İtalya’nın veri koruma otoritesi para cezası ChatGPT yapımcısı OpenAI, üretken yapay zeka uygulamasının kişisel verileri nasıl işlediği nedeniyle 15 milyon Euro (15,66 milyon $) para cezasına çarptırıldı.
Ceza, Garante’nin ChatGPT’nin, hizmetini Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği’ni (GDPR) ihlal edecek şekilde eğitmek için kullanıcıların bilgilerini işlediğini tespit etmesinden yaklaşık bir yıl sonra geldi.
Yetkili, OpenAI’nin Mart 2023’te meydana gelen bir güvenlik ihlalini kendisine bildirmediğini ve yeterli yasal dayanağa sahip olmadan ChatGPT’yi eğitmek için kullanıcıların kişisel bilgilerini işlediğini söyledi. Ayrıca şirketi şeffaflık ilkesine ve kullanıcılara yönelik bilgi verme yükümlülüklerine aykırı davranmakla suçladı.
Garante, “Ayrıca OpenAI, yaş doğrulama mekanizmaları sağlamadı, bu da 13 yaşın altındaki çocukların gelişim ve kişisel farkındalık dereceleri açısından uygunsuz yanıtlara maruz kalma riskine yol açabilir” dedi.
15 milyon Euro para cezasının yanı sıra şirkete, ChatGPT’nin nasıl çalıştığına dair kamuoyunun anlaşılmasını teşvik etmek için radyo, televizyon, gazete ve internet üzerinden altı ay sürecek bir iletişim kampanyası yürütmesi emredildi.
Bu, özellikle modellerin eğitimi amacıyla toplanan verilerin (hem kullanıcı hem de kullanıcı olmayan bilgiler) doğasını ve kullanıcıların bu verilere itiraz etme, düzeltme veya silme haklarını içerir.
Garante, “Bu iletişim kampanyası aracılığıyla, ChatGPT kullanıcıları ve kullanmayanların, kişisel verileriyle eğitilen üretken yapay zekaya nasıl karşı çıkacakları konusunda bilinçlendirilmesi ve böylece GDPR kapsamındaki haklarını etkili bir şekilde kullanmalarının sağlanması gerekecek” diye ekledi.
İtalya, veri koruma endişelerini gerekçe göstererek Mart 2023’ün sonlarında ChatGPT’ye geçici bir yasak uygulayan ilk ülke oldu. Yaklaşık bir ay sonra, şirketin Garante tarafından dile getirilen sorunları çözmesinin ardından ChatGPT’ye erişim yeniden sağlandı.
bir ifade Associated Press ile paylaşılan OpenAI, kararın orantısız olduğunu ve cezanın o dönemde İtalya’da elde edilen gelirin neredeyse 20 katı olduğunu belirterek itiraz etmeyi planladığını söyledi. Ayrıca, kullanıcıların gizlilik haklarına uyan faydalı yapay zeka sunmaya kararlı olduğunu da belirtti.
Karar aynı zamanda Avrupa Veri Koruma Kurulu’nun (EDPB), kişisel verileri yasa dışı olarak işleyen ancak daha sonra dağıtımdan önce anonimleştirilen bir yapay zeka modelinin GDPR’yi ihlal etmediği yönündeki görüşünün ardından geldi.
Kurul, “Yapay zeka modelinin daha sonraki işleyişinin kişisel verilerin işlenmesini gerektirmediği kanıtlanabilirse, EDPB, GDPR’nin geçerli olmayacağını değerlendirecektir.” söz konusu. “Dolayısıyla, ilk işlemenin yasa dışı olması, modelin sonraki işleyişini etkilememelidir.”
“Ayrıca EDPB, kontrolörlerin, model anonimleştirildikten sonra dağıtım aşamasında toplanan kişisel verileri işlediğinde, bu işleme operasyonları için GDPR’nin geçerli olacağını düşünmektedir.”
Bu ayın başlarında Kurul, Avrupa dışındaki ülkeler dışındaki veri aktarımlarının GDPR’ye uygun şekilde yönetilmesine ilişkin yönergeler de yayınladı. Kılavuzlar 27 Ocak 2025’e kadar halkın katılımına tabidir.
“Üçüncü ülke makamlarının hükümleri veya kararları Avrupa’da otomatik olarak tanınamaz veya uygulanamaz.” söz konusu. “Bir kuruluş, üçüncü bir ülke yetkilisinin kişisel veri talebine yanıt verirse, bu veri akışı bir aktarım teşkil eder ve GDPR uygulanır.”
