Europejska Rada Ochrony Danych powołała grupę roboczą ds. ChatGPT w celu monitorowania i zbadania kwestii jego zgodności z unijnymi regulacjami dotyczącymi ochrony danych osobowych przy m.in. generowaniu tekstów i rozmów z ludźmi.

Głównym celem grupy ds. ChatGPT jest opracowanie wytycznych dotyczących ochrony danych osobowych w związku z wykorzystaniem systemów sztucznej inteligencji do generowania tekstów i rozmów. Grupa będzie badać różne aspekty związane z ochroną danych, takie jak przetwarzanie danych osobowych, prawa użytkowników, bezpieczeństwo i odpowiedzialność za szkody wynikające z wykorzystania ChatGPT.

W skład grupy ds. ChatGPT wchodzą eksperci ds. ochrony danych osobowych, przedstawiciele różnych organów nadzorczych oraz innych zainteresowanych stron. Grupa ta będzie działać we współpracy z innymi organami i grupami roboczymi Europejskiej Rady Ochrony Danych Unii Europejskiej aby zapewnić koordynację działań i osiągnięcie celów wyznaczonych przez Radę.

Zagrożenia związane z wykorzystaniem ChatGPT do generowania tekstów i rozmów zostały zidentyfikowane przez Europejską Radę Ochrony Danych Unii Europejskiej  i mogą obejmować:

• Naruszenie prywatności i ochrony danych osobowych: ChatGPT może zbierać i przetwarzać dane osobowe użytkowników, takie jak informacje o preferencjach, zachowaniach i intencjach. W związku z tym istnieje ryzyko naruszenia prywatności i ochrony danych osobowych.
• Ryzyko dyskryminacji i uprzedzeń: ChatGPT może wprowadzać błędne założenia i uprzedzenia, na przykład w zakresie płci, rasy, orientacji seksualnej czy wyznania, co może prowadzić do dyskryminacji.
• Ryzyko dezinformacji i fałszywych informacji: ChatGPT może generować nieprawdziwe lub mylące informacje, co może prowadzić do dezinformacji i manipulacji opinii publicznej.
• Bezpieczeństwo cybernetyczne: ChatGPT może być podatny na ataki cybernetyczne, które mogą prowadzić do naruszenia bezpieczeństwa danych i prywatności użytkowników.
• Odpowiedzialność za decyzje podejmowane przez ChatGPT: ChatGPT może podejmować decyzje, na przykład w zakresie rekomendacji produktów lub usług, co może prowadzić do odpowiedzialności prawnej za szkody wynikające z tych decyzji.

Organy publiczne na całym świecie zajmujące się ochroną danych osobowych i prywatności podejmują działania w sprawie ChatGPT.

Na poziomie europejskim, już w 2020 roku Europejska Rada Ochrony Danych Unii Europejskiej wydała wytyczne dotyczące wykorzystania sztucznej inteligencji, w tym systemów generujących teksty i rozmowy, z uwzględnieniem kwestii ochrony prywatności i danych osobowych. EDPB również powołała grupę roboczą ds. ChatGPT, o której powyżej mowa, aby badać zagadnienia związane z ochroną danych w kontekście tego systemu.

Na poziomie krajowym, w wielu krajach istnieją organy i agencje ds. ochrony prywatności, które także podejmują działania w kwestii ChatGPT. Na przykład w Stanach Zjednoczonych Federalna Komisja Handlu (Federal Trade Commission, FTC) wydała wezwanie do złożenia raportów od dziewięciu firm, które oferują narzędzia oparte o działanie sztucznej inteligencji, w tym ChatGPT, celem zbadania kwestii związanych z prywatnością i bezpieczeństwem.

