Több téren is problémás a ChatGPT az EU-ban

Az európai adatvédelmi hatóságokat tömörítő Európai Adatvédelmi Testület (EDPB) tavaly áprilisban hozott létre dedikált munkacsoportot a generatív MI-szolgáltatások, különösen a ChatGPT chatbot adatvédelmi kockázatainak vizsgálatára, miután egyre több nehezen megválaszolható adatvédelmi kérdés merült fel a szolgáltatással kapcsolatban. A munkacsoport elsődleges célja egy olyan általános szabályzat létrehozása, amelyek átláthatóságot biztosítana a technológiák működésével kapcsolatban. A résztvevők az egyes tagállamok álláspontjainak összehangolását remélik az egyre gyűlő, ChatGPT ellen benyújtott panaszok apropóján.

Az akciócsoport így már több mint egy éve foglalkozik azzal a kérdéssel, hogy az Európai Unió adatvédelmi törvényeinek miként felel meg az OpenAI szolgáltatása, ezzel kapcsolatban pénteken hozta nyilvánosságra előzetes következtetéseit. Egyelőre úgy tűnik, hogy továbbra sem sikerült egyértelműen dönteni olyan alapvető kérdésekben, minthogy az OpenAI adatfeldolgozása mennyire jogszerű és méltányos.

Az általános adatvédelmi rendelet (GDPR) megsértése esetén a cégre kiszabható szankció maximális mértéke elérheti a világpiaci éves forgalom 4 százalékát, emellett a problémás gyakorlat megváltoztatására kényszeríthetik. Amíg az adatvédelmi végrehajtók csoportja nem tudja tisztázni, miként vonatkoznak a GDPR előírásai a ChatGPT-re, addig az OpenAI jó eséllyel folytatni fogja szokásos üzletmenetét és módszereit, a régió különböző adatvédelmi hatóságaihoz érkező panaszok ellenére.

A munkacsoport egyik megállapítása, hogy az OpenAI nem tesz eleget a ChatGPT által generált pontatlan és hamis információkat tartalmazó kimenetek megakadályozására, és ugyan az átláthatóság elvének való megfelelés érdekében hozott korábbi intézkedések előnyösek, de nem elegendőek az adatpontosság elvének való megfeleléshez.

Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.

A GDPR értelmében minden olyan szervezetnek, amely személyekről adatokat kíván feldolgozni, jogalappal kell rendelkeznie a művelethez. A rendelet hat lehetséges alapot határoz meg, de a legtöbb nem értelmezhető az OpenAI kontextusában. Az olasz adatvédelmi hatóság korábban már úgy határozott, hogy az AI-startup nem hivatkozhat az emberek adatainak feldolgozásának szerződéses szükségességére a technológiája képzésének érdekében. Így két lehetséges jogalap marad: a beleegyezés (azaz engedélyt kell kérnie a felhasználóktól adataik felhasználásához), vagy a jogos érdeknek (LI) nevezett szélesebb körű alap, amely megköveteli, hogy az adatkezelő lehetővé tegye a felhasználók számára, hogy tiltakozhassanak az adatkezelés ellen.

A munkacsoport szerint a ChatGPT-nek érvényes jogalapra van szüksége a személyes adatok feldolgozásának minden szakaszához, beleértve a képzési adatok gyűjtését, az adatok előfeldolgozását (szűrést), a modell képzését, illetve a ChatGPT kimeneteinek használatához.  A nyilvánosan hozzáférhető, tömegesen gyűjtött adatok ugyanis tartalmazhatnak a érzékenyebb típusú személyes adatokat (amelyeket a GDPR „különleges kategóriájú adatoknak” nevez), például egészségügyi információkat, szexualitásra, politikai nézetekre vonatkozó információkat.

A speciális kategóriájú adatokkal kapcsolatban a munkacsoport úgy gondolja, hogy pusztán azért, mert nyilvánosak, még nem tekinthető úgy, hogy azokat szándékosan hozták nyilvánosságra az érintettek, ami mentességet jelentene az ilyen típusú adatok feldolgozásához szükséges kifejezett hozzájárulásra vonatkozó GDPR-követelmény alól. Ezért fontos megbizonyosodni arról, hogy az érintett szándékában állt-e a kérdéses személyes adatot hozzáférhetővé tenni a nagyközönség számára.

A munkacsoport vizsgálata az adatkezelés jogszerűségére vonatkozóan még folyamatban van, de már fontosnak tartotta kiemelni az érintettekre gyakorolt ​​hatások kezelésének biztosítékait: az adatgyűjtés pontos kritériumainak meghatározását, az adatok szűrésének módszereit, valamint a tömeges információkaparással, azaz scraping útján gyűjtött személyes adatok törlését vagy anonimizálását.

Egy másik fontos megállapítás, hogy a GDPR-nak való megfelelés biztosításáért való felelősséget nem szabad áthárítani az érintettekre, például az Általános Szerződési Feltételekben nem lehet olyan kitételt alkalmazni, amely szerint az érintettek felelősek a chatprogramba bevitt adatokért. Továbbra is az OpenAI is felelős a GDPR előírásainak betartásáért, és nem szabad azzal érvelnie, hogy bizonyos személyes adatok bevitelét eleve tiltotta akár a szolgáltatás szabályzatában.