Prawne wyzwania w świecie nowoczesnych technologii, czyli ChatGPT a RODO

Prawne wyzwania w świecie nowoczesnych technologii, czyli ChatGPT a RODO

W kontekście stosowania narzędzi opartych na sztucznej inteligencji wyzwaniem jest m.in. poszanowanie naczelnych zasad wynikających z RODO, takich jak odpowiednie przechowywanie, przetwarzanie i zabezpieczenie danych użytkowników czy zagwarantowanie prawa do bycia zapomnianym. Wątpliwości dotyczące ich realizacji skłaniają poszczególne państwa do wszczynania dochodzeń w sprawie praktyk związanych ze sztuczną inteligencją, a Unię Europejską do stworzenia regulacji dotyczących korzystania z tego typu rozwiązań.

Rozwój nowych technologii to nie tylko szansa na zoptymalizowanie czasu pracowników i ograniczenie kosztów pracodawców, ale jednocześnie wyzwanie w świetle obowiązujących przepisów o ochronie danych osobowych, w szczególności RODO .

Czym jest ChatGPT?

Na wstępie warto krótko wyjaśnić, czym jest i do czego służy ChatGPT (Generative Pre-trained Transformer). To zaawansowany model językowy oparty na sztucznej inteligencji (OpenAI), który potrafi generować tekst i odpowiadać na zadane przez użytkowania pytania w sposób naturalny i spójny. Jego wszechstronna wiedza oparta jest na przeanalizowanych tekstach stron internetowych, książek oraz artykułów. Przykładowo: użytkownik, wprowadzając do ChatGPT tekst lub dane, może poprosić go o stworzenie danego tekstu lub streszczenie go. ChatGPT z łatwością potrafi napisać tekst uchwały lub statut fundacji. Ważne jest, aby pamiętać, że ChatGPT, jako sztuczna inteligencja, może popełniać błędy i nie zawsze dostarczać aktualnych i dokładnych informacji, bowiem działa na zasadzie przewidywania odpowiedzi, dlatego nie zawsze są one trafne.

Zasady RODO a działalność ChatGPT

Wyzwanie w kontekście ChatGPT – oprócz konieczności weryfikacji dostarczanych przez niego informacji – stanowi z pewnością kwestia poszanowania naczelnych zasad wynikających z RODO.

1. Przechowywanie danych użytkowników

Zgodnie z przepisami RODO, podmioty gromadzące dane osobowe użytkowników są zobowiązane do określenia celu, dla którego dane są zbierane, oraz okresu ich przechowywania. Po jego upływie, informacje powinny być albo usuwane, albo poddawane anonimizacji. Ta zasada ma na celu ograniczenie zbierania i przechowywania danych osobowych oraz skrócenie okresu ich przetwarzania. W przypadku ChatGPT wiadomo, iż jego algorytmy „uczą się” na podstawie danych udostępnionych przez użytkowników, więc nie mogą zostać usunięte.

2. Zagwarantowanie prawa do bycia zapomnianym

Niniejsza zasada daje użytkownikom uprawnienie do żądania usunięcia swoich danych osobowych przez podmiot, który je przetwarza. W momencie wycofania zgody na przetwarzanie danych lub gdy dane przestaną być konieczne do pierwotnych celów, dla których zostały zebrane, użytkownik ma prawo zażądać ich usunięcia. Podmioty są zobowiązane do respektowania takich żądań, chyba że istnieją uprawnione przyczyny do zachowania danych, takie jak wymogi ustawowe czy konieczność przechowywania informacji w celach archiwizacyjnych. Z uwagi na wspomniany wyżej rozwój sztucznej inteligencji, istnieje wątpliwość realizacji niniejszego prawa.

