Litauenbaserade Whitebridge AI säljer "ryktesrapporter" på alla med en närvaro på nätet. I dessa rapporter sammanställs stora mängder skrapad personlig information om intet ont anande personer, som sedan säljs till alla som är villiga att betala för den. Vissa uppgifter är inte faktabaserade utan AI-genererade och inkluderar föreslagna samtalsämnen, en lista över påstådda personlighetsdrag och en bakgrundskontroll för att se om du har delat vuxet, politiskt eller religiöst innehåll. Trots den lagliga rätten till fri tillgång till din egen data säljer Whitebridge.ai endast "rapporter" till de berörda personerna. Det verkar som om affärsmodellen till stor del bygger på rädda användare som vill granska sina egna uppgifter som tidigare olagligt sammanställts. noyb har nu lämnat in ett klagomål till den litauiska dataskyddsmyndigheten.
AI-drivna "ryktesrapporter" på nätet. Whitebridge AI marknadsför på sin webbplats sina tjänster som ett AI-verktyg som "kommer att hitta allt om dig online"och föreslår att du kan "söka efter dig själv, din partner eller dina framtidsutsikter". Rapporter om människor inkluderar data från sociala medier, omnämnanden i nyhetsrapporter, foton, "dolda profiler" och "negativ press". Verktyget utför också någon form av "bakgrundskontroll" för att avgöra om det finns något innehåll om personer på nätet som är relaterat till vuxna, brott, gifter, politik eller religion. Resultaten är till stor del av låg kvalitet och verkar vara ganska slumpmässigt genererade AI-texter baserade på olagligt skrapade onlinedata. Whitebridge föreslår till och med att man ska övervaka en persons närvaro på nätet. Sist men inte minst innehåller rapporten också så kallade "riktlinjer för interaktion" med "dos and don'ts" för potentiella konversationer, en lista över personlighetsdrag, preferenser och ett antal foton tagna från sociala medier och andra onlinekällor.
Riktad till drabbade människor i sig? Whitebridges onlineannonsering verkar förvånansvärt nog främst rikta sig till de drabbade personerna själva, med slogans som "det här är lite läskigt" och "kontrollera din egen data". Tanken med Whitebridge AI verkar vara att generera direkt skrämmande personuppgifter om människor, vilket orsakar dem ångest - och sedan ta betalt för att få tillgång till dem. Men artikel 15 i GDPR ger faktiskt enskilda personer rätt att få en gratis kopia av sina uppgifter.
Lisa Steinfeld, dataskyddsjurist på noyb: "Whitebridge AI har bara en mycket skum affärsmodell som syftar till att skrämma människor till att betala för sina egna, olagligt insamlade uppgifter. Enligt EU-lagstiftningen har människor rätt att få tillgång till sina egna uppgifter gratis."
"Frihet att bedriva affärsverksamhet" som ett argument för att bryta mot GDPR? I sitt integritetsmeddelande hävdar Whitebridge helt enkelt att dess behandling av personuppgifter är laglig och i linje med dess "frihet att bedriva verksamhet". Genom att göra detta bortser Whitebridge från att all affärsverksamhet måste utövas med respekt för lagen, inklusive GDPR. Men det är inte allt: Whitebridge AI har inte ens någon rättslig grund för att överhuvudtaget behandla alla dessa personuppgifter. Istället hävdar företaget att de endast behandlar data från "allmänt tillgängliga källor". I själva verket kommer de flesta av dessa uppgifter från sociala nätverkssidor som inte indexeras eller hittas av sökmotorer. Detta har redan klargjorts i EU-domstolens rättspraxis, som i C-252/21 bekräftade att det inte är detsamma som att göra information "uppenbart offentlig", vilket är tröskeln enligt artikel 9 i dataskyddsförordningen, genom att lägga in information i en applikation för sociala nätverk.
Lisa Steinfeld, dataskyddsjurist på noyb: "Enbart en hänvisning till ett företags påstådda "frihet att bedriva verksamhet" tillåter uppenbarligen inte att det ignorerar lagen. Under tiden samlar Whitebridge in all personlig information som de kan hitta på sociala nätverk och bryr sig inte ens om att överväga om de har en giltig rättslig grund för behandlingen."
Påstådd "sexuell nakenhet" eller "farligt politiskt innehåll". För att ta reda på om de också var drabbade sökte de klagande på sina namn på Whitebridges webbplats. De insåg snart att vem som helst kunde köpa en rapport med deras uppgifter utan att de någonsin blev informerade. Båda klagandena lämnade därför in en begäran om tillgång enligt artikel 15 i GDPR, men fick ingen information. Kort därefter noyb rapporterna om de klagande. De innehöll falska varningar för "sexuell nakenhet" och "farligt politiskt innehåll"vilka anses vara särskilt skyddade känsliga uppgifter enligt artikel 9 i GDPR. Kort därefter begärde de klagande därför rättelse i enlighet med artikel 16 i GDPR. I stället för att tillmötesgå begäran hävdade Whitebridge AI att de klagande behöver en "kvalificerad elektronisk signatur" för att utöva sina rättigheter enligt EU-lagstiftningen, eftersom "modern AI-teknik gör det allt lättare att generera mycket övertygande förfalskade dokument". EU-lagstiftningen kräver inte att någon ska ha en sådan elektronisk signatur.
Aitana Pallas, också från noyb: "Mängden personuppgifter som Whitebridge AI behandlar är rent ut sagt skrämmande, som Whitebridge själv säger i annonser för tjänsten. Detta blir ännu värre av att Whitebridge AI helt ignorerar registrerade när de försöker utöva sina rättigheter."
Klagomål inlämnat i Litauen. noyb har därför lämnat in ett klagomål till dataskyddsmyndigheten i Litauen. Sammantaget har Whitebridge AI brutit mot flera GDPR-bestämmelser, inklusive artikel 5, 9, 12 och 16 GDPR. Vi uppmanar Whitebridge AI att tillmötesgå de klagandes begäran om tillgång till uppgifter och att korrigera de felaktiga uppgifterna i rapporterna om dem. Vi uppmanar också företaget att fullgöra sin informationsskyldighet, att upphöra med all olaglig behandling och att underrätta de klagande om resultatet av en rättelseprocess. Sist men inte minst föreslår vi att myndigheten utdömer böter för att förhindra liknande överträdelser i framtiden.
