Foto:Pixabay
Veštačka inteligencija (u daljem tekstu: AI) postaje sve dostupnija građanima širom sveta, a velike tehnološke kompanije se aktivno bore za dominaciju u ovoj oblasti. Trenutno u ovoj trci prednjači Microsoft, koji je većinski vlasnik kompanije OpenAI, poznate po generativnom čet-botu “ChatGPT”. Nesporno je da su podaci osnovni resurs ove borbe i da kompanija koja ima najveći broj korisničkih podataka ima najveće izglede za pobedu. Da bi došle do što većeg broja podataka za treniranje AI sistema, ove kompanije često pokušavaju da zaobiđu propise vezane za zaštitu podataka o ličnosti i poznate su po netransparentnom poslovanju u ovoj oblasti. Ipak, način na koji Meta trenutno obrađuje podatke korisnika iz Srbije kako bi unapredila svoje usluge na bazi AI, predstavlja otvoreno kršenje našeg Zakona o zaštiti podataka o ličnosti[1] (u daljem tekstu: Zakon).
Naime, Meta je za korisnike Instagrama i Fejsbuka iz Srbije od 26. juna 2024. godine počela da primenjuje izmenjenu Politiku privatnosti[2], u kojoj je navedeno da će se sadržaji koje korisnici u našoj zemlji objavljuju na ovim platformama koristiti za trening i prozvodnju sadržaja Metinih AI tehnologija. Meta na ovaj način obrađuje širok spektar podataka korisnika, između ostalog: vidljive objave, lajkove, komentare, geolokaciju, vreme objave, vrstu korišćenih uređaja, podatke o interakcijama sa prikazanim sadržajima, ali i podatke koje prikupljaju Metini partneri o aktivnostima korisnika na internetu izvan Instagrama i Fejsbuka.
Na koji način je ovakvim poslovanjem prekršen Zakon o zaštiti podataka o ličnosti?
Iako je svojim korisnicima iz država članica Evropske unije gotovo mesec dana unapred mejlom i notifikacijom najavila primenu izmenjene Politike privatnosti, Meta korisnike iz Srbije uopšte nije obavestila o novim pravilima i nije im dala priliku da se informišu o izmenama pre nego što je Politika privatnosti počela da se primenjuje. Ovim je prekršeno jedno od osnovnih načela[3] Zakona o zaštiti podataka o ličnosti, koje navodi da obrada podataka mora biti poštena i transparentna. Pored toga, obrada mora biti i zakonita, što nas dovodi do sledećeg problematičnog aspekta.
Zakonitost znači da za svaku obradu mora postojati valjan pravni osnov, a Zakon propisuje šest pravnih osnova, od kojih je rukovalac u obavezi da se opredeli za onaj koji je najpodobniji situaciji i da ga adekvatno primeni. U ovoj situaciji, logičan izbor bi bio informisani pristanak korisnika. Ipak, Meta se opredelila za drugi osnov – legitimni interes, i time onemogućila korisnike da sami odlučuju da li će podaci koje već godinama unose u svoje Fejsbuk i Instagram naloge biti korišćeni za razvoj AI tehnologija. Meta je i ranije pokušavala da vrši masovnu obradu podataka svojih korisnika na osnovu legitimnog interesa – i to za potrebe reklamiranja i oglašavanja, međutim, Sud pravde Evropske unije je procenio da bi takva obrada bila nezakonita.[4] Sud je u toj situaciji, koja je vrlo slična ovoj, utvrdio da su osnovna prava i slobode korisnika pretežniji od ekonomskog interesa kompanije, te se takva obrada ne može vršiti na osnovu legitimnog interesa, već na osnovu informisanog pristanka korisnika.
Dodatni problem predstavlja to što među korisnicima ovih platformi ima i maloletnih lica, za koje Zakon o zaštiti podataka o ličnosti propisuje posebne standarde zaštite. Iako je Meta najavila da neće obrađivati podatke lica mlađih od 18 godina, to se ne odnosi na situacije kada su ta lica u interakciji sa punoletnim korisnicima. Ovakva obrada može uključivati sve interakcije koje maloletna lica imaju sa sadržajima i korisnicima na platformama, uključujući komentare, lajkove, i deljenje objava, što može dovesti do njihovog profilisanja i time ugroziti njihovu privatnost i bezbednost.
Takođe, naš Zakon korisnicima daje mogućnost da odluče da ne budu predmet odluka donetih isključivo na osnovu automatizovane obrade, uključujući profilisanje[5]. U slučaju Mete, automatizovana obrada i profilisanje koja se vrše putem AI tehnologija mogu značajno uticati na korisnike, posebno jer nisu jasno definisani algoritmi i metode koje se koriste. Meta nije pružila dovoljno informacija o samim AI tehnologijama, kao ni o načinu na koji oni funkcionišu. Transparentnost u vezi sa metodologijom, algoritmima i vrstama podataka koji se koriste za treniranje AI modela je od ključne važnosti za razumevanje potencijalnih rizika i posledica po privatnost korisnika. Ovakav nedostatak informacija onemogućava korisnike da donesu informisane odluke i predstavlja dodatno kršenje načela transparentnosti.
