2025-11-03

იტალიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება ხელოვნური ინტელექტის, ჩატბოტ “REPLIKA”-ს მიერ პერსონალური მონაცემების დამუშავების კანონიერების შესახებ

იტალიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს (“Garante”) გადაწყვეტილებით, აშშ-ში დაფუძნებულ კომპანიას (“Luka Inc“), რომელმაც ხელოვნური ინტელექტის ჩატბოტი (“AI CHATBOT”) სახელწოდებით „რეპლიკა“ (“REPLIKA”) შექმნა, ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციით“ (“GDPR”) განსაზღვრული ვალდებულებების დარღვევებისათვის (სათანადო იურიდიული საფუძვლის გარეშე მონაცემთა დამუშავება, არასრულწლოვანთა მონაცემების არასათანადოდ დაცვა და გამჭვირვალობასთან დაკავშირებული საკითხები) 5 მილიონი ევროს ოდენობით ჯარიმა დაეკისრა.[1]

საქმის ფაქტობრივი გარემოებები

ჩატბოტი, რომელშიც ინტეგრირებულია ხელოვნური ინტელექტის ტექნოლოგია, ტექსტური და ვიდეო ინტერფეისების (“INTERFACE“) გამოყენებით „ვირტუალურ მეგობარს“ ქმნის. „ვირტუალურ მეგობარს“ შეუძლია, გააუმჯობესოს მომხმარებლების ემოციური მდგომარეობა, დაეხმაროს საკუთარი აზრების შეცნობაში, სტრესის მართვაში და შფოთვით აშლილობასთან გამკლავებაში.[2]

2023 წლის თებერვალში იტალიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ დროებით შეაჩერა კომპანიის საქმიანობა იმ მიზეზით, რომ აპლიკაციის გამოყენება ბავშვებისათვის კონკრეტული რისკების შემცველი იყო. აპლიკაციის მახასიათებლები პიროვნების განწყობაზე მნიშვნელოვან გავლენას ახდენდა და შეიცავდა გარკვეულ რისკებს მცირეწლოვანთათვის. აპლიკაციაში, რეალურად, არ არსებობდა არასრულწლოვანის ასაკის დადასტურების („ვერიფიკაციის“ – “AGE VERIFICATION”) რაიმე მექანიზმი. მომხმარებლის ანგარიშის შექმნის ეტაპზე პლატფორმა ითხოვდა მხოლოდ სახელის, ელექტრონული ფოსტისა და სქესის მითითებას. ხოლო იმ შემთხვევაში, როდესაც ბავშვი აფიქსირებდა, რომ იგი არასრულწლოვანია, აპლიკაციას არ გააჩნდა მექანიზმი, რომელიც შეზღუდავდა მის გამოყენებას.

საქმიანობის შეჩერების შესახებ ბრძანების გაცემის შემდგომ საზედამხედველო ორგანომ კომპანიის მიერ მონაცემთა დამუშავების პრაქტიკა შეისწავლა. დადგინდა, რომ იდენტიფიცირებული დარღვევები, რომელთა მიზეზითაც ჩატბოტის გამოყენება შეწყდა, ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) საკანონმდებლო მოთხოვნებთან წინააღმდეგობაში იყო.

საზედამხედველო ორგანოს შეფასება

სამართლებრივი საფუძვლის გარეშე მონაცემთა დამუშავება: 2023 წლის 2 თებერვლამდე კომპანია მომხმარებელთა მონაცემებს შესაბამისი სამართლებრივი საფუძვლის გარეშე ამუშავებდა, კერძოდ, ვერ ასახელებდა განსაკუთრებული კატეგორიის მონაცემთა დამუშავების სამართლებრივ საფუძველს, რომელსაც დაეყრდნო (ემოციური მდგომარეობა, ქცევის მახასიათებლები და სხვა).

აგრეთვე, დაფიქსირდა ხარვეზები მონაცემთა დამუშავების თაობაზე თანხმობის მიღების პროცესთან დაკავშირებით და დადგინდა, რომ თანხმობა არ იყო კონკრეტული, ინფორმირებული, თავისუფალი და მონაცემთა სუბიექტებს არ ჰქონდათ თანხმობის გამოხმობის შესაძლებლობა. კომპანია ვერ ასაბუთებდა, რომ მომხმარებელთან გაფორმებული მომსახურეობის ხელშეკრულება მონაცემთა დამუშავების სამართლებრივ საფუძველს წარმოადგენდა.[3]

არასრულწლოვანთა მონაცემების არასათანადოდ დაცვა: კომპანიის მიერ 2023 წლის 2 თებერვლამდე მომხმარებელთა რეგისტრაციისა და აპლიკაციის გამოყენების მიზნებისათვის ასაკის დადასტურება („ვერიფიკაცია“ – “AGE VERIFICATION”) არ იყო უზრუნველყოფილი, არასრულწლოვანთა მიერ ჩატბოტის მოხმარების შესაზღუდად. 13 წლამდე ასაკის ბავშვებს შეეძლოთ რეგისტრაცია შესაბამისი დაცვის საშუალებების გარეშე, რაც ქმნიდა მათი ემოციური მანიპულირების რისკს.

