První celoevropské stanovisko k otázkám ochrany osobních údajů při vývoji a implementaci AI
Evropský sbor pro ochranu osobních údajů zveřejnil stanovisko k otázkám ochrany osobních údajů při vývoji, trénování a nasazení modelů umělé inteligence. Stanovisko upřesňuje, jak se aplikuje GDPR při vývoji a nasazení modelů umělé inteligence. Zejména odpovídá na otázku, kdy a jak je možné modely AI považovat za zpracování osobních údajů, upřesňuje pokyny k posouzení oprávněného zájmu při jejich vývoji a nasazení a současně uvádí, jaká opatření k ochraně osobních údajů jsou ve vztahu k AI možná.
„Stanovisko je průlomové, neboť se jedná o první celoevropské stanovisko k otázce vývoje umělé inteligence, které je horkým tématem mezi evropskými dozorovými úřady. Na téma vývoje umělé inteligence již několik evropských úřadů zveřejnilo svá stanoviska či doporučení (například německé úřady, francouzský, nizozemský, italský, norský či španělský úřad), přičemž byly zřejmé určité rozdíly v jejich přístupu,“ vysvětluje advokátka Štěpánka Havlíková z pražské kanceláře Dentons.
Přestože AI model nemusí být navržen k tomu, aby generoval informace o identifikovatelných fyzických osobách, EDPB upozorňuje, že osobní údaje použité k trénování mohou zůstat uchovány v jeho parametrech. To znamená, že AI modely trénované na osobních údajích nelze vždy považovat za anonymní. Aby byl AI model považován za anonymní, musí být velmi nepravděpodobná možnost získání osobních údajů buď přímo z modelu, nebo z dotazů (promptů) zadaných uživatelem. Před vývojem takového modelu je třeba provést posouzení z hlediska ochrany osobních údajů, které by mělo zohlednit všechny faktory, včetně povahy tréninkových dat, samotného modelu a tréninkového procesu či způsobu nasazení modelu.
„Stanovisko popisuje konkrétní opatření ve všech fázích vývoje AI modelů, která by měli vývojáři přijmout, aby bylo sníženo riziko zpracování a získání osobních údajů,“ vysvětluje Štěpánka Havlíková. „Jedná se například o opatření při selekci zdrojů použitých k trénování modelu nebo o přípravu a čištění data setů, včetně vyloučení zdrojů, u kterých existují rizika z pohledu ochrany osobních údajů. V neposlední řadě jsou důležitá i opatření na výstupu, tedy zejména output filtery, které kontrolují, jaké výstupy AI model generuje, a mohou zabránit vygenerování výstupů, které zasahují do ochrany osobních údajů (například pokud bychom se umělé inteligence ptali na vyzrazení osobních údajů konkrétních fyzických osob),“ doplňuje Štěpánka Havlíková.
Správci by měli rovněž řádně dokumentovat operace zpracování podle GDPR. Dokumentace by měla zahrnovat především posouzení dopadu na ochranu osobních údajů DPIA (nebo vysvětlení, proč nebylo vypracování DPIA nutné), informace o technických a organizačních opatřeních a také dokumentaci prokazující odolnost AI modelu vůči technikám opětovné identifikace.
„Správci by měli provádět a dokumentovat interní či externí audity s cílem zhodnotit přijatá opatření při vývoji či nasazení umělé inteligence,“ dodává Štěpánka Havlíková.
Stanovisko připouští použití oprávněného zájmu jako právního základu pro zpracování osobních údajů při vývoji a nasazení AI modelů. Pro posouzení oprávněného zájmu je přitom potřebný tříkrokový test, zahrnující identifikaci oprávněných zájmů, posouzení nezbytnosti zpracování osobních údajů a porovnání oprávněných zájmů správce se zájmy a základními právy subjektů osobních údajů. Jako příklad oprávněného zájmu zmiňuje stanovisko zájem na vývoji služby chatbotu na pomoc uživatelům a důraz klade i na vyhodnocení rozumných očekávání subjektů osobních údajů s tím, že bude docházet k využití jejich osobních údajů pro trénování a vývoj AI modelů.
Pochybení při vývoji AI modelu může „kompromitovat“ i jeho následné nasazení v praxi. Podle stanoviska EDPB může nezákonné zpracování dat při vývoji AI modelu ovlivnit zákonnost jeho dalšího použití.
