Zakon o AI & GDPR

AI i GDPR3

U posljednje vrijeme gotovo se svakodnevno čuje riječ „Umjetna inteligencija“ – odnosno “AI” (Artificial Intelligence).

Umjetna inteligencija je sposobnost strojeva da obavljaju zadatke koji zahtijevaju ljudsku inteligenciju, poput razumijevanja jezika, prepoznavanja slika, učenja iz podataka i donošenja odluka.

Koristi se u raznim područjima, kao što su proizvodnja, rudarstvo, medicina, obrazovanje, zabava, sigurnost i obrana te se temelji na različitim tehnikama, kao što su strojno učenje (Machine learning /ML), duboko učenje, neuronske mreže, logika i simboličko zaključivanje.

Funkcionira tako da računalni sustavi koriste algoritme i statistiku kako bi analizirali velike količine podataka i izvukli zaključke iz njih. Ovi sustavi mogu učiti iz iskustva i prilagođavati se novim situacijama, što ih čini vrlo fleksibilnima i prilagodljivima.

Iako Umjetna inteligencija ima mnoge prednosti, isto tako ima izazove za društvo, etiku i pravo.

Neki od primjera gdje se danas upotrebljava AI:

  • Selekcija kandidata za posao: pomoću softvera za umjetnu inteligenciju pregledavaju se životopisi i motivacijska pisma kandidata, ocijenjuju njihove vještine i osobine te predlažu najprikladnije kandidate za određeno radno mjesto. Međutim, upotreba umjetne inteligencije u selekciji kandidata može imati i negativne posljedice, kao što su diskriminacija, pristranost, nedostatak transparentnosti i povrede privatnosti. Stoga je važno da se takvi sustavi redovito provjeravaju i nadziru kako bi se osigurala njihova pouzdanost i poštivanje zakona o zaštiti podataka i radnim pravima.
  • Preporučivanje sadržaja ili proizvoda: mnoge web stranice i aplikacije koriste umjetnu inteligenciju kako bi analizirale navike i preferencije korisnika te im preporučile sadržaj ili proizvode koji bi ih mogli zanimati. Na primjer, neki streaming servis koristi algoritme umjetne inteligencije kako bi predvidio koje filmove ili serije korisnici žele gledati na temelju njihove povijesti gledanja i ocjena. Neka internetska trgovina koristi umjetnu inteligenciju kako bi sugerirala proizvode koje korisnici mogu kupiti na temelju njihove povijesti kupnje i pretraživanja. Ovakvi sustavi preporučivanja mogu povećati zadovoljstvo i lojalnost korisnika, ali također mogu utjecati na njihovo ponašanje i izbor te stvoriti tzv. “filter mjehuriće” koji ograničavaju raznolikost i pluralizam informacija.
  • Chatbot : vrsta umjetne inteligencije koja simulira ljudski razgovor s krajnjim korisnikom. Chatboti koriste tehnike razgovorne umjetne inteligencije poput obrade prirodnog jezika (NLP) da bi razumjeli pitanja korisnika i automatski odgovorili na njih. Upotreba chatbota jednostavna je kao i razgovor s nekim. Možete mu postaviti pitanja ili mu dati naloge, a on će odgovoriti i provesti radnje. Chatbotovi se mogu pokretati na gotovo svim aplikacijama za chat, uključujući Facebook Messenger, WhatsApp. Postoje različite vrste chatbota, poput ChatGPT, koji je model koji je OpenAI istrenirao da intrigira na konverzacijski način. Chatboti su jedan od najpoznatijih primjera umjetne inteligencije.

Podaci koje prikuplja umjetna inteligencija mogu završiti u rukama različitih aktera, ovisno o tome tko ih prikuplja, obrađuje, pohranjuje i dijeli. To mogu biti dobavljači ili korisnici umjetne inteligencije, državna tijela, istraživačke organizacije, regulatorne agencije ili treće strane poput oglašivača ili hakera. Uvid u te podatke također ovisi o tome kakve su mjere zaštite poduzete kako bi se osigurala sigurnost, privatnost i transparentnost podataka.

Opća uredba o zaštiti podataka (GDPR)  propisuje pravila o tome kako se osobni podaci mogu prikupljati, obrađivati i prenositi, koja prava imaju pojedinci nad svojim podacima, regulira sve oblike tehnologija koje obrađuju osobne podatke, ali se ne odnosi na sve vrste podataka o umjetnoj inteligenciji niti na sve situacije u kojima se oni koriste.

