ChatGPT en de AVG: wie is verantwoordelijk voor het voldoen aan de verplichtingen uit de AVG?

In onze vorige blog over ChatGPT hebben wij besproken in hoeverre de AVG van toepassing is op bedrijven die gebruikmaken van ChatGPT. Kortgezegd is de AVG van toepassing in het geval een bedrijf persoonsgegevens invoert in ChatGPT. Indien persoonsgegevens worden verwerkt, kunnen daar verschillende partijen bij betrokken zijn die allemaal een andere rol hebben. Volgens de AVG kunnen deze partijen (onder meer) worden aangemerkt als de “verwerkingsverantwoordelijke” of de “verwerker”. Voor elk van deze twee partijen gelden specifieke privacyregels. In deze blog wordt besproken welke rol ChatGPT (althans de ontwikkelaar van ChatGPT “OpenAI”) en het bedrijf dat gebruikmaakt van ChatGPT heeft in de zin van de AVG en welke specifieke privacyregels van toepassing zijn. Eerst wordt kort ingegaan op de begrippen “verwerkingsverantwoordelijke” en “verwerker”.

De verwerkingsverantwoordelijke bepaalt het doel van en de middelen voor de gegevensverwerking. Met name feitelijke zeggenschap over de gegevensverwerking is doorslaggevend voor de vraag of een partij verwerkingsverantwoordelijke is. De verwerkingsverantwoordelijke is de partij die onder de AVG de meeste verplichtingen heeft. Hierbij kunt u denken aan het informeren van betrokkenen over de gegevensverwerking (door middel van een privacyverklaring), het uitvoeren van een DPIA in bepaalde omstandigheden en het treffen van passende beveiligingsmaatregelen.

Een verwerker verwerkt persoonsgegevens ten behoeve van (en in opdracht van) de verwerkingsverantwoordelijke. Wanneer een bedrijf bijvoorbeeld een clouddienst inschakelt, die in opdracht van het bedrijf persoonsgegevens opslaat, is het bedrijf de verwerkingsverantwoordelijke en de clouddienst de verwerker. Ook de verwerker heeft op grond van de AVG verplichtingen. Een verwerker moet bijvoorbeeld zorgen voor een passende beveiliging van de persoonsgegevens, is verplicht om een register van verwerkingsactiviteiten bij te houden en moet een datalek melden bij de verwerkingsverantwoordelijke. Verder bepaalt de AVG dat tussen de verwerkingsverantwoordelijke en de verwerker een verwerkersovereenkomst gesloten moet worden, waarin de verwerker ook verplichtingen krijgt opgelegd. Hierbij gaat het bijvoorbeeld om het treffen van passende beveiligingsmaatregelen en het verlenen van bijstand aan de verwerkingsverantwoordelijke (bijvoorbeeld bij het uitoefenen van de rechten van de betrokkenen en het melden van een datalek aan de Autoriteit Persoonsgegevens).

Het bedrijf dat gebruikmaakt van ChatGPT bepaalt in beginsel zelf voor welk doeleinde zij persoonsgegevens verwerkt met behulp van ChatGPT (bijvoorbeeld het screenen van sollicitanten of in het kader van de klantenservice). Ook beslist het bedrijf zelf om gebruik te maken van ChatGPT en bepaalt zij welke persoonsgegevens in de chatbot worden verwerkt. Het bedrijf dat gebruikmaakt van ChatGPT kan daarmee worden aangemerkt als “verwerkingsverantwoordelijke”. ChatGPT (OpenAI) verwerkt in opdracht van het bedrijf persoonsgegevens (op basis van de geleverde input genereert ChatGPT een tekst of een afbeelding) en kan daarmee worden gekwalificeerd als “verwerker”. Gelet hierop dient er tussen het bedrijf en OpenAI een verwerkersovereenkomst gesloten te worden.

Op haar website heeft OpenAI een data processing addendum c.q. data processing agreement (“DPA”) oftewel een verwerkersovereenkomst beschikbaar gesteld. Ook dienen de bedrijven (als verwerkingsverantwoordelijken) te voldoen aan de overige verplichtingen die in de AVG zijn opgenomen. Zo moeten bedrijven betrokkenen (zoals klanten) informeren dat zij persoonsgegevens verwerken met behulp van ChatGPT, bijvoorbeeld door dit op te nemen in hun privacyverklaring.

Volgens de privacy policy van OpenAI[2] verwerkt OpenAI tevens persoonsgegevens voor het verbeteren van haar diensten, zoals het trainen van het algoritme van ChatGPT.

Omdat OpenAI dan zelf de doeleinden van de gegevensverwerking bepaalt, kan zij ten aanzien van die gegevensverwerking worden aangemerkt als verwerkingsverantwoordelijke. In dat geval is OpenAI dus zelf verantwoordelijk voor het voldoen aan de regels van de AVG.

In onze volgende blog zullen we de maatregelen bespreken die een bedrijf (als verwerkingsverantwoordelijke) kan doorvoeren om de eventuele privacyrisico’s verbonden aan het gebruik van de chatbot, te beperken.

Wilt u meer informatie over de privacyregels van OpenAi waaraan uw bedrijf moet voldoen bij het gebruik van ChatGPT? Of wilt u weten welke (mogelijke) privacyrisico’s er zijn wanneer uw bedrijf gebruikmaakt van ChatGPT? Neem dan contact op met Hillie Lunter, Tom Klatter of Esther van den Worm of kijk op onze algemene ICT-recht pagina en privacyrecht pagina.

[1] https://openai.com/policies/data-processing-addendum

[2] https://openai.com/policies/privacy-policy