Společnost OpenAI, tvůrce ChatGPT, je obviněna ze série porušení ochrany osobních údajů
Poté, co byla včera polskému úřadu pro ochranu osobních údajů podána podrobná stížnost, se opět objevily otázky ohledně schopnosti společnosti OpenAI, která je tvůrcem ChatGPT, dodržovat evropská pravidla ochrany osobních údajů.
Stížnost tvrdí, že americký gigant v oblasti umělé inteligence porušuje obecné nařízení o ochraně osobních údajů (GDPR), a to v mnoha ohledech: OpenAI podle ní porušuje pravidla EU o ochraně soukromí ve všech oblastech: zákonný základ, transparentnost, spravedlnost, práva na přístup k údajům a ochrana soukromí již od návrhu. (Tzv. čl. 5 odst. 1 písm. a), články 12, 15, 16 a čl. 25 odst. 1 GDPR).
Ve stížnosti je totiž nová generativní technologie umělé inteligence a přístup jejího tvůrce k vývoji a provozování nástroje v podstatě označován za systematické porušování celoevropského režimu. Další domněnkou tedy je, že společnost OpenAI přehlédla další požadavek GDPR na předchozí konzultaci s regulačními orgány (článek 36) – pokud totiž provedla proaktivní posouzení, které identifikovalo vysoká rizika pro práva osob, pokud nebyla uplatněna zmírňující opatření, měla se nad tím zamyslet. Přesto společnost OpenAI zjevně pokračovala a spustila ChatGPT v Evropě, aniž by se spojila s místními regulačními orgány, které by zajistily, že se vyhne porušení pravidel ochrany osobních údajů v rámci bloku.
Zdroj: Gettyimages
Nejedná se samozřejmě o první obavu z GDPR, která se na ChatGPT snesla. Italský úřad pro ochranu soukromí se letos dostal na titulní stránky novin poté, co nařídil společnosti OpenAI, aby přestala zpracovávat údaje na místní úrovni, a nařídil jí, aby se vypořádala s předběžným seznamem problémů, které zjistil v oblastech, jako je zákonný základ, zveřejňování informací, kontrola uživatelů a bezpečnost dětí.
Společnost ChatGPT mohla poměrně rychle obnovit poskytování služby v Itálii poté, co upravila svou prezentaci. Vyšetřování italského úřadu pro ochranu údajů však pokračuje a uvidíme, jaké závěry o dodržování předpisů budou učiněny po dokončení tohoto posouzení. Další orgány pro ochranu údajů v EU rovněž prověřují společnost ChatGPT. Zatímco v dubnu orgány pro ochranu údajů v bloku vytvořily pracovní skupinu, aby zvážily, jak by měly přistupovat k regulaci rychle se rozvíjející technologie.
Toto úsilí stále pokračuje – a není vůbec jisté, zda se podaří vytvořit harmonizovaný přístup k dohledu nad ChatGPT a dalšími chatboty s umělou inteligencí – ale ať už se stane cokoli, GDPR je stále zákonem a stále platí. Takže každý, kdo má v EU pocit, že jeho práva jsou pošlapávána tím, že velká umělá inteligence získává jeho data pro tréninkové modely, které o něm mohou vyplivnout nepravdivé informace, může vznést obavy u místního orgánu pro ochranu údajů a tlačit na regulační orgány, aby je prošetřily, jak se to děje zde.
Společnost OpenAI nemá hlavní sídlo v žádném členském státě EU pro účely dohledu nad GDPR, což znamená, že je i nadále vystavena regulačnímu riziku v této oblasti v celém bloku. Mohla by tak čelit zásahům ze strany orgánů pro ochranu údajů, které jednají na základě stížností fyzických osob kdekoli.
Za potvrzené porušení GDPR hrozí sankce ve výši až 4 % celosvětového ročního obratu. Nápravné příkazy orgánů pro ochranu údajů mohou také skončit přepracováním způsobu fungování technologií, pokud chtějí nadále působit v Evropě.
Stížnost na nezákonné zpracování pro účely výcviku umělé inteligence
Sedmnáctistránkovou stížnost, která byla včera podána u polského úřadu DPA, vypracoval Lukasz Olejnik, výzkumník v oblasti bezpečnosti a ochrany osobních údajů, kterého při podání stížnosti zastupuje varšavská advokátní kancelář GP Partners.
