Facebook i Instagram ukrywają, co się stanie z danymi użytkowników, które posłużą do trenowania sztucznej inteligencji. Zdaniem ekspertów nie powinny one być wykorzystywane bez ich zgody.
Tylko do 26 czerwca użytkownicy Facebooka i Instagrama mogą zastrzec swoje dane – posty, zdjęcia i inne treści umieszczane na tych platformach. W przeciwnym razie posłużą one do trenowania sztucznej inteligencji tworzonej przez firmę Meta – tak wynika z nowej polityki prywatności właściciela serwisów społecznościowych.
Austriacka organizacja Noyb działająca na rzecz przestrzegania praw cyfrowych złożyła skargę do organów w 11 krajach, w tym do polskiego Urzędu Ochrony Danych Osobowych. Domaga się, by urzędnicy na mocy RODO w trybie pilnym zakazali tych praktyk.
W skardze Noyb zarzuca big techowi między innymi to, że dane użytkowników zostaną użyte do trenowania nieokreślonych technologii „sztucznej inteligencji”. W informacjach przesyłanych przez spółkę nie ma wskazań co do konkretnych celów. Według aktywistów Meta nie ma podstawy prawnej do przetwarzania tak ogromnych ilości danych osobowych w całkowicie nieokreślonych celach.
– Meta zasadniczo mówi, że może wykorzystywać „dowolne dane z dowolnego źródła w dowolnym celu i udostępniać je każdemu na świecie”, o ile odbywa się to za pomocą technologii sztucznej inteligencji – zarzuca Max Schrems, założyciel Noyb.
Organizacja podnosi też, że spółka „podjęła wszelkie kroki, aby zniechęcić użytkowników do korzystania z prawa wyboru”. Chodzi między innymi o stosowanie tzw. dark patterns, czyli mechanizmów, które mają na celu skłonić użytkownika do wyboru opcji korzystnej dla platformy. Meta przyznaje również, że przetwarzanie danych osobowych jest nieodwracalne i nie będzie w stanie w przyszłości zrealizować „prawa do bycia zapomnianym”.
Kopalnia problemów
– Skarga Noyb ma szansę powodzenia – uważa dr Iga Małobęcka-Szwast, adiunktka z Wydziału Prawa i Administracji Uniwersytetu Warszawskiego. – Wyrażenie sprzeciwu na wykorzystywanie naszych danych do trenowania sztucznej inteligencji Mety kosztuje dużo zachodu, podczas gdy – nieproporcjonalnie – brak sprzeciwu jest domyślny i nie wymaga od użytkownika żadnego wysiłku. To niezgodne z RODO – argumentuje prawniczka.
W udostępnionym przez big tech formularzu sprzeciwu trzeba m.in. podać uzasadnienie. Z doświadczeń osób, które już go wypełniały, a także naszego testu wynika, że wystarczy podać byle jaki powód. – Ale przeciętny użytkownik, który dostaje od Facebooka czy Instagrama wiadomości o nowej polityce prywatności, nie wie, jakie argumenty poskutkują. Platformy o tym nie informują – wskazuje Iga Małobęcka-Szwast. – Co więcej, RODO nie nakazuje podawania przyczyny braku zgody na przetwarzanie danych – podkreśla.
Dodaje, że zgodnie z RODO konieczne jest ograniczenie celu i czasu przetwarzania danych. – Natomiast tu mamy szeroki cel przetwarzania. Jest mowa o szkoleniu AI, ale nie wskazano konkretnego modelu, który będzie się uczył na naszych danych. Czas przetwarzania jest nieograniczony, a do tego dane mogą być udostępnianie podmiotom trzecim. To kopalnia problemów – stwierdza.
Doktor Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński i członek społecznego zespołu ekspertów przy PUODO, także ocenia, że skargi Noyb mają dość duże szanse powodzenia.
– Pobieranie danych z internetu, czyli web scraping, w celu trenowania sztucznej inteligencji budzi wiele wątpliwości w związku z RODO. Podstawą takiego przetwarzania danych może być zgoda albo uzasadniony interes – z tym że ten ostatni jest kwestionowany. Facebook do swoich celów bez trudu mógł wybrać zgodę, przecież chodzi o treści udostępniane na ich platformie. Oparcie się w tej sytuacji na uzasadnionym interesie jest moim zdaniem bardzo wątpliwe, gdyż równowaga między stronami jest zachwiana: wszystkie atuty są po stronie platformy. Pewnie dlatego Facebook na wszelki wypadek akceptuje wszystkie sprzeciwy – mówi Paweł Litwiński.
