Tag: #rodo

ClearView AI z kolejną (-nymi) karą (-ami)

3 minuty

(uwaga, będzie długo, ale turbo ciekawie)

Kto to ClearView AI? 

Jest to firma zajmująca się tworzeniem rozwiązań do rozpoznawania twarzy, a do tego celu wykorzystują zdjęcia i filmy różnych ludzi znalezione w Internecie (w tym także na mediach społecznościowych pokroju Facebook, Instagram itd.). W oparciu o bazę, przyporządkowują zdjęcia 👧 🧒 👦do poszczególnych ludzi wykorzystując do tego sztuczną inteligencję. Dzięki temu stworzyli swego rodzaju wyszukiwarkę ludzi, na podstawie zdjęć. 

🚫🚫🚫 Co oznacza, że przetwarzają dane biometryczne, co do których zasadniczo jest zakaz przetwarzania, chyba że ma się specjalną przesłankę (art. 9 RODO). 🚫🚫🚫

💡 Ciekawostka 💡

Z usług Clearview AI korzystała swego czasu m.in. szwedzka Policja i… oberwała za to karą (250.000 €).

Ok, to tyle tytułem wstępu. Jedziemy dalej, bo ciekawe jest to, co się wydarzyło.

  1. Maj 2020 🇫🇷

Francuski odpowiednik Prezesa Urzędu Ochrony Danych Osobowych (CNIL) dostaje info, że jest sobie taki podmiot jak Clearview AI i rozpoczyna postępowanie.

  1. Listopad 2021 🇫🇷

CNIL ostrzega Clearview AI, że mają 2 miesiące na wstrzymanie zbierania danych francuskich obywateli z uwagi na brak podstawy prawnej, a do tego nakazuje umożliwienie wszystkim tym osobom realizację praw wynikających z RODO (w tym np. prawo do bycia zapomnianym). Clearview AI nie odpowiada.

  1. Październik 2022 🇫🇷

CNIL stwierdza, że Clearview AI nie dostosowało się do tego orzeczenia i nakłada karę w wysokości 20.000.000 Euro 💸💸💸 jednocześnie wzywając do zaprzestania przetwarzania danych. A do tego daje 2 miesiące (kolejne) na dostosowanie się, a jak nie to kara 100.000 Euro za każdy dzień opóźnienia. Clearview AI nie odpowiada.

  1. Kwiecień 2023 🇫🇷

CNIL nakłada kolejną karę na Clearview AI, tym razem 5.200.000 Euro 💸💸💸 za niewywiązanie się z obowiązków określonych w decyzji z października 2022. Clearview AI nie odpowiada.

Stop, stop! It’s already dead!…. Czyżby? Bo to nie koniec!

  1. Marzec 2022 🇮🇹

Włoski organ ochrony danych nakłada 20.000.000 Euro 💸💸💸 kary za takie samo naruszenie, co CNIL. Jednocześnie zakazując dalszego przetwarzania.

  1. Czerwiec 2022 🇬🇷

Grecki organ ochrony danych nakłada 20.000.000 Euro 💸💸💸 kary za takie samo naruszenie, co CNIL. Jednocześnie zakazując dalszego przetwarzania.

  1. Maj 2023 🇦🇹

W tzw. międzyczasie austriacki organ nadzorczy (DSB) stwierdza, że Clearview AI dysponuje bazą danych zawierającą m.in. 30.000.000.000 (tak, to jest 30 MILIARDÓW) zdjęć twarzy ludzi z całego świata. Zdjęcia te zostały pobrane z Internetów, a następnie przy wykorzystaniu sztucznej inteligencji przekształcono je w zdjęcia biometryczne umożliwiające przypisanie konkretnej osoby do konkretnego zdjęcia (czyli DSB stwierdził to samo co CNIL). Jednocześnie wzywając do zaprzestania przetwarzania danych, ale tylko skarżącego (a nie jak we Francji, Grecji czy Włoszech – wszystkich danych) oraz do wyznaczenia swojego przedstawiciela w Unii (spółka nie ma siedziby w UE, tylko w Stanach Zjednoczonych). Nie znalazłem żadnych informacji czy Clearview AI się w jakikolwiek sposób do tego odniosło.

  1. Brytyjski organ też nałożył karę na Clearview AI w wysokości 7.500.000 funtów.

Co to oznacza w teorii? W teorii Clearview AI ma zakaz przetwarzania danych i nakaz usunięcia wszystkich danych, a także kilkadziesiąt milionów euro kary. Pytanie tylko czy coś sobie z tego robi? 

Na chwilę obecną, tak – ignoruje.

