Technologia musi być zgodna z RODO

Urząd Ochrony Danych Osobowych rozpatruje skargę dotyczącą ChatGPT, w której skarżący zarzuca twórcy tego narzędzia - firmie OpenAI to, że m.in. przetwarza ona dane w sposób niezgodny z prawem, nierzetelny, a zasady na jakich się to odbywa są nieprzejrzyste.

Postępowanie z pewnością będzie należało do trudnych, dotyczy firmy zlokalizowanej poza granicami Unii Europejskiej, a sam ChatGPT jest nowym i tak naprawdę jeszcze nieodkrytym – także dla badaczy nowych technologii – narzędziem wykorzystującym generatywną sztuczną inteligencję.

– Sprawa dotyczy naruszenia wielu przepisów o ochronie danych osobowych, dlatego zwrócimy się do Open AI o odpowiedź na szereg pytań, by móc wnikliwie przeprowadzić postępowanie administracyjne – mówi Jan Nowak, Prezes UODO.

Zapewnia, że Urząd traktuje sprawę bardzo poważnie. I dodaje, że nie są to pierwsze wątpliwości co do zgodności działania ChatGPT z europejskimi zasadami ochrony danych osobowych i prywatności.

– Europejska Rada Ochrony Danych Osobowych powołała specjalną grupę roboczą do spraw OpenAI – zaznacza Jan Nowak.

W sprawie tej skarżący zwrócił się do UODO, po tym, jak jego żądania związane z realizacją praw, jakie przysługują mu na gruncie RODO, nie zostały zrealizowane przez OpenAI. Jak się okazuje ChatGPT w odpowiedzi na jego zapytanie wygenerował nieprawdziwe informacje na temat osoby skarżącego. Prośba o ich sprostowanie nie została zaś zrealizowana przez OpenAI, mimo że każdy administrator ma obowiązek przetwarzać prawidłowe dane. Nie udało się też dowiedzieć Skarżącemu, jakie w ogóle dane na jego temat przetwarza CharGPT. To jednak nie koniec. Ma on również pretensje do spółki o to, że w odpowiedzi na jego żądania naruszyła art. 12 i art. 5 ust. 1 lit a RODO. Udzielała mu odpowiedzi wymijających, wprowadzających w błąd i w dodatku wewnętrznie sprzecznych. A to tylko podsyciło obawy o legalność, jak i przejrzystość przetwarzania danych osobowych przez twórcę tego narzędzia. Wytyka on brak przejrzystości w zasadach przetwarzanych danych przez spółkę, co ma potwierdzać zarówno korespondencja z nią, ale i polityka prywatności.

W skardze, jaka trafiła do UODO, czytamy także, że spółka nie zrealizowała obowiązku informacyjnego wobec skarżącego. Dane tej osoby pozyskała w 2021 roku. A zdaniem skarżącego obowiązek informacyjny powinien być spełniony już na etapie przetwarzania pozyskanych danych do celów treningowych modeli językowych sztucznej inteligencji. Spółka nie poinformowała też skarżącego o źródle danych na jego temat, ani o odbiorcach bądź kategoriach odbiorców tych danych.

Skarżący domaga się, by UODO nie tylko zobowiązał OpenAI do prawidłowego wykonania jego praw, jakie daje mu RODO, ale i zbadał zgodności modelu przetwarzania danych osobowych przez OpenAI w ramach ChatGPT z przepisami ochrony danych osobowych.

Jakub Groszkowski, Zastępca Prezesa UODO zwraca uwagę, że technologia sztucznej inteligencji, w tym przypadku tzw. large model language (LLM), weszła w etap komercyjny i powszechnego stosowania. Jego zdaniem nie ma żadnych wątpliwości, że jest to technologia przełomowa i moment przełomowy.

– Rozwój nowych technologii musi odbywać się z poszanowaniem praw osób fizycznych wynikających m.in. z RODO. Zadaniem europejskich organów ochrony danych osobowych jest ochrona obywateli Unii Europejskiej przed negatywnymi skutkami technologii przetwarzania informacji – zaznacza Jakub Groszkowski.

Dodaje, że podniesione w skardze zarzuty rodzą wątpliwości co do systemowego podejścia OpenAI do europejskich zasad ochrony danych osobowych. Urząd będzie więc wyjaśniał te wątpliwości, w szczególności na tle fundamentalnej zasady privacy by design zawartej w RODO.