" sina personuppgifter för AI-utveckling - det är bara att be användarna om deras tydliga samtycke till sådan behandling. Om bara en liten del av Twitters 60 miljoner användare gav sitt samtycke till att Twitters AI-system tränas skulle Twitter ha mer än tillräckligt med träningsdata för alla nya AI-modeller. Men att be människor om tillstånd är inte Twitters nuvarande strategi, istället tar de bara användardata utan information till användarna eller tillstånd från dem.
Max Schrems, ordförande för noyb: "Företag som interagerar direkt med användare behöver helt enkelt visa dem en ja/nej-prompt innan de använder deras data. De gör detta regelbundet för massor av andra saker, så det skulle definitivt vara möjligt för AI-träning också."
Åsidosätter affärsintressen användarnas grundläggande rättigheter? Normalt sett är behandlingen av personuppgifter olaglig som standard i Europeiska unionen. För att få behandla personuppgifter måste Twitter därför stödja sig på en av de sex rättsliga grunderna i artikel 6.1 i GDPR. Även om det logiska valet skulle vara opt-in-samtycke, hävdar Twitter - precis som Meta - att det har ett "berättigat intresse" som åsidosätter användarnas grundläggande rättigheter. Detta tillvägagångssätt har redan avvisats av EG-domstolen i ett fall som gällde Metas användning av personuppgifter för riktad reklam. Det verkar dock som om den irländska DPC under de senaste månaderna har "förhandlat" över "berättigat intresse" tillvägagångssättet i ett "samråd" förfarande enligt artikel 36 GDPR.
Max Schrems: "De fakta som vi nu känner till från de irländska domstolsförfarandena tyder på att DPC inte riktigt har ifrågasatt kärnfrågan, som är att ta alla dessa personuppgifter utan användarens samtycke."
Information som tillhandahållits via ett "viralt" X-inlägg. Som nämnts ovan har Twitter aldrig proaktivt informerat sina användare om att deras personuppgifter används för att träna AI - trots att Twitter skickar meddelanden till dem varje gång någon gillar eller retweetar deras inlägg. Tvärtom verkar det som om de flesta människor fick reda på den nya standardinställningen genom ett viralt inlägg av en användare som heter "@EasyBakedOven den 26 juli 2024 - över två månader efter att AI-utbildningen hade påbörjats.
Hur är det med andra GDPR-rättigheter? För närvarande hävdar leverantörer av AI-system i stor utsträckning att de inte kan uppfylla andra GDPR-krav, t.ex. rätten att bli bortglömd (artikel 17 i GDPR), när uppgifterna har förts in i deras AI-system. På samma sätt brukar företagen hävda att de inte kan besvara förfrågningar om att få en kopia av de personuppgifter som ingår i utbildningsdata eller källorna till sådana data (enligt artikel 15 i GDPR), och att de inte heller kan korrigera felaktiga personuppgifter (enligt artikel 16 i GDPR). Detta väcker ytterligare frågor när det gäller den obegränsade införseln av personuppgifter i AI-system.
Storskaliga GDPR-överträdelser kräver ett nödförfarande. Med tanke på att Twitter redan har börjat behandla människors uppgifter för sin AI-teknik och att det i princip inte finns något alternativ för att ta bort uppgifter som lagrats, noyb har begärt ett "brådskande förfarande" enligt artikel 66 i GDPR. Dataskyddsmyndigheter i nio europeiska länder (Österrike, Belgien, Frankrike, Grekland, Irland, Italien, Nederländerna, Polen och Spanien) har mottagit en sådan begäran för lokala registrerades räkning. Artikel 66 ger dataskyddsmyndigheterna rätt att utfärda preliminära stopp i situationer som den som beskrivs ovan och ger möjlighet till ett EU-omfattande beslut via Europeiska dataskyddsstyrelsen. Den irländska dataskyddsmyndigheten och Meta Ireland har redan varit föremål för två "brådskande bindande beslut" av EDPB i liknande situationer (se Brådskande bindande beslut 01/2023 och Brådskande bindande beslut 01/2021).
Flera bestämmelser i GDPR har överträtts. Utöver avsaknaden av en giltig rättslig grund är det högst osannolikt att Twitter gör en korrekt åtskillnad mellan uppgifter från användare i EU/EES och andra länder där människor inte åtnjuter skydd enligt GDPR. Detsamma gäller för känsliga uppgifter enligt artikel 9 i GDPR (för vilka "berättigat intresse" inte är tillgängligt enligt lag), såsom uppgifter som avslöjar etnicitet, politiska åsikter och religiös övertygelse, samt andra uppgifter för vilka ett "berättigat intresse" teoretiskt skulle kunna hävdas. I och med införandet av sin AI-teknik verkar Twitter ha brutit mot ett antal andra GDPR-bestämmelser, inklusive GDPR-principer, transparensregler och operativa regler. Övergripande, noybs klagomål överträdelser av åtminstone artiklarna 5.1 och 5.2, 6.1, 9.1, 12.1 och 12.2, 13.1 och 13.2, 17.1 c, 18.1 d, 19, 21.1 och 25 i GDPR.
