Korzystanie z ChatGPT a RODO
Czy wiesz, że korzystasz z AI już od bardzo dawna? Algorytmy sztucznej inteligencji były tworzone i rozwijane przez lata, dla różnych aplikacji. Dzięki nim możliwe było otwarcie sklepów Amazon Fresh, w których bierze się produkty z półek i po prostu z nimi wychodzi, a system sam podliczy wartość zakupów i obciąży nasz rachunek. Testowaliśmy skuteczność algorytmu podczas ostatniej wizyty w USA, gdzie autonomiczne sklepy są naprawdę duże, więc naliczanie zakupów stanowi niezłe wyzwanie. W praktyce algorytm radził sobie świetnie, gdy wchodziła jedna osoba i brała pierwszy produkt z półki. Natomiast miał problemy, gdy wybieraliśmy produkt, który był głębiej na półce lub rozdzielaliśmy się i każde z nas wrzucało produkty do swojego koszyka (weszliśmy i wyszliśmy razem). W takich wypadkach ewidentnie była potrzebna ingerencja człowieka, który sprawdził nagrania i poprawnie naliczył należności. Jednak ani razu nie zostaliśmy błędnie obciążeni. Naprawdę genialne, jeśli ktoś nie lubi stać w kolejkach. Warto w tym miejscu wskazać, że w polskich Żabkach wdrażaliśmy podobne rozwiązania i że ich autorami były polskie firmy technologiczne. Myślę, że autonomiczne sklepy to przyszłość, bo nikt nie lubi stać w kolejkach.
Jeśli korzystasz ze smartfona, to są na nim aplikacje, które od dawna czerpią z AI garściami. Chociażby nawigacje (np. Google Maps). Przecież „coś” musi analizować Twoją trasę, natężenie ruchu, preferencje dotyczące drogi, aby dobrze pokierować do celu. Warto zauważyć jak ciekawy jest chociażby sposób obliczania czasu, który pozostał do celu. Jeśli się nad tym zastanowić, to nie jest proste i bez AI, pewnie byłoby niemożliwe. Podobnie działają wszelkiego rodzaju elektroniczni asystenci (np. smartwach, który może oceniać jakość snu lub aktywność fizyczną).
Skąd zatem to zamieszanie wokół AI, skoro jest ono z nami już od dawna? To nie jest kwestia tego, że „w końcu udało się wymyślić sztuczną inteligencję”, tylko nowych aplikacji, które dzięki AI mają „niesamowite” możliwości. Umożliwiają nie tylko wyszukiwanie (tak – wyszukiwarki też od dawana korzystają z AI), ale są w stanie generować gotowe odpowiedzi. Tu do oceny, na ile to dobrze – wyszukiwarka daje możliwość porównania wielu źródeł, podczas gdy AI generuje konkretne rozwiązanie (subiektywne). Potrafi „tworzyć” wypracowania, artykuły, sentencje orzeczeń sądowych. Należy jednak uważać na efekty pracy algorytmu, gdyż mogą być bardzo odtwórcze i naruszać prawa autorskie. Pod koniec 2023 r. wydawca New York Times pozwał OpenAI oraz Microsoft, ponieważ uważa, że naruszono prawa autorskie, ucząc algorytm na jego treściach. Ponadto jego zdaniem, AI zapytany o aktualne wydarzenia, zamiast generować nowe treści, przetwarza te już gotowe, naruszając prawa autorskie NYT. Bardziej obrazowo, praca magisterska wytworzona przez AI może nie przejść pozytywnie przez algorytmy weryfikujące plagiat, bo zbyt wyraźnie bazuje na cudzych treściach.
A czy korzystanie z ChatGPT, Bard i podobnych rozwiązań jest zgodne z RODO? I tak i nie. Przede wszystkim to są programy bezpłatne dla każdego użytkownika. Bez ograniczeń można wrzucać tam swoje dane osobowe. Jednak zgodnie z regulaminem usług, wszystko co wrzucamy, może być wykorzystane do uczenia maszynowego. Zatem warto zastanowić się dwa (a może i więcej) razy, zanim prześle się tam swój numer telefonu, adres, zdjęcia, plany dnia, listy gości na imprezę. Wszystkie te dane trafią do centralnej bazy i nie ma gwarancji ich poufności.
Natomiast samo korzystanie z tych narzędzi, odbywa się tak samo, jak z innych aplikacji – poprzez konto użytkownika. I w tym zakresie dostawcy muszą zapewnić, że przetwarzanie danych dotyczących konta użytkownika jest zgodne z RODO. Także w zakresie międzynarodowych transferów. Czyli korzystanie z tych narzędzi, w tym kontekście, jest zgodne z RODO. Natomiast ta ochrona nie rozciąga się na treści wrzucane do narzędzia. Zatem jeśli prowadzisz firmę i chcesz, aby AI przygotowało Ci zaproszenia, listy dystrybucyjne, dyplomy, itp., to wrzucając te dane do narzędzia, które jest w wersji niekomercyjnej (czyli bezpłatnej, jak popularny ChatGPT, czy Bard), naruszysz przepisy RODO (udostępnienie danych nieuprawnionym odbiorcom).
A co z komercyjnymi rozwiązaniami? Tu jest różnie – muszę zaznaczyć, że regulaminy się zmieniają. Niektórzy dostawcy (np. OpenAI) umożliwiają użytkownikom ich komercyjnych narzędzi, zawarcie umowy powierzenia danych oraz gwarantują, że udostępnione treści (w tym dane osobowe), nie będą wykorzystywane do uczenia maszynowego. Zatem od strony formalnej, jest możliwe zapewnienie zgodności z RODO w zakresie samego wykorzystywania tych danych (oczywiście należy wcześniej przeanalizować warunki powierzenia, w tym transferu danych, bo nie zawsze mogą być one zgodne z naszymi oczekiwaniami).
A czy na wrzucenie tam danych osobowych, potrzebna jest zgoda osoby, której dane dotyczą? Odpowiedź jest trudna. Dla danych zwykłych, jeżeli cel przetwarzania nie ulega zmianie, tzn. AI tylko wspiera realizację tego celu, uznałabym że zastosowanie ma pierwotna przesłanka legalizująca. W tym wypadku narzędzie jest po prostu programem, który administrator wykorzystuje do przetwarzania danych. Jednak może być tak, że w wyniku skorzystania z narzędzia, dojdzie do zautomatyzowanego podejmowania decyzji (art. 22 RODO), na które potrzebna jest już zgoda osoby, której dane dotyczą. To ma, moim zdaniem, zastosowanie zwłaszcza wtedy, gdy są wykorzystywane narzędzia klonujące twarz lub wizerunek. W takim wypadku rekomendowałabym zgodę.
A co z danymi szczególnych kategorii? Podobno AI jest w stanie o wiele skuteczniej diagnozować niektóre schorzenia, szczególnie nowotwory, niż człowiek. Jednak przetwarzanie takich danych podlega ograniczeniom wskazanym w art. 9 RODO. Czy w tym wypadku można AI uznać jedynie za narzędzie wspierające proces diagnostyczny? Myślę, że będzie to trudne, bo skuteczność AI opiera się na analizie wielu baz danych, ale często także historii choroby pacjenta i wyników jego badań. Tutaj wydają się niezbędne jednak rozwiązania prawne (rozporządzenia unijne, ustawy). Na dzień dzisiejszy, biorąc pod uwagę przepisy art. 22 RODO i sposób przeprowadzania diagnozy z wykorzystaniem AI, przychylam się do stanowiska, że należałoby zastosować zgodę.
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.