Z polskiego modelu sztucznej inteligencji Bielik AI, stworzonego przez Fundację SpeakLeash, można w aplikacji InPost Mobile korzystać od grudnia. Dzięki temu użytkownicy aplikacji poprzez korzystanie z chatu mają go trenować. Akcja nosi nazwę „Nakarm Bielika”.

DGP informowało, że w akcji „Nakarm Bielika” nie ma polityki prywatności oraz osobnego regulaminu. O to, czy nie wywołuje to wątpliwości, zapytaliśmy Urząd Ochrony Danych Osobowych. Teraz dostaliśmy odpowiedź UODO.

UODO nie prowadzi postępowania

Wynika z niej, że Prezes UODO może zająć jednoznaczne stanowisko jedynie w decyzji administracyjnej wydanej po przeprowadzeniu postępowania i zbadaniu całokształtu materiału dowodowego, a model Bielik AI ani usługa „Nakarm Bielika” nie były przedmiotem postępowania administracyjnego PUODO.

Jednocześnie wskazuje, że „administrator, bez względu na to, w jaki sposób przetwarza dane i przy użyciu jakich technologii, musi stosować się do zasad wynikających z RODO, czyli ogólnego rozporządzenia o ochronie danych osobowych”.

UODO zwraca uwagę, że art. 6 rozporządzenia wymienia przesłanki, jakie muszą zostać spełnione, aby przetwarzanie danych osobowych było legalne: osoba, której dane dotyczą, musi wyrazić zgodę na ich przetwarzanie; przetwarzanie danych musi być niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą; a także do wypełnienia obowiązku prawnego ciążącego na administratorze, do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby; do realizacji zadania realizowanego w interesie publicznym lub do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.

Jednocześnie w odpowiedzi UODO informuje, że jeżeli administrator dysponuje jedną z wyżej wymienionych przesłanek uprawniających do przetwarzania danych, to musi stosować zasady określone w art. 5 RODO, czyli m.in. dane muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem.

Dane osobowe a Cloud Act

W odpowiedzi na pytanie DGP o przetwarzanie danych w ramach akcji „Nakarm Bielika”, wiceprezes fundacji SpeakLeash wskazała, że dane wejściowe od użytkowników (prompty i odpowiedzi w ramach akcji) są przechowywane w prywatnej chmurze InPost, z pełnym przetwarzaniem w obrębie Unii Europejskiej. Część warstwy aplikacyjnej (frontend, serwisy pośrednie) korzysta z rozwiązań Google Cloud, ale wyłącznie w europejskich centrach danych (Beyond.pl i ACK Cyfronet)”.

Z kolei Google w odpowiedzi na nasze pytanie informuje, że Google Cloud nie jest zaangażowana w prowadzenie akcji "Nakarm Bielika" oraz że Google Cloud nie ma swobodnego dostępu do danych przechowywanych zarówno w infrastrukturze własnej Google Cloud, jak i dostarczanej przez ich partnerów. „Dane te są zaszyfrowane, a dostępem do tych informacji zarządzają ich właściciele, czyli nasi bezpośredni klienci lub podmioty będące klientami naszych partnerów” – informuje Google.

Adwokat Paweł Litwiński, partner w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów, zwracał uwagę w naszym pierwszym tekście, że nie ma znaczenia, gdzie dane są, istotne jest natomiast, kto ma do nich dostęp. – Zgodnie z ustawodawstwem USA (CLOUD Act) podmioty amerykańskie, które przetwarzają dane osobowe w Unii Europejskiej (np. Google czy Microsoft) muszą je udostępnić amerykańskim służbom, jeśli te o nie wystąpią. I to nawet wtedy, gdy są to dane obywateli i obywatelek Unii. Nie wiem, jak jest w tym przypadku, ale podkreślam, obecność w projekcie Google może oznaczać, że dane są objęte Cloud Act i przez to dostępne dla służb z USA – mówi adwokat.

O to również zapytaliśmy UODO. W odpowiedzi UODO poinformował, że Cloud Act nakłada określone obowiązki na amerykańskie podmioty bez względu na to, gdzie są zlokalizowane ich serwery.

„Należy mieć na uwadze, że firmy korzystające z usług podmiotów zlokalizowanych w państwach trzecich i zamierzające przekazywać takim podmiotom swoje dane, muszą spełniać wymogi dotyczące warunków przekazywania danych do państw trzecich, określone w rozdziale V RODO. Należy więc sprawdzić, czy np. w stosunku do danego państwa trzeciego lub organizacji została przyjęta przez KE decyzja o adekwatności. Takie decyzje obowiązują np. w odniesieniu do transferów danych dokonywanych do organizacji w USA, które zapewniają zgodność z „Ramami ochrony danych UE-USA”, czy też w odniesieniu do Zjednoczonego Królestwa Wielkiej Brytanii”.

