Alle ikke-offentlige data om uspesifisert fremtidig “kunstig intelligens-teknologi.” I motsetning til den allerede problematiske situasjonen der selskaper bruker visse (offentlige) data for å trene et spesifikt AI-system (f.eks. en chatbot), sier Metas nye personvernpolicy i utgangspunktet at selskapet ønsker å gjenopprette all data fra offentlige og ikke-offentlige brukere det har samlet inn siden 2007. og bruke den til en uspesifisert type nåværende og fremtidig «kunstig intelligens-teknologi». Dette inkluderer også de mange «sovende» Facebook-kontoene som brukerne nesten ikke samhandler med lenger, men som fortsatt inneholder enorme mengder personopplysninger. I tillegg hevder Meta å kunne samle inn tilleggsinformasjon fra eventuelle “tredjeparter” eller trekke ut data fra nettkilder. Det eneste unntaket ser ut til å være diskusjoner mellom enkeltpersoner – men selv bedriftsdiskusjoner er fair game. Brukere mottar ingen informasjon om formålet med “kunstig intelligens-teknologien”, som er i strid med GDPR-kravene. Metas personvernpolicy vil teoretisk tillate ethvert formål. Denne endringen er spesielt urovekkende fordi den gjelder personopplysningene til rundt 4 milliarder Meta-brukere, som vil bli brukt til praktisk talt ubegrenset eksperimentell teknologi. Minst EU/EØS-brukere bør (i teorien) beskyttes mot slikt misbruk av GDPR.
Max Schrems: “Meta sier i utgangspunktet at den kan bruke “hvilken som helst data fra enhver kilde til ethvert formål og gjøre den tilgjengelig for hvem som helst i verden”, så lenge den gjør det via “kunstig intelligens-teknologi”.“. Dette er helt klart det motsatte av GDPR-overholdelse. “Artificial Intelligence Technology” er et ekstremt vidt begrep. Akkurat som “bruke dataene dine i databaser”, har det ingen reelle juridiske grenser. Meta sier ikke hva den vil bruke dataene til, så det kan være en enkel chatbot, en veldig aggressiv personlig annonse eller til og med en drapsdrone. Meta sier også at brukerdata kan gis til enhver “tredjepart”, altså hvem som helst i verden. »
Går Metas interesser foran brukernes rettigheter? Generelt sett er behandling av personopplysninger i EU ulovlig som standard. Meta må derfor basere seg på ett av de seks rettslige grunnlagene i artikkel 6(1) GDPR for å behandle personopplysninger. Selv om det logiske valget ville være frivillig samtykke, hevder Meta igjen at det er en “legitim interesse” som overstyrer brukernes grunnleggende rettigheter. Meta har allerede gjort dette i sammenheng med bruk av alle personopplysninger til reklameformål – og ble avvist av EU-domstolen (se C-252/21). Meta bruker nå samme rettslige grunnlag for å rettferdiggjøre enda bredere og mer aggressiv bruk av folks personopplysninger.
Max Schrems: “Domstolen i Den europeiske union har allerede gjort det klart at Meta ikke har en “legitim interesse” som overstyrer forbrukernes rett til databeskyttelse når det gjelder reklame. Imidlertid prøver selskapet å bruke de samme argumentene for å utdanne uspesifisert «kunstig intelligens-teknologi» Det ser ut til at Meta nok en gang trassig ignorerer kjennelsene fra EU-domstolen.
Innsigelsen er en farse. Meta prøver til og med å gjøre brukere ansvarlige for å respektere deres personvern ved å henvise dem til et frameldingsskjema som brukere må fylle ut hvis de ikke vil at Meta skal bruke alle dataene deres. Mens i teorien kan opt-out implementeres på en slik måte at det bare krever et enkelt klikk (som “unsubscribe”-knappen på nyhetsbrev), gjør Meta opt-out ekstremt komplisert, selv om det krever personlige grunner. Teknisk analyse av avmeldingslenker viste til og med at Meta krevde pålogging for å se en ellers offentlig side. Generelt krever Meta rundt 400 millioner europeiske brukere å “motsette seg” i stedet for å søke deres samtykke.
Max Schrems: “Å pålegge brukeren ansvar er helt absurd. Loven krever at Meta skal innhente samtykke til fravalg, ikke oppgi et skjult og villedende frameldingsskjema. Hvis Meta ønsker å bruke dataene dine, må de be om din tillatelse I stedet skal de få brukere til å bli deaktivert Vi ble spesielt overrasket over at Meta til og med gadd å integrere tonnevis av små distraksjoner for å sikre at bare et lite antall brukere ville bry seg om å motsette seg det.
