Det vakte international opsigt, da det italienske datatilsyn (GPDP) i slutningen af marts forbød OpenAI at behandle italienske borgeres data i forbindelse med den hypede cahtbot ChatGPT. Baggrunden for forbuddet består i, at italienerne ikke mener, at AI-virksomheden overholder den europæiske persondataforordning, GDPR.
Læs også: Det italienske Datatilsyn forbyder ChatGPT
I går offentliggjorde GPDP så en pressemeddelelse, hvoraf det fremgår, at tilsynsmyndigheden står fast på, at ChatGPT ikke overholder GDPR og at OpenAI skal ændre praksis på en række områder, hvis forbuddet mod den populære chatbot skal løftes:
»OpenAI skal senest den 30. april overholde de foranstaltninger, der er fastsat af den italienske tilsynsmyndighed vedrørende gennemsigtighed, de registreredes rettigheder - herunder brugere og ikke-brugere - og retsgrundlaget for algoritmisk træning på grundlag af brugerdata. Kun i så fald vil den italienske tilsynsmyndighed ophæve sin kendelse om midlertidig begrænsning af behandlingen af italienske brugeres oplysninger.«
Blandt kravene finder man, at der skal implementeres foranstaltninger til at sørge for, at brugere under 18 år ikke kan tilgå ChatGPT, samt at oplysningspligten skal overholdes. Altså skal du som borger have oplyst, hvilke data OpenAI indsamler om dig, og hvad formålet er med det.
Derudover stilles der blandt andet også krav om, at OpenAI skal lave en oplysningskampagne »via radio, tv, aviser og internettet for at informere enkeltpersoner om brugen af deres personoplysninger til træning af algoritmer.«
Information
OpenAI will have to draft and make available, on its website, an information notice describing the arrangements and logic of the data processing required for the operation of ChatGPT along with the rights afforded to data subjects (users and non-users). The information notice will have to be easily accessible and placed in such a way as to be read before signing up to the service.
Users from Italy will have to be presented with the notice before completing their registration, when they will also be required to declare they are aged above 18.
Registered users will have to be presented with the notice at the time of accessing the service, once it is reactivated, when they will also be required to pass through an age gate filtering out underage users on the basis of the inputted age.
Legal basis
Regarding the legal basis of the processing of users’ personal data for training algorithms, the Italian SA ordered OpenAI to remove all references to contractual performance and to rely – in line with the accountability principle – on either consent or legitimate interest as the applicable legal basis. This will be without prejudice to the exercise the SA’s investigatory and enforcement powers in this respect.
Exercise of data subjects’ rights
A set of additional measures concern the availability of tools to enable data subjects, including non-users, to obtain rectification of their personal data as generated incorrectly by the service, or else to have those data erased if rectification was found to be technically unfeasible.
OpenAI will have to make available easily accessible tools to allow non-users to exercise their right to object to the processing of their personal data as relied upon for the operation of the algorithms. The same right will have to be afforded to users if legitimate interest is chosen as the legal basis for processing their data.
Protection of children
Regarding age verification measures, the Italian SA ordered OpenAI to immediately implement an age gating system for the purpose of signing up to the service and to submit, within the 31st of May, a plan for implementing, by 30 September 2023, an age verification system to filter out users aged below 13 as well as users aged 13 to 18 for whom no consent is available by the holders of parental authority.
Awareness-raising campaign
OpenAI will have to promote an information campaign in agreement with the Garante, by the 15th of May, through radio, TV, newspapers and the Internet in order to inform individuals on use of their personal data for training algorithms.
The Italian SA will carry on its inquiries to establish possible infringements of the legislation in force and may decide to take additional or different measures if this proves necessary upon completion of the fact-finding exercise under way.
Kilde: GPDP
Version2 har forsøgt at få et interview med det danske datatilsyn om deres syn på om danske borgeres persondatarettigheder også bliver krænket af ChatGPT.
Datatilsynet afviser at stille op til interview, men skriver i et skriftligt svar, at »vi følger sagen tæt og er meget interesserede i at gå i dialog om den i regi af EDPB (Det Europæiske Databeskyttelsesråd, red.).«
Opdateret d. 13-04-2023 kl. 13:45: Det Europæiske Databeskyttelsesråd har opdateret dagsordenen for det kommende møde i rådet, der er sat til i dag. Det fremgår nu, at GPDP skal briefe Det Europæiske Databeskyttelsesråd om sagen i Italien. Det sker efter at det spanske datatilsyn formelt har bedt Det Europæiske Databeskyttelsesråd evaluere bekymringerne omkring hvorvidt OpenAI overholder GDPR. Det skriver Reuters.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
