Dokument  prezentuje analizuję kilka kluczowych kwestii dotyczących wspólnej interpretacji przepisów RODO istotnych dla różnych dochodzeń, takich jak:

• legalność gromadzenia danych szkoleniowych („web scraping”) oraz przetwarzania danych w celu wprowadzania, wyprowadzania i szkolenia ChatGPT
• uczciwość: zapewnienie zgodności z RODO jest obowiązkiem OpenAI, a nie osób, których dane dotyczą, nawet jeśli osoby fizyczne wprowadzają dane osobowe
• przejrzystość i dokładność danych: administrator powinien podać odpowiednie informacje na temat probabilistycznego charakteru wyników ChatGPT i jasno wskazać, że wygenerowany tekst może być stronniczy lub zmyślony.

W sprawozdaniu podkreślono również, że niezwykle ważne jest, aby osoby, których dane dotyczą, mogły skutecznie korzystać ze swoich praw.

Członkowie grupy zadaniowej opracowali wspólny kwestionariusz będący możliwą podstawą wymiany informacji z OpenAI, który został opublikowany jako załącznik do raportu, którego tłumaczenie zamieszczamy poniżej.

Ponadto EROD postanowiła opracować wytyczne dotyczące generatywnej sztucznej inteligencji, koncentrując się w pierwszym etapie na gromadzeniu danych w kontekście szkoleń w zakresie AI.

O co organy nadzorcze mają pytać OpenAI – tłumaczenie załącznika do Sprawozdania grupy zadaniowej ChatGPT:

„Załącznik (Kwestionariusz)

Poniższy zestaw pytań został opracowany w kontekście Grupy Zadaniowej ChatGPT i jest udostępniany publicznie. Należy zauważyć, że organy nadzorcze są niezależne i w związku z tym każdy organ nadzorczy miał prawo do modyfikacji kwestionariusza lub dodania dalszych pytań. Ponadto, różnice w pytaniach mogą wynikać z odpowiedniego języka urzędowego, który musi być używany

I OGÓLNE

a) Proszę o ogólny i krótki opis infrastruktury oprogramowania ChatGPT.

b) Proszę o podanie punktu kontaktowego OpenAI. Jest to konieczne, abyśmy mogli kontaktować się bezpośrednio (a nie za pośrednictwem [redacted]), gdy to konieczne.

c) Proszę o podanie danych kontaktowych Inspektora Ochrony Danych (IOD). Jeśli nie wyznaczyliście IOD, proszę wyjaśnić dlaczego nie. W tym kontekście proszę wyjaśnić, dlaczego warunki art. 37(1) RODO nie mają zastosowania do przetwarzania danych osobowych prowadzonego za pomocą infrastruktury oprogramowania ChatGPT.

d) Zgodnie z art. 30(4) RODO, proszę o dostarczenie kopii rejestru czynności przetwarzania. Rejestr ten może być ograniczony do przetwarzania danych osobowych w odniesieniu do produktu będącego przedmiotem tego audytu ochrony danych, czyli infrastruktury oprogramowania ChatGPT. Na podstawie rejestru czynności przetwarzania, musi być jasne dla organu ochrony danych, które kategorie danych osobowych są przetwarzane w jakich celach w kontekście oprogramowania ChatGPT. Ponadto, musi być jasne, czy i które szczególne kategorie danych osobowych zgodnie z art. 9 RODO oraz dane osobowe dotyczące wyroków skazujących i czynów zabronionych zgodnie z art. 10 RODO są przetwarzane.

e) Zgodnie z art. 33(5) RODO, proszę o dostarczenie kopii dokumentacji naruszeń danych osobowych

II ZASADY DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH

a) Proszę opisać w ogólny sposób, jak zapewniacie zgodność z zasadami przetwarzania danych osobowych zgodnie z art. 5(1) RODO. Na przykład: czy wdrożyliście system zarządzania ochroną danych (DPMS), czy przeprowadzacie regularne audyty wewnętrzne i/lub zewnętrzne i czy, jeśli dotyczy, wasz wyznaczony IOD jest zaangażowany we wszystkie sprawy związane z ochroną danych? Proszę dostarczyć dokumenty wspierające, jeśli dotyczy. W odpowiedzi proszę rozróżnić przetwarzanie danych osobowych dotyczących użytkowników (osób rejestrujących się w usługach ChatGPT) oraz przetwarzanie danych osobowych zbieranych od osób trzecich (na przykład z Internetu, za pomocą web scraping, w celu zasilania i trenowania algorytmu).

