Decyzja włoskiego organu nadzorczego o zakazie przetwarzania danych przez Chat GPT
Pod koniec marca włoski organ ochrony danych osobowych tymczasowo zakazał OpenAI – dostawcy usługi ChatGPT – przetwarzania danych osobowych włoskich użytkowników usługi.
Następnie w połowie kwietnia włoski organ nadzorczy wskazał warunki, które OpenAI musi spełnić, aby przetwarzanie danych stało się zgodne z RODO i aby zakaz przetwarzania danych został zniesiony.
Włoski organ stwierdził, iż warunki te zostały spełnione pod koniec kwietnia – i wtedy korzystanie z ChatGPT we Włoszech stało się znowu możliwe.
Poniżej omawiamy zarówno wątpliwości włoskiego organu co do zgodności ChatGPT z RODO, jak i rozwiązania zastosowane przez OpenAI.
Są to kwestie istotne dla wszystkich dostawców oraz podmiotów korzystających z systemów sztucznej inteligencji opartych na dużych modelach językowych (ang. large language models), np. GPT-4, BERT (stworzony przez Google), LLaMA (stworzony przez Facebooka). Duże modele językowe są uczone na podstawie olbrzymich ilości danych, które są publicznie dostępne w internecie. Wśród takich danych (treści internetowych) znajdują się także dane osobowe.
Podstawa prawna przetwarzania danych użytkowników i nieużytkowników
Organ wskazał, iż należy ustalić podstawę przetwarzania danych osobowych do celów uczenia systemu. Organ podał, iż nie może to być niezbędność do wykonania umowy, tylko zgoda albo prawnie uzasadniony interes.
OpenAI wskazał prawnie uzasadniony interes jako podstawę prawną wykorzystywania danych do uczenia modeli AI.
Warto dodać, iż brytyjski organ nadzorczy w swoich wytycznych dotyczących sztucznej inteligencji i przetwarzania danych osobowych dopuszcza prawnie uzasadniony interes jako podstawę prawną wykorzystywania danych osobowych do uczenia modeli.
Obowiązek informacyjny
Włoski organ ochrony danych nakazał także opublikowanie informacji o przetwarzaniu danych użytkowników usługi ChatGPT oraz osób niebędących użytkownikami.
OpenAI opublikował politykę prywatności na swojej stronie internetowej – jest ona dostępna dla wszystkich osób. W polityce prywatności opisano m.in. cele i podstawy przetwarzania danych w zakresie uczenia modeli AI oraz prawa osób, których dane dotyczą.
Realizacja praw osób, których dane dotyczą
Organ nadzorczy wymagał także, aby podmiotom danych umożliwiono wnoszenie sprzeciwu wobec przetwarzania danych, a także korzystania z prawa do poprawiania danych generowanych przez ChatGPT lub ich usuwania.
OpenAI wdrożył formularz służący do wnoszenia sprzeciwu wobec przetwarzania danych osobowych do celów uczenia modeli – jest on dostępny także dla osób niebędących użytkownikami ChatGPT. Użytkownicy z kolei mogą zgłosić sprzeciw wobec przetwarzania danych zawartych w czatach z narzędziem ChatGPT do uczenia modelu.
Ponadto wdrożono mechanizmy usuwania niepoprawnych danych, które wyświetlają się jako wynik działania modelu, tj. w odpowiedzi na pytania użytkowników kierowane do ChatGPT.
Weryfikacja wieku użytkowników
Ponadto włoski organ nakazał wprowadzenie mechanizmu weryfikacji wieku użytkowników, tak aby usługa ChatGPT nie była dostępna dla użytkowników poniżej 13. roku życia, a w przypadku użytkowników w wieku 13–18 lat – aby żądać zgody opiekunów prawnych.
OpenAI wymaga przy rejestracji podania daty urodzenia przez użytkownika. W dalszej kolejności dostawca będzie wdrażać także inne mechanizmy weryfikacji wieku użytkowników.
Podsumowanie
Dostawcy systemów sztucznej inteligencji uczonych na podstawie danych osobowych powinni pamiętać o realizacji obowiązków związanych z RODO, w tym o:
- ustaleniu podstawy prawnej przetwarzania danych do uczenia modeli,
- obowiązku informacyjnym,
- realizacji praw podmiotów danych, w tym prawa do sprzeciwu wobec przetwarzania danych do celów uczenia modeli.