Organizacja pozarządowa „Non of Your Business” (NOYB) wysłała skargi na portal X do urzędów ochrony danych w 9 krajach, w tym do Polski.
Sprawa ma związek z tym, że portal X (dawny Twitter), którego właścicielem jest Elon Musk, korzystał z danych osobowych użytkowników bez ich zgody, w celu szkolenia modelu sztucznej inteligencji Grok.
Wobec tego irlandzka Komisja Ochrony Danych (DPC) wszczęła postępowanie sądowe przeciwko X, aby powstrzymać nielegalne przetwarzanie i wykorzystywanie danych.
W efekcie Elon Musk zgodził się zaprzestać przetwarzania danych użytkowników z UE/EOG zaczerpniętych z postów na platformie X od 7 maja 2024 roku do 1 sierpnia 2024 roku, które służyły jako materiał szkoleniowy dla chatbota Grok.
Jednakże NOYB uznaje działania DPC za zbyt „nieśmiałe”. Zarzuca irlandzkiej komisji ochrony danych, że nie jest zainteresowana sednem sprawy i zadowala się jedynie „środkami łagodzącymi” [1].
NOYB w skardze do urzędów ochrony danych osobowych w 9 krajach Unii Europejskiej: Austrii, Belgii, Francji, Grecji, Irlandii, Włoch, Holandii, Polski i Hiszpanii wyartykułował szereg zarzutów, w tym między innymi, że portal X stosując formularz opt-out zamiast opt-in zniechęca użytkowników do prawa wyboru, a także do wyrażania sprzeciwu do trenowania AI na danych osobowych.
Określenia „opt in” oraz „opt out” to nic innego jak prawo do wyrażenia zgody na przetwarzanie danych oosbowych (opt in) oraz prawo do rezygnacji (opt out) z przetwarzania niektórych danych osobowych.
Podejście opt in czyli prawo do wyrażenia zgody na przetwarzanie danych osobowych zostało przyjęte w ogólnym rozporządzenia o ochronie danych (RODO). W tym podejściu, administrator może przetwarzać, a czasami również przekazywać dane osobowe tylko jeśli osoba wyrazi na to zgodę. Taka orientacja, przenosi ciężar z osoby fizycznej na administratora. Przy takim stanowisku, to na administratorze ciąży obowiązek uzyskania zgody osoby, której dane chce przetwarzać. To rozwiązanie uznawane jest za bardziej korzystne z perspektywy osób, których dane dotyczą [2].
Podejście opt out to prawo do rezygnacji z przetwarzania niektórych danych. W tym systemie domyślną zasadą jest, że organizacje są uprawnione do przetwarzania danych, ale są zobowiązane do zapewnienia osobom fizycznym możliwości rezygnacji. Jeśli dany administrator korzysta z opcji opt out, to jeśli podamy np. w formularzu kontaktowym swój adres e-mail, administrator ma prawo wykorzystać te dane. Jeśli administrator zapewnił odpowiednie powiadomienie i umożliwił rezygnacje to wykorzystanie danych jest całkowicie legalne. W takim założeniu to na osobie fizycznej spoczywa ciężar korzystania z przysługujących jej praw i jeśli chce by jej dane nie były wykorzystywane to musi podjąć działanie. W przypadku gdy osoba skorzysta z prawa do rezygnacji, wykorzystanie jej danych traci walor legalności i jest zabronione [2]. W ramach tej opcji, osoba fizyczna nie ma możliwości zabronić administratorowi przetwarzania jej danych osobowych, bowiem samo przetwarzanie odbywa się na podstawie innej, niż wyrażona przez osobę, której dane dotyczą, zgoda; często jest to np. art. 6 ust. 1 lit. f) RODO czyli prawnie uzasadniony interes administratora. Przy czym często powstaje wątpliwość czy w danej sytuacji występuje możliwość posłużenia się przez administratora podstawą z art. 6 ust. 1 lit. f) RODO, czyli czy faktycznie istnieje prawnie uzasadniony interes w rozumieniu art. 6 ust. 1 lit. f) RODO, który przeważałby nad interesem jednostki (na marginesie – ta kwestia również jest przedmiotem skargi NOYB na portal X).
