Włoski organ nadzorczy nakłada 15 000 000 euro kary na OpenAI LLC

The English version of the text can be found below the Polish one.

W obszernej decyzji Włoski organ nadzorczy (Garante) podał wiele argumentów przemawiających za nałożeniem na Amerykańską spółkę oferującą dostęp do Chata GPT administracyjnej kary pieniężnej w wysokości 15 000 000 euro.

Ten europejski organ nadzorczy rozpoczął to postępowanie z urzędu, gdy zapoznał się z informacjami prasowymi o błędach technicznych, które miały miejsce 20 marca 2023 r. w usłudze ChatGPT.

Z doniesień prasowych wynika, że ​​w wyniku błędu użytkownik na stronie głównej serwisu ChatGPT zamiast własnej przeglądał historię tytułów czatów innych użytkowników serwisu.

Spółka następnie publicznie potwierdziła zdarzenie i podała, że ​​danymi związanymi z problemem technicznym, do których mogli mieć wgląd użytkownicy inni niż zainteresowane strony, były imię, nazwisko, adres e-mail, a także cztery ostatnie cyfry oraz data ważności karty kredytowej użytej do zapłaty za usługę ChatGPT Plus (płatna wersja usługi).

Dowiedz się o ważnych atutach Aktualności PLUS

W związku z powyższym Garante wydał – na mocy art. 58 ust. 2 lit. f RODO – postanowienie o wprowadzeniu czasowego ograniczenia przetwarzania danych osobowych przez usługę oferowaną przez Open AI.

Urząd podjął decyzję o zawieszeniu wydanego zakazu pod warunkiem, że właściciel, na podstawie art. 58 ust. 2 list. d RODO, przyjmie odpowiednie środki gwarantujące, że przetwarzanie danych osobowych w ramach usługi ChatGPT odbywać się będzie zgodnie z przepisami o ochronie danych osobowych.

Wracając do głównego postępowania organ nadzorczy stwierdził, że:

w omawianym przypadku, jak wspomniano, OpenAI jest spółką z siedzibą w Stanach Zjednoczonych Ameryki, która do dnia 15 lutego 2024 r. nie posiadała jednostki organizacyjnej na terytorium Unii Europejskiej, w związku z czym włoskim organem ochrony danych osobowych jest właściwy do oceny, na swoim terytorium, zgodności z wdrożonym do tej pory przez OpenAI Rozporządzeniem o przetwarzaniu danych osobowych oraz do wykonywania uprawnień przyznanych mu na podstawie art. 58.

w odpowiedzi na skargę Spółka oświadczyła, że ​​w dniu uruchomienia usługi ChatGPT, tj. 30 listopada 2022 r., OpenAI przestrzegało zasad ochrony danych, lecz nie podlegało przepisom RODO (patrz brief obrony, wersja przetłumaczona, strona 19).

dokumenty te nie pozwalają na wykazanie, że ocena adekwatności i identyfikacja podstawy prawnej przetwarzania danych osobowych na potrzeby szkolenia modelu językowego GPT stanowiącego podstawę funkcjonowania usługi ChatGPT miała miejsce przed uruchomienie samej usługi (30 listopada 2022 r.) zgodnie z wymogami zasady rozliczalności, o której mowa w art. 5 ust. 2 i art. 6 Rozporządzenia.

w odniesieniu do oceny zasadności wyboru dokonanego po rozpoczęciu przetwarzania i uruchomieniu odpowiedniej usługi co do uzasadnionego interesu jako podstawy prawnej przetwarzania danych osobowych użytkowników i osób niebędących użytkownikami w celu szkolenia algorytmów i działania usługi, Urząd, zgodnie z wyżej wymienionymi przepisami dotyczącymi podziału jurysdykcji po ustanowieniu OpenAI w Irlandii, przekazuje irlandzkiemu organowi nadzorczemu, organowi wiodącemu na mocy art. 56 rozporządzenia, akty niniejszego postępowania w celu kontynuowania działań w ramach jego kompetencji.

w oparciu o przedstawioną powyżej argumentację Gwarant stwierdził naruszenie następujących postanowień Regulaminu: art. 33; artykuły 5, ust. 2 i 6; artykuły 5, ust. 1, list. a), 12 i 13; artykuły 24 i 25 ust. 1; sztuka. 83, ust. 5, list. e) Rozporządzenia.

 

Dowiedz się o ważnych atutach Aktualności PLUS

W zakresie wysokości nałożonej administracyjnej kary pieniężnej Włoski organ wskazał tak:

Winę OpenAI należy zatem uznać za poważną, gdyż Spółka uruchomiła usługę polegającą na przetwarzaniu danych osobowych na dużą skalę na całym świecie, nie przyjmując minimalnych środków zapewniających zgodność z Rozporządzeniem.

Obrotem OpenAI istotnym dla wyliczenia kary jest całkowity obrót światowy odnoszący się do roku obrotowego 2023. Dane podatkowe przekazane przez Spółkę wraz z notą z dnia 23 kwietnia 2024 r. wskazują tę wartość na kwotę 1 029 186 389,00 dolarów, co stanowi około 948 487 890,00 euro w dniu przyjęcia tego przepisu.

