Obowiązek informacyjny rodo

KOMPAS FORSAFE 2025/6

Kraj:

Włochy

Data wydania decyzji:

02.11.2024 r.

Podmiot kontrolowany:

OpenAI OpCo LLC

Wysokość kary (EUR):

15.000.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. a), art. 5 ust. 2, art. 6, art. 12, art. 13, art. 24, art. 25, art. 32 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Naruszenie wynikało z błędu technicznego (bugu) w systemie ChatGPT, zarządzanym przez OpenAI, który spowodował ujawnienie historii czatów użytkowników innym osobom. Dodatkowo, problem dotyczył także wycieku danych osobowych, takich jak imię, nazwisko, adres e-mail oraz częściowe informacje dotyczące kart płatniczych użytkowników korzystających z wersji płatnej usługi (ChatGPT Plus).

 

Opis wydarzeń

  1. Wykrycie błędu w systemie ChatGPT: Odkryto, że błąd techniczny (bug) spowodował wyświetlanie historii tytułów czatów innych użytkowników zamiast własnych. OpenAI potwierdziło problem i rozpoczęło analizę jego skutków.
  2. Ujawnienie danych osobowych użytkowników: Ponadto stwierdzono, że oprócz tytułów czatów, ujawnione mogły zostać również dane osobowe użytkowników ChatGPT Plus, takie jak imię, nazwisko, adres e-mail oraz cząstkowe dane dotyczące kart płatniczych (ostatnie cztery cyfry oraz data ich ważności).
  3. Wszczęcie postępowania przez włoski organ nadzorczy: Na podstawie doniesień medialnych oraz oficjalnego potwierdzenia OpenAI, włoski organ nadzorczy zainicjował dochodzenie w sprawie naruszenia RODO.
  4. Wstępne decyzje włoskiego organu nadzorczego: Włoski organ nadzorczy zdecydował o nałożeniu tymczasowych ograniczeń przetwarzania danych osobowych użytkowników z Włoch, powołując się na brak odpowiednich zabezpieczeń oraz nieprzestrzeganie przepisów o ochronie danych. Miesiąc później OpenAI otrzymało jednak możliwość wznowienia działalności pod warunkiem wdrożenia wymaganych środków naprawczych, takich jak poprawiona polityka prywatności, narzędzia umożliwiające użytkownikom kontrolę nad ich danymi oraz wdrożenie mechanizmów weryfikacji wieku użytkowników.
  5. Podjęcie działań naprawczych przez OpenAI: OpenAI wprowadził nowe mechanizmy informowania użytkowników o przetwarzaniu ich danych oraz opcję sprzeciwu wobec ich wykorzystania do trenowania modeli AI. Uruchomił również systemy umożliwiające korektę lub usunięcie danych na żądanie użytkownika. Ponadto OpenAI nawiązało współpracę z firmą Yoti, oferującą technologie rozpoznawania wieku na podstawie zdjęcia selfie lub skanu dokumentu tożsamości.
  6. Oficjalne wszczęcie postępowania sankcyjnego: Włoski organ ochrony danych poinformował OpenAI o rozpoczęciu postępowania mającego na celu nałożenie ewentualnych sankcji za naruszenie przepisów RODO.
  7. Wyjaśnienia OpenAI: Firma przedstawiła swoją linię obrony, argumentując, że podjęła wszelkie możliwe środki w celu dostosowania się do regulacji, a naruszenia wynikały z braku jednoznacznych wytycznych dotyczących przetwarzania danych w kontekście trenowania modeli AI.
  8. Decyzja w sprawie nałożenia kary: Włoski organ nadzorczy podjął jednak decyzję o nałożeniu kary na OpenAI za naruszenie przepisów RODO. Główne zarzuty dotyczyły braku odpowiedniej podstawy prawnej do przetwarzania danych użytkowników w celu trenowania modeli AI, niewystarczających mechanizmów ochrony prywatności oraz niedostatecznych środków weryfikacji wieku. Kara została nałożona z uwzględnieniem skali naruszenia oraz działań naprawczych podjętych przez OpenAI.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Transparentność przetwarzania danych: Należy w jasny i czytelny sposób informować użytkowników o zakresie oraz celach przetwarzania ich danych, zgodnie z wymaganiami RODO.
  2. Weryfikacja wieku użytkowników: W aplikacjach należy wdrożyć skuteczny system weryfikacji wieku, aby ograniczyć dostęp osób niepełnoletnich do treści nieodpowiednich dla ich wieku.
  3. Szybsza reakcja na naruszenia: Opracowanie procedur pozwalających na natychmiastowe raportowanie naruszeń do odpowiednich organów nadzorczych, zgodnie z obowiązującymi przepisami.
  4. Minimalizacja zbierania danych: Ograniczenie zakresu danych osobowych przetwarzanych w procesie trenowania modeli AI, aby zapewnić zgodność z zasadą minimalizacji danych.
  5. Monitoring zgodności z regulacjami: Zaleca się przeprowadzanie regularnych audytów oraz testów zgodności z przepisami RODO, aby uniknąć przyszłych naruszeń.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO