„Dosti rizikové.“ Muskova síť X hodnotí uživatele podle jejich reputace, ukázalo se u soudu

V nedávném rozhodnutí amsterdamského soudu se do centra pozornosti dostala sociální síť X (dříve Twitter) miliardáře Elona Muska, a to kvůli praktikám, které soud označil za nevhodné a nesouladné s pravidly GDPR. Případ se týká novináře, jehož účet byl bez jeho vědomí takzvaně shadowbanován kvůli příspěvku obsahujícímu slovo „dětská pornografie“. Toto rozhodnutí může mít důsledky nejen pro samotného uživatele, ale i pro širší komunitu sociálních médií, zejména kvůli odhalení kontroverzního systému reputačního skóre uživatelů.

Novinář podal proti praktice sítě stížnost poté, co zjistil, že jeho příspěvky jsou omezovány, aniž by o tom byl informován. Takzvaný shadowban totiž neznamená úplný zákaz působení, firma mu pouze uměle snížila dosah na nulu a příspěvky ostatním skryla.

Požádal proto Twitter o přístup k informacím o důvodech a procesech vedoucích k shadowbanování podle zásad GDPR. Místo konkrétních odpovědí však dostal pouze obecné odkazy na zásady ochrany soukromí. Případ proto skončil u soudu.

A ten rozhodl, že X porušila práva uživatele tím, že mu neposkytl potřebné informace o automatizovaném rozhodování a zpracování osobních údajů. „Správce nemůže skrývat informace pod záminkou obchodního tajemství,“ uvedl soud. Rozsudek zdůraznil, že systém pro „shadowbanování“ je formou automatizovaného rozhodování a vyžaduje lidský zásah. Síti bylo nařízeno do měsíce poskytnout všechny požadované informace, včetně detailů o reputačním systému. V případě nesplnění jí hrozí pokuta 4 tisíce eur (cca 100 tisíc korun) za každý den prodlení.

Problém reputačního skóre

Jedním z nejvíce kontroverzních aspektů tohoto případu je odhalení existence reputačního skóre uživatelů. Tento systém, známý jako „Guano“, automaticky hodnotí a klasifikuje uživatele na základě jejich aktivit a interakcí na platformě. Takové skóre může mít přímý vliv na viditelnost jejich příspěvků a interakce s ostatními uživateli. Provozovatel sítě X popíral, že by používal nástroje jako „reputační skóre“ a štítkování uživatelů, soud ovšem vzal za prokázané, že takovéto nástroje či postupy používá.

„Automatizované posuzování a hodnocení uživatelů a podle toho zobrazování nebo nezobrazování jejich příspěvků je dosti rizikové, ať už z pohledu práva na svobodu projevu, práva na ochranu osobních údajů, tak i budoucích pravidel pro využití umělé inteligence (AI Act). Právě proto je důležité, aby o jeho pravidlech a postupech byli uživatelé srozumitelným způsobem informováni,“ hodnotí praktiku ve vyjádření pro Echo24 František Nonnemann, místopředseda Výboru Spolku pro ochranu osobních údajů (SOSP).

„Transparentnost zpracování osobních údajů je jedním ze základních principů ochrany osobních údajů. Bez dostatečných informací o tom, jak jsou jeho osobní údaje zpracovávány, nemá člověk nad osudem svých osobních dat kontrolu a často ani nemůže uplatnit další práva, která mu GDPR dává.“ míní. Podle něj je amsterodamský případ vlastně kladným příkladem využití GDPR tak, jak bylo původně do velké míry zamýšleno – pomoci jednotlivci uplatnit svá práva proti technologickým gigantům.

Případ tak zdůrazňuje důležitost dodržování pravidel GDPR a otevřenosti vůči uživatelům. Provozovatel sítě X totiž argumentoval, že informace o daném zpracování nemůže poskytnout, protože by to bylo v rozporu s jeho oprávněným zájmem na ochraně obchodního tajemství. Soud takovou argumentaci ale odmítl, provozovatel totiž nevysvětlil, jak by byla obchodní tajemství porušena.

„To je také důležitý závěr, protože obecně nedostatek informací o zpracování osobních údajů a nedostatečné vyřizování žádostí uživatelů o informace o způsobu využití jejich dat nelze skrýt pod pod obecnou ochranu obchodního tajemství,“ uvedl Nonnemann

Upozornil rovněž na význam regulace, jako je Nařízení o digitální službách (Digital Services Act), které ukládá online platformám povinnost informovat uživatele o moderaci jejich příspěvků. „dnes je shadow banning upraven i touto regulací, která opět posiluje transparentnost a ukládá online hráčům, aby vůči uživatelům byli transparentní,“ dodal za SOSP.

Případ má potenciál ovlivnit i další platformy sociálních médií, které používají podobné techniky moderování obsahu. Rakouská spotřebitelská organizace NOYB například nedávno podala stížnosti na provozovatele X v devíti zemích EU za porušení pravidel GDPR při zpracování dat uživatelů pro trénování systémů umělé inteligence. Zakladatel NOYB Maximilian Schrems uvedl: „Společnost (X) začala v květnu 2024 nevratně vkládat údaje evropských uživatelů do své technologie umělé inteligence ‚Grok‘, aniž by je o tom informovala nebo požádala o souhlas.“

NOYB stížnosti podala v Belgii, Francii, Irsku, Itálii, Nizozemsku, Španělsku. Polsku, Rakousku a Řecku. Už v červnu si stěžovala v deseti zemích EU a v Norsku na americkou společnost Meta Platforms provozující sítě Facebook a Instagram kvůli tomu, jak chtěla používat data uživatelů k trénování vlastních systémů AI. Irský regulátor DPC následně firmě sdělil, aby svůj plán odložila, což Meta akceptovala.