"Nakarm Bielika". Co z polityką prywatności?

Również radca prawny Tomasz Zalewski, założyciel kancelarii Zalewski Legal, zwracał uwagę DGP, że polityka prywatności InPost milczy na temat akcji „Nakarm Bielika”. Według niego powinna się do tego odnosić odrębna część polityki prywatności.

– Być może InPost uznał, że skoro w regulaminie usług mobilnych ma szeroką definicję usług („wszelkie udostępnione przez nas usługi i funkcjonalności dostępne w InPost Mobile”), to korzystanie z Bielika w ramach tej aplikacji jest taką usługą – mówił nam Zalewski.

W polityce prywatności znajduje się sekcja poświęcona InPost chat AI, cel przetwarzania został tam określony jako „świadczenie usług drogą elektroniczną poprzez zapewnienie dostępu do wirtualnego czatu umożliwiającego konwersacje”. Pod to ogólne określenie w ocenie mec. Zalewskiego można by podciągnąć Bielika. Radca prawny zwraca jednak uwagę, że dalej jest informacja, że „możesz korzystać z usług naszego agenta AI – inteligentnego systemu konwersacyjnego, który wspiera obsługę użytkowników poprzez czat online i który może korzystać z danych osobowych”.

A to jego zdaniem wskazuje, że jednak chodzi o innego rodzaju usługę – o chat do wsparcia obsługi użytkowników.

– Zresztą taki chat działa niezależnie od Bielika, można z nim porozmawiać po wejściu w sekcję Kontakt w aplikacji mobilnej (nazywa się chat MAT). Usługa „Nakarm Bielika” jest jednak szersza – można porozmawiać na dowolny temat – zwraca uwagę Tomasz Zalewski.

UODO odniósł się także do tej kwestii. „Odpowiadając na Pani pytanie dotyczące braku osobnego regulaminu funkcji Nakarm Bielika w aplikacji InPost informuję, że do tej funkcjonalności jest dołączona polityka prywatności zawierająca obowiązki informacyjne. Jednak dla udzielenia jednoznacznej odpowiedzi konieczne byłoby zweryfikowanie tego, czy odpowiada ona w pełni procesom przetwarzania danych związanych z korzystaniem z dodatkowej funkcji, możliwe by było jedynie w postępowaniu administracyjnym” – napisał.

Masz wątpliwości, czy twoje dane osobowe są właściwie przetwarzane? Możesz zgłosić sprawę do UODO

UODO napisał też, że każda osoba, która uważa, że jej dane są przez administratora niewłaściwie przetwarzane, w tym jej prawa nieprzestrzegane, ma prawo złożyć skargę do Prezesa UODO. Ponadto każdy, kto uważa, że jego dane osobowe są przetwarzane niezgodnie z prawem, może dochodzić swoich praw przed sądem powszechnym (art. 79 RODO). A jeżeli dana osoba uzna, że w wyniku naruszenia przepisów RODO poniosła szkodę majątkową lub niemajątkową, ma też prawo żądać od administratora lub podmiotu przetwarzającego odszkodowania lub zadośćuczynienia, do czego uprawnia ją art. 82 RODO.

UODO odpowiedział też, że zgodnie z zasadami RODO administrator musi też przeprowadzić test prywatności (w tym ocenę skutków – DPIA art. 25, art. 35 RODO, FRIA (ocenę skutków dla ochrony praw podstawowych) w odniesieniu do systemów przetwarzania wysokiego ryzyka stosowanych przez organy publiczne i organy prywatne wykonujące funkcje publiczne – art. 27 Aktu w sprawie sztucznej inteligencji), który w przypadku planowanych operacji przetwarzania z udziałem sztucznej inteligencji powinien być bardzo wnikliwie przeprowadzony i uwzględnić wszystkie zagrożenia związane z takim przetwarzaniem danych, w tym np. ryzykiem ich ujawnienia przez ten sam model sztucznej inteligencji innym podmiotom, o ile nie jest to model działający w tzw. środowisku zamkniętym, do którego nie ma dostępu z zewnątrz.

UODO wskazał też, że zasady te mają zastosowanie do wszystkich procesów przetwarzania danych i wykorzystywanych technologii.