3. Przetwarzanie danych przez ChatGPT na podstawie zgody na przetwarzanie danych

RODO wprowadza zasadę, że operacje na danych osobowych są dozwolone tylko wtedy, gdy osoba, której dane dotyczą, wyraziła na to wyraźną zgodę. Istotne jest, że taka zgoda może być przez użytkownika cofnięta w dowolnym momencie, a podmiot, który przetwarza takie dane, jest wówczas zobowiązany do ich usunięcia lub anonimizacji. Ze względu na olbrzymie ilości danych przetwarzanych przez ChatGPT istnieje również wątpliwość co do realizacji tego obowiązku.

4. Obowiązek zapewnienia bezpieczeństwa danych 

RODO wprowadza wymóg utrzymania właściwego poziomu ochrony danych osobowych i minimalizowania potencjalnych zagrożeń dla poufności, spójności oraz dostępności tych informacji. W efekcie podmioty przetwarzające dane są zobowiązane do wdrożenia odpowiednich środków zabezpieczających, takich jak kodowanie danych, ograniczenie dostępu wyłącznie do autoryzowanych użytkowników, regularne przeglądy bezpieczeństwa oraz zarządzanie ryzykiem. W przypadku naruszenia ochrony danych, niniejsze podmioty są zobowiązane do niezwłocznego powiadomienia odpowiedniego organu nadzorczego oraz osób, których dane mogą być naruszone, szczególnie jeśli takie naruszenie stwarza znaczące ryzyko dla ich praw i swobód. Specjaliści w dziedzinie ochrony danych osobowych wypowiadają się sceptycznie, co do prawidłowego wypełnienia tego zobowiązania przez podmioty oferujące rozwiązania oparte na sztucznej inteligencji.

Zrozumienie związku między ChatGPT a RODO jest kluczowe dla zapewnienia zgodności i ochrony informacji o użytkownikach. Przetwarzanie takich danych przez sztuczną inteligencję musi spełniać wytyczne dotyczące zgody na taką czynność, bezpieczeństwa przechowywania i minimalizowania zbieranych informacji.

Blokada ChatuGPT we Włoszech oraz stanowiska innych państw

W marcu 2023 r. włoski organ zajmujący się ochroną danych osobowych zablokował ChatGPT ze względu na powzięcie obaw dotyczących prywatności, podkreślając, iż nie ma podstawy prawnej uzasadniającej „masowe gromadzenie i przechowywanie danych osobowych w celu «szkolenia» algorytmów leżących u podstaw działania platformy”, a także, stwierdzając braki w systemie weryfikacji wieku, co umożliwiało dostęp nieletnim do nieodpowiednich materiałów. Laboratorium OpenAI, czyli właściciel ChatuGPT, dostosował się jednak do wymagań w oznaczonym przez organ regulacyjny czasie i we Włoszech nadal istnieje możliwość korzystania z tego narzędzia.

Podobne dylematy związane z prawidłowością zabezpieczenia danych oraz praktyk rozwojowych przez ChatGPT mają inne państwa, takie jak Hiszpania czy Kanada, które już wszczęły lub rozważały wszczęcie dochodzeń w sprawie praktyk stosowanych przez sztuczną inteligencję, w tym sposobu gromadzenia danych szkoleniowych dla dużego modelu językowego i informacji, jakie generuje on dla użytkowników.

Natomiast polski Urząd Ochrony Danych Osobowych (UODO) w przedmiocie stosowania zasobów sztucznej inteligencji kładzie istotny akcent na przeprowadzanie oceny skutków dla ochrony danych (DPIA) dla systemów przetwarzających je na dużą skalę, zwłaszcza w kontekście sztucznej inteligencji wysokiego ryzyka, jakim jest używanie ChatGPT. W związku z brzmieniem art. 35 ust. 1 RODO, który stanowi, że przeprowadzenie oceny skutków dla ochrony danych jest obowiązkowe zawsze, gdy dany rodzaj przetwarzania, ze względu na swój charakter, zakres, kontekst i cele, może z dużym prawdopodobieństwem powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, podmioty przetwarzające dane z użyciem ChatGPT powinny przeprowadzić DPIA.