Olejnik řekl, že se znepokojil poté, co použil ChatGPT k vygenerování svého životopisu a zjistil, že vytvořil text, který obsahoval několik chyb. Koncem března se snažil kontaktovat společnost OpenAI, aby na chyby upozornil a požádal o opravu nepřesných informací o své osobě. Požádal ji také, aby mu poskytla soubor informací, které GDPR opravňuje jednotlivce získat od subjektů zpracovávajících jejich údaje, pokud byly informace získány odjinud než od nich samotných, jako tomu bylo v tomto případě.
Podle stížnosti proběhla mezi Olejnikem a OpenAI v období od března do června tohoto roku řada e-mailových výměn. Společnost OpenAI sice reagovala a poskytla některé informace v reakci na žádost o přístup k informacím (SAR), ale podle Olejnikovy stížnosti neposkytla všechny informace, které podle zákona poskytnout musí – zejména neuvedla informace o zpracování osobních údajů pro účely tréninku modelů umělé inteligence.
Aby bylo zpracování osobních údajů podle GDPR zákonné, musí mít správce údajů platný právní základ, který musí být transparentně sdělen. Zamlžování tedy není dobrou strategií pro zajištění souladu s předpisy. Také proto, že nařízení spojuje se zákonností zpracování zásadu korektnosti, což znamená, že kdokoli, kdo bude hrát triky ve snaze utajit skutečný rozsah zpracování osobních údajů, se také dostane do rozporu se zákonem.
Zdroj: Getty Images
Olejnik proto ve své stížnosti tvrdí, že společnost OpenAI porušila čl. 5 odst. 1 písm. a). Zjednodušeně řečeno tvrdí, že společnost zpracovávala jeho údaje „nezákonně, nespravedlivě a netransparentně“. „Ze skutkových okolností případu vyplývá, že společnost OpenAI systémově ignoruje ustanovení GDPR týkající se zpracování údajů pro účely tréninkových modelů v rámci ChatGPT, v důsledku čehož mimo jiné nebyl pan Łukasz Olejnik řádně informován o zpracování svých osobních údajů,“ uvádí se ve stížnosti.
Obviňuje také společnost OpenAI z toho, že jedná „nedůvěryhodně, nečestně a možná i nesvědomitě“, protože není schopna komplexně popsat, jakým způsobem zpracovává údaje lidí.
Olejnik doufá, že stížnost na společnosti OpenAI a ChatGPT bude moci řádně uplatnit všechna práva vyplývající z GDPR, která doposud nemohl uplatnit.
Poté, co byla včera polskému úřadu pro ochranu osobních údajů podána podrobná stížnost, se opět objevily otázky ohledně schopnosti společnosti OpenAI, která je tvůrcem ChatGPT, dodržovat evropská pravidla ochrany osobních údajů.
Stížnost tvrdí, že americký gigant v oblasti umělé inteligence porušuje obecné nařízení o ochraně osobních údajů (GDPR), a to v mnoha ohledech: OpenAI podle ní porušuje pravidla EU o ochraně soukromí ve všech oblastech: zákonný základ, transparentnost, spravedlnost, práva na přístup k údajům a ochrana soukromí již od návrhu. (Tzv. čl. 5 odst. 1 písm. a), články 12, 15, 16 a čl. 25 odst. 1 GDPR).
Ve stížnosti je totiž nová generativní technologie umělé inteligence a přístup jejího tvůrce k vývoji a provozování nástroje v podstatě označován za systematické porušování celoevropského režimu. Další domněnkou tedy je, že společnost OpenAI přehlédla další požadavek GDPR na předchozí konzultaci s regulačními orgány (článek 36) - pokud totiž provedla proaktivní posouzení, které identifikovalo vysoká rizika pro práva osob, pokud nebyla uplatněna zmírňující opatření, měla se nad tím zamyslet. Přesto společnost OpenAI zjevně pokračovala a spustila ChatGPT v Evropě, aniž by se spojila s místními regulačními orgány, které by zajistily, že se vyhne porušení pravidel ochrany osobních údajů v rámci bloku.
Zdroj: Gettyimages
Nejedná se samozřejmě o první obavu z GDPR, která se na ChatGPT snesla. Italský úřad pro ochranu soukromí se letos dostal na titulní stránky novin poté, co nařídil společnosti OpenAI, aby přestala zpracovávat údaje na místní úrovni, a nařídil jí, aby se vypořádala s předběžným seznamem problémů, které zjistil v oblastech, jako je zákonný základ, zveřejňování informací, kontrola uživatelů a bezpečnost dětí.
