V éře digitálních technologií je ochrana osobních údajů jedním z klíčových témat, zejména s rozvojem umělé inteligence (AI). Firmy každodenně shromažďují a zpracovávají obrovské množství dat, z nichž mnohá jsou velmi citlivá. Klíčovou otázkou tedy zůstává, jak zajistit, aby tento proces probíhal v souladu s platnými právními předpisy, zejména s Obecným nařízením o ochraně osobních údajů (GDPR).
V tomto článku se podíváme na souvislost mezi GDPR a Aktem o umělé inteligenci (Akt) a na kroky, které lze podniknout k minimalizaci rizik spojených se zpracováním osobních údajů, aby byla zajištěna ochrana soukromí a práv na ochranu osobních údajů jednotlivců.
GDPR a jeho úloha při ochraně osobních údajů
Pokud ještě nejste s GDPR obeznámeni, jedná se o Nařízení Evropského parlamentu a Rady (EU) 2016/679, které upravuje, jakým způsobem mají být zpracovávány osobní údaje v EU. Dle GDPR jsou osobními údaji veškeré informace o identifikované nebo identifikovatelné osobě. Tato pravidla se vztahují na všechny subjekty, jež tyto údaje sbírají, spravují nebo předávají, včetně těch, které k tomu využívají systémy AI.
Jedním z hlavních principů GDPR je zásada účelového omezení – tedy povinnost shromažďovat osobní údaje jen pro jasně stanovené a legitimní účely a nezpracovávat je žádným způsobem, který by této zásadě odporoval.
Jedním z hlavních principů GDPR je zásada účelového omezení, což znamená, že osobní údaje mohou být shromažďovány jen pro konkrétní a legitimní účely a nemohou být zpracovávány způsoby, které by tomuto principu odporovaly. Důraz na transparentnost je zakotven v článku 5 odst. 1 písm. a) GDPR, kde se rovněž hovoří o zásadách zákonnosti a korektnosti. Informovanost je dalším klíčovým požadavkem, což znamená, že osoby, jejichž údaje jsou zpracovávány, musí být dostatečně informovány o účelu zpracování, typech shromažďovaných údajů a svých právech (např. právo na výmaz). Tento požadavek je ještě naléhavější v kontextu umělé inteligence (AI), kde je důležité poskytovat jasné informace o tom, jak AI systémy zpracovávají osobní údaje a jaká rizika to může přinést.
Ochrana osobních údajů podle Aktu o umělé inteligenci
Jedním z hlavních cílů Aktu je podpořit důvěryhodnou AI a zároveň chránit základní práva občanů EU, včetně práva na soukromí a ochranu osobních údajů. Akt jasně uvádí, že na zpracování osobních údajů pro účely AI musí být v souladu s GDPR.
Ochrana těchto práv je podle Aktu tak důležitá, že některé systémy AI, jako jsou např. systémy AI zaměřené na biometrickou kategorizaci, jsou zakázány právě kvůli rizikům spojeným s ochranou soukromí a osobních údajů.
Trénování vysoce rizikových systémů AI
Akt klade přísné požadavky zejména na systémy AI, které mohou mít vysoké riziko pro bezpečnost, zdraví a základní práva občanů EU. Mezi ně patří např. systémy zpracovávající biometrické údaje, systémy hodnocení úvěruschopnosti nebo ty, které využívají orgány pro vymáhání práva.
Poskytovatelé vysoce rizikových systémů AI mají podle Aktu mj. povinnost zajistit, že data použitá pro trénování, testování a validaci AI jsou vhodná pro zamýšlený účel. Data, která zahrnují osobní údaje, musí být zpracovávána v souladu s GDPR.
Poskytovatelé vysoce rizikových systémů AI mají také povinnost předat zavádějícím subjektům těchto systémů klíčové informace, včetně podrobností o datasetech použitých při trénování daného systému AI. Tato informace musí zahrnovat i to, zda datasety obsahovaly osobní údaje, a jaký byl původní účel jejich zpracování.
Poskytovatel vysoce rizikového systému AI, který zpracovává osobní údaje, musí také ve svém prohlášení o shodě potvrdit, že splňuje všechny požadavky GDPR a dalších relevantních předpisů EU týkajících se ochrany osobních údajů, stejně tak jako musí posoudit vliv daného systému na ochranu osobních údajů.
Akt rovněž umožňuje poskytovatelům vysoce rizikových systémů AI zpracovávat zvláštní kategorie osobních údajů, pokud je to nezbytně nutné. Tyto údaje lze zpracovávat za účelem detekce a nápravy předpojatostí, pokud není možné dosáhnout tohoto cíle jinými daty. Zároveň musí být zajištěna dostatečná bezpečnost a ochrana soukromí, údaje nesmí být předány třetí straně, a po dosažení účelu nebo uplynutí doby uchování musí být vymazány.
Jak chránit osobní údaje při práci s AI
Ochrana osobních údajů by měla být při práci s umělou inteligencí prioritou. To znamená implementaci technických a organizačních opatření, která minimalizují rizika spojená se ztrátou, zneužitím nebo neoprávněným přístupem k citlivým datům. Mezi taková opatření patří šifrování, anonymizace nebo pseudonymizace dat, zajištění bezpečných úložišť a sledování, kdo má k těmto datům přístup.
Stejně jako u zpracování osobních údajů platí, že GDPR vyžaduje, aby uživatelé dali svůj výslovný, vědomý a dobrovolný souhlas se zpracováním svých údajů. Systémy AI musí být proto navrženy tak, aby takový souhlas shromažďovaly a uživatelům poskytovaly komplexní informace o tom, jak jsou jejich údaje využívány a jak jsou sdíleny se třetími stranami. Současně musí být zajištěna možnost souhlas kdykoli odvolat.
Aby zaměstnavatelé minimalizovali rizika spojená se zpracováním osobních údajů, je nezbytné pečlivě dodržovat zásady GDPR, informovat zaměstnance o pravidlech pro práci s citlivými daty a organizovat školení zaměřená na ochranu dat. Zároveň by měly být zavedeny interní směrnice a aktualizovány smluvní dokumenty s dodavateli, zejména v případě zpracování osobních údajů pomocí jejich systémů AI.
V případě nedodržení pravidel GDPR totiž mohou být ukládány správní pokuty až do výše 20 milionů EUR nebo až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok.
Závěr
Je důležité zdůraznit, že v současném digitálním prostředí, kde jsou osobní údaje klíčovým aktivem, je jejich ochrana nejen legislativní povinností, ale také otázkou etiky a důvěry. Firmy, které využívají umělou inteligenci, musí být obzvláště obezřetné a zajistit, že jejich postupy jsou v souladu nejen s požadavky GDPR, ale i Aktem o umělé inteligenci.