Mój komentarz w tej sprawie jest mimo wszystko prosty – przepisy dotyczące ochrony danych osobowych w Unii Europejskiej są dobre, ale… ale ich egzekwowanie już niestety jest mocno utrudnione, a może nawet niemożliwe w niektórych przypadkach. Czy to oznacza, że powinniśmy przestać się interesować tym kto, jakie i dlaczego przetwarza nasze dane? 🤔

Absolutnie nie! 🙅‍♂️

Wręcz przeciwnie. Im więcej takich spraw, tym świadomość społeczna jest większa, a to potrafi zmieniać politykę niejednej firmy. To wszystko w tym newsie, dbajcie o siebie, a przede wszystkim – uważajcie co i gdzie publikujecie. 

Pamiętajcie, coś raz wrzucone do Internetów pozostanie tam… na zawsze. I może to znaleźć, a następnie wykorzystać absolutnie każdy.

ChatGPT 🤖 vs Włochy 🇮🇹 (runda 2)

2 minuty

Kilka tygodni temu pisałem o tym, że Włochy jako pierwszy kraj w UE zbanowały ChatGPT, chwilę później inne kraje potwierdziły, że też się nad tym zastanawiają. Czy coś się wydarzyło od tego czasu? Otóż tak. Zadziało się kilka rzeczy.

Garante (włoski PUODO) porozmawiał sobie z szefem Open.ai i nakazał aby do 30 kwietnia:

  1. ChatGPT wymagał deklaracji wieku od użytkownika;
  2. ChatGPT będzie prezentował zarejestrowanym użytkownikom informację o konieczności potwierdzenia pełnoletności, co będzie prowadziło do filtrowania treści dla użytkowników, niepełnoletnich.

A to jeszcze nie wszystko, Garante nakazał usunięcie umowy jako podstawy przetwarzania (w odniesieniu do wykorzystywania danych w celu trenowania algorytmów). Garante zwrócił uwagę, że na obecnym etapie podstawą do takiego przetwarzania może być tylko zgoda lub uzasadniony interes administratora. 

🧁 A do tego crème de la crème 🧁

ChatGPT ma umożliwić każdemu (nawet osobom, które nie korzystają z niego) realizację praw wynikających z RODO!

Co się pod tym kryje? 🤔

Quick recap – RODO „przyznaje” określony szereg praw nam, osobom których dane są przetwarzane. Dzięki tym prawom możemy napisać do dowolnego podmiotu i dowiedzieć się czy przetwarzają nasze dane, a także dlaczego, jak długo i w ogóle takie tam. Te prawa umożliwiają też poprawienie danych jeśli są błędne (np. gdy zmienimy nazwisko lub adres), złożenie sprzeciwu wobec przetwarzania w niektórych przypadkach, a nawet prawo do usunięcia danych osobowych (tzw. prawo do bycia zapomnianym).

Tutaj jeszcze krótkie wyjaśnienie czym są modele językowe, jak właśnie ChatGPT (zwane też sztuczną inteligencją). ChatGPT to program, który korzysta z przeogromnej bazy danych (pierwotnie dodano do niego bazę zawierającą około 300.000.000.000 słów) i udziela odpowiedzi na zadane pytania. Co jednak istotne, za każdym razem kiedy ktoś korzysta z tego programu, ten program się „uczy” dodając do tej bazy kolejne dane, które ten ktoś mu podaje. 

Seems legit, right? Ok, a co jeśli tam są dane osobowe? No właśnie. Tu właśnie wszedł Garante, cały na biało, nakazując dostosowanie narzędzia do wymogów RODO.

Innymi słowy, ChatGPT ma umożliwiać użytkownikom realizację tych wszystkich praw, w tym usunięcia danych na ich temat. Nie jestem specjalistą od pisania takich algorytmów sztucznej inteligencji, ale jednak przeczucie coś mi mówi, że to nie będzie takie proste. Nawet sam przedstawiciel Open.ai powiedział, że będą się starać realizować te prawa, ale w takim zakresie, w jakim będzie to możliwe. Zobaczymy co będzie dalej z tym tematem, bo dodatkowo, Europejska Rada Ochrony Danych Osobowych (to takie unijne ciało, które zrzesza wszystkie urzędy ochrony danych w UE) powołała specjalną grupę do zbadania tego tematu.

Kolejne kraje rozważają zakazanie ChatGPT

1 minuta

Kilka dni temu pisałem o tym, że włoski UODO zakazał tymczasowo korzystania z ChatGPT. Otóż, dzieje się coraz więcej na tym polu, bo kolejne kraje tzw. Zachodu rozważają podobny krok. Myślą o tym m.in. Niemcy, Szwedzi, Francuzi i Kanadyjczycy. Całą sytuację śledzi też m.in. Irlandzki komisarz ds. ochrony danych, który stwierdził, że działania w tym zakresie będą koordynowane ze wszystkimi organami ochrony danych w UE.