Polska

W Polsce organem odpowiedzialnym za ochronę danych osobowych jest Urząd Ochrony Danych Osobowych (UODO). Zgodnie z informacjami dostępnymi na stronie internetowej UODO, w 2021 roku urząd ten wydał rekomendacje dotyczące wykorzystania sztucznej inteligencji, w tym ChatGPT, z uwzględnieniem kwestii ochrony prywatności i danych osobowych. Urząd Ochrony Danych Osobowych wystąpił ostatnio do włoskiej agencji ochrony danych (Garante per la protezione dei dati personali) w sprawie ChatGPT. UODO chce zbadać, czy ChatGPT przestrzega europejskiej regulacji o ochronie prywatności, a także potencjalne ryzyko naruszania prywatności użytkowników.

UODO nie otrzymał do tej pory (kwiecień 2023) skarg dotyczących korzystania z ChatGPT i nie przeprowadził kontroli w związku z jego funkcjonowaniem, ale bada sprawę. Urząd liczy na uregulowanie kwestii sztucznej inteligencji na poziomie unijnym i organizuje inicjatywy edukacyjne oraz naukowe w celu lepszego zrozumienia wspomnianej technologii, a także, potencjalnych zagrożeń. UODO poprosił także włoską agencję ochrony danych o udostępnienie informacji dotyczących wykorzystania ChatGPT przez instytucje publiczne i prywatne we Włoszech.

Włochy

We Włoszech organem odpowiedzialnym za ochronę danych osobowych jest Garante per la protezione dei dati personali, czyli urząd ochrony danych osobowych. Garante zajmuje się ochroną danych osobowych oraz podejmuje działania w zakresie regulacji i nadzoru w tym obszarze.

W kontekście ChatGPT, Garante wskazuje na zagrożenia związane z wykorzystaniem sztucznej inteligencji, w tym systemów generujących teksty i rozmowy, pod kątem prywatności i ochrony danych. W związku z tym, Garante opublikował wytyczne dotyczące wykorzystania sztucznej inteligencji w grudniu 2020 roku, w których dostrzegł konieczność ochrony danych osobowych i prywatności użytkowników oraz wskazał, że przed wdrożeniem takich systemów należy dokładnie zbadać ich wpływ na prywatność i ochronę danych.

Ponadto, we wrześniu 2021 roku Garante wszczął postępowanie wyjaśniające w sprawie wykorzystania przez Facebook systemu sztucznej inteligencji w tzw. smart glasses, który może naruszać prywatność i ochronę danych osobowych użytkowników. Postępowanie to ma na celu zbadać, czy Facebook przestrzega przepisów dotyczących ochrony danych osobowych i czy jego system respektuje prywatność użytkowników. Warto również dodać, że we Włoszech tematem zajmuje się również krajowe centrum ds. cyberbezpieczeństwa (Centro Nazionale Cyber ​​Difesa), które monitoruje zagrożenia związane z bezpieczeństwem cybernetycznym, w tym zagrożenia wynikające z wykorzystania sztucznej inteligencji.

Niemcy

W Niemczech organem nadzorującym ochronę danych osobowych jest Federalny Komisarz do spraw Ochrony Danych i Wolności Informacyjnej (BfDI). BfDI jest niezależnym organem nadzorczym, który zajmuje się ochroną danych osobowych, a także promuje świadomość w zakresie prywatności i bezpieczeństwa danych dla wszystkich organów publicznych rządu federalnego.

W kontekście ChatGPT, BfDI wskazuje na konieczność ochrony danych osobowych użytkowników oraz na zagrożenia związane z wykorzystaniem sztucznej inteligencji, w tym systemów generujących teksty i rozmowy. W związku z tym, BfDI opublikował wytyczne dotyczące wykorzystania sztucznej inteligencji w maju 2021 roku, w których zwrócił uwagę na konieczność przestrzegania przepisów dotyczących ochrony danych osobowych oraz na potrzebę wyjaśnialności w stosowaniu sztucznej inteligencji.

