Novi pogoji podjetja Meta, ki mu omogočajo uporabo tako javnih kot zasebnih uporabniških podatkov za usposabljanje svojih AI modelov, so ustvarili precejšnja varnostna tveganja za uporabnike socialnih omrežij, kot so Facebook, Instagram in Theads. Tudi Microsoft se je soočal s podobnimi težavami s funkcijo Recall, ki so jo posledično morali umaknili.

Uporaba podatkov uporabnikov podjetja Meta pod strogim nadzorom

Nova politika zasebnosti podjetja Meta se sooča s pravnimi izzivi v več evropskih državah zaradi načina, kako podjetje namerava uporabiti osebne podatke uporabnikov za usposabljanje svojih modelov umetne inteligence. Podjetje je pred kratkim uvedlo nove pogoje, ki mu omogočajo uporabo tako javnih kot zasebnih uporabniških podatkov, zbranih od leta 2007, za usposabljanje svojih AI modelov, kar je po njihovem mnenju dovoljeno v skladu z veljavno zakonodajo o zasebnosti.

"Glede uporabe podatkov uporabnikov podjetja Meta za razvoj sistemov umetne inteligence pojasnjujemo, da na IP tematiko zaradi tveganj za posameznike pozorno spremljamo. Glede storitev, ki zadevajo vse evropske uporabnike, vsi organi za varstvo osebnih podatkov v EU tesno sodelujemo in se obveščamo, kot nam tudi nalaga Splošna uredba o varstvu podatkov. Vodilno vlogo pri obravnavi pritožb prevzame organ, iz države, kjer je podjetje ustanovljeno," za naš spletni medij Maribor24 pojasni Informacijski pooblaščenec (IPRS).

[[image_1_article_68380]]

"V skladu z Zakonom o varstvu podatkov Združenega kraljestva in Splošno uredbo o varstvu podatkov EU bomo za obdelavo določenih podatkov prve in tretje osebe v evropski regiji in Združenem kraljestvu za izboljšanje umetne inteligence v podjetju Meta uporabili pravno podlago," je povedalo podjetje Meta za Forbes. "Natančneje, imamo legitimne interese za obdelavo podatkov za razvoj teh storitev, kar pomeni, da lahko ljudje temu ugovarjajo z obrazcem, ki ga najdejo v našem Centru za zasebnost, če to želijo. Ta pristop je skladen s tem, kako druge tehnološke družbe razvijajo in izboljšujejo svoje AI izkušnje v Evropi," doda Meta. 

Več o tem kako družba Meta uporablja podatke za generativne modele umetne inteligence in funkcije lahko preberete na tej povezavi.

Vendar pa skupina za zaščito zasebnosti Noyb trdi, da politika, ki bi se uporabljala za Facebook, Instagram in Threads, ni tako skladna, kot trdi Meta. Skupina je vložila pritožbe v 11 evropskih državah in pozvala njihove organe za varstvo podatkov, naj sprožijo nujni postopek, da preprečijo izvajanje nove politike pred 26. junijem. Noyb navaja, da uporabljeni podatki vključujejo tudi neaktivne Facebook račune ter dodatne informacije od tretjih oseb ali podatke, pridobljene s spleta. Izjema so le klepeti med posamezniki, pravi skupina.

Podjetje Meta začasno odložilo uporabo podatkov svojih uporabnikov

"V konkretnem primeru je podjetje Meta začasno odložilo uporabo podatkov uporabnikov družbenih omrežij Facebook in Instagram iz EU in EGP za razvoj in izboljšanje umetno inteligenčnih sistemov, ki jih razvija to podjetje in trenutno naj ne bi obdelovalo osebnih podatkov v ta namen. Iz informacij Metinega Središča za zasebnost izhaja, da bo Meta uporabnike obvestila, preden bo začela uporabljati njihove podatke ter jih obenem obvestila tudi o tem, kako bodo lahko uveljavljali pravico do ugovora," razloži IPRS.

Irski nadzorni organ za varstvo osebnih podatkov (DPC) pozdravlja odločitev Mete, da začasno ustavi načrte za usposabljanje svojega jezikovnega modela z uporabo javnih vsebin iz Facebooka in Instagrama. DPC bo v sodelovanju z drugimi evropskimi organi za varstvo podatkov nadaljeval sodelovanje z Meto glede te zadeve. Več preberite tukaj.

IPRS pojasni, da "lahko posamezniki v zvezi z obdelavo njihovih osebnih podatkov, ki jih obdeluje podjetje Meta, uveljavljajo vse pravice, ki jim pripadajo na podlagi Splošne uredbe o varstvu podatkov. Zahtevajo lahko na primer dostop do osebnih podatkov in se na ta način seznanijo s tem, katere podatke o njih podjetje Meta sploh obdeluje, zahtevajo lahko tudi popravek osebnih podatkov, če so ti napačni, pod določenimi pogoji pa lahko zahtevajo tudi njihov izbris."

