Autoři
Kontakt
UK flag Czech flag
Dekorativní pozadí stránky
Blog GDPR Umělá inteligence a ochrana osobních dat – co radí principy GDPR?

Umělá inteligence a ochrana osobních dat – co radí principy GDPR?

Umělá inteligence a ochrana osobních dat – co radí principy GDPR?
Jaroslav ŠuchmanOndřej Kašpar
Jaroslav Šuchman, Ondřej Kašpar

Nástroje umělé inteligence jsou dnes běžnou výbavou každé větší firmy. Ať již technologii firma sama vyvíjí, nebo implementuje některé z komerčních řešení, měla by zpozornět – s vývojem a využíváním umělé inteligence se totiž neoddělitelně pojí otázka ochrany osobních údajů. V tomto příspěvku se podíváme na to, jakým aspektům ochrany osobních údajů věnovat v souvislosti s umělou inteligencí zvýšenou pozornost, a proč je namístě zopakovat si základní zásady zpracování osobních údajů.

Pokud hledáte způsob, jak zefektivnit firemní procesy, snížit provozní náklady, inovovat produkty nebo vyhovět potřebám zákazníků, je pravděpodobné, že zvažujete implementaci nějakého nástroje umělé inteligence. I v případě (nebo právě tehdy), kdy AI intenzivněji neřešíte, je pravděpodobné, že Vaši pracovníci pro svou práci tyto nástroje používají, ať již jde o asistenty podporované generativní umělou inteligencí, nástroje sloužící k překladu či editaci textů nebo ke grafické tvorbě.

S využíváním umělé inteligence se vedle dalších aspektů, jako je kybernetická bezpečnost, regulace v podobě AI Aktu[1] či oblast autorských práv, přirozeně pojí také otázka ochrany osobních údajů. S rychlostí rozvoje technologií však často zůstává compliance v této oblasti upozaděna před snahou firem získat, nebo alespoň neztratit konkurenční výhodu. Není tak s podivem, že se systémy umělé inteligence dostávají do hledáčku evropských dozorových úřadů, jak ukazuje i stanovisko[2] Evropského sboru pro ochranu osobních údajů („EDPB“), který se na přelomu tohoto roku k některým aspektům umělé inteligence vyjádřil.

Je anonymní model skutečně anonymní?

Vývojáři AI mnohdy proklamují, že je AI vyvíjena na anonymních datech, která nelze spojit s konkrétní osobou. Aby to však byla pravda, musela by podle EDPB být pravděpodobnost a) přímého získání (extrakce) osobních údajů použitých k vývoji AI modelu, anebo b) úmyslného či neúmyslného získání těchto osobních údajů z uživatelských promptů zanedbatelná.

Toho lze podle EDPB dosáhnout zavedením vhodných technických a organizačních opatření, jako jsou důkladná selekce dat a zdrojů pro trénování modelu, včetně opatření k omezení sběru osobních údajů a vyloučení nevhodných zdrojů, příprava datasetů a jejich očištění o osobní údaje, filtrování data setů před použitím pro trénování či opatření ve vztahu k výstupům, zahrnující zejména output filtery, které mají extrakci osobních údajů v rámci výstupů zabránit.

Pokud však nelze při vývoji anonymizaci plně zajistit, nebo do AI vkládají osobní údaje sami uživatelé, je nutné dodržet všechny podmínky zpracování osobních údajů. Jako základní checklist požadavků regulace přitom velmi dobře poslouží zásady zpracování uvedené v čl. 5 GDPR[3] – ostatně, právě nedodržení zásad zpracování je jedním z nejčastějších prohřešků, za který ukládají dozorové úřady sankce.

Zákonnost a účelové omezení

Osobní údaje je nutné zpracovávat zákonným způsobem, tedy na základě a v mezích některého z právních titulů vyjmenovaných v čl. 6 GDPR. Dnešní zrychlená doba, kdy se nové nástroje objevují prakticky ze dne na den, ale nahrává spíše tomu, že správci chtějí otestovat a implementovat nové nástroje co možná nejdříve. Aby však bylo zpracování údajů zákonné, musí správce nejprve určit vhodný právní titul. EDPB v této souvislosti obecně akceptuje použití oprávněného zájmu jako právního titulu pro účely vývoje a nasazení modelů umělé inteligence (např. pro vývoj či použití chatbota nebo vývoj AI systému pro odhalování podvodného obsahu nebo chování). Zásadní podmínkou je však dle EDPB provedení třístupňového balančního testu, který dokládá oprávněné zájmy správce. V případě, že zpracování nelze opřít o oprávněný zájem, je před zahájením využívání AI v kontextu osobních údajů nutné najít jiný právní titul.

