U posljednjih godinu i pol dana otkako je jezični model ChatGPT tvrtke OpenAI postao dostupan javnosti, definitivno svjedočimo novoj tehnološkoj (r)evoluciji koja mijenja svijet nepovratno.
No, istovremeno svjedočimo prigovorima da ChatGPT ne poštuje pravila zaštite osobnih podataka u EU, prvenstveno iz razloga nedovoljne transparentnosti i davanja jasnih informacija što OpenAI radi s prikupljenim osobnim podacima unutar upita ili promptova koje njegovi korisnici unose u ChatGPT, s kime ih dijele, jel ih zadržavaju i na koliko dugo, te koja prava svima nama osiguravaju kako bismo sami mogli zaštititi svoje osobne podatke a koja nam GDPR daje. U nekim zemljama je ChatGPT bio i privremeno zabranjen.
Koliko je OpenAI zapravo ignorirao GDPR pokazuje i činjenica da je tek u veljači ove godine ispunio obvezu imenovanja svog predstavnika u EU prema članku 27. GDPR-a, koji na to obvezuje sve voditelje i izvršitelje obrade koji nemaju svoj poslovni nastan u EU.
Nadzorna tijela za zaštitu osobnih podataka EU zemalja članica postigla su koordinirani stav prema otvorenim pitanjima na temu ChatGPT-a a EDPB je javno objavio tzv. ChatGPT Taskforce report, dostupan svima ovdje:
Izdvajamo:
֍ ChatGPT uči iz dostupnih mu informacija s interneta, a značajan dio tih informacija sam skida ili „struže“, odnosno, radi web scraping ili web crawling web stranica. Pri tom se skidaju i osobni podaci, ponekad i vrlo osjetljive prirode. OpenAI mora osigurati da se skrejpanje ne radi s objavama na društvenim mrežama i da se osobni podaci anonimiziraju prije početka njihovog korištenja za svrhe učenja AI modela. Kako nas OpenAI nikad ne traži naš pristanak da skine naše osobne podatke s weba, preostaje im jedino legitimni interes kao pravni temelj da prikuplja podatke o nama. Tu je OpenAI obvezan obavijestiti svoje korisnike prije unošenja promptova ili dokumenata da mogu sami odlučiti da se osobni podaci u njima ne koriste za daljnje učenje ChatGPT modela.
֍ Što se tiče posebno osjetljivih osobnih podataka na web stranicama, zanimljivo je da OpeAI ovdje ima mogućnost pozvati se na članak 9.2.(e) i obrađivati one osobne podate o zdravlju ili rasnoj pripadnosti, političkim i filozofskim uvjerenjima, genetske i biometrijske podatke ili pak podatke o spolnom životu i seksualnoj orijentaciji ako ih je sama osoba javno objavila.
֍ OpenAI ne smije prebacivati odgovornost za svoju GDPR usklađenost na korisnike ChatGPT-a na način da se u „Terms and Conditions“ ogradi od odgovornosti jer korisnici sami moraju na to paziti. To područje je posebno važno za slučajeve da neki korisnik postavi vrlo specifičan upit i dobije odgovor u kojem bi se nalazili osobni podaci drugog ili drugih korisnika. Tu je odgovornost OpenAI.
֍ Nakon što nam OpenAI skrejpa ili sastruže naše osobne podatke s weba, morao bi nas prema članku 14. GDPR-a o tome informirati ponaosob. No, taj članak GDPR-a daje iznimku od te obveze ako je pružanje takvih informacija nemoguće ili predstavlja nerazmjeran napor.
֍ Točnost podataka unutar ChatGPT-a je posebna priča. Pristrane ili netočne informacije koje kao korisnici možemo dobiti u okviru odgovora na naš upit su realnost u ovom trenutku. Obveza OpenAI da osigura točnost osobnih podataka je otvoreno pitanje za njih. Minimum preduvjeta je da OpenAI mora o tome dati javnosti jasnu informaciju o netočnostima odgovora i njihovoj pristranosti.
֍ OpenAI je u posljednjim mjesecima uspio osigurati ispunjenje GDPR prava ispitanika, koja možemo zahtijevati putem emaila ili u okviru postavki računa registriranog korisnika. Sami predlažu da se umjesto prava na ispravak osobnih podataka koristi pravo na brisanje istih.
Image from Pexels com
#gdprcroatia
