Az olasz adatvédelmi hatóság, a Garante Per La Protezione Dei Dati Personali (továbbiakban: Garante vagy Hatóság) 15 millió eurós bírságot szabott ki az OpenAI-al szemben, amiért a mesterséges intelligencia alapú chatbot a személyes adatok kezelése esetén nem megfelelően jár el, megsértve ezzel az európai adatvédelmi szabályokat. A 15 millió eurós adatvédelmi bírság kiszabása mellett a Hatóság kötelezte az OpenAI-t, hogy hat hónapon keresztül információs kampányt folytasson az olasz média platformokon, ezzel is hangsúlyozva a generatív mesterséges intelligencia rendszerek átláthatóságának és elszámoltathatóságának fontosságát. Ez az egyik legjelentősebb intézkedés a technológiai óriással szemben, amely rámutat a mesterséges intelligencia rendszerek adatfeldolgozásával kapcsolatos elszámoltathatóság és átláthatóság iránti növekvő igényre.
Garante vs. OpenAI
A Garante 2023. márciusában indított vizsgálatot az OpenAI tevékenységeivel kapcsolatban, miután a ChatGPT alkalmazással összefüggésben számos adatvédelmi aggály merült fel, különös tekintettel a személyes adatok kezelése kapcsán. A Hatóság a vizsgálat megkezdését követően azonnali ideiglenes korlátozást vezetett be a ChatGPT használatára. A döntés következtében Olaszország lett az első ország, amely adatvédelmi aggályokra hivatkozva ideiglenes tilalmat rendelt el az alkalmazással kapcsolatban. Az OpenAI a korlátozás elrendelését követően kötelezettséget vállalt arra, hogy az adatvédelmi előírásoknak megfelelő korrekciós intézkedéseket fog végrehajtani, így a ChatGPT használata Olaszországban – egy hónap elteltét követően – ismételten engedélyezésre került.
A Garante által indított vizsgálat végül 2024. december 20-án zárult le és számos adatvédelmi jogsértést tárt fel az OpenAI ChatGPT alkalmazásával kapcsolatban:
1. A ChatGPT betanításához használt személyes adatok feldolgozása megfelelő jogalap nélkül
A Hatóság megállapította, hogy az OpenAI a felhasználói adatokat a ChatGPT betanításának céljából dolgozta fel anélkül, hogy a feldolgozáshoz szükséges megfelelő jogalapot meghatározta volna. Ez a gyakorlat közvetlenül sértette az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (a továbbiakban: GDPR vagy általános adatvédelmi rendelet) átláthatóságra vonatkozó elvét, valamint a felhasználók tájékoztatására vonatkozó kötelezettséget. A Hatóság kiemelte, hogy a személyes adatok feldolgozása már a ChatGPT 2022. november 30-i nyilvános megjelenése előtt megkezdődött. Az OpenAI-nak legkésőbb ezen a napon – de akár korábban is – kötelessége lett volna meghatározni a személyes adatok a felhasználáshoz és feldolgozásához szükséges jogalapot.
2. Az OpenAI nem rendelkezett az életkor ellenőrzésére szolgáló mechanizmusokról
A vizsgálat megállapította, hogy az OpenAI nem tett eleget a korhatár-ellenőrzési mechanizmusok bevezetésére vonatkozó jogszabályi követelményeknek. Ennek hiánya lehetőséget biztosított arra, hogy a 13 év alatti kiskorúak olyan mesterséges intelligencia által generált tartalmakkal találkozzanak, amelyek nem felelnek meg az ő életkoruknak és érettségi szintjüknek.
3. OpenAI nem értesítette a Hatóságot a 2023 márciusában történt adatvédelmi incidensről – ismételt rossz gyakorlat a személyes adatok kezelése kapcsán
Az OpenAI elmulasztotta tájékoztatni a Hatóságot egy 2023. március 20-án bekövetkezett adatvédelmi incidensről. Az incidens során egy belső biztonsági hiba következtében a ChatGPT Plus előfizetők személyes adatai – köztük csevegési előzményeik és fizetési adataik – kerültek illetéktelen hozzáférésre. A Garante kiemelte, hogy az OpenAI-nak a GDPR 33. cikke alapján értesítenie kellett volna az összes európai adatvédelmi hatóságot, akiknek az érintettjei az adatvédelmi incidens következtében érintettek voltak. Tekintettel arra, hogy a vizsgálati dokumentumok alapján az incidens 440 olasz felhasználót is érintett, az OpenAI-nak közvetlenül tájékoztatnia kellett volna a Garante-t is.