Pro některé správce může být lákavé tento krok přeskočit a podřadit využívání umělé inteligence pod některý ze stávajících účelů, pro něž již právní titul mají. To však nemusí být slučitelné se zásadou účelového omezení, podle které musí být osobní údaje shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný. Vedle právního titulu je tak nutné vymezit si také účel, pro který má být příslušný nástroj používán, a posoudit jeho slučitelnost se stávajícími účely zpracování.

Transparentnost

Zásada transparentnosti je v kontextu AI jednou z nejproblematičtějších oblastí – jednak z důvodu, že ani vývojáři (natož pak zákazníci) mnohdy nevědí, jakým způsobem AI přesně funguje a jak s daty pracuje, ale také z důvodu očekávání možné negativní odezvy subjektů údajů. Ty totiž mohou informace, že budou jejich osobní údaje zpracovávány pomocí AI, od jejich poskytnutí správci odradit. 

Právě transparentnost však EDPB zmiňuje jako klíčovou oblast, přičemž opatření navrhovaná EDPB jdou nad rámec standardních informací požadovaných podle článku 13 nebo 14 GDPR – zejména, co se týká údajů používaných k vývoji AI. EDPB navrhuje, aby správci zdůraznili zpracování osobních údajů s využitím AI např. formou informační kampaně prostřednictvím e-mailu, použitím grafické vizualizace, informacemi v sekci Q&A apod. Možná se tak v budoucnu dočkáme podobných požadavků, jaké jsou dnes na transparentnost kladeny v případě kamerových systémů, jen s tím důležitým rozdílem, že ty oproti online prostředí podléhají přirozeným geografickým limitům.

Minimalizace údajů, omezení uložení a výkon práv

Osobní údaje musejí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány. I tato zásada může působit problémy v kontextu snahy uživatelů poskytnout AI maximum možných dat a ponechat na AI, jaké údaje jsou pro její výstup relevantní. Z pohledu regulace ochrany osobních údajů je však AI nástrojem jako každý jiný, a tak je i při jejím používání nutné zvážit, jaké údaje do ní vkládáme – a zejména, zda pro relevanci výstupu nepostačí anonymizovaná či pseudonymizovaná data.

Současně nesmí být osobní údaje uloženy ve formě umožňující identifikaci subjektů údajů po dobu delší, než je nezbytné pro daný účel zpracování. I tato zásada může být v praxi problematická – zpracování totiž zpravidla nekončí okamžikem, kdy AI poskytne odpověď. Veškeré dotazy zadané uživatelem totiž bývají v řešení ukládány, přičemž každé řešení uchovává osobní údaje po jinou dobu – v případně některých řešení se může jednat až o jednotky let. Retence údajů a možnost jejich smazání na žádost uživatele je tak dalším z parametrů, které by měli správci při výběru AI řešení zvážit.

Integrita a důvěrnost

Osobní údaje je nutné zabezpečit před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením. Různá AI řešení přitom poskytují různě silné záruky, pokud jde o ochranu dat vložených uživatelem. Platí přitom, že volně dostupná (bezplatná) řešení zpravidla neposkytují záruky žádné, nebo pouze velmi omezené. Správci by dle EDPB měli provádět audity s cílem zhodnotit přijatá bezpečností opatření a pravidelně testovat řešení proti různým typům útoků. To bude samozřejmě v praxi obtížné, při výběru řešení nicméně doporučujeme ověřit, jakým způsobem přistupuje k těmto činnostem jeho provozovatel.

Odpovědnost

Správce odpovídá za dodržení základních zásad a musí být schopen toto dodržení souladu doložit. V tomto kontextu přitom EDPB rozšiřuje případnou odpovědnost za nezákonné zpracování i na zákazníka, pokud došlo či dochází k nezákonnému zpracování již ve fázi vývoje a zákazník předem neprovedl dostatečné ověření souladu s GDPR. Jakkoliv je obtížné představit si aplikaci tohoto závěru v praxi, je patrné, že EDPB klade na správce zvýšené nároky, pokud jde o výběr AI řešení a provedení náležité prověrky před jeho nasazením.