Wracając do konkretnego przypadku platformy X, NOYB zarzuca, że osoby, których dane dotyczą nie zostały poinformowane, gdy X wprowadził nowe domyślne ustawienie polegające na pozyskiwaniu wszystkich danych na platformie X w celu szkolenia Grok i innych „modeli uczenia maszynowego lub sztucznej inteligencji”. To oznaczało, że osoby, których dane dotyczą nie mogły zrezygnować z przetwarzania ich danych („opt out”) przed rozpoczęciem przetwarzania. Co więcej, opcja rezygnacji („opt out”) z przetwarzania nie jest wyraźnie wyświetlana użytkownikom. Funkcjonalność pozwalająca na zarządzanie domyślnie zaznaczonym zezwoleniem na wykorzystanie danych do szkolenia sztucznej inteligencji („opt in”) oraz odpowiadająca mu opcja rezygnacji nie były początkowo dostępne z poziomu aplikacji X. Zamiast tego, użytkownicy mogli uzyskać dostęp do tej funkcjonalności tylko poprzez zalogowanie się na platformę X za pośrednictwem przeglądarki internetowej. Po zalogowaniu się, użytkownik musi się jednak zmierzyć z sześcioma dodatkowymi krokami, które prowadzą do dostępu do opcji rezygnacji z przetwarzania danych. Takie, celowe działanie mające na celu uniemożliwienie osobie, której dane dotyczą uzyskanie wiedzy o przetwarzaniu jej danych, a zarazem obniżenie wskaźnika rezygnacji z przetwarzania danych są wyraźnie „nierzetelne” i narusza zasadę rzetelności, o której mowa w art. 5 ust. 1 lit. a) RODO. Nadto, X nie udziela niezbędnych informacji dotyczących przetwarzania danych w sposób „zwięzły, przejrzysty, zrozumiały i łatwo dostępny” i nie używa przy tym „jasnego i prostego języka” zgodnie z art. 12 i 13 RODO, co również prowadzi do naruszenia zasady przejrzystości wynikającej z art. 5 ust. 1 lit. a) RODO [3].
NOYB alarmuje, że jest wysoce prawdopodobne, że przetwarzanie danych osobowych, o którym mowa w skardze, będzie nieodwracalne, a zatem X nie będzie w stanie zrealizować prawa do »bycia zapomnianym«, gdy dane osobowe osoby skarżącej zostaną wchłonięte przez (nieokreśloną) technologię »modeli uczenia maszynowego lub sztucznej inteligencji«”.
Prezes UODO, w kontekście złożonej przez NOYB skargi, zauważył, że cyt. „w ostatnim czasie obserwujemy przypadki, w których wykorzystywanie danych osobowych na szeroką skalę, bez jasnych podstaw prawnych, prowadzi do naruszeń przepisów RODO, co może skutkować poważnymi konsekwencjami prawnymi dla podmiotów odpowiedzialnych”.
Przykładem może być Meta, wobec której NOYB także wystosował skargi. Działania okazały się skuteczne, bowiem Big Tech tymczasowo przestał szkolić swój model sztucznej inteligencji na danych osobowych europejskich użytkowników Facebooka i Instagrama.
„Warto podkreślić, że temat ochrony danych osobowych w kontekście rozwoju nowoczesnych technologii, takich jak sztuczna inteligencja, jest coraz bardziej palący. UODO nie pozostaje obojętny na te zagrożenia i z pewnością będzie działać na rzecz ochrony praw osób, których dane są przetwarzane w ramach takich projektów” (Prezes UODO – Mirosław Wróblewski).
[1] https://noyb.eu/en/twitters-ai-plans-hit-9-more-gdpr-complaints
[2] https://iapp.org/news/a/opt-in-vs-opt-out-approaches-to-personal-information-processing/
[3] https://noyb.eu/sites/default/files/2024-08/PL_Twitter_AI_bk.pdf