Dalsze regulacje dotyczące sztucznej inteligencji w Unii Europejskiej 

W zakresie swojej strategii cyfrowej Unia Europejska dąży do uregulowania sztucznej inteligencji (AI), aby stworzyć bardziej korzystne warunki dla rozwoju oraz skutecznego wykorzystania tej innowacyjnej technologii.

We wrześniu 2022 r. Komisja Europejska zaproponowała pierwsze unijne ramy regulacyjne dotyczące sztucznej inteligencji – projekt dyrektywy w sprawie dostosowania przepisów dotyczących pozaumownej odpowiedzialności cywilnej do sztucznej inteligencji (dyrektywa w sprawie odpowiedzialności za sztuczną inteligencję; dalej: Dyrektywa AI).

Dyrektywa AI ma na celu w szczególności:

  • zapewnienie bezpieczeństwa i wiarygodności systemów sztucznej inteligencji dla podmiotów ją dostarczających, jak i jej użytkowników;
  • wprowadzenie wszechstronnej ochrony dla użytkowników doświadczających szkód wskutek działań systemów sztucznej inteligencji;
  • ustanowienie spójnych i zharmonizowanych przepisów dotyczących sztucznej inteligencji w państwach członkowskich.

Priorytetem jest zapewnienie, że systemy sztucznej inteligencji stosowane w UE są bezpieczne, przejrzyste, identyfikowalne, niedyskryminujące i przyjazne dla środowiska. Zgodnie z projektem Dyrektywy AI produkty sztucznej inteligencji powinny być nadzorowane przez ludzi, a nie przez automatyzację, aby zapobiec szkodliwym skutkom.

Nowe przepisy będą obejmować również generatywne systemy sztucznej inteligencji, takie jak na przykład ChatGPT. Takie systemy będą zobowiązane do spełnienia określonych standardów w zakresie przejrzystości przekazywanych informacji. Konkretnie, będą musiały ujawnić, że treść została stworzona przy pomocy technologii AI. Dodatkowo, generatory zostaną zaprojektowane tak, aby unikać generowania materiałów nielegalnych i zapewnić poszanowanie praw autorskich.

Parlament Europejski przyjął stanowisko negocjacyjne w sprawie aktu o sztucznej inteligencji 14 czerwca 2023 r. Zgodnie z planem ostateczny kształt przepisów dotyczący sztucznej inteligencji ma być gotowy pod koniec roku.

Na co zwrócić uwagę przy korzystaniu z ChatGPT?

Podsumowując, działając zgodnie z zasadami powszechnie obecnej ochrony danych osobowych, korzystając z ChatGPT użytkownik nie powinien udostępniać przede wszystkim danych osobowych, informacji chronionych tajemnicą przedsiębiorstwa czy też zawodową np. adwokacką, oraz takich, które są chronione przez zawarte umowy o zachowaniu poufności (NDA). Korzystając ze sztucznej inteligencji warto anonimizować dane bądź też pozyskać zgodę do ich udostępnienia. Stosując podejście oparte na zdrowym rozsądku, należy też unikać udostępniania informacji, których ujawnienie mogłoby narazić kogokolwiek na niekorzystne konsekwencje lub które mogłyby być wykorzystane w sposób negatywnie wpływający na rzeczywistość.

W dobie rosnącej roli sztucznej inteligencji, zrozumienie związku między ChatGPT a RODO jest kluczowe dla zapewnienia zgodności i ochrony informacji o użytkownikach. Przetwarzanie takich danych przez sztuczną inteligencję musi spełniać wytyczne dotyczące zgody na taką czynność, bezpieczeństwa przechowywania i minimalizowania zbieranych informacji. Należy jednak podkreślić, iż rozwój sztucznej inteligencji jest niezwykle istotny, a korzystanie z rozwiązania, jakim jest ChatGPT, może przynosić znaczne korzyści zarówno twórcom, pracownikom, jak i samym przedsiębiorcom. Aby faktycznie tak było, nie można zapominać jednak o zasadach RODO i dbać o zakres informacji, który jest poddany analizie przez ChatGPT.