Skarga na OpenAI w UODO

Skarga na OpenAI w UODO

Urząd Ochrony Danych Osobowych rozpatruje skargę na firmę OpenAI, twórcę powszechnie znanego ChatGPT. Zarzuty dotyczą niezgodnego z prawem przetwarzania danych, działania o niskiej rzetelności oraz nieprawidłowości w przetwarzaniu danych osobowych. Podobne skargi na OpenAI trafiały także do organów nadzorujących przetwarzanie danych osobowych w innych krajach Unii. Do unormowania relacji nowych technologii z RODO może przyczynić się m.in. projektowana dyrektywa w sprawie odpowiedzialności za sztuczną inteligencję.

Pod koniec września b.r. Prezes UODO poinformował, że Urząd zwrócił się do OpenAI z licznymi pytaniami w celu wyjaśnienia i przeprowadzenia rzetelnego postępowania w tym zakresie. Skarżący, którego danych nie ujawniono, zarzucił m.in. że narzędzie skonstruowane przez OpenAI wygenerowało na jego temat niepoprawne informacje, a prośba o ich sprostowanie nie została zrealizowana. Dodatkowo, skarżący twierdzi, że spółka nie udzieliła mu informacji, jakie jego dane są przez nią przetwarzane, a na inne pytania odpowiedziała w sposób wymijający i rozbieżny. Skarżący wskazał ponadto, że polityka prywatności spółki nie jest wystarczająco transparentna. Opisane postępowanie spółki OpenAI można ocenić jako sprzeczne z zasadą zgodności z prawem, rzetelności i przejrzystości określoną m.in. w art. 5. ust. 1 lit a oraz art. 12 RODO.

Dodatkowo firma OpenAI, według skarżącego, nie spełniła obowiązku informacyjnego na etapie przetwarzania danych, tj. pozyskania ich w celu treningu modelu językowego, na którym opiera się ChatGPT, w tym także nie poinformowała skarżącego o źródle pochodzenia pozyskanych danych osobowych oraz o ich odbiorcach.

Problem nie tylko w Polsce

Podobne skargi na OpenAI trafiały do organów nadzorujących przetwarzanie danych osobowych już od obywateli innych państw członkowskich UE, takich jak Hiszpania, Włochy czy Francja. Postępowania wyjaśniające mają miejsce także poza Europą np. w Kanadzie, gdzie dedykowany ochronie danych osobowych organ bada sposoby zbierania, użycia i przekazywania prywatnych danych przez firmę OpenAI. Wątpliwości dotyczące działania narzędzia nowych technologii stworzonego przez OpenAI są więc podobne i dotyczą transparentności zasad przetwarzania danych, egzekwowania praw osób, których dane dotyczą tj. prawa do informacji, czy prawa do usunięcia danych.

Największy problem stanowi usunięcie danych osobowych z zasobów sztucznej inteligencji, ponieważ technologie, takie jak ChatGPT oparte są na tzw. large model language (LLM) i charakteryzują się tym, że nie można usunąć konkretnego rekordu z bazy danych bez konieczności ponownego trenowania modelu. Aby spełnić to wymaganie prawne, firmy musiałyby podjąć systemowe działania programistyczne na poziomie aplikacji, by zapewnić skuteczne usuwanie danych.

Niezależnie od kontroli UODO i ewentualnych sankcji nałożonych przez organ, osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów o ochronie danych osobowych, ma prawo uzyskać z tego tytułu odszkodowanie od administratora.

Jest grupa robocza

Unia Europejska dostrzegła problem wynikający z luki między systemem ochrony danych osobowych a możliwościami nowych technologii. W celu dostosowania unijnych standardów w dzień wszczęcia postępowania w sprawie OpenAI w Hiszpanii Europejska Rada Ochrony Danych Osobowych postanowiła powołać grupę roboczą ds. OpenAI, której zadaniem jest przyjrzenie się zgodności ChatGPT z europejskimi ustawami dotyczącymi ochrony danych osobowych, wspieranie współpracy oraz wymiana informacji dotyczących ewentualnych działań egzekucyjnych prowadzonych przez organy ds. ochrony danych w Państwach członkowskich UE.

Oczekiwanie na poprawę

Należy podkreślić, że jeżeli w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki, Prezes UODO, w celu zapobieżenia takiej sytuacji, może, w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów, do ograniczenia przetwarzania danych osobowych, wskazując jednocześnie dopuszczalny zakres tego przetwarzania. W przypadku zidentyfikowania poważnych naruszeń przepisów UODO może nałożyć na spółkę administracyjną karę pieniężną, której wysokość może sięgać nawet kilku milionów euro, w zależności od powagi naruszenia oraz osiągniętego przez nią obrotu. Należy także pamiętać, że niezależnie od kontroli UODO i ewentualnych sankcji nałożonych przez organ, osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów o ochronie danych osobowych, ma prawo uzyskać z tego tytułu odszkodowanie od administratora.

Nie ma wątpliwości, że technologia oparta na sztucznej inteligencji jest przełomowa, jednak jej rozwój musi odbywać się w duchu poszanowania już istniejących i powszechnie obowiązujących reguł prawa – w tym dotyczących ochrony danych osobowych. UODO, rozpoznając omawianą skargę, powinien mieć na względzie doprowadzenie do zobowiązania spółki do zagwarantowania prawidłowego wykonania praw skarżącego, a także zbadać model przetwarzania danych osobowych wykorzystywany przez OpenAI. W tym zakresie w najbliższym czasie powinny pojawiać się zarówno wytyczne organów unijnych, jak i nowa dyrektywa w sprawie dostosowania przepisów dotyczących pozaumownej odpowiedzialności cywilnej do sztucznej inteligencji (dyrektywa w sprawie odpowiedzialności za sztuczną inteligencję), które powinny unormować relacje nowych technologii z RODO.