b) Zgodnie z art. 5(1)(b) RODO, proszę opisać różne cele, dla których przetwarzacie dane osobowe w kontekście infrastruktury oprogramowania ChatGPT. W odpowiedzi proszę być precyzyjnym w określaniu, które kategorie danych przetwarzacie w jakich celach. Jeśli dokładny opis celów przetwarzania można już znaleźć w rejestrze czynności przetwarzania (patrz pytanie I. a) tego listu), proszę opisać, gdzie w rejestrze można to znaleźć.

c) Zgodnie z art. 5(1)(c) RODO, proszę opisać, jak zapewniacie, że ograniczacie przetwarzanie danych osobowych do tego, co jest konieczne do realizacji waszych celów.

d) Zgodnie z art. 5(1)(d) RODO, proszę opisać, jak radzicie sobie z kwestią dokładności danych osobowych używanych i generowanych w kontekście infrastruktury oprogramowania ChatGPT? W szczególności, jak mierzycie dokładność danych osobowych używanych w procesach treningowych, testowych i walidacyjnych waszego modelu językowego? W tym kontekście proszę dostarczyć dokumenty, w których opisujecie proces pomiaru i oceny dokładności danych zarówno dla danych treningowych, testowych i walidacyjnych, jak i dla wyników modelu.

e) Zgodnie z art. 5(1)(e) RODO, proszę opisać, jak długo przechowujecie dane osobowe. Jeśli dotyczy, proszę dostarczyć kopię polityki retencji danych. W odpowiedzi proszę rozróżnić różne kategorie danych istotne dla infrastruktury oprogramowania ChatGPT. Jeśli terminy usunięcia różnych kategorii danych można już znaleźć w rejestrze czynności przetwarzania (patrz pytanie I. a) tego listu), proszę opisać, gdzie w rejestrze można to znaleźć.

f) Zgodnie z art. 5(1)(f) i art. 32 RODO, proszę opisać, jakie środki techniczne i organizacyjne zostały wdrożone w celu zapewnienia odpowiedniego bezpieczeństwa danych osobowych przetwarzanych w kontekście infrastruktury oprogramowania ChatGPT.

III OCENA SKUTKÓW DLA OCHRONY DANYCH (DPIA) I ZARZĄDZANIE RYZYKIEM

a) Czy przeprowadziliście DPIA zgodnie z art. 35 RODO w odniesieniu do przetwarzania danych osobowych związanych z użytkownikami i osobami trzecimi w kontekście infrastruktury oprogramowania ChatGPT? Jeśli tak, proszę dostarczyć pełną kopię waszego DPIA oraz informacje, kiedy DPIA zostało przeprowadzone. Jeśli nie, proszę wyjaśnić, dlaczego warunki art. 35(1) i (3) RODO nie mają zastosowania do przetwarzania danych osobowych prowadzonego za pomocą infrastruktury oprogramowania ChatGPT.

b) Jeśli dotyczy, czy wasz wyznaczony IOD był zaangażowany w przeprowadzanie DPIA zgodnie z art. 35(2) RODO? Jeśli tak, proszę dostarczyć dowód (na przykład kopię oświadczenia waszego IOD dotyczącego DPIA). Jeśli nie, proszę wyjaśnić, dlaczego nie.

 c) Czy byliście w stanie wyeliminować lub odpowiednio złagodzić ryzyka zidentyfikowane podczas przeprowadzania DPIA? Proszę dostarczyć dokumenty jako dowód (na przykład kopię analizy ryzyka). Jeśli dokładny opis środków podjętych w celu wyeliminowania lub odpowiedniego złagodzenia zidentyfikowanych ryzyk jest częścią waszego DPIA, proszę opisać, gdzie w DPIA można to znaleźć.

d) Zgodnie z art. 24(1) ostatnie zdanie RODO, jakie terminy zostały ustanowione dla okresowego przeglądu waszego DPIA? e) Jaki jest limit wieku dla korzystania z infrastruktury oprogramowania ChatGPT i jak zapewniacie, że te usługi nie są używane przez podmioty danych (użytkowników) poniżej tego limitu wiekowego?

