Az EU-ban a GDPR megköveteli, hogy az egyénekre vonatkozó információk pontosak legyenek, és hogy az érintettek teljes körűen hozzáférhessenek a tárolt információkhoz, valamint a forrásról szóló információkhoz. Meglepő módon azonban az OpenAI nyíltan elismeri, hogy nem tudja kijavítani a ChatGPT-n található helytelen információkat. Továbbá a vállalat nem tudja megmondani, hogy honnan származnak az adatok, vagy milyen adatokat tárol a ChatGPT az egyes emberekről. A vállalat tisztában van ezzel a problémával, de úgy tűnik, nem törődik vele. Ehelyett az OpenAI egyszerűen azzal érvel, hogy "a nagy nyelvi modellek tényszerű pontossága továbbra is aktív kutatási terület". Ezért, noyb ma panaszt nyújtott be az OpenAI ellen az osztrák adatvédelmi hatósághoz.
A ChatGPT folyton hallucinál - és még az OpenAI sem tudja megállítani. A ChatGPT 2022 novemberében történt elindítása példátlan AI-hype-ot váltott ki. Az emberek elkezdték használni a chatbotot mindenféle célra, többek között kutatási feladatokra. A probléma az, hogy maga az OpenAI szerint az alkalmazás csak "válaszokat generál a felhasználói kérésekre azáltal, hogy megjósolja a következő legvalószínűbb szavakat, amelyek az egyes kérésekre válaszul megjelenhetnek". Más szavakkal: Bár a vállalat kiterjedt képzési adatokkal rendelkezik, jelenleg nincs mód annak garantálására, hogy a ChatGPT valóban tényszerűen helyes információkat mutat a felhasználóknak. Éppen ellenkezőleg, a generatív AI-eszközökről ismert, hogy rendszeresen "hallucinálnak", azaz egyszerűen kitalálnak válaszokat.
Házi feladatokhoz rendben van, de nem az egyénekre vonatkozó adatokhoz. Míg a pontatlan információk még elviselhetőek, ha egy diák a ChatGPT-t használja a házi feladat elkészítéséhez, addig az egyénekre vonatkozó információk esetében ez elfogadhatatlan. 1995 óta az uniós jog előírja, hogy a személyes adatoknak pontosnak kell lenniük. Jelenleg ezt a GDPR 5. cikke rögzíti. A GDPR 16. cikke értelmében az egyéneknek joguk van a helyesbítéshez is, ha az adatok pontatlanok, és kérhetik a hamis információk törlését. Ezenkívül a 15. cikkben foglalt "hozzáférési jog" értelmében a vállalatoknak képesnek kell lenniük bemutatni, hogy milyen adatokkal rendelkeznek az egyénekről és milyen forrásból.
Maartje de Graaf, a noyb: "A hamis információk kitalálása önmagában is eléggé problematikus. De ha egyénekre vonatkozó hamis információkról van szó, annak komoly következményei lehetnek. Egyértelmű, hogy a vállalatok jelenleg képtelenek arra, hogy a ChatGPT-hez hasonló chatbotokat az uniós jognak megfelelővé tegyék, amikor egyénekre vonatkozó adatokat dolgoznak fel. Ha egy rendszer nem képes pontos és átlátható eredményeket produkálni, akkor nem használható az egyénekre vonatkozó adatok előállítására. A technológiának kell követnie a jogi követelményeket, nem pedig fordítva"
Az egyénekre vonatkozó adatok egyszerű kitalálása nem jöhet szóba. Ez nagyon is strukturális probléma. A New York Times nemrégiben megjelent jelentése szerint "a chatbotok az esetek legalább 3 százalékában - de akár 27 százalékban is - kitalálnak információkat". A probléma illusztrálására nézzük meg a panaszost (egy közszereplőt) az OpenAI elleni ügyünkben. Amikor a születésnapjáról kérdezték, a ChatGPT többször is téves információkat adott meg ahelyett, hogy közölte volna a felhasználókkal, hogy nem rendelkezik a szükséges adatokkal.
Nincsenek GDPR-jogok a ChatGPT által elfogott egyének számára? Annak ellenére, hogy a panaszos ChatGPT által megadott születési dátuma helytelen, az OpenAI elutasította az adat helyesbítésére vagy törlésére irányuló kérelmét, arra hivatkozva, hogy az adatok helyesbítése nem lehetséges. Az OpenAI azt állítja, hogy bizonyos kéréseknél (például a panaszos nevének megadása) képes az adatok szűrésére vagy letiltására, de ez nem lehetséges anélkül, hogy a ChatGPT ne tudná a panaszosra vonatkozó összes információt kiszűrni. Az OpenAI továbbá nem válaszolt megfelelően a panaszos hozzáférési kérelmére. Bár a GDPR megadja a felhasználóknak azt a jogot, hogy a vállalatoktól kérjenek másolatot a róluk feldolgozott személyes adatokról, az OpenAI nem közölt semmilyen információt a feldolgozott adatokról, azok forrásairól vagy címzettjeiről.
Maartje de Graaf, a noyb adatvédelmi ügyvédje: "A hozzáférési kérelmek teljesítésének kötelezettsége minden vállalatra vonatkozik. Nyilvánvalóan lehetséges nyilvántartást vezetni a felhasznált képzési adatokról, legalábbis elképzelésük van az információk forrásairól. Úgy tűnik, hogy minden egyes "újítással" a vállalatok egy újabb csoportja úgy gondolja, hogy a termékeinek nem kell megfelelniük a törvénynek"
A felügyeleti hatóságok eddigi eredménytelen erőfeszítései. A ChatGPT hirtelen népszerűségének növekedése óta a generatív AI-eszközök gyorsan az európai adatvédelmi felügyelők figyelme alá kerültek. Többek között az olasz adatvédelmi hatóság is foglalkozott a chatbot pontatlanságával, amikor 2023 márciusában ideiglenes korlátozást rendelt el az adatfeldolgozásra vonatkozóan. Néhány héttel később az Európai Adatvédelmi Testület (EDPB) munkacsoportot hozott létre a ChatGPT-vel kapcsolatban a nemzeti erőfeszítések összehangolására. Hogy ez hová vezet, azt még nem tudni. Egyelőre úgy tűnik, az OpenAI még csak nem is tesz úgy, mintha meg tudna felelni az uniós GDPR-nek.
Panaszt nyújtottak be. A noyb most arra kéri az osztrák adatvédelmi hatóságot (DSB), hogy vizsgálja meg az OpenAI adatfeldolgozását és a vállalat nagyméretű nyelvi modelljeivel összefüggésben feldolgozott személyes adatok pontosságának biztosítása érdekében hozott intézkedéseket. Továbbá kérjük a DSB-t, hogy kötelezze az OpenAI-t a panaszos hozzáférési kérelmének teljesítésére, és arra, hogy a feldolgozást hozza összhangba a GDPR-rel. Végül, de nem utolsósorban a noyb kéri a hatóságot, hogy a jövőbeni megfelelés biztosítása érdekében szabjon ki bírságot. Valószínű, hogy ezt az ügyet uniós együttműködés keretében fogják kezelni.