"V navedenem primeru je še posebej pomembna pravica do ugovora, s katero lahko posamezniki od podjetij, ki obdelujejo njihove podatke, zahtevajo, da jih prenehajo uporabljati. V tovrstnih primerih lahko podjetja le izjemoma še naprej obdelujejo osebne podatke posameznikov in sicer če dokažejo, da nujni legitimni razlogi za obdelavo prevladajo nad interesi, pravicami in svoboščinami posameznikov ali pa za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov. Uporabniki družbenih omrežij Facebook, Instagram in Threads lahko uveljavljajo svoje pravice v zvezi z obdelavo osebnih podatkov, ki se nanašajo nanje, v Metinem Središču za zasebnost, kjer se lahko seznanijo tudi s pravilnikom o zasebnosti," doda.

Tudi Microsoft je umaknil podobno funkcijo uporabe podatkov

Umetna inteligenca predstavlja številne izzive z vidika varstva osebnih podatkov tako za razvijalce tovrstnih tehnologij, kot tudi za podjetja in organizacije, ki jih želijo uvesti v svoje procese, in nenazadnje, za posameznike.

[[image_3_article_68380]]

Tudi Microsoft se je soočal s težavami s funkcijo Recall, odkar so jo napovedali za Windows 11. Ta funkcija naj bi redno zajemala posnetke zaslona dejavnosti uporabnikov na računalniku in ustvarjala časovnico, ki naj bi jo bilo mogoče iskati z uporabo umetne inteligence. Nedvomno je to močna sposobnost, ki pa je sprožila veliko vprašanj glede varnosti in zasebnosti. Zaradi teh pomislekov je Microsoft umaknil Recall iz lansiranja računalnikov in ga za zdaj vrnil v fazo testiranja. 

IPRS: "V primeru ponudnika Microsoflt gre prav tako najverjetneje za obdelave podatkov, ki so čezmejne narave. V primeru pritožb tako po Splošni uredbi sodelujemo vsi nadzorni organi iz EU, kjer so uporabniki storitev. S podrobnejšimi informacijami trenutno ne razpolagamo."

"Uvajanje tovrstnih rešitev brez tehtnega premisleka o tem, kakšne posledice lahko imajo za posameznike in družbo kot celoto, ima lahko daljnosežne posledice. Posebej nas skrbijo vplivi generativne umetne inteligence na ranljive skupine; poleg otrok mednje lahko prištevamo tudi starejše, ki po eni strani pogosteje niso seznanjeni s tveganji tovrstnih tehnologij, obenem pa lahko vezanost nanje pri opravljanju vsakdanjih opravil povzroči, da je del starejših prikrajšan za dostop do določenih storitev, bodisi ker tovrstne tehnologije sploh ne znajo uporabljati ali pa ji zgolj ne zaupajo," pojasni IPRS.

Tveganje za posameznike predstavlja predvsem kompleksnost in netransparentnost obdelave osebnih podatkov v sistemih umetne inteligence, saj je pogosto težko razložiti, kako poteka obdelava. Varstvo podatkov zahteva, da so informacije o obdelavi podatkov podane jedrnato, pregledno, razumljivo in v jasnem jeziku. V praksi je tem standardom težko zadostiti, vendar to ne odvezuje upravljavcev od obveznosti ustreznega obveščanja. Posamezniki morajo biti jasno informirani o namenih in trajanju obdelave njihovih podatkov, kar je ključno za uresničevanje njihovih pravic.

»Če posameznik ne ve, da se njegovi podatki obdelujejo, težko uveljavlja svoje pravice«

"Poleg njihove kompleksnosti, je za sisteme umetne inteligence, posebej za modele generativne umetne inteligence značilno, da za učenje potrebujejo velike količine podatkov, ki se zbirajo iz najrazličnejših virov. Pogosto gre za osebne podatke, ki so bili prvotno zbrani z drugim namenom in se nato ponovno uporabijo za namen učenja modela. Vendar pa tudi javno dostopnih osebnih podatkov, ki so na primer objavljeni na spletu, ni dopustno obdelovati brez zakonite pravne podlage," pojasni IPRS.

Varstvo osebnih podatkov daje posameznikom pravice, s katerimi lahko proaktivno zaščitijo osebne podatke, ki se nanašajo nanje, in se zoperstavijo obdelavi osebnih podatkov, če menijo, da je nezakonita. IPRS izpostavi, da "morajo biti posamezniki obveščeni o nekaterih bistvenih vidikih obdelave osebnih podatkov v jedrnati in razumljivi obliki ter v enostavnem jeziku, pri tem morajo upravljavci posebno pozornost nameniti informiranju otrok."

Več o umetni inteligenci in varstvu osebnih podatkov si lahko preberete na tej povezavi.

Poleg tega lahko posamezniki zahtevajo tudi dostop do osebnih podatkov, ki se nanašajo nanje, vključno z njihovo kopijo. Če menijo, da so osebni podatki napačni, lahko zahtevajo njihov popravek, saj imajo pravico do popravka, če menijo, da upravljavec podatkov ne potrebuje več, pa lahko zahtevajo tudi njihov izbris, saj imajo pravico do izbrisa. Če upravljavec na njihovo zahtevo ne odgovori v enem mesecu, lahko podajo pritožbo nadzornemu organu, tj. Informacijski pooblaščenec. Pri tem ni pomembno, ali je upravljavec, zoper katerega je podana pritožba, slovensko podjetje ali pa gre za podjetje v drugi evropski državi ali celo v državi zunaj EU.