BfDI również podejmuje konkretne działania w sprawie ChatGPT. W 2021 roku, BfDI wszczął postępowanie przeciwko platformie Clubhouse, która wykorzystuje system generowania tekstów w celu automatycznego generowania transkrypcji rozmów. Postępowanie to ma na celu zbadać, czy Clubhouse przestrzega przepisów dotyczących ochrony danych osobowych oraz czy jego system generowania tekstów respektuje prywatność użytkowników. Ponadto, w Niemczech istnieje również Federalne Biuro ds. Bezpieczeństwa Sieci Informacyjnych (BSI), które jest odpowiedzialne za monitorowanie i przeciwdziałanie zagrożeniom związanym z bezpieczeństwem cybernetycznym, w tym zagrożenia wynikające z wykorzystania sztucznej inteligencji.

Francja

W kontekście ChatGPT, władze francuskie podjęły kilka działań dotyczących ochrony prywatności i danych osobowych użytkowników. Jeden z organów zajmujących się ochroną danych w Francji to Komisja ds. Informacji i Wolności (Commission nationale de l’informatique et des libertés, CNIL). W maju 2021 roku, CNIL opublikowała swoje wytyczne dotyczące sztucznej inteligencji, w których podkreśla konieczność ochrony prywatności i danych osobowych użytkowników, a także na potrzebę przejrzystości i odpowiedzialności w stosowaniu sztucznej inteligencji.

Ponadto, w lipcu 2021 roku CNIL wszczęła postępowanie przeciwko platformie do nauki języków, Duolingo, która wykorzystuje system generowania tekstu, w tym ChatGPT, do automatycznego tłumaczenia tekstów użytkowników. Postępowanie to ma na celu zbadać, czy Duolingo przestrzega przepisów dotyczących ochrony danych osobowych i prywatności użytkowników, a także czy jego system generowania tekstu respektuje prywatność użytkowników. W tym samym okresie francuski organ nadzorczy ochrony danych osobowych wydał również decyzję nakładającą na Google karę w wysokości 500 milionów euro za naruszanie przepisów dotyczących prywatności i danych osobowych użytkowników w związku z wykorzystaniem plików cookie.

W sierpniu 2021 roku, francuski rząd przedstawił projekt ustawy dotyczącej sztucznej inteligencji, który ma na celu regulację stosowania sztucznej inteligencji i ochronę danych użytkowników. Projekt ustawy zakłada, że systemy oparte na sztucznej inteligencji, w tym ChatGPT, będą musiały być transparentne i odpowiedzialne, a także przestrzegać przepisów dotyczących ochrony danych osobowych użytkowników.

Co dalej?

Jako model językowy, ChatGPT nie jest bezpośrednio regulowany przez Europejską Radę Ochrony Danych ale może podlegać przepisom dotyczącym ochrony danych osobowych. W związku z tym, kolejne kroki Rady wobec ChatGPT mogą obejmować:

1. Monitorowanie działań ChatGPT w odniesieniu do ochrony danych osobowych, aby upewnić się, że model spełnia wymogi regulacyjne.
2. Przeprowadzanie audytów bezpieczeństwa w celu upewnienia się, że ChatGPT przestrzega wymogów dotyczących bezpieczeństwa i prywatności danych.
3. Współpraca z dostawcami technologii i twórcami modelu, aby zapewnić zgodność z regulacjami dotyczącymi ochrony danych.
4. Podejmowanie działań w przypadku naruszenia prywatności lub bezpieczeństwa danych przez ChatGPT, w tym na przykład nałożenie kar lub innych sankcji.
5. Przeprowadzanie badań dotyczących wpływu modeli językowych na prywatność i bezpieczeństwo danych, w tym na przykład badania dotyczące wykorzystania danych wrażliwych lub kwestii związanych z identyfikacją osobistą.
6. Opracowywanie i aktualizowanie wytycznych dotyczących prywatności i bezpieczeństwa danych dla modeli językowych, takich jak ChatGPT, aby pomóc w zapewnieniu zgodności z regulacjami dotyczącymi ochrony danych i prywatności.