GDPR je tehnološki neutralan. Riječi ‘AI’ ili ‘strojno učenje (ML)’ ne pojavljuju se nigdje u tekstu GDPR-a. Također, nespominju se niti blockchain (podatkovni blokovi povezani u jedan lanac), Internet of Things (mreža međusobno povezanih uređaja koji razmjenjuju podatke s drugim uređajima i oblakom),  nezamjenjivi token ili žeton (NFT),virtualna stvarnosti, niti bilo koj drug tehnologij u nastajanju. Izostanak takvih referenci nije slučajan. Logika zakonodavca je bila da ako se spomenu određene tehnologije, to bi moglo omogućiti još nepoznatim, budućim tehnologijama da izbjegnu opseg regulacija. Kao što uvodna izjava 15 navodi: „Kako bi se spriječilo stvaranje ozbiljnog rizika od zaobilaženja, zaštita fizičkih osoba trebala bi biti tehnološki neutralna i ne bi trebala ovisiti o korištenim tehnikama.”

Europski zakon o Umjetnoj inteligenciji,  s predviđenim datumom donošenja u 2024. godini , usredotočen je prvenstveno na jačanje pravila o kvaliteti podataka, transparentnosti, ljudskom nadzoru i odgovornosti. U fokusu su također etička pitanja i izazovi provedbe AI u različitim sektorima, od zdravstva i obrazovanja do energetike i financija. Nakon što stupi na snagu, ovaj će se Zakon na važne načine preklapati s GDPR-om, što će dovesti do dodatnih obveza.

Postoji nekoliko smjernica koje nastoje ukazati na spojnice između ova dva glavna i povezana stupa regulatornog okvira EU-a.

Uvodna izjava (15) EU GDPR potvrđuje da se automatizirana obrada odnosi na obradu putem automatiziranih sredstava, za razliku od obrade koja se provodi ručno.

Iako se može očekivati da će umjetna inteligencija i strojno učenje postati sve važniji, automatizirano donošenje odluka i profiliranje bili su i još uvijek se mogu primjenjivati bez upotrebe umjetne inteligencije. Isto tako AI i ML ne uključuju uvijek obradu osobnih podataka, mogu se koristiti za razne svrhe (npr. prognoza vremena). Međutim, ako se podaci koji nisu osobni mogu na bilo koji način povezati s osobom, čineći je izravno ili neizravno prepoznatljivom, ti se podaci moraju smatrati osobnim podacima.

AI i GDPR2

Implementacija AI sustava se odvija u dvije faze, faza obuke i faza proizvodnje. U fazi obuke, AI sustav uči iz skupa podataka, stvarajući model sposoban za donošenje predviđanja ili odluka. U fazi proizvodnje, uvježbani model primjenjuje se na nove podatke za generiranje rezultata, kao što su predviđanja, preporuke ili odluke. Ova dva koraka nemaju isti cilj i treba ih odvojiti.

Postoji nekoliko načina na koje AI i sustavi ML mogu doći u kontakt s osobnim podacima:

● ako su dio skupa podataka koji se koriste za “obuku” sustava

● pretražujući, na primjer, s interneta, u potrazi za upitom (imajte na umu da što se tiče GDPR-a, nije važno jesu li podaci inače javni)

● može ih dati krajnji korisnik kao dio upita ili drugog unosa

● generiranjem putem zaključivanja ili povezivanja putem podudaranja uzoraka itd.

● može, s obzirom na ograničenja svojstvena generativnom modelu, jednostavno izmišljati stvari, tj. generirati uvjerljiv sadržaj ili “halucinirati”

Kad god AI ili sustav ML obrađuju osobne podatke (bez obzira na to kako su ti podaci došli u njihov posjed), postoji niz članaka GDPR-a koji imaju izravnu primjenu. To su:

  • Članak 5.  posebno obraditi procjenu rizika
  • Članci 4., 6., 7. (zakonitost obrade, privola); u onoj mjeri u kojoj se AI i sustavi ML-a  “treniraju” na velikim skupovima podataka, za to mora postojati odgovarajuća pravna osnova. Možda je slučaj da se u mnogim okolnostima oslanja na koncept “legitimnog interesa”, ali ne i da to mora biti jasno utvrđeno (Preporuka 47)
  • Članak 22. (automatizirano odlučivanje); ovo je područje u središtu pozornosti s obzirom na potencijalne upotrebe AI i sustava ML-a. Članak 22. daje pravo subjektima podataka na prigovor na takvu obradu.
  • Članak 25. (Privacy by Design); zahtijeva od kontrolora da uzme u obzir „stanje tehnike” kako bi ispunio zahtjeve uredbe. S obzirom na složenost i neizvjesnosti koje okružuju AI i sustave ML-a, možda će biti potrebne dodatne zaštite kako bi se osigurala prava ispitanika.
  • Članci 35., 36. (procjena učinka na zaštitu podataka); veliki dio navedenog ukazuje na važnost DPIA-a u ovom području. Potencijalno je vjerojatnije da će AI i sustavi ML-a zahtijevati DPIA nego tradicionalni sustavi za obradu informacija.

Važno je prvo prepoznati da, u kontekstu umjetne inteligencije i samo strojno učenje, služe u različite regulatorne svrhe.

S jedne strane, GDPR, koji se prvenstveno bavi zaštitom osobnih podataka, tehnološki je agnostičan i ne spominje izričito specifične tehnološke aplikacije (uključujući AI ili ML).

S druge strane, Zakon o umjetnoj inteligenciji predstavlja izravniji, praktični pristup regulaciji umjetne inteligencije i nastoji uspostaviti sveobuhvatan regulatorni okvir za promicanje odgovornog razvoja i upotrebe umjetne inteligencije i sustava temeljenih na strojnom učenju u EU-u.

S obzirom na svoja ograničenja, Zakon o umjetnoj inteligenciji obvezuje se razviti sveobuhvatan i tehnološki prilagođen okvir koji će neizostavno nadopunjavati GDPR u naporima za promicanje odgovornih inovacija umjetne inteligencije u Europi, poštujući temeljna prava i vrijednosti Unije.

Važnu ulogu u kontekstu AI i GDPR-a ima DPO – Data protection officer – Službenik za zaštitu osobnih podataka.

U mnogim sustavima nositeljima podataka neće uvijek biti očito da se njihovi podaci obrađuju, takoreći u pozadini, pomoću ovih tehnologija, niti će biti jasno kako ti sustavi funkcioniraju. U tom smislu, DPO-i trebaju biti svjesni zahtjeva transparentnosti GDPR-a i Zakona o umjetnoj inteligenciji, koji zahtijevaju transparentnost u različitim aspektima.

Na primjer, ako kao DPO razmatrate pravednost aplikacije AI ili ML, bit ćete zabrinuti zbog mogućnosti pristranosti i/ili diskriminacije u korištenim algoritmima. To može biti rasna pristranost, gdje su sami podaci o obuci pristrani prema jednoj određenoj rasi ili rodna pristranost, gdje je jedan spol nerazmjerno pogođen. Ovi slučajevi predstavljaju nepoštenu obradu osobnih podataka.

AI i ML dva su blisko povezana, ali različita polja računalne znanosti.

Cilj umjetne inteligencije je stvoriti sustave koji mogu obavljati zadatke koji bi obično zahtijevali ljudsku inteligenciju, kao što je prepoznavanje slika ili razumijevanje prirodnog jezika, te sposobnost donošenja odluka.

Strojno učenje je, s druge strane, podskup umjetne inteligencije koji se fokusira na razvoj algoritama koji mogu učiti i poboljšavati se tijekom vremena. U osnovi, strojno učenje uključuje učenje strojeva da uče iz podataka bez da su eksplicitno programirani.Strojno učenje je proces osposobljavanja računala da prepoznaje obrasce i daje predviđanja na temelju velikih količina podataka.

Ukratko, umjetna inteligencija je širi koncept koji obuhvaća niz tehnologija, dok je strojno učenje specifičan podskup umjetne inteligencije koji se fokusira na razvoj algoritama koji se mogu učiti i poboljšavati tijekom vremena.

Bez obzira na veličinu organizacije, na DPO-a će utjecati integracija AI i ML- a u IT sustave organizacije. Na primjer, koriste ili ih planiraju koristiti u budućnosti:

– Microsoft Office

– Mnogi HR sustavi, obračun plaća, prodaja i/ili sustavi kodiranja

– Mnoge organizacije koriste Chatbotove

DPO, u suradnji s timom trebat će provesti procjenu učinka na zaštitu podataka (DPIA) za sve nove aktivnosti obrade podataka. Pri tome je bitno razumjeti mogućnosti i ograničenja sustava umjetne inteligencije, posebno u pogledu bilo kakvih pristranosti koje bi potencijalno mogle postojati. Također se treba uzeti u obzir mogućnost da umjetna inteligencija generira netočne rezultate.