Správci by současně měli řádně dokumentovat veškeré operace zpracování, do nichž je zapojena umělá inteligence. Dokumentace by měla dle EDPB zahrnovat především posouzení vlivu na ochranu osobních údajů (nebo zdůvodnění, proč nebylo jeho vypracování nutné), informace o technických a organizačních opatřeních a dokumentaci prokazující odolnost AI modelu vůči vnějším hrozbám.

Jak k tomu v praxi přistoupit?

Při zavádění nového AI nástroje či systému je potřeba vždy vyhodnotit, jaké budou dopady do stávajících procesů zpracování (jaké osobní údaje budou prostřednictvím AI zpracovávány, po jakou dobu, komu budou předávány apod.) a následně toto zohlednit ve stávající GDPR dokumentaci – zejména záznamech o činnostech zpracování či zásadách zpracování osobních údajů. Současně bude s poskytovatelem nástroje zpravidla zapotřebí uzavřít zpracovatelskou smlouvu, a v případě předávání osobních údajů do třetích zemí toto adekvátně ošetřit – např. prostřednictvím standardních smluvních doložek. U rozsáhlejšího zpracování je na místě také vyhodnotit nutnost vypracování posouzení vlivu na ochranu osobních údajů (DPIA), které se v souvislosti s využíváním AI zpravidla doporučuje, jakož i zvážit jmenování pověřence pro ochranu osobních údajů u správce, kde jmenován není. Současně je vhodné upravit využívání umělé inteligence v rámci organizace na úrovni interní směrnice.

A konečně – nezapomínejte na základní zásady zpracování!  

Závěr

Umělá inteligence, stejně jako jakákoli inovativní technologie, přináší pro organizace řadu příležitostí, jak získat konkurenční výhodu. Přináší však také řadu právních výzev. 

Pokud ve svém podnikání AI nástroje využíváte a nejste si jisti, zda máte vše nezbytné pokryto, rádi s Vámi vše probereme. Díky našim zkušenostem v oblasti technologií a ochrany osobních údajů se snadno zorientujete v právních aspektech a pomůžeme Vám najít efektivní řešení všech otázek spojených s AI.

  • [1] – Nařízení Evropského parlamentu a Rady (EU) 2024/1689 ze dne 13. června 2024, kterým se stanoví harmonizovaná pravidla pro umělou inteligenci a mění nařízení (ES) č. 300/2008, (EU) č. 167/2013, (EU) č. 168/2013, (EU) 2018/858, (EU) 2018/1139 a (EU) 2019/2144 a směrnice 2014/90/EU, (EU) 2016/797 a (EU) 2020/1828 (akt o umělé inteligenci).
  • [2] – Stanovisko 28/2024 k určitým aspektům ochrany údajů v souvislosti se zpracováním osobních údajů v kontextu modelů umělé inteligence, dostupné z: https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282024-certain-data-protection-aspects_cs.
  • [3] – Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
Související články
GDPR a oslovení: Je nutné znát pohlaví zákazníka?
Jaroslav Šuchman

GDPR a oslovení: Je nutné znát pohlaví zákazníka?

Francouzský železniční dopravce požadoval po svých zákaznících při online rezervaci jízdenky informaci, zda je má oslovovat „pane“ nebo „paní“. Nedávný rozsudek Soudního dvora Evropské unie ukazuje, že takový požadavek není v souladu s právními předpisy. Údaj o oslovení totiž není nezbytný pro splně
Co přinese kontrolní plán ÚOOÚ pro rok 2025?
Jaroslav Šuchman, Daša Aradská

Co přinese kontrolní plán ÚOOÚ pro rok 2025?

Úřad pro ochranu osobních údajů („ÚOOÚ“) zveřejnil svůj kontrolní plán pro rok 2025. Jde o dokument, který každoročně signalizuje, na co se správci a zpracovatelé osobních údajů mají v daném období připravit. Tentokrát ÚOOÚ jednoznačně cílí na některé klíčové oblasti, kde se stýká nedostatek právní