Szkolenia RODO przeznaczone są dla osób przetwarzających dane osobowe, w szczególności dla administratorów danych oraz ich pracowników. To również początek ścieżki kariery Inspektora Danych Osobowych. Zgodnie z tematyką szkoleń, przedstawiamy dzisiaj jedno z najbardziej podstawowych zagadnień związanych z RODO, czyli rejestr czynności przetwarzania danych osobowych. A także rejestr kategorii czynności przetwarzania danych osobowych.

Czym jest rejestr czynności przetwarzania?

Zacznijmy od tego, że samo RODO nie definiuje wprost, czym jest rejestr czynności przetwarzania danych osobowych (RCP), jednak jest to pojęcie często występujące w tej tematyce. Rejestr powinien mieć formę szybkiego dostępu do danych dotyczących przetwarzania i powinien zostać utworzony dla każdego procesu przetwarzania danych osobowych jako odrębny rejestr. Ponadto na wezwanie organu nadzorczego powinien być natychmiast udostępniony. Prowadzeniem rejestru powinny zajmować się osoby uprawnione, czyli administrator danych i procesor. A także, jeśli występuje w danej firmie przedstawiciel RODO.

Wykaz przetwarzanych zbiorów danych, na które dzieli się wszystkie przetwarzane u danego administratora danych informacje ze względu na: zakres przetwarzanych danych, cele przetwarzania oraz kategorie odbiorców, którym dane zostaną udostępnione. – interpretacją dr inż. Andrzeja Kaczmarka

Natomiast Prezes Urzędu Ochrony Danych Osobowych (PUODO) odniósł się do czynności przetwarzania, określając je jako zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób. Wszystkie czynności, które sprowadzają się do przetwarzania danych osobowych takie jak; rekrutacja pracowników, ewidencja pracowników, czy ewidencja wypłat należy umieścić w rejestrze czynności przetwarzania danych osobowych.

Szkolenia RODO i uzupełnienie informacji, czyli kategoria czynności przetwarzania

W RODO funkcjonuje również pojęcie rejestru kategorii czynności przetwarzania (RKCP), które tak jak RCP nie zostało zdefiniowane, ale funkcjonuje. RKCP nie stanowi jednak uzupełnienia RCP, ani nie jest jego zamiennikiem. Co znaczy, że RKCP i RCP nie prowadzi się zamiennie, a jednocześnie, jeśli jest taki obowiązek. Ponadto, jak sama nazwa wskazuje RKCP odnosi się do kategorii czynności, a nie do samych czynności przetwarzania.

Rejestr kategorii czynności przetwarzania (RKCP) to dokumenty wraz z podstawową i dodatkową dokumentacją podmiotu przetwarzającego dane (procesora). Wynikających z przetwarzania danych przez procesora na rzecz innych podmiotów.

Jak należy prowadzić rejestry?

W związku z tym, iż RODO nie określa postaci, ani układu zawartych informacji w RCP i RKCP, należy przyjąć, że forma prowadzenia rejestrów jest dowolna – papierowa lub elektroniczna. Należy jednak mieć na uwadze, aby zachować przejrzystość dokumentu i zadbać o estetyczną prezentację zamieszczonych w rejestrze informacji.

Jakie dane muszą znaleźć się w rejestrze

Zgodnie z art. 30 ust. 2 RODO – “Procesor” zobowiązany jest do zamieszczenia w swoim rejestrze określonych informacji:

1. Imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego, przedstawiciela podmiotu przetwarzającego oraz inspektora ochrony danych.
2. Imię i nazwisko lub nazwa oraz dane kontaktowe każdego administratora, w imieniu którego działa podmiot przetwarzający, przedstawiciela administratora oraz inspektora ochrony danych.
3. Przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń.
4. Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Ponadto procesor zobowiązany jest do wskazania, jakich środków ochrony danych użył, a także przedstawić stosowną dokumentację. Dotyczy się to zarówno dokumentów w rozumieniu ogólnym np. polityka prywatności, jak i dokumentacji technicznej, jeśli taka ma miejsce np. serwery i hosting strony internetowej.