4. Átláhatóság elvének sérelme
Az OpenAI súlyosan megsértette az általános adatvédelmi rendelet átláthatósági elvét azzal, hogy elmulasztotta a felhasználókat megfelelően tájékoztatni a személyes adataik feldolgozásának módjáról és céljáról. A Hatóság megállapítása szerint a vállalat nem nyújtott elegendő információt az érintettek részére a személyes adataik kezelésével kapcsolatban.
A bírság mértéke
A fent említett jogsértések következtében a Hatóság 15 millió eurós bírságot szabott ki, melynek összegét a következő arányok alapján határozta meg:
– 9 000 000 euró a személyes adatok jogellenes feldolgozásával kapcsolatos jogsértések miatt,
– 320 000 euró az adatvédelmi incidens bejelentésének elmulasztása miatt a Garante felé,
– 5 680 000,00 euró a 2023-ban a Garante által előírt korrekciós intézkedések be nem tartása miatt.
A Garante a kiszabott bírság mértékének megállapításakor arra törekedett, hogy az a jogsértések súlyosságának megfelelően hatékony, arányos és visszatartó erejű legyen.
OpenAI válasza
Az OpenAI aránytalannak minősítette a Hatóság döntését, és bejelentette, hogy fellebbezni fog. A vállalat hangsúlyozta, hogy továbbra is elkötelezett a világ minden táján működő adatvédelmi hatóságokkal való együttműködés mellett annak érdekében, hogy olyan hasznos mesterséges intelligenciát kínáljanak, amely tiszteletben tartja az adatvédelmi jogokat.
A Hatóság döntésének jelentősége a személyes adatok kezelése terén
A Garante által hozott döntés jelentős mérföldkőnek tekinthető a mesterséges intelligencia területén alkalmazott adatvédelmi szabályozás fejlődésében. Egyértelműen jelzi, hogy az európai szabályozó hatóságok komolyan veszik a mesterséges intelligencia alkalmazások adatkezelési gyakorlatainak ellenőrzését.
A fenti jogeset alapján az alábbi intézkedéseket javasoljuk mesterséges intelligencia rendszert alkalmazó Ügyfeleinknek:
1. GDPR-megfelelőség biztosítása: Olyan rendszereket alkalmazzanak vagy fejlesszenek, amelyek megfelelnek a GDPR előírásainak.
2. Jogalap meghatározása: Személyes adatok kezelése esetén mindig gondoskodjanak a megfelelő jogalap meghatározásáról.
3. Átláthatóság és elszámolhatóság: Rendelkezzenek megfelelő adatvédelmi szabályzatokkal és tájékoztatókkal. Nyújtsanak egyértelmű tájékoztatást a felhasználók részére jogaik gyakorlásához.
4. AI-felelős: Az AI rendszerek megfelelő etikai felügyeletének biztosítása érdekében gondoskodjanak AI-felelős kijelöléséről.
Dr. Miklós Péter, adatvédelmi ügyvéd
Németh Anna, jogi munkatárs
Amennyiben adatvédelem területén adatvédelmi jogász segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu
Felhasznált források:
- Betiltották az ChatGPT-t ebben az országban? Ez már nem mehet így tovább, cselekedni kell: https://www.penzcentrum.hu/tech/20241220/betiltottak-az-chatgpt-t-ebben-az-orszagban-ez-mar-nem-mehet-igy-tovabb-cselekedni-kell-1161007
- Olaszország megbüntette a ChatGPT-t adatvédelmi megsértés miatt: https://thehackernews.com/2024/12/italy-fines-openai-15-million-for.html
- Olasz adatvédelmi hatósági döntések a ChatGPT ügyben: https://www.naih.hu/hirek/724-olasz-adatvedelmi-hatosagi-doentesek-a-chatgpt-uegyben
- Az olasz adatvédelmi hatóság megbüntette az OpenAI-t a ChatGPT-vel kapcsolatos adatvédelmi jogsértés miatt: https://www.euronews.com/next/2024/12/20/italys-privacy-watchdog-fines-openai-15-million-after-probe-into-chatgpt-data-collection
- Az OpenAI-t 15 millió eurós bírság fenyegeti, miután az olasz Garante ismét lecsapott: https://www.lewissilkin.com/insights/2025/01/14/openai-faces-15-million-fine-as-the-italian-garante-strikes-again-102jtqc
- Olaszországi szabályozó 15 millió eurós bírsággal sújtja az OpenAI-t a GDPR-sértések miatt: https://www.linkedin.com/pulse/italian-dpa-fines-openai-15-million-cppa-settles-unregistered-jvzsf/
