Przetwarzanie na potrzeby sztucznej inteligencji (AI) opiera się na gromadzeniu i przetwarzaniu dużych ilości danych. Duże modele językowe (LLM) mają potężne zdolności generowania treści.

Dla kontekstu, najpierw kilka zdań wyjaśnienia. Nie jestem aktywistą ani organizacją pozarządową. Jestem badaczem i ekspertem. Obserwowałem prace nad regulacją GDPR/RODO od początku poprzedniej dekady. Nigdy nie nadużywałem mechanizmu RODO ani systemu skarg. Właściwie to jest to moja pierwsza skarga. Uważam, że obecna sytuacja uzasadnia podjęcie działań i wyrażenie pewnych wątpliwości.

Skarga RODO

W tym wpisie opisuję moją skargę RODO dotyczącą ChatGPT/OpenAI. Kwestia dotyczy projektu tego systemu, jego użycia i związanej z tym wymianie koresponencji z OpenAI, próbując zrozumieć, co się dzieje. Moja wiedza i doświadczenie to wystarczająca przesłanka by wyrazić pewne wątpliwości. Sprawa ta dotyczy kwestii systemowych związanych ze sztuczną inteligencją, w szczególności dotyczących (1) przetwarzanie danych wejściowych i generacji wyjściowych przez system AI/LLM oraz (2) udzielanie informacji związanych z takim przetwarzaniem. Dodam, że to obawy motywowane także podstawowymi zasadami określonymi w unijnym akcie dotyczącym sztucznej inteligencji nad którym trwają końcowe prace. Unijna regulacja o sztucznej inteligencji w swej istocie podkreśla znaczenie wyjaśniania użytkownikom sytuacji oraz kwestie projektowe.

Projektowanie, wdrażanie i utrzymywanie takich systemów wymaga starannośc, rzetelności i właściwego uwzględnienia ryzyka. Choć jest to kwestia ochrony danych, warto pomyśleć o tym w znaczeniu szerszym – o prawach człowieka i godności ludzkiej. RODO dotyczy aspektów ochrony danych. Chodzi więc o poszanowanie podstawowych praw i wolności. Jako to motywowane wartościami europejskimi.

Poruszone kwestie ochrony danych osobowych krytyczne w tej sprawie to zasady zgodności z prawem, rzetelności, przejrzystości i ochrony danych (prywatności) w fazie projektowania. Sprawa może mieć szczególne znaczenie w przyszłości i potencjalnie stać się jedną z bardziej znaczących związanych ze sztuczną inteligencją. Zwłaszcza jeśli chodzi o niuanse art. 25 – dotyczące ochrony danych w fazie projektowania. Ten przepis podkreśla ogromne znaczenie włączenia kwestii ochrony danych do samej struktury projektu technologicznego.

Co

Podczas testów i zabaw z ChatGPT, zauważyłem, że generuje on fałszywe dane na mój temat. Nieprawidłowe, zatem wręcz fałszywe. Z pewnością nie można tego opisać mianem „halucynacji”, określenia którego niektórzy zdecydowali się używać, a które nieprawidłowo opisuje to co zachodzi. W tym konkretnym przypadku wątpliwości budzą wygenerowane fałszywe dane. W tym fikcyjne prace (np. rzekome, nieistniejące artykuły naukowe) błędnie mi przypisane. Konsekwencje wykraczają poza drobne nieścisłości. Przecież to zrozumiałe, że rzesze użytkowników mogą dziś w jakiś sposób ufać informacjom dostarczanym przez ChatGPT, lub inne tego typu systemy. Są one popularne, często opisywane w mediach, są użyteczne i są używane. To zatem normalne, że ktoś może ufać w wytworzoną tym treść. Inną wątpliwością są działania o charakterze indukcyjnego (?) profilowania, w jaki narzędzie to przypisuje mi dane demograficzne.

Jako zaniepokojony, uczciwy obywatel, moje początkowe działania były naturalne. Skontaktowałem się z OpenAI by próbować zrozumieć, co się dzieje i jak to jest możliwe. Zwróciłem się z prośbą o skorzystanie z przysługujących mi praw na mocy RODO (art. 12, 14, 15), pragnąc prawdy i jasności. Korespondencja trwała ok. trzy miesiące. Jednak podczas tej wymiany wiadomości z jakiegoś powodu niemożliwe było podanie mi wyjaśnień: co się dzieje, jak działa ten system oraz w jaki sposób dane zostały pozyskane lub wykorzystane. Ostatecznie zrozumiałej odpowiedzi nigdy nie udzielono. W szczególności, jakie dane na mój temat były przechowywane (niezależnie od formy), oraz w jaki sposób zostały pozyskane i przetworzone? Innymi słowy, OpenAI nie spełniło żądań wynikających z praw mi przysługujących. W pewnym momencie doszło nawet do próby “rozwiązania” poprzez zablokowanie generowania danych o mnie, co nie było moją intencją. Nieporozumienie. W całej naszej komunikacji dało się odczuć niejednoznaczności, odpowiedzi wydawały się mylące, wewnętrznie sprzeczne. Może nawet: fasadowe?

