Masovno strganje osebnih podatkov je nezakonito
Skupna izjava nadzornih organov je glede izzivov nezakonitega strganja osebnih podatkov iz družabnih omrežij in drugih spletnih mest jasno izpostavlja pričakovanja, da se platforme in spletna mesta zaščitijo pred nezakonitim strganjem podatkov
Izjava je bila objavljena 24.8.2023
Skupna izjava, ki jo je podpisala dvanajsterica mednarodnih nadzornih organov, vključno z britanskim, švicarskim, norveškim, avstralskim in kanadskim, je pozvala glavne platforme družabnih omrežij, naj zaščitijo javne objave uporabnikov pred strganjem. Gre za opozorilo, da se soočajo s pravno odgovornostjo torej na večini trgov, saj »v večini jurisdikcij za osebne podatke, ki so "javno dostopni", "javno dostopni" ali "javne narave" na internetu, veljajo zakoni o varstvu podatkov in zasebnosti.« »Posamezniki in podjetja, ki zbirajo takšne osebne podatke, so zato odgovorni za zagotavljanje skladnosti s temi in drugimi veljavnimi zakoni. Vendar pa imajo upravljavci družbenih omrežij in upravljavci drugih spletnih mest, ki gostijo javno dostopne osebne podatke, tudi obveznosti varstva podatkov v zvezi s strganjem tretjih oseb z njihovih spletnih mest. Te obveznosti na splošno veljajo za osebne podatke, ne glede na to, ali so ti javno dostopni ali ne. Množično strganje osebnih podatkov lahko v številnih jurisdikcijah predstavlja kršitev podatkov, ki jo je treba prijaviti.«
Čas izjave, ki so jo podpisali tudi regulatorji zasebnosti v Hong Kongu, Novi Zelandiji, Kolumbiji, Jerseyju, Maroku, Argentini in Mehiki – ki so vsi člani delovne skupine za mednarodno sodelovanje pri izvrševanju skupščine Global Privacy Assembly – sovpada z vznemirjenjem okoli generativnih modelov umetne inteligence, ki običajno zahtevajo velike količine podatkov za usposabljanje in bi lahko spodbudili več subjektov, da brskajo po internetu, da bi pridobili nabore podatkov, skočijo na generativni AI. Odmevni primer je ChatGPT, ki se je zanašal (vsaj delno) na podatke, objavljene na spletu za usposabljanje svojih sistemov – in skupinska tožba, vložena proti ameriškemu podjetju junija, o kateri je poročal CNN Business, trdi, da je na skrivaj pobrala "ogromne količine osebnih podatkov iz interneta".
Pomembno vlogo pri pripravi izjave ima praksa podjetja Clearview AI, Inc, ki je bila že predmet več postopkov v evropskih in drugih nadzornih organov, ki so poudarili, da je strganje nezakonito in ga tudi prepovedali.
Glavni poudarki skupne izjave so:
Za osebne podatke, ki so javno dostopni, v večini jurisdikcij še vedno veljajo zakoni o varstvu podatkov in zasebnosti.
Upravljavci družabnih omrežij in upravljavci spletnih mest, ki gostijo javno dostopne osebne podatke, imajo v skladu z zakoni o varstvu podatkov in zasebnosti obveznosti za zaščito osebnih podatkov na svojih platformah pred nezakonitim strganjem podatkov.
Incidenti množičnega strganja podatkov, ki zbirajo osebne podatke, lahko v številnih jurisdikcijah pomenijo kršitve varstva podatkov, ki jih je treba prijaviti.
Posamezniki lahko tudi sami sprejmejo ukrepe za zaščito svojih osebnih podatkov pred strganjem podatkov, upravljavci družabnih omrežij pa morajo omogočiti uporabnikom, da uporabljajo njihove storitve na način, ki ščiti zasebnost.
Poleg javne objave izjave so regulatorji kopijo poslali upravljavcem YouTube, TikToka, Instagrama, Facebooka in Threads, LinkedIna, Weibo in Xa, ter jih pozvali, da se v enem mesecu odzovejo s povratnimi informacijami, ki dokazujejo, kako bodo izpolnili pričakovanja regulatorjev.
Dostop do skupne izjave.
Vir: ICO, OAIC, TechCrunch
Naslovna slika: RawPixel