Den irske DCP er (igjen) medskyldig. I følge rapporter dette åpenbare GDPR-bruddet er (igjen) avhengig av en “avtale” med den irske databeskyttelseskommisjonen (DPC er reguleringsorganet for Meta i EU). DPC inngikk tidligere en avtale med Meta som tillot selskapet å omgå GDPR – og resulterte i en bot på €395 millioner mot Meta etter at European Data Protection Board (EDPB) omgjorde avgjørelsen til den irske DPC.
Max Schrems: “Det ser ut til at den nye ledelsen i DPC ganske enkelt fortsetter å gjøre ulovlige “avtaler” med store amerikanske teknologiselskaper. Det er forbløffende at DPC fortsetter å tillate misbruk av ikke-offentlige personopplysninger til omtrent 400 personer. ukontrollert millioner europeiske brukere.
Frist 26. juni: Nødprosedyre kreves. Siden Metas databehandling av ikke-avslørt “kunstig intelligens-teknologi” allerede er planlagt å tre i kraft 26. juni 2024, og Meta hevder at det ikke er noen mulighet til å velge bort på et senere tidspunkt, fordi sletting av dataene dine (som fastsatt i Artikkel 17 i GDPR og «retten til å bli glemt») noyb ba om en “nødprosedyre” i henhold til artikkel 66 i GDPR. Databeskyttelsesmyndighetene (DPA) i 11 europeiske land (Østerrike, Belgia, Frankrike, Tyskland, Hellas, Italia, Irland, Nederland, Norge, Polen og Spania) mottok en slik forespørsel på vegne av lokale registrerte. Artikkel 66 tillater databeskyttelsesansvarlige å utstede tidligere suspensjoner i situasjoner som den som er beskrevet ovenfor, og åpner for en EU-omfattende beslutning gjennom EDPS. Den irske DPA og Meta Ireland har allerede vært gjenstand for to “hastende bindende avgjørelser” fra EDPS (se hastebindende vedtak 01/2023 Og hastebindende vedtak 01/2021) i lignende situasjoner før.
Max Schrems: “Vi håper at myndigheter utenfor Irland vil ta umiddelbare tiltak og i det minste stoppe dette prosjektet i påvente av en fullstendig etterforskning. EDPB har allerede utstedt to slike nødvedtak mot Meta og den irske kommissæren for databeskyttelse. Det er trist å se at dette tiltaket ser ut til å være nødvendig igjen og igjen.”
Ytterligere problemer. I tillegg til å ikke ha noe juridisk grunnlag for å suge av brukerdata på over et tiår, har Meta tidligere uttalt at de teknisk sett ikke er i stand til å skille mellom EU/EØS og ikke-EU brukerdata der folk ikke drar nytte av GDPR-beskyttelse. Meta uttalte også at det ikke kunne skille mellom sensitive data i henhold til artikkel 9 i GDPR, slik som etnisk opprinnelse, politiske meninger, religiøse overbevisninger (hvor argumentet om “den ‘legitime interesse’ ikke er tilgjengelig ved lov),” og andre data, som det antas å ha en ‘legitim interesse’ for. Ved å introdusere sin kunstige intelligens-teknologi ser Meta ut til å ha brutt en rekke andre bestemmelser i GDPR, inkludert prinsippene, åpenhetsregler og operasjonelle regler i GDPR. Vanligvis i samtaler fra noyb brudd på minst er oppført Artikkel 5(1) og (2), artikkel 6(1), artikkel 9(1), artikkel 12(1) og (2), artikkel 13(1) og (2), artikkel 17(1)(c). , artikkel 18(c) c), 1, bokstav d), artikkel 19, artikkel 21, paragraf 1 og artikkel 25 i GDPR.
Max Schrems: “Med tilnærmingen om å ganske enkelt bruke alle data til ethvert formål for enhver “kunstig intelligens-teknologi”, har Meta helt klart forlatt nesten hele omfanget av GDPR. Vi har telt brudd på “minst ti artikler i loven.”
Neste skritt. De berørte DPOene må nå raskt ta en avgjørelse: starte en nødprosedyre eller behandle klager i henhold til vanlig prosedyre. For to dager siden publiserte Datatilsynet allerede en artikkel på sin blogg, der han hevder det er “tvilsomt” (“tvilsomt”) hvis Metas tilnærming er lovlig. Nødprosedyren kan føre til et raskt midlertidig forbud og en endelig avgjørelse fra EDPS innen få måneder. Mens dagens klager er det første trinnet, virker det sannsynlig at andre organisasjoner vil følge opp med påbud, sivile søksmål eller til og med gruppesøksmål hvis Meta går videre med planene sine. Dette kan potensielt lande Meta i en ny runde med juridiske problemer innen EU. bare handlingene til noyb mot Meta har så langt resultert i administrative bøter på over 1,5 milliarder euro.
*Klagen i Norge er inngitt i fellesskap med Forbrukertilsynet («Forbrukertilsynet»). Finn mer informasjon på www.forburkerradet.no.