Podsumowanie problemów zgodnie ze skargą

“Okoliczności faktyczne oraz prawne opisane w niniejszej skardze potwierdzają, że doszło do niezgodnego z prawem przetwarzania danych osobowych Pana Łukasza Olejnika przez OpenAI. Działanie OpenAI naruszało:

art. 5 ust. 1 lit. a RODO – OpenAI przetwarzało dane Pana Łukasza Olejnika niezgodnie z prawem, nierzetelnie oraz w sposób nieprzejrzysty,

art. 12 i 15 RODO – OpenAI nieprawidłowo wykonało prawo Pana Łukasza Olejnika dostępu do danych osobowych oraz do informacji o przetwarzaniu danych osobowych,

art. 12 i 16 RODO – OpenAI nie wykonało prawa Pana Łukasza Olejnika do sprostowania jego nieprawidłowych danych,

art. 25 ust. 1 RODO – OpenAI, projektując i wdrażając narzędzie ChatGPT, naruszyło zasadę data protection by design.”

OpenAI nie dostarczyło informacji, a problem dotyczy nie tylko danych do których zyskują dostęp dostawcy OpenAI, bo także innych użytkowników korzystających z ChatGPT.

Z moim wkładem skarga została przygotowana pod kierownictwem rpr Macieja Gawrońskiego z GP Partners, jednego z najlepszych europejskich prawników od ochrony danych osobowych. GP Partners to kancelaria zajmująca się prawem technologii, w tym ochroną danych osobowych, rozwiązywaniem sporów, fuzjami i przejęciami, regulacjami finansowymi, zamówieniami publicznymi i prawem pracy, a także przeciwdziałaniem praniu pieniędzy, własnością intelektualną, konkurencją, prawem spółek, nieuczciwą konkurencją, mediami. GP Partners są autorami najpopularniejszej w Polsce książki o ochronie danych osobowych „RODO. Przewodnik ze wzorami” (rekomendowanej przez Urząd Ochrony Danych Osobowych), a w 2021 roku Maciej Gawroński otrzymał Nagrodę Prezesa UODO.

Po wstępnej dyskusji i zrozumieniu charakteru sprawy i jej ważkiego znaczenia społecznego, GP Partners uprzejmie zaproponowała, że ​​zajmie się sprawą na zasadzie pro bono, za co obywatele Polski i Europy powinni być wdzięczni.

Niezłożony w Irlandii

Skarga została złożona do Urzędu Ochrony Danych Osobowych w sierpniu. Pomimo jakiegoś rodzaju siedziby OpenAI w Irlandii (na terenie Unii Europejskiej), sprawa nie została zgłoszona do irlandzkiego odpowiednika UODO (DPC). Wynika to z (1) terminu złożenia i (1) tzw. metody francuskiej (podmiot z siedzibą w Irlandii „nie miał uprawnień decyzyjnych” dotyczących celów i sposobów transgranicznego przetwarzania danyc”), jak wyjaśniono w skardze.

Ponieważ chodzi o kwestie projektowe, może dotyczyć wielu osób – nie tylko na mnie.

Zachodzi podejrzenie, czy zasada RODO dotycząca ochrony danych od samego początku projektowania nie była całkowicie zignorowana, a to jest samo sedno RODO. Jeśli tak było to powstaje pytanie, dlaczego nie poświęcono temu należytej uwagi?

Przetwarzanie danych dotyczy kwestii wejścia i wyjścia. To znaczy: danych wejściowych do przetworzenia, oraz danych wyjściowych (wygenerowanych). Jednak w ogólności, ochrona danych, prywatność i godność ludzka w związku z przetwarzaniem AI to nie jedyne kwestie wobec których podejmowane są działania. Nie żyję w szałasie, wobec tego jestem świadomy innych postępowań dotyczących przetwarzania AI/LLM. Uwzględniających inne kwestie prawne, takie jak prawa autorskie. Przykładowo, są sprawy: New York Times, Getty Images. Wyrażane są również obawy  autorów, np. książek (a że sam jestem autorem artykułów, prac i książek, to mogę to zrozumieć).

Sprawa godności człowieka

Stawką jest także kwestia naszych praw, w tym praw człowieka, godności i jak podchodzi do tego przemysł generatywnej sztucznej inteligencji. Projektowanie technologii zgodnie z wartościami jest możliwe. Natomiast nie zrobi się to samo.

W końcu

Zasady ochrony danych mogą wydawać się dziś podminowywane przez rozwój AI. Zacznijmy od tego, że będzie mi bardzo miło, jeśli w końcu otrzymam rzetelną informację o przetwarzaniu moich danych.

W rezultacie Ty natomiast możesz wtedy dowiedzieć się, że podanie takich informacji jest w ogóle możliwe.

Pełna treść skargi jest tutaj. Suplement jest tutaj.

Ps. Darmowa rada dla kontrolerów danych lub podmiotów przetwarzających. Odpowiadając na żądania dostępu do danych i spełnienia obowiązku informacyjnego, odpowiedzi powinny być sensowne, merytoryczne. Nie jedynie sprawiać wrażenie, że są zgodne z RODO. Oferowanie “czegokolwiek” jako odpowiedzi niekoniecznie pozwala “odhaczyć obowiązek”. Jeśli zaś chodzi o kwestie Data Protection by Design and by Design, to należy to podejście stosować zgodnie z nazwą.