A ChatGPT adatvédelmi felelőssége

március 19, 2025

A ChatGPT adatvédelmi felelőssége

Bevezetés

Az elmúlt években a mesterséges intelligencia, azon belül is a nagy nyelvi modellek (Large Language Model, LLM) mint a ChatGPT, egyre nagyobb szerepet töltenek be mindennapi életünkben, és minden bizonnyal ez a szerep egyre nagyobb és nagyobb lesz. Ezt támasztja alá az Az EU AI Act (Artificial Intelligence Act) az Európai Unió nemrég hatályba lépett rendelete, amely az AI (mesterséges intelligencia) rendszerek szabályozását célozza meg. Sokakban felmerülhet a kérdés, hogy a ChatGPT használata során, felmerülhetnek-e adatvédelmi aggályok, és ha igen, akkor milyen mértékben? Jelen cikkünkben ezt a kérdéskört szeretnénk bemutatni, a GDPR-ra, az ChatGPT adatvédelmi tájékoztatójára, és egyéb forrásokra támaszkodva.

Milyen személyes adatokat gyűjt, és hogyan használja fel a ChatGPT a személyes adatokat?

Az OpenAI (a ChatGPT fejlesztője és birtokosa) adatvédelmi tájékoztatója részletes információkat tartalmaz arra vonatkozóan, hogy milyen személyes adatokat gyűjtenek, és ezeket milyen módon használják fel.

Ezeknek egy nagyobb csoportja a fiókinformációk. Amikor valaki fiókot hoz létre, akkor ehhez a fiókhoz kapcsolódóan információkat gyűjt a ChatGPT, ide tartozik a név, elérhetőségi adat, a fiók hitelesítő adatai, a fizetési kártya adatai és a tranzakciós előzmények.

A másik, számunkra talán érdekesebb, nagyobb csoport a felhasználói tartalom. Amikor a felhasználó használja az OpenAI szolgáltatásait, az összegyűjti azokat a személyes adatokat, amelyek a szolgáltatásokhoz megadott adatbevitelekben, fájlfeltöltésekben vagy visszajelzésekben szerepelnek.

Tehát amennyiben az adott bevitelben (inputban) személyes adatok szerepelnek, azok tekintetében a ChatGPT-re vonatkoznak a különböző adatvédelmi előírások, és elsősorban a GDPR.

Az adatvédelmi tájékoztató arra is kitér, hogy az így megszerzett személyes adatokat milyen célokra használhatja fel a cég. Ezek közé tartozik a szolgáltatások biztosítása, adminisztrálása, karbantartása és/vagy elemzése; illetve a szolgáltatások fejlesztése és kutatások lefolytatása;

Mi történik a személyes adataimmal?

Önmagukban az LLM-ek nem rendelkeznek saját memóriával vagy tartós tárolókapacitással. Ezzel kapcsolatban a hamburgi adatvédelmi hatóság nemrég kiadott egy állásfoglalást, melyben utal arra, hogy „Egy LLM puszta tárolása nem minősül adatkezelésnek a GDPR 4. cikk (2) bekezdése értelmében. Ez azért van így, mert az LLM-ekben nem tárolnak személyes adatokat. Amennyiben személyes adatokat dolgoznak fel egy LLM által támogatott AI rendszerben, az adatkezelésnek meg kell felelnie a GDPR követelményeinek. Ez különösen igaz egy ilyen AI rendszer kimenetére.”

Az OpenAI a GDPR 24. cikke alapján köteles biztosítani, hogy az adatkezelési tevékenységei megfeleljenek a rendelet követelményeinek, valamint a felhasználók jogai és személyes adatai a legnagyobb védelemben részesüljenek. Az OpenAI felelőssége kiterjed arra, hogy megfelelő intézkedéseket hozzon az adatvédelmi kockázatok csökkentése érdekében, és hogy átláthatóan kommunikáljon a felhasználókkal az adatkezelési gyakorlatairól.

De mi történik, ha mi magunk adunk meg személyes adatot a mesterséges intelligenciának?

