V minulém vydání našeho newsletteru jsme Vás informovali o tom, že Úřad pro ochranu osobních údajů se stal adresátem velkého počtu stížností z řad veřejnosti ohledně zveřejnění jejich osobních údajů v souvislosti s veřejně dostupným seznamem držitelů datových schránek. Jen v průběhu jednoho týdne v rámci března Úřad pro ochranu osobních údajů zaznamenal přes sto takových stížnost.
Povinnost disponovat datovou schránkou mají vedle správních orgánů i právnické osoby a nově od letošního roku i fyzické osoby podnikající. Fyzické osoby nepodnikající si mohou datovou schránku založit dobrovolně. K začátku dubna jich této možnosti využilo téměř 700 000. Problematickým se nicméně stalo zveřejnění jejich osobních údajů v seznamu držitelů datových schránek. V rámci veřejné odborné debaty tedy vyvstala otázka, zda je vhodné, aby byly údaje o fyzických osobách disponujících datovou schránkou (tedy především jméno, adresa trvalého bydliště a identifikátor datové schránky) volně dostupné všem osobám – tedy i těm, kteří sami datovou schránku nemají.
Úřad pro ochranu osobních údajů v reakci na obdržené stížnosti již v průběhu března uvedl, že si od Ministerstva vnitra, které datové schránky spravuje, vyžádá doplňující informace, aby následně mohl posoudit zákonnost celého zpracování. V mezidobí došlo k chystané změně, kdy odpovědnost za chod datových schránek přešla na nově vznikly úřad Digitální a informační agenturu (DIA).
Právě s DIA se Úřad pro ochranu osobních údajů v tomto týdnu dohodl na odstranění osobních údajů nepodnikajících fyzických osob z veřejně dostupného seznamu držitelů datových schránek. Výše uvedené osobní údaje byly dle názoru ÚOOÚ zpracovány v rozporu se zásadami minimalizace a důvěrnosti. V tomto ohledu ÚOOÚ upozornil ani ne na samotné zveřejnění osobních údajů, jako spíše na následnou možnost neomezené dispozici s těmito daty. Osobní údaje fyzických osob šlo totiž ze seznamu držitelů datových schránek relativně snadno extrahovat a ukládat ve velkém množství.
Tím však celá věc okolo zveřejňování osobních údajů držitelů datových schránek nekončí. V blízké budoucnosti by měla mezi ÚOOÚ a DIA proběhnout obdobná debata na téma zveřejňování osobních údajů podnikajících fyzických osob. V budoucnu se pak očekává užší spolupráce mezi oběma subjekty ohledně chystané legislativy týkající se zpřístupňování údajů o držitelích datových schránek.
Italský dozorový úřad pozastavil zákaz užívání ChatGPT
Italský dozorový úřad (Garante) v březnu zakázal užívání populárního chatbotu ChatGPT společnosti OpenAI. Dle vyjádření Garante z března letošního roku nástroj umělé inteligence dostatečně nereflektoval zákonná pravidla zpracování osobních údajů, a to hned v několika směrech. Hlavním problémem je dle Garante masivní shromažďování dat pro účel ,,trénování algoritmů‘‘ – tedy základní funkci ChatGPT, který shromažďuje data, aby je následně mohl využít pro své uživatele. Toto uchovávání je přitom uskutečňováno v obrovském rozsahu bez legitimního právního titulu. S podobným závěrem jsme se v rámci EU setkali již např. u společnosti Clearview AI, o čemž jsme Vás v minulosti informovali.
Se zpracováním osobních údajů se pojí i zásada transparentnosti, a tedy i povinnosti správce subjekty údajů dostatečně informovat o zpracování jejich osobních údajů. To však Open AI nedělá. S rozsáhlým zpracování dat pak souvisela i další výtka Garante, podle kterého docházelo k jejich nepřesnému zpracování, což je také v rozporu s Nařízením GDPR. ChatGPT dále nedostatečně reflektuje italskou (ale v zásadě i obecnou evropskou) úpravu týkající se přístupu a zpracování osobních údajů dětí, když dle Garente nedocházelo k dostatečnému ověřování věku uživatelů při registraci. Konečně pak v minulosti došlo i k bezpečnostním incidentům, které se týkaly osobních údajů uživatelů ChatGPT (zpřístupnění komunikace s chatbotem cizím uživatelům nebo únik informací o uživatelích týkajících se placení předplatného).
Minulý týden však Garante vzal dočasně zákaz užívání ChatGPT na území Itálie zpět, pokud společnost OpenAI do konce dubna splní pět podmínek stanovených italským dozorovým úřadem. Ty zní následovně:
1. OpenAI splní svou informační povinnost vůči subjektům údajů.
2. OpenAI přehodnotí právní titul užívaný pro účel ,,trénování algoritmů‘‘.
3. OpenAI přijme adekvátní opatření, aby subjekty údajů mohly uplatnit svá práva.
4. OpenAI přijme systém pro ověřování věku a zruší protizákonně zřízené účty dětem.
5. OpenAI uspořádá informativní kampaň s cílem poučit subjekty údajů o možném zpracování jejich osobních údajů v rámci algoritmů ChatGPT.