Korzystanie z ChatGPT na komputerach służbowych a RODO – zadania administratora danych osobowych

Zasada privacy by design wynikająca z art. 25 ust. 1 RODO nakłada na administratora danych obowiązek uwzględniania ochrony danych osobowych już na etapie projektowania narzędzia. W przypadku wdrożenia narzędzia OpenAI w urzędzie należy więc dokonać analizy, czy i w jakim zakresie narzędzie przetwarza dane osobowe, w tym czy użytkownicy mogą wprowadzać do niego informacje podlegające ochronie.

Naturalnie nowe procesy przetwarzania danych osobowych w organizacji wymagają przeprowadzenia ogólnej analizy ryzyka RODO. Poza tym z uwagi na możliwość przetwarzania danych osobowych niezbędne jest przeprowadzenie oceny skutków dla ochrony danych (art. 35 RODO). Przeprowadzenie DPIA jest konieczne, jeżeli wdrożenie ChatGPT może prowadzić do systematycznego monitorowania działań użytkowników lub przetwarzania danych wrażliwych z wykorzystaniem AI.

Przed wdrożeniem rekomendowane jest również opracowanie polityki korzystania z narzędzia, określającą m.in. zakres dopuszczalnego użytkowania ChatGPT, ograniczenia dotyczące wprowadzania danych osobowych oraz zasady nadzoru nad korzystaniem z narzędzia przez pracowników. Ponadto, zgodnie z art. 32 RODO, administrator powinien wdrożyć środki techniczne i organizacyjne zapewniające odpowiedni poziom bezpieczeństwa osób, których dane dotyczą, np. poprzez anonimizację lub pseudonimizację danych.