Na podstawie powyższych elementów, ocenianych całościowo, biorąc pod uwagę łączny roczny światowy obrót Spółki w poprzednim roku obrotowym, uważa się, że należy określić łączną kwotę pieniężnej sankcji administracyjnej na kwotę 15.000.000,00 euro, co stanowi około 1,58% całkowitego rocznego światowego obrotu za rok obrotowy 2023.

Na koniec – ciekawym wątkiem jest “przekazanie” Irlandzkiemu organowi nadzorczemu dokonania oceny czy – europejska spółka Open IA – posiada jakąkolwiek podstawę prawną przetwarzania danych osobowych, w tym np.”

uzasadnionego interesu jako podstawy prawnej przetwarzania danych osobowych użytkowników i osób niebędących użytkownikami w celu szkolenia algorytmów i działania usługi, Urząd, zgodnie z wyżej wymienionymi przepisami dotyczącymi podziału jurysdykcji po ustanowieniu OpenAI w Irlandii, przekazuje irlandzkiemu organowi nadzorczemu, organowi wiodącemu na mocy art. 56 rozporządzenia, akty niniejszego postępowania w celu kontynuowania działań w ramach jego kompetencji.

 

The English version of the text

In a lengthy decision, the Italian Supervisory Authority (Garante) provided numerous arguments in favor of imposing an administrative fine of 15,000,000 euros on the American company offering access to Chata GPT.

The European Supervisory Authority initiated this procedure ex officio after it became aware of press releases about technical errors that occurred on March 20, 2023 in the ChatGPT service.

According to press reports, as a result of the error, the user viewed the history of chat titles of other users of the service on the ChatGPT homepage instead of his own.

The company then publicly confirmed the incident and stated that the data related to the technical problem that could be viewed by users other than the parties concerned were the first name, last name, email address, as well as the last four digits and the expiry date of the credit card used to pay for the ChatGPT Plus service (paid version of the service).

In connection with the above, the Garante issued – pursuant to Art. Article 58 paragraph 2 letter f of the GDPR – a decision to introduce a temporary restriction on the processing of personal data by the service offered by Open AI.

The Office decided to suspend the issued ban on condition that the owner, pursuant to Article 58 paragraph 2 letter d of the GDPR, adopts appropriate measures to ensure that the processing of personal data within the ChatGPT service is carried out in accordance with the provisions on the protection of personal data.

Returning to the main proceedings, the supervisory authority stated that:

in the case in question, as mentioned, OpenAI is a company based in the United States of America, which until February 15, 2024 did not have an organizational unit in the territory of the European Union, therefore the Italian personal data protection authority is competent to assess, on its territory, compliance with the Regulation on the processing of personal data implemented so far by OpenAI and to exercise the powers granted to it under Article 58.

In response to the complaint, the Company stated that on the date of launch of the ChatGPT service, i.e. 30 November 2022, OpenAI complied with the data protection principles but was not subject to the provisions of the GDPR (see defence brief, translated version, page 19).

These documents do not allow it to be demonstrated that the assessment of the adequacy and identification of the legal basis for the processing of personal data for the purposes of training the GPT language model underlying the operation of the ChatGPT service took place before the launch of the service itself (30 November 2022) in accordance with the requirements of the accountability principle referred to in Article 5(2) and Article 6 of the Regulation.

With regard to the assessment of the validity of the choice made after the start of processing and launch of the relevant service as to legitimate interest as a legal basis for the processing of personal data of users and non-users for the purpose of training algorithms and operating the service, the Office, in accordance with the above-mentioned provisions on the allocation of jurisdiction after the establishment of OpenAI in Ireland, shall provide the Irish supervisory authority, the lead authority under Article 56 of the Regulation, the acts of this proceeding in order to continue the activities within its competence.

Based on the arguments presented above, the Guarantor found a violation of the following provisions of the Regulations: Art. 33; Articles 5, paragraphs 2 and 6; Articles 5, paragraph 1, letter a), 12 and 13; Articles 24 and 25 paragraph 1; Art. 83, paragraph 5, letter e) of the Regulation.

In terms of the amount of the imposed administrative fine, the Italian authority indicated the following:

OpenAI’s guilt should therefore be considered serious, as the Company launched a service consisting in the processing of personal data on a large scale worldwide, without adopting minimum measures to ensure compliance with the Regulation.

OpenAI’s turnover relevant for calculating the penalty is the total worldwide turnover related to the 2023 financial year. The tax data provided by the Company with the note dated April 23, 2024 indicate this value at $1,029,186,389.00, which is approximately EUR 948,487,890.00 on the date of adoption of this provision.

On the basis of the above elements, assessed as a whole, taking into account the total annual global turnover of the Company in the previous financial year, it is considered that the total amount of the administrative monetary sanction should be set at EUR 15,000,000.00, which is approximately 1.58% of the total annual global turnover for the financial year 2023.

Finally – an interesting thread is the “transfer” to the Irish supervisory authority to assess whether – the European company Open IA – has any legal basis for the processing of personal data, including e.g. “legitimate interest as a legal basis for the processing of personal data of users and non-users for the purpose of training algorithms and operating the service, the Office, in accordance with the above-mentioned provisions on the division of jurisdiction after the establishment of OpenA And in Ireland, it shall transmit to the Irish Supervisory Authority, the lead authority under Article 56 of the Regulation, the acts of these proceedings for the purpose of continuing its activities within the scope of its competence.