Používáte ve firmě ChatGPT? A víte co děláte?

ChatGPT je dobře známý jazykový model poháněný umělou inteligencí, který není třeba představovat. Bezvadně komunikuje česky i v dalších jazycích a může převzít řadu pracovních úkolů. Pokušení jej okamžitě nasadit je veliké, všude jsou nabízeny kurzy nebo výuková videa o tom, jak napsat ten „nejlepší prompt.“ Přesto je důležité nezapomínat také na hranice a rizika možného použití ChatGPT a dalších obdobných nástrojů využívajících generativní umělou inteligenci, jako jsou Copilot, Gemini, Claude a řada dalších. Závěry v tomto článku se tak vztahují na všechny obdobné nástroje, i když bude v textu zmiňován pouze ChatGPT.

Co se děje s vašimi vstupy?

Pod pojmem „vstup“ (Input) se rozumí vše, co napíšete nebo vložíte do komunikačního pole a odešlete jako tzv. prompt. ChatGPT vzápětí vygeneruje odpověď nebo jiný výsledek, tzv. „výstup“ (Output).

A co se tedy s vašimi vstupy děje? Upřímná odpověď zní: vlastně nevíme a nemáme nad tím žádnou kontrolu…  

Podle Terms of use, tj. Podmínek užívání společnosti OpenAI L.L.C. (dále „OpenAI“), která je provozovatelem ChatGPT, umožňují použít vaše vstupy „k poskytování, údržbě, vývoji a zlepšování služeb“. Podobný článek nalezneme také v Zásadách ochrany soukromí pro Evropu

Modely založené na strojovém učení jsou trénovány na obrovském množství dat. A pokud jsou vstupy uživatelů jakkoliv užívány za účelem takového tréninku, nelze vyloučit, že se vaše vstupy objeví u jiného uživatele jako součást výstupu ChatGPT. A to nechcete. 

A co nám k tomu řekne ChatGPT? Potvrdí nám shora uvedené a odkáže rovnou na zdroj, což je změna oproti prvním verzím, kdy trochu mlžil. A současně odkáže na tzv. opt-out, tedy na možnost vypnout v nastavení účtu užívání vstupů pro účely dalšího tréninku, což ovšem následně vede k omezení funkcionality

Jaké právní následky může mít neřízené užívání ChatGPT?

Možných rizik může být více, navíc se mohou vyskytovat souběžně:

  1. Porušení obchodního tajemství a povinnosti mlčenlivosti

Každá firma má vlastní obchodní tajemství a obvykle také důvěrné informace třetích osob, ke kterým má povinnost mlčenlivosti, ať už na základě smlouvy (typicky z NDA), nebo v případě některých profesí také ze zákona (např. mlčenlivost advokáta). Jak jsme si ukázali shora, v okamžiku, kdy zadáte jakékoliv informace do ChatGPT, ztrácíte nad nimi kontrolu. 

Proto je při užívání ChatGPT důležité dbát na jednu základní zásadu: „Nevkládejte žádná taková citlivá data!“ To zní jednoduše. Ale ne každý zaměstnanec je schopen samostatně něco takového vyhodnotit. 

  1. Porušení povinností při zpracování osobních údajů

Úvodem je třeba říct, že také poskytovatelé nástrojů umělé inteligence reagují na výtky evropských dozorových úřadů a jejich (elektronická) dokumentace ohledně zpracování osobních údajů už dnes vypadá úplně jinak, než třeba před rokem. To ale neznamená, že je to všechno standardní a nevznikají zde žádná rizika. 

Právě OpenAI je prošetřována Evropským sborem pro ochranu osobních údajů a ten mj. dospěl k závěru, že se nemohou provozovatelé zříci své odpovědnosti za nakládání osobních údajů pouhým ujednáním v obchodních podmínkách, kterým uživatele varují před vkládáním vstupů obsahujících osobní údaje a citlivá data, protože budou automaticky používána k dalšímu tréninku – tedy přesně ta ustanovení, která jsem zmiňoval v části „Co se děje s Vašimi vstupy?“.

