Írországba menekül az OpenAI az EU szabályozása elől

Míg Európa nagy része az ünnepi csokoládékat eszegette, addig a ChatGPT mögött álló OpenAI e-mailben tájékoztatott mindenkit adatvédelmi feltételeinek módosításáról, amelynek lényege, hogy csökkentsék az Európai Unióban meglévő szabályozási kockázatot.

Az MI-óriás technológiáját a ChatGPT emberek magánéletére gyakorolt hatása miatt már korán vizsgálat alá vonták kontinensünkön. Számos vizsgálatot folytattak adatvédelmi aggályok miatt, amelyek azzal kapcsolatosak, hogy a chatbot hogyan dolgozza fel az emberek adatait és az egyénekről generált adatokat, többek között az olasz és a lengyel felügyeleti szervek is aktivizálták magukat. Az olasz beavatkozás még a ChatGPT ideiglenes felfüggesztését is kiváltotta az országban, a lengyel felügyeleti hatóság pedig arra volt kíváncsi, hogy az MI hogyan hallucinál (azaz hogyan hamisít) személyes adatokat. "Ezentúl az írországi szervezetünk, az OpenAI Ireland Limited szolgálja majd ki az EGT-országokat és Svájc lakosait" - írta az OpenAI a felhasználóknak. Az új felhasználási feltételekben a nemrégiben alapított dublini székhelyű leányvállalat szerepel adatkezelőként az Európai Gazdasági Térség (EGT) és Svájc felhasználói számára. Ezt 2024. február 15-én kezdik alkalmazni, és azon felhasználók, akik nem értenek egyet az OpenAI új feltételeivel, törölhetik fiókjukat.

A GDPR egyablakos mechanizmusa lehetővé teszi az európaiak adatait feldolgozó vállalatok számára, hogy az adatvédelmi felügyeletet egyetlen helyen, az EU valamelyik tagállamában - a szabályozási zsargon szerint a "fő székhelyük" szerinti - vezető adatvédelmi felügyelet alatt racionalizálják. E státusz elnyerése csökkenti az EU más részein található adatvédelmi felügyeletek azon lehetőségét, hogy aggályok esetén fellépjenek a cégekkel szemben. Sürgős esetekben a hatóságok továbbra is fenntartják a helyi beavatkozásra vonatkozó hatáskörüket, de az ilyen beavatkozások jellemzően ideiglenesek. Természetüknél fogva kivételes jellegűek is, mivel a GDPR-felügyelet nagy része egy vezető hatóságon keresztül történik. Ezért a státusz nagyon vonzó az amerikai IT-óriások számára, mert lehetővé teszi hogy racionalizálják a határokon átnyúló személyesadat-feldolgozásuk adatvédelmi felügyeletét.

Az OpenAI tavaly szeptemberben nyitotta meg dublini irodáját, és néhány irodai segítő mellett egy maroknyi politikai, jogi és adatvédelmi munkatársat is felvett. Jelenleg 100 dublini állás közül mindössze öt nyitott pozíciót tartanak nyilván, így a helyi munkaerő-felvétel még mindig korlátozottnak tűnik. Az, hogy az OpenAI kiket és hány embert vesz fel Dublinban, fontos lesz a GDPR szerinti fő telephelyi státusz megszerzése szempontjából, mivel a státusz elnyeréséhez nem elég csak egy kis jogi papírmunkát végezni és bejelölni egy négyzetet. A vállalatnak meg kell győznie az EU adatvédelmi szabályozó hatóságait arról, hogy az európaiak adataiért jogilag felelősnek nevezett tagállami székhelyű szervezet valóban képes befolyásolni az azokkal kapcsolatos döntéshozatalt. Ez azt jelenti, hogy megfelelő szakértelemmel és jogi struktúrákkal kell rendelkeznie ahhoz, hogy befolyást gyakoroljon, és érdemi adatvédelmi ellenőrzéseket végezzen az amerikai anyavállalaton.


Ha az OpenAI elnyeri az írországi GDPR szerinti fő letelepedett státuszt, és az ír adatvédelmi hatóság vezető felügyeletét, akkor csatlakozik az Apple, a Google, a Meta, a TikTok és az X vállalatokhoz, hogy csak néhányat említsünk azon multinacionális cégek közül, amelyek úgy döntöttek, hogy Dublinban alakítják ki uniós otthonukat. Ez azért érdekes, mert a DPC-t évek óta sok kritika éri a helyi technológiai óriáscégek GDPR-felügyeletének ütemezése miatt. Jellemző forgatókönyv, hogy valamely EU-országban vizsgálat indul a Facebook vagy a Google ellen, majd az ír hatóság bejelentkezik, miszerint ő az illetékes, és ezután évekre eltemeti az ügyeket.

És bár az elmúlt években számos a nagy technológiai cégekre kiszabott büntetés került a napilapok címlapjára, a kritikusok rámutatnak, hogy az ír szabályozó hatóság gyakran lényegesen alacsonyabb büntetések mellett érvel, mint társai. További kritikák közé tartozik a DPC vizsgálatainak tempója és/vagy szokatlan pályája. Vagy az olyan esetek, amikor a hatóság úgy dönt, hogy egyáltalán nem vizsgál ki egy panaszt, vagy úgy alakítja azt át, hogy megkerüli a fő problémát. Norvégia legutóbb az íreket megkerülve közvetlenül az Európai Unió Bíróságához fordult, így érte el, hogy a Meta reklámozási célból ne tudjon felhasználói adatokat gyűjteni.

Figyelemre méltó, hogy az OpenAI frissített európai adatvédelmi irányelvei részletesebb információkat tartalmaznak az emberek adatainak feldolgozására hivatkozó jogalapról is. A GDPR hat szigorúan korlátozott érvényes jogalapot határoz meg a személyes adatok feldolgozására, tehát az adatkezelők nem találhatnak ki saját, testre szabott indoklást. Az új megfogalmazás az emberek adatainak az MI-modellek képzése céljából történő feldolgozásánál a társadalom jogos érdekére hivatkozik. Ez azt sugallja, hogy az OpenAI az érintett európai adatvédelmi szabályozókkal szemben úgy próbálja megindokolni az internetfelhasználók személyes adatainak hatalmas, folyamatos begyűjtését a profit érdekében, hogy a saját (kereskedelmi) érdekei mellett a közérdekűség érvével is alátámasztja a tevékenységet.

A felügyelő hatóságok már tavaly, az Európai Adatvédelmi Tanácson belül létrehozott munkacsoportban megpróbáltak közös nevezőre jutni az adatvédelmi jogszabályok és a mesterséges intelligencia nagy adatmennyiségének kereszteződésének trükkös kezelésével kapcsolatban. Azt még nem lehet tudni, hogy a folyamat során létrejön-e konszenzus, de mivel az OpenAI egy dublini jogi személyt hoz létre az európai felhasználók adatainak kezelőjeként, a későbbiekben Írország meghatározó szerepet kaphat a kérdésben. Ha a DPC lesz az OpenAI vezető felügyelője, akkor képes lesz például lassítani a GDPR végrehajtásának ütemét a gyorsan fejlődő technológiával szemben. A ChatGPT-vel kapcsolatos olasz beavatkozás tavaly áprilisi bejelentésekor a DPC jelenlegi biztosa, Helen Dixon óva intett attól, hogy az adatvédelmi felügyelők elsiessék a technológia betiltását, mondván, hogy a szabályozóknak időt kell szánniuk arra, hogy kitalálják, hogyan lehet az EU adatvédelmi törvényét a mesterséges intelligenciákra érvényesíteni.