Iga Małobęcka-Szwast przypomina też wyrok Trybunału Sprawiedliwości Unii Europejskiej z 4 lipca 2023 r. (sprawa C-252/21). – Wprawdzie dotyczył on reklamy behawioralnej, ale przetwarzanie danych przez AI jest co najmniej tak samo inwazyjne, jeżeli nie bardziej. Skoro więc Meta nie może polegać na uzasadnionym interesie w przypadku przetwarzania danych na potrzeby profilowania reklam, to także na potrzeby trenowania AI nie będzie to dopuszczalne – przypuszcza prawniczka.
We współpracy z Dublinem
Organizacja Maxa Schremsa chciałaby rozpatrzenia skarg na Metę w trybie pilnym.
– Byłoby to wskazane, bo skutek wykorzystania danych do trenowania AI będzie nieodwracalny, nie da się jej potem „oduczyć” – stwierdza dr Litwiński.
Zgodnie z mechanizmem one-stop-shop organy w innych krajach zasadniczo powinny przekazać skargi do Irlandii, gdzie znajduje się europejska siedziba koncernu.
To o tyle problematyczne, że organ ochrony danych w Dublinie (DPC) wydaje się akceptować postępowanie big techa.
– Meta opóźniła uruchomienie tej aktualizacji w związku z wieloma zapytaniami ze strony DPC, które zostały rozpatrzone – odpowiada na pytania DGP Risteard Byrne z biura prasowego DPC. – Meta zapewnia teraz użytkownikom powiadomienie, dodatkowe środki przejrzystości (artykuły w Centrum prywatności AI), dedykowany mechanizm sprzeciwu i cztery tygodnie od powiadomienia użytkowników do rozpoczęcia treningu sztucznej inteligencji – wylicza.
Irlandzki urząd nie potwierdził nam, czy otrzymał już skargę Noyb lub skargi innych użytkowników Facebooka i Instagrama. Nie odpowiedział też wprost, jakie jest jego stanowisko w tej sprawie.
Jak stwierdza, Meta poinformowała DPC, że wykorzysta wyłącznie dane osobowe użytkowników z UE udostępniane przez nich publicznie na jednej z tych platform w okresie szkolenia AI, przy czym nie będzie to dotyczyć użytkowników poniżej 18. roku życia.
– Biorąc pod uwagę to, że Meta dogadała się z DPC i że ten organ jest znany z bardzo liberalnego podejścia do big techów, przekazanie mu skarg nie byłoby dobrym rozwiązaniem. Podejście DPC wypacza sens mechanizmu one-stop-shop. Organy w innych krajach, np. polski UODO, mogą jednak uznać, że zachodzą tu wyjątkowe okoliczności i potrzeba pilnej interwencji dla ochrony praw osób w danym kraju. Wtedy mogą przyjąć środki tymczasowe (latem ub.r. zrobił to wobec Mety organ norweski – red.) i zwrócić się do EROD o wydanie decyzji wiążącej – wyjaśnia Iga Małobęcka-Szwast.
Spytaliśmy, jakie jest w tej sprawie stanowisko UODO, ale nie otrzymaliśmy odpowiedzi.
– UODO musi przede wszystkim zbadać swoją właściwość. Ponieważ siedziba Mety jest w Irlandii, właściwy będzie tamtejszy organ. Polski urząd mógłby jednak na podstawie art. 66 RODO w trybie pilnym zastosować środki tymczasowe, na maksymalnie trzy miesiące. Biorąc pod uwagę dotychczasowe doświadczenia z organem irlandzkim, to moim zdaniem nieuniknione, że sprawa trafi w końcu do EROD – stwierdza dr Litwiński.
Iga Małobęcka-Szwast uważa, że w sprawie nowej polityki prywatności Mety może też interweniować Komisja Europejska – na mocy aktu o rynkach cyfrowych (DMA), nakładającego określone wymagania na tzw. strażników dostępu i ich podstawowe usługi platformowe – w tym właśnie na Metę i jej platformy mediów społecznościowych. ©℗