IV ZGODNOŚĆ Z PRAWEM PRZETWARZANIA

a) Proszę opisać, z jakich różnych źródeł zbierane są dane osobowe, które następnie są wykorzystywane do treningu, testowania i walidacji infrastruktury oprogramowania ChatGPT. Proszę dostarczyć te informacje dla wszystkich różnych etapów treningu oraz w odniesieniu do wejścia i wyjścia w trakcie użytkowania przez osoby fizyczne.

b) Zgodnie z art. 6(1) RODO, proszę opisać waszą podstawę prawną (i, jeśli dotyczy, wasze wyjątki zgodnie z art. 9(2) RODO) dla przetwarzania danych osobowych w kontekście infrastruktury oprogramowania ChatGPT. W odpowiedzi proszę być precyzyjnym i podać odpowiednią podstawę prawną dla każdej różnej operacji przetwarzania, w szczególności w odniesieniu do przetwarzania danych osobowych użytkowników w porównaniu z przetwarzaniem danych osobowych osób trzecich (zebranych od osób trzecich). Proszę również określić, czy i w jakim zakresie dane osobowe przekazywane przez użytkowników za pośrednictwem ich interakcji z chatbotem są wykorzystywane do szkolenia systemu AI lub w jakichkolwiek innych celach przez OpenAI, a jeśli tak, jaka jest odpowiednia podstawa prawna.

c) W stosownych przypadkach proszę dostarczyć szczegółowe informacje na następujące tematy i różnicować między odpowiednimi operacjami przetwarzania: - Jeśli podstawą prawną jest zgoda zgodnie z art. 6(1) (i ewentualnie wyjątki zgodnie z art. 9(2)(a) RODO), proszę wyjaśnić, jak uzyskujecie zgodę i jak spełniacie warunki zgody, w szczególności w odniesieniu do art. 7 RODO. - Jeśli podstawą prawną jest konieczność wykonania umowy zgodnie z art. 6(1)(b) RODO, proszę wyjaśnić, która umowa z jaką treścią została zawarta między jakimi stronami i dlaczego przetwarzanie danych osobowych jest konieczne do wykonania takiej umowy. Ponadto, jeśli podstawą prawną jest konieczność wykonania umowy zgodnie z art. 6(1)(b) RODO, proszę wyjaśnić, który wyjątek zgodnie z art. 9(2) RODO jest dodatkowo wykorzystywany, gdy przetwarzane są szczególne kategorie danych osobowych. - Jeśli podstawą prawną jest uzasadniony interes zgodnie z art. 6(1)(f) RODO, proszę dostarczyć szczegółowe informacje dotyczące przeprowadzonej oceny równowagi interesów, w szczególności dlaczego stwierdziliście, że takie interesy nie są nadrzędne wobec interesów podmiotów danych. Ponadto, jeśli podstawą prawną jest uzasadniony interes zgodnie z art. 6(1)(f) RODO, proszę wyjaśnić, który wyjątek zgodnie z art. 9(2) RODO jest dodatkowo wykorzystywany, gdy przetwarzane są szczególne kategorie danych osobowych. - W przypadku, gdy żadna z wyżej wymienionych podstaw prawnych nie ma zastosowania, proszę wyjaśnić, dlaczego inna podstawa prawna jest stosowana.

d) Proszę wyjaśnić, dlaczego podmioty danych (użytkownicy) muszą wprowadzić swój numer telefonu oprócz adresu e-mail? Ponadto, proszę wyjaśnić, na jakiej podstawie prawnej i w jakich celach jest wykorzystywany numer telefonu oraz jak długo numer telefonu będzie przechowywany przez OpenAI?

e) Zgodnie z art. 6(4) RODO, czy przetwarzanie w celu innym niż ten, dla którego dane osobowe zostały zebrane (dalsze przetwarzanie) ma miejsce? Jeśli tak, proszę opisać, które kategorie danych dotyczą tego i dostarczyć kopię testu kompatybilności zgodnie z art. 6(4) RODO.

V PRAWA PODMIOTU DANYCH I PRZEJRZYSTOŚĆ

a) Proszę wyjaśnić, jak i kiedy informacje wymagane zgodnie z art. 13 i art. 14 RODO są dostarczane podmiotom danych. W świetle obecnie dostępnej polityki prywatności opublikowanej na waszej stronie internetowej, proszę wyjaśnić w szczególności, jak i kiedy informacje wymagane zgodnie z art. 14 są dostarczane osobom trzecim (np. osobom trzecim, których dane są zbierane do treningu algorytmu wykorzystywanego). Proszę dostarczyć zrzuty ekranu (np. z części waszej strony internetowej, gdzie podmiot danych jest informowany) oraz kopię waszej aktualnej polityki prywatności.

b) Proszę wyjaśnić, jak zapewniacie zgodność z prawami podmiotów danych zgodnie z art. 15 do art. 22 RODO. Proszę dostarczyć dokumenty wspierające, jeśli dotyczy (np. kopię wewnętrznej polityki dedykowanej obsłudze żądań podmiotów danych).