Primjeri takvih visokorizičnih sustava mogu se pronaći u sljedećim scenarijima:

  • obrazovanje ili stručno osposobljavanje,
  • zapošljavanje, ocjenjivanje ili raspodjela zadataka zaposlenika
  • kreditno bodovanje fizičkih osoba,
  • utvrđivanje podobnosti pojedinaca za korištenje socijalnih usluga i naknada

DPO ima zadatak identificirati, smanjiti ili ublažiti poznate i predvidive rizike putem odgovarajućeg dizajna i razvoja svih sustava umjetne inteligencije koji obrađuju osobne podatke.

Jednu od obveza koju propisuje GDPR je Privacy by design.

Privacy by design je pristup koji ugrađuje zaštitu privatnosti u dizajn informacijskih tehnologija, mrežne infrastrukture i poslovnih praksi. To znači da se osobni podaci koriste na način koji je u skladu s pravima i očekivanjima korisnika, kao i zakonskim zahtjevima. 

AI sustavi zahtijevaju velike količine podataka za treniranje i poboljšanje svojih algoritama. Ti podaci mogu sadržavati osjetljive informacije o korisnicima, poput njihovih lica, glasova, lokacija, ponašanja i preferencija. 

Privacy by design je povezan s AI jer je to način da se osigura da se AI sustavi razvijaju i koriste na odgovoran i etičan način, koji poštuje ljudska prava i vrijednosti. Privacy by design također može pomoći tvrtkama da se usklade s različitim zakonima o zaštiti podataka koji postoje u raznim zemljama i regijama. 

Privacy by design se temelji na sedam osnovnih načela:

  • proaktivno, a ne reaktivno; preventivno, a ne ispravno
  • privatnost kao zadana postavka
  • privatnost ugrađena u dizajn
  • puna funkcionalnost – pozitivna suma, a ne nula suma
  • sigurnost od početka do kraja – zaštita životnog ciklusa
  • vidljivost i transparentnost – držite je otvorenom
  • poštovanje privatnosti korisnika – držite je usredotočenom na korisnika

Privacy by design je primjenjiv na cijele informacijske procese, uključujući:

  • dizajn sustava
  • organizacijske prioritete
  • ciljeve projekta
  • standarde i protokole
  • poslovne prakse

Privacy by design ima mnoge prednosti za korisnike i tvrtke koje ga primjenjuju. Neke od prednosti su:

  • Povećava povjerenje korisnika u zaštitu njihove privatnosti i sigurnost njihovih podataka.
  • Smanjuje rizik od povreda privatnosti, curenja podataka, krađe identiteta i drugih prijetnji.
  • Poboljšava usklađenost s propisima o zaštiti podataka, kao što je GDPR i smanjuje mogućnost kazni i tužbi.
  • Potiče inovacije i konkurentnost kroz dizajniranje proizvoda i usluga koji nude bolje funkcionalnosti i korisničko iskustvo.
  • Štedi troškove i resurse kroz smanjenje nepotrebnog prikupljanja, pohrane i obrade podataka.

Nekoliko je bitnih koraka koje DPO-i mogu poduzeti kako bi se pripremili za povećanje sustava umjetne inteligencije u svojim organizacijama:

  • razumijevanje tehnologije umjetne inteligencije
  • jasno dokumentiranje svrhe obrade podataka povezanih sa sustavom umjetne inteligencije
  • provođenje procjene utjecaja na zaštitu podataka (DPIA)
  • pregledavanje ugovora o obradi podataka
  • provođenje odgovarajućih sigurnosnih mjera
  • praćenje i revidiranje sustava umjetne inteligencije

Za više informacija o ovoj temi obratite nam se na sales@boost.hr

Newsletter

Pretplatite se na naš Newsletter!

Izrada internetske stranice sufinancirana je sredstvima pomoći Operativnog programa „Konkurentnost i kohezija“ iz Europskog fonda za regionalni razvoj. Saznaj više

Krajnji primatelj financijskog instrumenta sufinanciranog iz Europskog fonda za regionalni razvoj u sklopu Operativnog programa Konkurentnost i kohezija 2014.-2020.”.