Hromadná žaloba obviňuje OpenAI ze sdílení dat
Společnost OpenAI, tvůrce populárního chatbota ChatGPT, čelí v USA hromadné žalobě, která ji obviňuje z neoprávněného sdílení dotazů uživatelů s třetími stranami — konkrétně s Meta Platforms (dříve Facebook) a Google. Podle žaloby měly být uživatelské dotazy odesílány prostřednictvím vložených sledovacích nástrojů (trackers) přímo na webových stránkách OpenAI, aniž by o tom uživatelé byli náležitě informováni nebo jim byl poskytnut skutečný souhlas.
Sledovací nástroje, jako jsou Meta Pixel nebo Google Analytics, jsou běžnou součástí moderních webů. Umožňují majitelům stránek sledovat návštěvnost, chování uživatelů a optimalizovat marketing. Problém ovšem nastává, když tyto nástroje zachytí nejen to, že uživatel navštívil stránku, ale i samotný obsah jeho interakce — v tomto případě text dotazů zadaných do ChatGPT.
Jak mohly uniknout osobní dotazy?
ChatGPT má webové rozhraní, přes které miliony uživatelů denně zadávají dotazy — od běžných otázek o počasí až po citlivé osobní problémy, lékařské příznaky, pracovní nebo právní záležitosti. Pokud byly tyto texty skutečně předávány Meta a Google v reálném čase, jde o vážné narušení očekávání soukromí.
Pro běžného uživatele to znamená jedno zásadní riziko: obsah konverzace s AI nezůstal výhradně mezi ním a OpenAI. Meta a Google, společnosti, jejichž hlavním byznysem je cílená reklama založená na datech, tak mohly získat přehled o zájmech, starostech a potřebách obrovského množství lidí — a to bez jejich vědomého souhlasu.
OpenAI se v minulosti několikrát dostala pod palbu kritiky kvůli ochraně osobních údajů. V roce 2023 došlo k dočasnému zákazu používání ChatGPT v Itálii právě z důvodu obav o zpracování osobních dat. Evropský úřad pro ochranu osobních údajů (EDPB) tehdy požadoval vysvětlení, jak OpenAI zpracovává data a zda má dostatečný právní základ.
Dopady pro české a evropské uživatele
Pro české uživatele je tento případ obzvláště relevantní v kontextu Obecného nařízení o ochraně osobních údajů (GDPR). Podle evropských pravidel musí každá společnost, která zpracovává osobní data občanů EU, získat výslovný souhlas, transparentně informovat o účelu zpracování a zajistit právo na výmaz dat. Předávání obsahu konverzací třetím stranám by bylo pod GDPR těžko obhajitelné bez jasného a informovaného souhlasu uživatele.
Český úřad pro ochranu osobních údajů (ÚOOÚ) v minulosti upozorňoval, že AI nástroje musí dodržovat stejná pravidla jako jakákoli jiná digitální služba. Pokud by se prokázalo, že OpenAI skutečně předávala obsah konverzací Meta a Google, mohla by teoreticky čelit i šetření v Evropě — ačkoli primárně jde o americkou žalobu.
Zajímavé je, že OpenAI v poslední době spustila verzi ChatGPT pro zdravotníky s důrazem na bezpečnost a ochranu dat. Nová žaloba však ukazuje, že mezi marketingovými prohlášeními a praktickým zacházením s daty může být propastný rozdíl.
Co to znamená pro praxi?
Uživatelé by měli mít na paměti několik zásad:
- ChatGPT a další AI nástroje nejsou zcela anonymní — zvlášť ne při použití přes webové rozhraní bez přídavných ochranných nástrojů.
- Do AI chatbotů byste neměli zadávat citlivé osobní údaje — rodná čísla, zdravotní informace, hesla nebo obchodní tajemství.
- API a oficiální aplikace mohou mít jiné zásady než webová verze — pokud vám záleží na soukromí, vyplatí se nastudovat rozdíly.
- Evropské regulace poskytují silnější ochranu než americké zákony, ale jejich vymáhání závisí na aktivitě dozorových úřadů i samotných uživatelů.
Žaloba proti OpenAI není první svého druhu a s největší pravděpodobností ani poslední. S rostoucí popularitou AI nástrojů se zvyšuje i tlak na transparentnost a odpovědnost jejich tvůrců. Uživatelé si zaslouží jasné odpovědi na otázku: komu patří data, která do AI vkládáme?
Technické pozadí: Jak trackers fungují
Meta Pixel a Google Analytics jsou kousky kódu, které webové stránky vkládají do svých stránek. Když uživatel navštíví stránku, tyto nástroje mohou odeslat informace o jeho aktivitě na servery Meta nebo Google. V běžném případě jde o statistické údaje — jaké stránky navštívil, jak dlouho tam zůstal, odkud přišel.
Problém nastává, pokud je tento kód nakonfigurován tak, že zachytává i obsah formulářů nebo textová pole. Pokud bylo na webu ChatGPT nastaveno, že sledovací nástroj odesílá celý text dotazu uživatele, jde o zásadní narušení soukromí — a to i v případě, že bylo záměrem pouze „měřit engagement" nebo optimalizovat službu.
Obě společnosti, Meta i Google, se v minulosti dostaly pod tlak právě kvůli širokému sběru dat přes třetí strany. V roce 2023 Meta zaplatila 725 milionů dolarů za urovnání žaloby týkající se sdílení dat s Cambridge Analytica. Google čelí v EU řadě šetření za zpracování osobních údajů.
Mohu si ověřit, zda OpenAI sdílela i moje dotazy s Meta nebo Google?
Přímé ověření je pro běžného uživatele obtížné. Můžete však požádat OpenAI o výpis svých dat podle GDPR (pokud jste v EU) nebo využít nástroje prohlížeče k blokování sledovacích skriptů, jako je uBlock Origin nebo Privacy Badger. Ty vám ukáží, jaké trackery běží na webu ChatGPT.
Platí stejná pravidla pro mobilní aplikaci ChatGPT jako pro webovou verzi?
Ne nutně. Mobilní aplikace ChatGPT komunikuje přímo se servery OpenAI a zpravidla neobsahuje webové trackery třetích stran. To však neznamená, že data nejsou analyzována nebo ukládána — vždy si prostudujte aktuální zásady ochrany osobních údajů dané služby.
Jaká je pravděpodobnost, že se český uživatel může připojit k americké hromadné žalobě?
Přímé připojení k americké class action je pro občany ČR prakticky nemožné. Pokud by však bylo prokázáno porušení GDPR, mohl by český uživatel podat stížnost u Úřadu pro ochranu osobních údajů (ÚOOÚ) nebo žalobu u českého soudu. Důkazní břemeno by ovšem leželo na uživateli.