c) Ze szczególnym uwzględnieniem art. 17 RODO, proszę wyjaśnić, jak zapewniacie zgodność z prawem do usunięcia danych ("prawo do bycia zapomnianym")?

d) Ze szczególnym uwzględnieniem art. 21 RODO, jak spełniacie żądania użytkowników dotyczące sprzeciwu wobec przetwarzania ich danych osobowych na podstawie uzasadnionego interesu?

e) Ze szczególnym uwzględnieniem art. 22 RODO, czy ma miejsce automatyczne podejmowanie decyzji, w tym profilowanie? Jeśli tak, proszę wyjaśnić, jak zapewniacie zgodność z art. 22 RODO. f) Czy dostarczacie informacje użytkownikom waszej infrastruktury oprogramowania ChatGPT dotyczące możliwości i ograniczeń modelu oraz przetwarzania danych osobowych przez usługi modelu językowego? Jeśli tak, jak to robicie?

VI PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH I ORGANIZACJI MIĘDZYNAROOWYCH

a) Proszę dostarczyć listę centrów danych, których używacie do hostowania i udostępniania infrastruktury oprogramowania ChatGPT (np. do przetwarzania danych osobowych związanych z tymi usługami). Jeśli lokalizacja przechowywania lub przetwarzania danych osobowych zależy od pewnych kryteriów, proszę je opisać.

b) Zgodnie z art. 44 RODO, czy dochodzi do przekazywania danych osobowych użytkowników z [wstaw kraj] do państw trzecich (poza Unią Europejską)? Jeśli tak, z jakich instrumentów korzystacie dla takich transferów (art. 45, art. 46 i/lub art. 49 RODO)? Proszę szczegółowo wyjaśnić, dlaczego wybraliście odpowiedni instrument i jak zapewniacie zgodność z wymogiem art. 44 RODO – mianowicie, że poziom ochrony osób fizycznych gwarantowany przez RODO nie jest podważany. Proszę dostarczyć dokumenty jako dowód (np. jeśli dotyczy, kopię zawartych Standardowych Klauzul Ochrony Danych zgodnie z art. 46(2)(c) RODO). W tym kontekście proszę wyjaśnić, czy i jak stosujecie się do zaleceń zawartych w Zaleceniach EDPB 01/2020 dotyczących środków uzupełniających narzędzia transferowe w celu zapewnienia zgodności z poziomem ochrony danych osobowych w UE

VII UJAWNIENIE DANYCH INNYM OSOBOM

a) Czy OpenAI jest jedynym administratorem zgodnie z art. 4(7) RODO dla przetwarzania danych osobowych w kontekście infrastruktury oprogramowania ChatGPT? Jeśli tak, jak zapewniacie, że żadna inna strona (np. inna firma) nie decyduje o celach i środkach przetwarzania danych osobowych w kontekście infrastruktury oprogramowania ChatGPT? Jeśli nie, kto jest innymi (wspólnymi) administratorami zgodnie z art. 26 RODO? W takim przypadku proszę dostarczyć kopię waszej umowy zgodnie z drugim zdaniem art. 26 RODO.

b) Czy dla przetwarzania danych osobowych w kontekście infrastruktury oprogramowania ChatGPT macie procesora zgodnie z art. 28 RODO? Jeśli tak, proszę dostarczyć kopię waszej umowy zgodnie z art. 28(2) RODO.

c) Komu są ujawniane dane osobowe przetwarzane w kontekście infrastruktury oprogramowania ChatGPT (np. nowemu administratorowi, który przetwarza dane osobowe generowane i dostarczane przez OpenAI dla własnych celów) i na jakiej podstawie prawnej zgodnie z art. 6(1) i/lub wyjątek zgodnie z art. 9(2) RODO?

d) Odpowiadając na pytania punktu VII, proszę również uwzględnić integrację infrastruktury oprogramowania ChatGPT z innymi produktami, takimi jak (ale nie ograniczając się do) wyszukiwarki.”

Masz pytania?

Jeśli masz więcej pytań dotyczących RODO i sztucznej inteligencji - więcej informacji znajdziesz w naszym serwisie. Przejrzyj nasze zasoby!

Jeżeli chcesz być na bieżąco z tematyką RODO, prawa nowych technologii i AI obserwuj nas!

Facebook https://www.facebook.com/odoserwis.pl.2016/

Linkedin https://www.linkedin.com/company/odoserwis-pl/

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl

Jeżeli chciałbyś skorzystać z opinii lub porady prawnej nie wahaj się skontaktować z nami office@jds.com.pl ; www.jds.com.pl