Avast biedniejszy o 13,7 mln euro

1 minuta

Pamiętacie, jak kiedyś wyszło, że Avast (tak, ten od antywirusów) sprzedawał reklamodawcom (m.in. Google, Microsoft, Sephora, Home Depot…) dane swoich użytkowników? Nie? Tutaj możecie o tym poczytać. 

Otóż zainteresował się tym hiszpański organ nadzorczy (odpowiednik polskiego Prezesa Urzędu Ochrony Danych), ale przetransferował sprawę do czeskiego organu. No i ten przeanalizował sprawę (zajęło mu to ponad dwa latai stwierdził, że Avast niedostatecznie informował użytkowników w momencie uzyskania od nich danych:

  • w jakich celach je zbiera
  • na jakiej podstawie je zbiera.

A jakie dane Avast zbierał? A różne: 🗺 dane o lokalizacji, 🎞obejrzane filmy na Youtube, 🪪 profile które przeglądaliśmy na LinkedIn, 🌐 strony w internetach jakie przeglądaliśmy i wiele, wiele innych. Wniosek?

💸💸💸

13,7 mln euro kary za naruszenie RODO

💸💸💸

Więcej info na stronie hiszpańskiego NGO, który jako pierwszy poinformował hiszpański organ nadzorczy o tej sprawie.

Meta znów atakuje, ale NOYB trzyma się mocno

2 minuty

Jakiś czas temu Meta (czyli Facebook, Instagram, Whatsapp, Metaverse) przegrał w grudniu 2022 r. srogo batalię przed Europejską Radą Ochrony Danych Osobowych (EROD). Co było przedmiotem tej bitwy? W dużym skrócie, przetwarzanie przez Metę danych osobowych użytkowników w celach marketingowych i do personalizacji reklam na podstawie zapisu w regulaminie (czyli na podstawie umowy i art. 6 ust. 1 lit. b RODO). Kto z Was przed dołączeniem do Facebook’a czy Instagrama przeczytał ze zrozumieniem cały regulamin? No własnie…

Według stanowiska EROD (tutaj jest link do stanowisk EROD a tutaj znajdziesz opracowanie tych stanowisk przez NOYB), aby dalej korzystać z danych osobowych do personalizacji reklam, Meta musi uzyskać zgodę od swoich użytkowników. Co ważne, musi być to zgoda „opt-in”, czyli innymi słowy „najpierw zgoda, a dopiero później zbieranie i personalizacja danych”. Meta miała 3 miesiące na dostosowanie się do tego wymogu. Co wymyśliła? 

Zmorę każdego Inspektora Ochrony Danych… Zamiast na zgodzie oparła się bowiem na…

uzasadnionym interesie administratora!!!

Co to oznacza w praktyce? 

Otóż to, że Meta będzie dalej (niemal bezkarnie) przetwarzać dane osobowe w celach marketingowych i personalizować użytkowników żeby lepiej targetować reklamy, a to użytkownik będzie musiał się SPRZECIWIĆ (opt-out) takiemu przetwarzaniu. Co więcej, Meta tak zorganizowało cały proces, że złożenie sprzeciwu nie jest takie łatwe, bo trzeba najpierw znaleźć Centrum Pomocy, potem przejść do zakładki kontaktu z ich Inspektorem Ochrony Danych i tam wypełnić formularz

Umówmy się, po pierwsze kto szuka takich zakładek (no dobra, ja czasem to robię… Ale normalni ludzie tego nie robią :v), a po drugie, komu chce się wypełniać formularze?! Shame on you Meta, shame on you Mr. Z…

Innymi słowy, z jednej nielegalnej podstawy, do drugiej… Jeśli chcesz poczytać więcej na ten temat, polecam zajrzeć tutaj. Natomiast w tym miejscu znajduje się narzędzie stworzone przez NOYB żeby móc się sprzeciwić takiemu przetwarzaniu. Jeśli wpiszemy tam swój adres e-mail powiązany z kontem Meta (może to być facebook, może to być instagram itd.), to wygenerowana i wysłana zostanie automatycznie wiadomość do Inspektora Ochrony Danych Mety ze sprzeciwem. 

Chylę czoła panie Max Schrems, chylę czoła NOYB za to.

PS Oj będzie niedługo więcej na temat samej prywatności i shady praktyk BigTech’ów, które wykorzystują nasze dane. Mniej o bezpieczeństwie, więcej o prywatności.