Šta se dešava u Evropskoj uniji?
Korisnici Instagrama i Fejsbuka sa teritorije Evropske unije su početkom juna primili kratak mejl, kao i notifikaciju u aplikaciji, koja ih obaveštava da Meta namerava da unapredi svoje usluge na bazi AI i da je zbog toga izvršila izmene svoje Politike privatnosti, koja počinje da se primenjuje od 26. juna 2024. godine. U mejlu je navedeno i sledeće: „Kako bismo Vam omogućili ova iskustva, oslonićemo se na pravni osnov koji se zove legitimni interes za korišćenje Vaših podataka u svrhu razvoja i unapređenja veštačke inteligencije u kompaniji Meta. Ovo znači da imate pravo da se usprotivite načinu na koji se Vaši podaci koriste u ove svrhe. Ako Vaš prigovor bude uvažen, primenjivaće se od tog trenutka nadalje“.
Ova najava izazvala je burne reakcije korisnika i stručne javnosti. Organizacija NOYB je pokrenula postupke u 11 država članica, kojima zahteva da nadležni organi hitno obustave primenu izmenjene Politike privatnosti, pre nego što stupi na snagu. Maks Šrems, jedan od osnivača ove organizacije, upozorava na sledeće: „Meta praktično kaže da može koristiti ‘bilo koje podatke iz bilo kojeg izvora za bilo koju svrhu i učiniti ih dostupnim bilo kome na svetu’, sve dok se to radi putem AI tehnologije”. NOYB ističe i to da Meta nije pružila dovoljno informacija o tome šta su tačno „AI tehnologije“ na koje se poziva, da legitimni interes ne može biti zakonit pravni osnov za ovakvu obradu podataka korisnika, kao i da bi ovakva obrada onemogućila korisnike da imaju kontrolu nad svojim podacima i koriste mehanizme koje propisuje GDPR, uključujući i pravo na zaborav.
Nakon pokrenutih postupaka, Meta je objavila da je pauzirala planove za razvoj AI tehnologija na teritoriji Evropske unije, a nekoliko dana kasnije je objavila da uopšte neće pokretati ovakve sisteme na teritoriji EU, zbog regulative iz oblasti zašite podataka o ličnosti.
Kakav razvoj situacije možemo da očekujemo u Srbiji?
Naš Zakon o zaštiti podataka o ličnosti predviđa sva pravila koje bi Meta prekršila da je počela da primenjuje svoju izmenjenu Politiku privatnosti na teritoriji Evropske unije, odnosno sva pravila zbog kojih je odlučila da na teritoriji ovih država ne vrši ovakvu obradu podataka korisnika. Zbog čega onda nastavlja da koristi podatke korisnika iz Srbije za svoja AI unapređenja, i to na još manje transparentan način, bez ikakvog obaveštavanja korisnika?
Kratko ćemo se osvrnuti na situaciju u Brazilu, koji ne samo da nije u pravnom sistemu Evropske unije, već za razliku od Srbije, nije u obavezi da se sa istim harmonizuje. Naime, brazilski Poverenik za zaštitu podataka o ličnosti je suspendovao primenu Metine politike privatnosti, pozivajući se na „neposredan rizik od ozbiljne i nepopravljive ili teško popravljive štete po osnovna prava korisnika”, i odredio kaznu od 50.000 real-a (oko 952.000 rsd) na dnevnom nivou u slučaju da se Meta ne pridržava ove odluke. Meta je odmah potom objavila da obustavlja razvoj svojih AI tehnologija na teritoriji Brazila.
Situacija u Brazilu i Evropskoj uniji nam pokazuje ne samo da Meta insistira na „sve ili ništa“ politici, odnosno da nije spremna da uskladi svoje poslovanje propisima države u kojoj posluje, već i da se povlači bez upuštanja u pravnu borbu čim joj nadležne institucije stave do znanja da izmenjenom Politikom privatnosti krši zakone iz oblasti zaštite podataka o ličnosti. Ovo nam dodatno govori da je Meta svesna da je ovakva obrada podataka korisnika u mnogim državama zabranjena, ali će svakako pokušati da je vrši i nadati se da nadležne institucije neće odreagovati.
Nadležna institucija u Srbiji – Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, ne samo da na raspolaganju ima mehanizme propisane našim Zakonom, već može da se pozove i na praksu iz Evrope i ostatka sveta, koja se svakog dana sve više razvija u korist korisnika. Nakon inicijalnog perioda, u kom se nijedna institucija nije oglasila povodom novonastale situacije, Poverenik je sredinom avgusta objavio da je ipak preduzeo niz koraka – inicirao kontakt sa kompanijom Meta, sa nadležnim telima Evropske unije, ali i sa telima koja se bave zaštitom podataka o ličnosti u regionu i Evropi, „u cilju iznalaženja trajnog rešenja ovog problema.“[6] Ostaje da vidimo da li će delovanje Poverenika obezbediti da Srbija bude sigurna država za zaštitu podataka o ličnosti, ili poligon za testiranje neodgovornih politika velikih kompanija.
Autorka teksta je Milica Tošić – advokatica, pravna savetnica organizacije Partneri Srbija
Ostavite komentar