A jaká jsou další úskalí v oblasti ochrany osobních údajů, zejména pokud jsou vaše vstupy využívány k dalšímu tréninku?

  • Už samotným vložením osobních údajů třetích osob do ChatGPT dochází k jejich zpracování třetí osobou – OpenAI, aniž by předtím byla uzavřena smlouva o zpracování dle čl. 28 Nařízení GDPR.
  • Nevíte, co se s osobními údaji v rámci jejich využití při tréninku dále děje (zásada transparentnosti zpracování). 
  • Není jasné, po jakou dobu budou osobní údaje uloženy a zpracovávány (zásada omezení uložení), protože OpenAI k tomu v Zásadách ochrany soukromí pro Evropu uvádí dost neurčité informace o tom, že osobní údaje bude uchovávat po dobu, po kterou je bude potřebovat, aby mohla uživateli poskytovat služby nebo je mohla používat pro „jiné oprávněné obchodní účely“.
  • Je pravděpodobné, že takové nakládání s osobními údaji je v rozporu s původním účelem jejich zpracování (zásada účelového omezení) a že k takovému nakládání nemáte právní důvod (zásada zákonnosti). 
  • Shora uvedené body představují rovněž porušení zásady integrity a důvěrnosti, protože jste fakticky nezabezpečili vložené osobní údaje v před rizikem neoprávněného zpracování. Podmínky užití OpenAI navíc obsahují vzdání se jakékoliv odpovědnosti za případné škody, které při užívání ChatGPT vzniknou.
  • ChatGPT pokaždé přesvědčivě odpoví, i když často ve svých výstupech uvádí nepřesné a zavádějící údaje. Není proto vyloučeno, že zkreslí také osobní údaje, s nimiž pracuje (zásada přesnosti zpracování). 
  • Společnost OpenAI se nachází pravděpodobně mimo území EU, předávání osobních údajů mimo EU je přitom přísně regulováno a omezováno. 
  • Jako správci jste povinni doložit, že osobní údaje zpracováváte v souladu s Nařízením GDPR (zásada odpovědnosti). Jakmile osobní údaje třetích osob začnete vkládat do ChatGPT promptů, je přitom zřejmé, že jste své povinnosti porušili. 

Je důležité si uvědomit, že samotné vkládání osobních údajů třetích osob do ChatGPT představuje porušení Nařízení GDPR, včetně základních zásad zpracování osobních údajů zakotvených v čl. 5 Nařízení GDPR. Důvodů je celá řada:

OpenAI sama varuje uživatele před vkládáním jakýchkoliv citlivých informací nebo osobních údajů. Současně v Zásadách ochrany soukromí pro Evropu uvádí, že vstupy včetně tzv. „uživatelského obsahu“, jako jsou vložené soubory, obrázky a zvuk shromažďuje podle funkcí, které uživatel používá.

Stejně neurčitá je opakovaná formulace, že vstupy a jiné osobní údaje využívá „ke zlepšení služeb.“ V tomto ohledu splňuje OpenAI informační povinnost v rozsahu požadovaném Nařízením GDPR jen částečně, byť je třeba uznat, že v tomto článku citované Zásady ochrany soukromí pro Evropu jsou výrazně preciznější, než tomu bylo dříve.

  1. Možný neoprávněný zásah do autorských práv

Výstupy ChatGPT můžete užívat bez omezení, včetně komerčního využití. OpenAI vám k tomu dává oprávnění, ovšem za podmínky, že nebudete tvrdit, že výstup je vaším původním autorským dílem. 

Existuje také riziko neoprávněného zásahu do autorských práv, který může vzniknout v důsledku toho, že bylo v rámci tréninku ChatGPT neoprávněně užito nějaké autorské dílo. A to navzdory tomu, že podle ChatGPT jsou v rámci tréninku činěna opatření k minimalizaci takového neoprávněného zásahu. V tomto smyslu odkazuji na starší článek ChatGPT a autorská práva, kde je problematika autorských práv blíže rozvedena.