Brytyjczycy ukarali TikTok’a (12,7 mln funtów)

1 minuta

Dyskusji nad TikTokiem ciąg dalszy. Tym razem brytyjski organ ds. ochrony prywatności (Biuro Komisarza ds. Informacji, z ang. Information Comissioner’s Office, ICO) sięgnął po rozwiązanie umożliwiające mu nałożenie kary na administratora. I CO? – można zapytać (see what I did there?). I nałożył na TikToka’ karę w wysokości 12,7 mln funtów za:

  1. brak rzeczywistego rozwiązania umożliwiającego weryfikację wieku przez użytkownika i brak zgody przedstawiciela ustawowego. To w konsekwencji prowadzi do przetwarzania przez TikTok’a do celów biznesowych danych osobowych małoletnich.
  2. brak przejrzystych informacji o tym jak TikTok przetwarza dane, komu je przekazuje.

Fun fact – ICO planował nałożyć karę w wysokości 27mln funtów, ale TikTok wskazał, że naruszenia nie dotyczyły danych wrażliwych.

O tym, jak hiszpańska La Liga chciała odzyskać rocznie 400 mln Euro podsłuchując fanów

1 minuta

W 2018 r. hiszpańska ekstraklasa – La Liga – postanowiła dodać do swojej apki pewną ciekawą funkcjonalność. Aplikacja zaczęła korzystać z lokalizacji GPS 🛰️ i mikrofonu 🎙️. „Po jakiego grzyba?!” – zapytacie. 

Otóż, La Liga miała plan (k. sprytny). 

Dzięki fanom, którzy będą mieli zainstalowaną tę aplikację, La Liga będzie śledzić… Czy bary (lub inne przybytki) w których puszczane są mecze La Ligi, posiadają licencję na odtwarzanie meczy na telewizorach. Jak to działało?

Otóż, aplikacja działała permanentnie w trybie „nasłuchiwania” (mikrofon w szmartfonie był włączony i wykorzystywany przez apkę) i nasłuchiwał określonych, charakterystycznych ukrytych sygnałów emitowanych w trakcie meczu (tzw. akustycznych odcisków palca). Podobnie działają wszelcy asystenci głosowi typu Alexa od Amazonu czy Siri od firmy z jabłuszkiem. Jeśli wyłapała taki odcisk, to wysyłała informację o lokalizacji do La Ligii, a ta analizowała czy dany lokal posiada licencję na odtwarzanie meczy. 

Jeśli nie 🔜 cyk, pisemko z wezwaniem do zapłaty za rozpowszechnianie meczu bez licencji.

Sprytnie prawda? Tak sprytnie, że dowiedział się o tym tamtejszy Prezes Urzędu Ochrony Danych i nałożył na La Ligę karę w wysokości prawie 300 tys. Euro.

Włoski Urząd Ochrony Danych Osobowych zakazuje korzystania z ChatGPT 🤖🤌

1 minuta

Chyba każdy z nas słyszał o ChatGPT, narzędziu które jesienią zeszłego roku zrewolucjonizowało wyszukiwanie informacji w Internetach. (Wypróbować można go samemu, za darmo, o tutaj 👉 Open.ai. Mam w planach, w najbliższej przyszłości, poświęcić cały wpis (może więcej niż jeden? 🤔) o rozwoju sztucznej inteligencji i jej wpływu na naszą prywatność, więc tutaj ograniczę się tylko do jednego news’a. 

Włoski organ ochrony danych osobowych (odpowiednik polskiego Prezesa Urzędu Ochrony Danych Osobowych) jako pierwszy kraj w Europie ZAKAZAŁ korzystania z ChatGPT!

Organ wskazał, że to narzędzie może naruszać europejskie przepisy chroniące prywatność obywateli Włoch oraz Unii Europejskiej. Dlatego dostęp do tego narzędzia został na jakiś czas zablokowany, do momentu pełniejszego zbadania sprawy. Głównym problemem, na który zwrócił uwagę organ, jest fakt, że osoby fizyczne, które korzystają z tego narzędzia i podają tam własne dane osobowe, de facto tracą kontrolę na tymi danymi, a sposób funkcjonowania sztucznej inteligencji uniemożliwia realizowanie podstawowych praw w zakresie prywatności i ochrony danych (jak np. prawo do usunięcia danych, modyfikacji itd.). Urząd wskazał też, że są poważne wątpliwości związane z brakiem weryfikacji wieku przez użytkowników. A to wszystko, m.in. na kanwie ostatniego naruszenia, którego dopuścił się Open.AI (twórca oprogramowania). 

Z pełną treścią komunikatu w języku włoskim i angielskim możesz zapoznać się o tu –  klik.

Ciekawostka w ciekawostce jest taka (meta-ciekawostka, heh), że Włochy nie są jedynym krajem na świecie, który zakazał korzystania z ChatGPT. Do grona tych krajów należą m.in. Chiny, Iran, Rosja czy Korea Północna.