Skarżącym jest dr Łukasz Olejnik, badacz i doradca ds. cyberbezpieczeństwa i prywatności. Zwrócił się on do UODO w związku z tym, że jego zdaniem OpenAI nie wykorzystała praw przysługujących mu na mocy RODO. Wytknął też brak przejrzystości w zasadach przetwarzania danych przez spółkę, co ma potwierdzać korespondencja z nią i jej polityka prywatności.
– Mój klient zauważył, że ChatGPT podaje na jego temat informacje, które nie są zgodne z prawdą. Kilkakrotnie kontaktował się z firmą OpenAI w celu sprostowania tych informacji, ale spółka odpowiadała wykrętnie – mówi radca prawny Maciej Gawroński, pełnomocnik skarżącego. I wskazuje, że zgodnie z art. 16 RODO każdy ma prawo żądać sprostowania swoich danych, które są nieprawidłowe, jak też prowadzenia z nim komunikacji w sposób przejrzysty (art. 5 ust. 1 lit. a i art. 12 ust. 1 RODO).
– Zgodnie z RODO firma powinna poinformować osoby, których dane przetwarza, że to robi – tłumaczy Maciej Gawroński. – Z okoliczności sprawy wynika, że OpenAI pozyskała dane dr. Olejnika przed wrześniem 2021 r. Zgodnie z art. 14 RODO powinna była poinformować, że przetwarza jego dane w ciągu 30 dni od ich zebrania z internetu. A jeśli OpenAI przetwarza dane wszystkich w internecie, to informację taką powinna ogłaszać w mediach. Firma bierze te dane bez pytania, przetwarza je i na tym zarabia. Sposób działania OpenAI względem dr. Olejnika to podręcznikowy przykład „robienia w konia”, czyli właśnie tego, czemu RODO miało zapobiegać – dodaje.
Skarżącemu nie udało się też dowiedzieć, jakie dane na jego temat posiada ChatGPT. Spółka nie poinformowała go też o źródle danych na jego temat ani o odbiorcach bądź kategoriach odbiorców tych danych. Jak informuje UODO, skarżący domaga się nie tylko zobowiązania OpenAI do prawidłowego wykonania jego praw, ale i zbadania zgodności z przepisami RODO modelu przetwarzania danych osobowych w ramach ChatGPT.
– Sprawa dotyczy naruszenia wielu przepisów o ochronie danych osobowych, dlatego zwrócimy się do OpenAI o odpowiedź na wiele pytań, by móc wnikliwie przeprowadzić postępowanie administracyjne – wskazuje Jan Nowak, prezes UODO.
I dodaje, że to nie pierwsze zastrzeżenia co do zgodności działania ChatGPT z unijnymi zasadami ochrony danych osobowych i prywatności. W kwietniu media informowały o tymczasowym zakazaniu tego narzędzia we Włoszech. Europejska Rada Ochrony Danych Osobowych powołała specjalną grupę roboczą do spraw OpenAI. Zastrzeżenia do masowego pozyskiwania danych osobowych z internetu (tzw. data scrapping), tj. takich działań, jakie firma OpenAI prawdopodobnie podejmowała względem ChatGPT, wyraziły ostatnio organy ochrony danych 12 krajów spoza UE, w tym Kanady, Norwegii, Szwajcarii, Wielkiej Brytanii, Nowej Zelandii, Argentyny i Meksyku. Z kolei na początku września w USA wytoczono kolejny pozew zbiorowy przeciw tej firmie (oraz Microsoftowi) za nielegalne (zdaniem powodów) wykorzystanie prywatnych, wrażliwych danych użytkowników na potrzeby szkolenia modeli generatywnej AI.
O co UODO zapyta OpenAI? Część pytań zaproponował skarżący, część Urząd doda od siebie.
– Naszym zdaniem pytania powinny dotyczyć tego, czy i w jaki sposób ChatGPT obsługuje prawa osób, których dane dotyczą (rozdział III RODO), czy spółka przeprowadziła ocenę skutków dla ochrony danych (art. 35 RODO) dla ChatGPT (i jak wygląda jej treść), czy spełnia obowiązek informacyjny względem osób, których dane przetwarza (i w jaki sposób), oraz czy i na podstawie jakich ustaleń spółka uznała, że ChatGPT nie rodzi ryzyka dla osób, których dane przetwarza. Jeśli zaś to ryzyko rodzi, to dlaczego nie skorzystała z możliwości i obowiązku uprzedniej konsultacji z organem na podstawie art. 36 RODO – tłumaczy mec. Maciej Gawroński.
Jakub Groszkowski, zastępca prezesa UODO, wskazuje z kolei, że Urząd będzie wyjaśniał wątpliwości, w szczególności na tle fundamentalnej zasady „privacy by design” zawartej w RODO. I zwraca uwagę, że technologia tzw. large model language (LLM) weszła w etap komercyjnego i powszechnego stosowania. Nie ma wątpliwości, że to moment przełomowy.
Przedstawiciele urzędu są zgodni, że sprawa będzie trudna, bo dotyczy firmy zlokalizowanej poza UE (choć w maju CEO OpenAI wskazał Polskę jako jedną z możliwych siedzib centrum badawczo-inżynieryjnego).
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →