W sprawie tej skarżący zwrócił się do UODO, po tym, jak jego żądania związane z realizacją praw, jakie przysługują mu na gruncie RODO, nie zostały zrealizowane przez OpenAI. Jak się okazuje ChatGPT w odpowiedzi na jego zapytanie wygenerował nieprawdziwe informacje na temat osoby skarżącego.

Prośba o ich sprostowanie nie została zaś zrealizowana przez OpenAI, mimo że każdy administrator ma obowiązek przetwarzać prawidłowe dane. Nie udało się też dowiedzieć skarżącemu, jakie w ogóle dane na jego temat przetwarza ChatGPT.  Skarżący ma również pretensje do spółki o to, że w odpowiedzi na jego żądania naruszyła art. 12art. 5 ust. 1 lit a RODO. Udzielała mu odpowiedzi wymijających, wprowadzających w błąd i w dodatku wewnętrznie sprzecznych. A to tylko podsyciło obawy o legalność, jak i przejrzystość przetwarzania danych osobowych przez twórcę tego narzędzia. Wytyka on brak przejrzystości w zasadach przetwarzanych danych przez spółkę, co ma potwierdzać zarówno korespondencja z nią, ale i polityka prywatności.

Czytaj w LEX: Wybrane podstawy prawne przetwarzania danych osobowych: zgoda osoby, której dane dotyczą, wykonanie umowy lub podjęcie działań przed jej zawarciem, wypełnienie obowiązku prawnego ciążącego na administratorze >

 

Chcesz zapisać ten artykuł i wrócić do niego w przyszłości? Skorzystaj z nowych możliwości na Moje Prawo.pl

Załóż bezpłatne konto na Moje Prawo.pl >>

OpenAI nie zrealizował obowiązku informacyjnego

W skardze, jaka trafiła do UODO, czytamy także, że spółka nie zrealizowała obowiązku informacyjnego wobec skarżącego. Dane tej osoby pozyskała w 2021 roku. A zdaniem skarżącego obowiązek informacyjny powinien być spełniony już na etapie przetwarzania pozyskanych danych do celów treningowych modeli językowych sztucznej inteligencji. Spółka nie poinformowała też skarżącego o źródle danych na jego temat, ani o odbiorcach bądź kategoriach odbiorców tych danych.

Czytaj też w LEX: Obowiązki informacyjne i sposób komunikacji w stosunku do podmiotu danych >

Skarżący domaga się, by UODO nie tylko zobowiązał OpenAI do prawidłowego wykonania jego praw, jakie daje mu RODO, ale i zbadał zgodności modelu przetwarzania danych osobowych przez OpenAI w ramach ChatGPT z przepisami ochrony danych osobowych.

Przeczytaj także: OpenAI dla organów ochrony danych osobowych to duże wyzwanie

Możliwość naruszenia wielu przepisów

Jan Nowak, prezes UODO przyznaje, że postępowanie będzie należało do trudnych, dotyczy firmy zlokalizowanej poza granicami Unii Europejskiej, a sam ChatGPT jest nowym i tak naprawdę jeszcze nieodkrytym – także dla badaczy nowych technologii – narzędziem wykorzystującym generatywną sztuczną inteligencję.

– Sprawa dotyczy naruszenia wielu przepisów o ochronie danych osobowych, dlatego zwrócimy się do Open AI o odpowiedź na szereg pytań, by móc wnikliwie przeprowadzić postępowanie administracyjne – mówi Jan Nowak, prezes UODO.

Dodaje, że nie są to pierwsze wątpliwości co do zgodności działania ChatGPT z europejskimi zasadami ochrony danych osobowych i prywatności. Europejska Rada Ochrony Danych Osobowych powołała specjalną grupę roboczą do spraw OpenAI.

Czytaj też: Naruszenie ochrony danych osobowych >

Jakub Groszkowski, zastępca prezesa UODO zwraca uwagę, że technologia sztucznej inteligencji, w tym przypadku tzw. large model language (LLM), weszła w etap komercyjny i powszechnego stosowania. Jego zdaniem nie ma żadnych wątpliwości, że jest to technologia przełomowa i moment przełomowy.

Rozwój nowych technologii musi odbywać się z poszanowaniem praw osób fizycznych wynikających m.in. z RODO. Zadaniem europejskich organów ochrony danych osobowych jest ochrona obywateli Unii Europejskiej przed negatywnymi skutkami technologii przetwarzania informacji – zaznacza Jakub Groszkowski.

Czytaj w LEX: Prawo do sprzeciwu wobec przetwarzania danych osobowych >

Dodaje, że podniesione w skardze zarzuty rodzą wątpliwości co do systemowego podejścia OpenAI do europejskich zasad ochrony danych osobowych. Urząd będzie więc wyjaśniał te wątpliwości, w szczególności na tle fundamentalnej zasady privacy by design zawartej w RODO.

Czytaj też w LEX: 

Data protection by design i data protection by default >

Obowiązki dokumentacyjne w przetwarzaniu danych osobowych >

Jakie warunki powinna zapewnić organizacja, aby prawidłowo przechowywać dane na swoich serwerach wewnętrznych? >

Nieuprawnione wykorzystanie danych osobowych >