მონაცემთა დამუშავების გამჭვირვალობასთან დაკავშირებული საკითხები: კომპანიის მონაცემთა დამუშავების პოლიტიკის დოკუმენტი რიგ მნიშვნელოვან საკითხებს არ აწესრიგებდა, მაგალითად, მონაცემთა შეგროვებასა და გაზიარებას, მომხმარებლის უფლებების შესახებ ინფორმაციას და სხვა. აღნიშნული ხარვეზი მონაცემთა სუბიექტებს არ აძლევდა შესაძლებლობას, ესარგებლათ მათთვის პერსონალურ მონაცემთა დაცვის კანონმდებლობით მინიჭებული უფლებებით.

საზედამხედველო ორგანოს გადაწყვეტილება

ინსპექტირების შედეგად დადგინდა, რომ ასაკის ვერიფიკაციის სისტემა კვლავ მრავალ ხარვეზს შეიცავს. აღნიშნულიდან გამომდინარე, ჯარიმის პარალელურად საზედამხედველო ორგანომ კომპანიას მონაცემთა დამუშავების პროცესების ძირითადი რეგულაციის საკანონმდებლო მოთხოვნებთან შესაბამისობის უზრუნველყოფა დაავალა. ამასთან, კომპანიას დაეკისრა 5 მილიონი ევროს ოდენობით ჯარიმა ძირითადი რეგულაციის შემდეგი მუხლების დარღვევისათვის: მუხლი 5.1 (ა) და 6; მუხლი 5.1 (ა), 12, 13, 5.1 (გ), 24 და 25.1.[4] [5]

პარალელურად, საზედამხედველო ორგანომ განაცხადა, რომ განხილული საქმისგან დამოუკიდებლად შეისწავლის იმავე კომპანიასთან დაკავშირებულ სხვა პოტენციურ დარღვევას, რათა შეაფასოს კომპანიის გენერაციული ხელოვნური ინტელექტის სისტემის ევროკავშირის საკანონმდებლო მოთხოვნებთან შესაბამისობის საკითხი, კონკრეტულად კი კომპანიის მიერ ენობრივი მოდელის (“LANGUAGE MODEL”) წვრთნის შემთხვევა.

[1] ძირითადი რეგულაციის მუხლი 5.1 (ა) და 6; მუხლი 5.1 (ა), 12, 13, 5.1 (გ), 24 და 25.1.

[2]Italy's data watchdog fines AI company Replika's developer $5.6 million https://www.reuters.com/sustainability/boards-policy-regulation/italys-data-watchdog-fines-ai-company-replikas-developer-56-million-2025-05-19/ [16.10.2025].

[3]Replika’s €5 Million GDPR Fine: Key Takeaways for AI Developers https://captaincompliance.com/education/replikas-e5-million-gdpr-fine-key-takeaways-for-ai-developers/ [16.10.2025].

[4]AI: the Italian Supervisory Authority fines company behind chatbot “Replika” https://www.edpb.europa.eu/news/national-news/2025/ai-italian-supervisory-authority-fines-company-behind-chatbot-replika_en [16.10.2025].

[5] მუხლი 5.1 (ა) და 6; მუხლი 5.1 (ა), 12, 13, 5.1 (გ), 24 და 25.1. - მონაცემთა დამუშავების პინციპები: კანონიერება, სამართლიანობა, გამჭვირვალობა; და მონაცემთა სუბიექტის ინფორმირება მისი უფლებების შესახებ, მონაცემთა სუბიექტის ინფორმირება მონაცემთა უშუალოდ მისგან შეგროვების შემთხვევაში , მონაცემთა მინიმიზაცია, მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის ვალდებულებები, მონაცემთა მეტად დაფარვის პრიორიტეტი, როგორც ალტერნატიული მიდგომის არჩევამდე ავტომატურად გამოყენებული საწყისი მეთოდი ახალი პროდუქტის ან მომსახურების შექმნისას.