Az OpenAI összesíti vagy de-identifikálja (azonosításra alkalmatlanná teszi) a személyes adatokat, hogy azok többé ne legyenek felhasználhatók a személyes azonosításra. Ezeket az információkat arra használják, hogy a szolgáltatásaik hatékonyságát fejlesszék és új funkciókkal bővítsék azokat. Az anonimizált adatokat ilyen formában tárolják, és nem kísérelnek meg „újra azonosítást”, kivéve, ha ezt jogszabály írja elő.

A korábban emlegetett hamburgi adatvédelmi hatósági döntésben, a hatóság arra a következtetésre jutott, hogy a tanításhoz használt személyes adatok nem kerülnek a modellben tárolásra, még akkor sem, ha egyes jelenleg ismert, a modellre irányuló támadási technikák képesek arra, hogy a tanításhoz használt személyes adatokat reprodukáltassák a modellel.

Tehát az OpenAI gondoskodik arról, hogy a személyes adatokat a lehető legrövidebb időn belül töröljék vagy anonimizálják, miután az adatokat már nem használják fel a szolgáltatás céljaira. Egy másik fontos adatvédelmi intézkedés a Nem Tartós Tárolás: Az OpenAI nem tárolja hosszú távon a felhasználók személyes adatait, a beszélgetések végén az adatok nem maradnak meg a rendszerben. Az LLM-ek, mint a GPT modellek, nem tárolják hosszú távon a személyes adatokat. Az adatkezelés az adott beszélgetés során történik, és a beszélgetés végén az adatok törlődnek vagy anonimizálódnak.

Mit mond maga a ChatGPT?

A teljes kép elérése érdekében jelen sorok írója letesztelte a fenti információkat, a ChatGPT-n keresztül. A beszélgetés így nézett ki:

– Cikkíró: „Szia, a nevem XY”
– ChatGPT: Örülök, hogy beszélgetünk, XY! Miben segíthetek neked? Ne feledd, hogy a beszélgetés során nem szükséges személyes adatokat megosztanod.
– Cikkíró: „Mi az én nevem?”
– ChatGPT: „Az előző üzenetedben megadtad a neved, amit említettél: XY. Azonban fontos megjegyezni, hogy nem őrzöm meg ezt az információt hosszú távon. Amint a beszélgetés véget ér, nem marad meg az emlékezetemben.”

Látható tehát, hogy maga az AI is utal a „nem tartós tárolásra”, valamint külön érdekesség, hogy felhívja a figyelmet arra, hogy nem szükséges a személyes adatok megosztása. Ezt követően egy új chatet kezdtünk meg az AI-al, ahol ismét rákérdeztünk a nevünkre, azonban az új beszélgetésben az AI már valóban nem emlékezett a korábban megadott névre.

Összegezve, a személyes adatok megosztása során minden esetben érdemes felelős döntéseket hoznunk. Javasolt minimalizálni az adatok megosztását, megismerni a vonatkozó adatvédelmi politikát, és tisztában lenni a személyes adatok védelmével kapcsolatos jogainkkal. Amennyiben még anonimizálva sem szeretnénk a személyes adatainkat az AI rendelkezésére bocsátani, a beállításoknál kikapcsolhatjuk az utasításaink (prompt-jaink) alapértelmezett felhasználását tanítási adatként. Ennek az a következménye, hogy csak 30 napig tárolja a ChatGPT az utasításaink.

Friss adatvédelmi hatósági döntések a ChatGPT vonatkozásában

Az olasz adatvédelmi hatóság (Garante) 2024 novemberének végén közzétett, majd 2025 januárjának elején angol nyelven is megjelentetett sajtóközleménye szerint a Gedi médiavállalat hivatalos figyelmeztetést kapott a hatóságtól. A hatóság felszólította a vállalatot, hogy ne osszon meg személyes adatokat tartalmazó médiatartalmakat az OpenAI-jal a ChatGPT fejlesztésének céljából. A döntés indoklása szerint ezekben az anyagokban jelentős mennyiségű különleges és bűnügyi adat szerepelhet, és a Garante által ellenőrzött adatvédelmi hatásvizsgálat pedig nem tartalmaz megfelelő garanciákat ezen adatok kezelésére.