Společnost ChatGPT mohla poměrně rychle obnovit poskytování služby v Itálii poté, co upravila svou prezentaci. Vyšetřování italského úřadu pro ochranu údajů však pokračuje a uvidíme, jaké závěry o dodržování předpisů budou učiněny po dokončení tohoto posouzení. Další orgány pro ochranu údajů v EU rovněž prověřují společnost ChatGPT. Zatímco v dubnu orgány pro ochranu údajů v bloku vytvořily pracovní skupinu, aby zvážily, jak by měly přistupovat k regulaci rychle se rozvíjející technologie.
Toto úsilí stále pokračuje - a není vůbec jisté, zda se podaří vytvořit harmonizovaný přístup k dohledu nad ChatGPT a dalšími chatboty s umělou inteligencí - ale ať už se stane cokoli, GDPR je stále zákonem a stále platí. Takže každý, kdo má v EU pocit, že jeho práva jsou pošlapávána tím, že velká umělá inteligence získává jeho data pro tréninkové modely, které o něm mohou vyplivnout nepravdivé informace, může vznést obavy u místního orgánu pro ochranu údajů a tlačit na regulační orgány, aby je prošetřily, jak se to děje zde.
Společnost OpenAI nemá hlavní sídlo v žádném členském státě EU pro účely dohledu nad GDPR, což znamená, že je i nadále vystavena regulačnímu riziku v této oblasti v celém bloku. Mohla by tak čelit zásahům ze strany orgánů pro ochranu údajů, které jednají na základě stížností fyzických osob kdekoli.
Zdroj: Burzovnísvět.cz
Za potvrzené porušení GDPR hrozí sankce ve výši až 4 % celosvětového ročního obratu. Nápravné příkazy orgánů pro ochranu údajů mohou také skončit přepracováním způsobu fungování technologií, pokud chtějí nadále působit v Evropě.
Stížnost na nezákonné zpracování pro účely výcviku umělé inteligence
Sedmnáctistránkovou stížnost, která byla včera podána u polského úřadu DPA, vypracoval Lukasz Olejnik, výzkumník v oblasti bezpečnosti a ochrany osobních údajů, kterého při podání stížnosti zastupuje varšavská advokátní kancelář GP Partners.
Olejnik řekl, že se znepokojil poté, co použil ChatGPT k vygenerování svého životopisu a zjistil, že vytvořil text, který obsahoval několik chyb. Koncem března se snažil kontaktovat společnost OpenAI, aby na chyby upozornil a požádal o opravu nepřesných informací o své osobě. Požádal ji také, aby mu poskytla soubor informací, které GDPR opravňuje jednotlivce získat od subjektů zpracovávajících jejich údaje, pokud byly informace získány odjinud než od nich samotných, jako tomu bylo v tomto případě.
Podle stížnosti proběhla mezi Olejnikem a OpenAI v období od března do června tohoto roku řada e-mailových výměn. Společnost OpenAI sice reagovala a poskytla některé informace v reakci na žádost o přístup k informacím (SAR), ale podle Olejnikovy stížnosti neposkytla všechny informace, které podle zákona poskytnout musí - zejména neuvedla informace o zpracování osobních údajů pro účely tréninku modelů umělé inteligence.
Aby bylo zpracování osobních údajů podle GDPR zákonné, musí mít správce údajů platný právní základ, který musí být transparentně sdělen. Zamlžování tedy není dobrou strategií pro zajištění souladu s předpisy. Také proto, že nařízení spojuje se zákonností zpracování zásadu korektnosti, což znamená, že kdokoli, kdo bude hrát triky ve snaze utajit skutečný rozsah zpracování osobních údajů, se také dostane do rozporu se zákonem.
Zdroj: Getty Images
Olejnik proto ve své stížnosti tvrdí, že společnost OpenAI porušila čl. 5 odst. 1 písm. a). Zjednodušeně řečeno tvrdí, že společnost zpracovávala jeho údaje "nezákonně, nespravedlivě a netransparentně". "Ze skutkových okolností případu vyplývá, že společnost OpenAI systémově ignoruje ustanovení GDPR týkající se zpracování údajů pro účely tréninkových modelů v rámci ChatGPT, v důsledku čehož mimo jiné nebyl pan Łukasz Olejnik řádně informován o zpracování svých osobních údajů," uvádí se ve stížnosti.
Obviňuje také společnost OpenAI z toho, že jedná "nedůvěryhodně, nečestně a možná i nesvědomitě", protože není schopna komplexně popsat, jakým způsobem zpracovává údaje lidí.
Olejnik doufá, že stížnost na společnosti OpenAI a ChatGPT bude moci řádně uplatnit všechna práva vyplývající z GDPR, která doposud nemohl uplatnit.
