RODO: PYTANIA I ODPOWIEDZI

ChatGPT i Microsoft Copilot w urzędzie – legalność wg RODO i opinii EROD 28/2024?

ODPOWIEDŹ

Uwagi ogólne dot. systemów AI ogólnego przeznaczenia

Nie jest to tajemnicą, że modele te uczone są na danych osobowych bez podstawy prawnej. 

Powyższe rozwiązania są systemami AI ogólnego przeznaczanie opartymi o modele LLM. Opinia EROD dotyczy modeli AI, a nie korzystania z systemów. Model w rozumieniu opinii jest komponentem systemu AI (silnik w samochodzie), który powstał w  wyniku uczenia maszynowego. W mojej ocenie może mieć zastosowanie, jeśli korzystamy z modeli GPT w ramach API.

W świetle powyższego i biznesowych warunków korzystania z ChatGPT, organizacja korzystająca z ChatGPT odpowiada za dane wejściowe wprowadzane przez chat do modelu i dane wyjściowe wygenerowane na podstawie poleceń. W tym wypadku OpenAI jest podmiotem przetwarzającym.

Nie zmienia to faktu, że w świetle opinii EROD i stanu wiedzy technicznej można „wyciągnąć” z modelu dane osobowe. Organizacja powinna wdrożyć środki techniczne i organizacyjne zabraniające użytkownikom prób takiej ekstrakcji danych z modelu.

Oznacza to, że przekazywanie danych do OpenAI powinno być uregulowane umową powierzenia. Nie można też zapominać o podstawach prawnych przetwarzaniach i zasadach. Ponadto, należy wdrożyć np. politykę zabraniającą np. ekstrakcji danych z modelu i przeprowadzania ataków na model i obchodzenia zabezpieczeń systemu AI.

Copilot

Pod pojęciem Copilot kryją się różne usługi: Copilot Chat, MS 365 Copilot Chat, Copilot for MS 365.Pierwsza usługa nie jest objęta umową powierzenia i EU Data Boundary. Istnieją też osobne pakiety dla sektora publicznego i edukacji.  Nie można jednoznacznie odpowiedzieć bez informacji o wybranej usłudze i sposobie wdrożenia.

Z publicznie dostępnych DPIA dot. Copilota w sektorze publicznym i edukacji wyłaniają się następujące zagrożenia:

  • Brak przejrzystości: nie jest jasne, jakie dane osobowe gromadzi i przechowuje Microsoft na temat korzystania z Microsoft 365 Copilot. W szczególności dotyczy to danych diagnostycznych.
  • Użytkownicy, którzy proszą o dostęp, otrzymują niekompletne i niejasne informacje.
  • Prawdopodobnie Microsoft 365 Copilot generuje nieprawidłowe i niekompletne dane osobowe. Użytkownicy czasami nie zauważają, że pracują z nieprawidłowymi danymi, ponieważ zbytnio polegają na narzędziu AI (tzw. błąd automatyzacji)
  • Przekazywanie danych do MS poza umową powierzenia i EU Data Boundary w przypadku wyszukiwania w sieci.

Powyższe to przykłady wynikające z dwóch DPIA dotyczących konkretnych wdrożeń. Każda organizacja powinna indywidualnie oceniać ryzyka w ramach wdrożenia z perspektywy przeznaczenia systemu i jego funkcji.

Weryfikacja poprawności danych przez użytkownika modelu

W praktyce due diligence może polegać na przekazaniu stosownej dokumentacji przez dostawcę, czy też samodzielnych testów modelu. W przypadku wielu modeli zamkniętych może to być na ten moment trudne, jakkolwiek AI Act częściowo rozwiąże ten problem poprzez mechanizmy certyfikacji, oznaczeń CE oraz – w przypadku modeli ogólnego przeznaczenia – m.in. informacji
o źródłach danych do trenowania (art. 53 AI Act)

Czytaj także:


Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz "Oznacz jako wiadomość pożądaną").
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>