Egy másik sajtóközleményben a Garante arról számolt be, hogy a ChatGPT olaszországi adatvédelmi megfelelőségének vizsgálata során több jogsértést is feltárt az OpenAI ellen, amely 2024. február 15. előtt üzemeltette a rendszerét anélkül, hogy uniós tevékenységi hellyel rendelkezett volna. Ezen időszak adatkezeléseiért az egyes tagállami adatvédelmi hatóságok felelősek, míg az Európai Adatvédelmi Testület a ChatGPT Munkacsoporton (TaskForce) keresztül koordinálja a tagállami eljárásokat a GDPR egységes alkalmazása érdekében.

A vizsgálat megállapította, hogy az OpenAI nem teljesítette bejelentési kötelezettségét a 2023 márciusában történt adatvédelmi incidens kapcsán, továbbá a ChatGPT fejlesztése során nem tisztázta előzetesen a tanításra felhasznált személyes adatok jogalapját. Emellett megszegte az átláthatóságra és a megfelelő tájékoztatásra vonatkozó adatkezelési kötelezettségeit. A hatóság azt is kifogásolta, hogy az OpenAI nem alkalmazott megfelelő korhatár-ellenőrzést, így a 13 év alatti felhasználók nem voltak kellően védettek az életkorukból adódóan rájuk káros tartalmaktól.

A Garante egy új jogkövetkezményt alkalmazva arra kötelezte az OpenAI-t, hogy egy hat hónapon át tartó tájékoztató kampányt folytasson rádióban, televízióban, nyomtatott és online sajtóban. Emellett 15 millió eurós adatvédelmi bírságot szabott ki a feltárt jogsértések miatt. A további adatkezelési gyakorlatok vizsgálatát a Garante az ügy dokumentációjával együtt átadta az ír adatvédelmi hatóságnak, amely 2024. február 15. után illetékessé vált az OpenAI európai adatkezeléseinek felügyeletére.

Bódi Bálint, jogi munkatárs

Dr. Miklós Péter, adatvédelmi ügyvéd

Amennyiben adatvédelem területén segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu

2025.03.17.

Felhasznált források:

https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/240715_Discussion_Paper_Hamburg_DPA_KI_Models.pdf

https://gdpr.blog.hu/2024/07/22/nagy_nyelvi_modellek_es_adatvedelem

https://transtelex.ro/kozelet/2023/05/27/gdpr-adatvedelem-chatgpt-szekely-barnabas

https://www.dataprotection.ie/en/dpc-guidance/blogs/AI-LLMs-and-Data-Protection

https://www.naih.hu/hirek/724-olasz-adatvedelmi-hatosagi-doentesek-a-chatgpt-uegyben

FŐOLDAL | BEMUTATKOZÁS | ADATVÉDELEM | EGYÉB JOGTERÜLETEK | BLOG | KAPCSOLAT

Adatkezelési Tájékoztató  | Impresszum

Ezt a honlapot a Budapesti Ügyvédi Kamarában bejegyzett Dr. Miklós Péter Ákos egyéni ügyvéd (székhely: 1028 Budapest, Piszke utca 14., adószám: 42982117-2-41, KASZ szám: 36079442) tartja fenn az ügyvédekre vonatkozó jogszabályok és belső szabályzatok szerint, melyek az ügyféljogokra vonatkozó tájékoztatással együtt a www.magyarugyvedikamara.hu honlapon találhatóak. A honlapon elérhető blogbejegyzések, cikkek nem minősülnek konkrét jogi tanácsadásnak, ajánlattételnek vagy erre történő felhívásnak. Célja, hogy az érdeklődő tájékozódni tudjon Dr. Miklós Péter Ákos egyéni ügyvéd szakterületeiről. A honlap a Magyar Ügyvédi Kamara (MÜK) Elnökségének "Az ügyvédi honlap tartalmáról" szóló 2/2001 (IX.3.) számú állásfoglalásának, valamint a MÜK 6/2018. (III. 26.). számú szabályzatának 10. fejezetében leírtak figyelembevételével készült.  Jogi közlemény.

Honlapkészítés: ZK DESIGN - Ügyvédhonlap