Decyzja włoskiego organu ochrony danych osobowych (Garante per la protezione dei dati personali) w sprawie OpenAI i ChatGPT pokazuje, jak istotne stają się dziś kwestie związane z przejrzystością, bezpieczeństwem i legalnością przetwarzania danych osobowych w kontekście sztucznej inteligencji. W grudniu 2024 r. Garante nałożył na OpenAI karę w wysokości 15 mln euro oraz zobowiązał spółkę do przeprowadzenia sześciomiesięcznej kampanii informacyjnej. Co ważne, równolegle sprawa trafiła do dalszego rozpatrzenia przez irlandzki organ ochrony danych, ponieważ tam OpenAI ulokowało swoją europejską siedzibę.
Dlaczego ta decyzja jest ważna również dla polskich przedsiębiorców? Ponieważ pokazuje, że usługi oparte na sztucznej inteligencji muszą być zgodne z RODO, a każdy podmiot, który przetwarza dane osobowe – także mała firma – powinien zadbać o legalną podstawę, przejrzystość i mechanizmy ochronne wobec użytkowników.
Najważniejsze ustalenia włoskiego Garante
1. Brak zgłoszenia naruszenia danych osobowych
W marcu 2023 r. OpenAI doświadczyło naruszenia bezpieczeństwa danych, którego nie zgłosiło właściwemu organowi nadzorczemu. Tymczasem zgodnie z art. 33 RODO administrator ma obowiązek powiadomić organ ochrony danych o każdym naruszeniu, które może powodować ryzyko dla praw lub wolności osób fizycznych – i to bez zbędnej zwłoki, nie później niż w ciągu 72 godzin.
2. Wykorzystywanie danych do trenowania AI bez odpowiedniej podstawy prawnej
OpenAI przetwarzało dane użytkowników (i osób, które nawet nie korzystały z ChatGPT, ale których dane znalazły się w internecie) w celu trenowania modelu AI. Zdaniem Garante zabrakło jednak jasnej podstawy prawnej – a to narusza art. 6 RODO.
➡ Przedsiębiorca w Polsce, który np. wykorzystuje dane klientów do trenowania własnych algorytmów, również musi wskazać podstawę prawną – np. zgodę, uzasadniony interes lub obowiązek prawny.
3. Naruszenie zasady przejrzystości
Użytkownicy ChatGPT nie byli dostatecznie informowani o tym, jakie dane są zbierane, w jaki sposób przetwarzane i jakie prawa im przysługują. To sprzeczne z art. 12–14 RODO, które nakładają na administratora obowiązek jasnego i zrozumiałego informowania.
4. Brak mechanizmów weryfikacji wieku
ChatGPT nie wprowadził skutecznych zabezpieczeń uniemożliwiających korzystanie z usługi dzieciom poniżej 13. roku życia. To narażało je na treści nieodpowiednie dla ich poziomu rozwoju, co narusza zarówno RODO, jak i krajowe przepisy ochrony nieletnich.
Sankcje i środki naprawcze
Garante zastosował po raz pierwszy nową kompetencję przewidzianą w art. 166 ust. 7 włoskiego Kodeksu ochrony danych osobowych – zobowiązując OpenAI do przeprowadzenia kampanii informacyjnej w mediach tradycyjnych i internecie.
W kampanii mają znaleźć się m.in.:
- wyjaśnienia, jak działa ChatGPT,
- informacja, jakie dane są zbierane i w jakim celu,
- wskazanie praw osób, których dane dotyczą (sprzeciw, sprostowanie, usunięcie),
- instrukcja, jak skorzystać z prawa do sprzeciwu wobec wykorzystania danych do trenowania AI.
Dodatkowo nałożono karę finansową w wysokości 15 mln euro – przy czym wysokość sankcji uwzględniała także współpracę spółki z organem nadzorczym.
Co to oznacza dla przedsiębiorców w Polsce?
Choć decyzja dotyczy globalnej firmy technologicznej, ma ona praktyczne znaczenie dla każdego podmiotu przetwarzającego dane osobowe przy użyciu AI.
Przykład 1 – firma marketingowa
Agencja z Krakowa wykorzystuje narzędzie AI do analizy komentarzy klientów w mediach społecznościowych. Jeśli narzędzie to automatycznie pobiera i analizuje dane użytkowników, firma powinna:
- wskazać podstawę prawną (np. uzasadniony interes),
- poinformować w polityce prywatności, jakie dane są zbierane i w jakim celu,
- umożliwić osobom zgłoszenie sprzeciwu wobec przetwarzania ich danych.
Przykład 2 – start-up medyczny
Spółka z Wrocławia opracowuje aplikację wspierającą diagnostykę, która uczy się na danych pacjentów. Jeśli wykorzystuje dane historyczne, musi zadbać o ich pseudonimizację lub anonimizację, a w przypadku danych osobowych – o zgodę pacjenta albo inną podstawę prawną. Brak takich działań może skutkować poważnymi sankcjami finansowymi.
Kluczowe wnioski i wskazówki
📌 Przejrzystość to podstawa – zawsze jasno informuj użytkowników, jakie dane zbierasz i w jakim celu.
📌 Sprawdź podstawę prawną – czy dane przetwarzasz na podstawie zgody, umowy, przepisu prawa czy uzasadnionego interesu?
📌 Dbaj o bezpieczeństwo danych – w razie incydentu reaguj i zgłoś go w ciągu 72 godzin.
📌 Uwzględnij ochronę dzieci – jeśli usługa może być używana przez nieletnich, zastosuj weryfikację wieku.
📌 Monitoruj przepisy – AI staje się coraz częściej przedmiotem regulacji (m.in. AI Act w UE), dlatego przedsiębiorcy muszą być na bieżąco.
Podstawa prawna
- art. 6, art. 12–14, art. 33 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO),
- art. 166 ust. 7 – włoski Kodeks ochrony danych osobowych (Codice in materia di protezione dei dati personali, Decreto legislativo 30 giugno 2003, n. 196).
Tematy porad zawartych w poradniku
- ChatGPT a RODO 2025
- sztuczna inteligencja a ochrona danych
- obowiązki przedsiębiorców przy AI
- kara za brak zgłoszenia naruszenia RODO