Työryhmä, jonka tehtävänä on selvittää, miten EU:n tietosuoja-asetuksia sovelletaan OpenAI:n ChatGPT:n tapauksessa, on raportoinut alustavista johtopäätöksistään. Moniin keskeisiin oikeudellisiin kysymyksiin liittyy vielä paljon epäselvyyttä. Tällä hetkellä yhdysvaltalaisomisteinen OpenAI ottaa siis merkittävän riskin toimiessaan EU:n alueella. Vastausten löytäminen on kriittisen tärkeää, sillä rangaistukset GDPR-rikkomuksista voivat olla tuntuvia.
Tuoreessa väliraportissa todetaan, että ChatGPT:stä on tehty lukuisia kanteluita koskien mahdollisia GDPR-rikkomuksia. Muun muassa Puolassa ja Itävallassa chatbotin on epäilty julkaisseen virheellistä, henkilöä koskevaa tietoa ja kieltäytyneet korjaamasta virheitä. Laajojen kielimallien kouluttamiseen käytetään suuria datamassoja, jotka sisältävät myös henkilötietoja. GDPR:n mukaan kaikilla henkilötietoja käsittelevillä tahoilla tulee olla toiminnalle oikeudellinen perusta. Tällainen perusta on ChatGPT:n kohdalla suuri kysymysmerkki, josta esimerkiksi Italia on asettanut OpenAI.n koville. Viime vuonna Italian tietosuojaviranomaiset kielsivät OpenAI:ta käsittelemästä paikallisten ChatGPT:n käyttäjien tietoja, kertoo TechCrunch. Tämän seurauksena tekoälyjätti sulki hetkellisesti ChatGPT:n Italiassa.
GDPR-ystävällisempi ChatGPT?
Työryhmän raportissa todetaan, että OpenAI tarvitsee pätevän oikeudellisen perustan henkilötietojen käsittelyyn sen kaikissa vaiheissa, niin tietojen keräämisessä; tietojenkäsittelyssä kuin tekoälyn koulutuksessa. Raportissa huomautetaan myös, että kerätty data voi sisältää hyvin arkaluontoisia henkilötietoja, mukaan lukien terveystietoja sekä seksuaalista suuntautumista ja poliittisia asemoitumista koskevia tietoja. Raportin mukaan EU tarvitsee yhteisen lähestymistavan ChatGPT:tä koskevien ongelmien käsittelyyn. Raportissa pohditaan muun muassa tarkkojen kriteerien määrittelyä sille, millaista tietoa OpenAI saa kerätä ja/tai tiettyjen tietotyyppien tai lähteiden rajoittamista. Myös kerättyjen henkilötietojen poistamiseksi tai anonymisoimiseksi tulisi tehdä toimenpiteitä yksityisyyteen kohdistuvien riskien minimoimiseksi. Raportissa korostetaan lisäksi, että käyttäjille on selkeästi tiedotettava, että heidän tietojaan voidaan käyttää koulutustarkoituksiin. Tällä hetkellä OpenAI hakee oikeutta tietojenkeruuseen ja -käsittelyyn niin sanotun oikeutetun edun legitimate interests (LI) nojalla. Se tarkoittais, että OpenAI voisi käsitellä dataa ilman suostumusta. Mikäli katsotaan, ettei yritys täytä oikeutetun edun vaatimuksia, on OpenAI.n ainoa laillinen vaihtoehto EU:ssa toiminnalle kansalaisten suostumuksen pyytäminen.
Koskien ChatGPT:n hallusinaatioita, eli tiedon keksimistä, raportissa todetaan, että yrityksen tulisi pyrkiä tarjoamaan todenmukaista tietoa sekä varoittaa käyttäjiä siitä, että sisältö “voi olla puolueellista tai keksittyä”. Käyttäjillä tulisi myös olla oikeus virheellisten henkilötietojen oikaisemiseen.
Vaikka OpenAI:lla ei toistaiseksi ole toimipaikkaa EU:n alueella, raportissa korostetaan, että yritys on “edelleen vastuussa GDPR:n noudattamisesta”, eikä se voi sysätä tietosuojakysymyksiä käyttäjien harteille, esimerkiksi käyttöehtoihin sisällytetyllä lausekkeella. Vaikka raportissa suositetaan, että yrityksen tulisi soveltaa “asianmukaisia toimenpiteitä tietosuojaperiaatteiden tehokkaaseen täytäntöönpanoon” ja GDPR:n vaatimusten täyttämiseksi, ei työryhmä kuitenkaan tarjoa selkeitä ohjeita siitä, kuinka tämä tarkalleen ottaen tapahtuisi.
Euroopan tietosuojaneuvosto EDPB:n alla toimiva työryhmän lopullista raporttia saataneen odottaa vielä hyvän aikaa. Sillä välin monet viranomaiset lienevät taipuvaisia odottamaan yhteisiä suuntaviivoja sille, kuinka ChatGPT:tä tulisi säädellä.
Lue myös: Tekoäly huolestuttaa – näin uhat ja mahdollisuudet nähdään
Lue myös: Tekoälytermit, jotka kannattaa jo osata
Lähteet: European Data Protection Board, TechCrunch