Nežádoucí mohou být také následky využití ChatGPT v rámci programování, také ty jsou alespoň zmíněny ve shora zmíněném článku. 

  1. Možné porušení pracovní kázně 

Hodně se mluví o tom, jak se změní práce lidí v „kreativních oborech“, jejichž pracovní náplní je tvořit například reklamní texty, nabídky pro obchodní partnery, články určené ke zveřejnění apod. Druhem práce, který mají vykonávat, není sepsání několika promptů, ale tvorba konkrétního obsahu. Můžou využít ChatGPT k provádění korektur? Za splnění výše uvedených podmínek jistě ano. Ale co když si nechají veškeré „své“ výstupy vygenerovat prostřednictvím ChatGPT? Takový postup může být za určitých okolností vyhodnocen jako porušení pracovní kázně. A navíc je takové použití výstupu v rozporu s Podmínkami užití, viz bod 3 shora.

Jak používat ChatGPT správně?

ChatGPT je skvělý nástroj a určitě není správnou cestou jej preventivně zakázat nebo ignorovat. Na druhou stranu, ani neřízené a chaotické užívání není řešením. Jak tedy postupovat?

  1. Analýza rizik:

Na počátku je důležité vyhodnotit, s k jakým datům mají zaměstnanci přístup a jaká rizika v souvislosti s užíváním ChatGPT hrozí. Vhodné je také případně posoudit stupeň závažnosti zjištěných rizik v závislosti na dopad, který mohou mít na vaši firmu. Analýza rizik by měla obsahovat také opatření na snížení rizik a stanovit režim jejich kontroly. Inspirovat se můžete např. vyhláškou č. 82/2018 Sb., o kybernetické bezpečnosti, byť pro účely užívání ChatGPT a podobných nástrojů jsou dostatečné zpravidla i mnohem jednodušší postupy a dokumenty. 

  1. Vnitřní předpis nebo směrnice

Máte-li už nyní vnitřní předpis k ochraně dat, osobních údajů a obchodního tajemství, stačí jej rozšířit. Pokud jej dosud nemáte, je určitě vhodné takový vnitřní předpis připravit, pokud u vás dochází ke zpracování osobních údajů nebo nakládáte s důvěrnými informacemi. 

Vnitřní předpis by měl obsahovat zejména:

  • Účel vnitřního předpisu.
  • Srozumitelnou definici pojmů, jako jsou osobní údaj či obchodní tajemství, a také klasifikaci dat a osobních údajů. 
  • Povinnosti v souvislosti s klasifikovanými daty, checklisty určené k posouzení jednotlivých situací (mohu/nemohu použít ChatGPT; jsem povinen ověřit, zda nemám v promptu data o XXXXX). 
  • Postup zaměstnance v případě, kdy došlo k bezpečnostnímu incidentu.
  • Následky a možné sankce při porušení povinností stanovených ve vnitřním předpisu.
  1. Prokazatelné seznámení s vnitřním předpisem, školení

Zaměstnanci jsou povinni dodržovat právní předpisy a pracovní řád. Oproti tomu ostatní vnitřní předpisy jsou podle judikatury zaměstnanci povinni dodržovat pouze tehdy, pokud s nimi byli řádně seznámeni. Pouhé přečtení nebo možnost se s ním seznámit nestačí. Zejména u složitějších předpisů je nezbytné zaměstnancům vysvětlit účel a obsah vnitřního předpisu tak, aby mu porozuměli, ideálně formou školení.

“Naše advokátní kancelář má řadu zkušeností se zaváděním zmíněných postupů v souvislosti s GDPR a v současné době již aplikujeme vlastní vnitřní předpis i na užívání AI. Rádi s tím pomůžeme i vám,” doplňuje autor textu.

Petr Otevřel | otevrel@lawyer.cz | LinkedIn

Petr Otevřel je společníkem advokátní kanceláře Jansa, Mokrý, Otevřel & partneři s.r.o., členské firmy Krajské hospodářské komory MSK, a zabývá se zejména právem informačních technologií, osobních údajů a autorským právem.