Umetna inteligenca in varstvo osebnih podatkov

Na kratko

Uvodno o regulaciji sistemov umetne inteligence

Odgovornost in upravljanje umetno inteligenčnih sistemov

Opredelitev namena obdelave osebnih podatkov in izbira pravne podlage

Zbiranje podatkov in načelo najmanjšega obsega podatkov

Obdobje hrambe osebnih podatkov

Avtomatizirano sprejemanje odločitev in profiliranje

Uresničevanje pravic posameznikov

Zagotavljanje varnosti podatkov

 

Na kratko

• Varstvo osebnih podatkov se uporablja za sisteme umetne inteligence (UI), ki obdelujejo osebne podatke.
• Definicija osebnega podatka je široka in zajema vse informacije, ki so v zvezi z določenim ali določljivim posameznikom.
• Ključni koraki pri zagotavljanju skladnosti sistemov UI z varstvom osebnih podatkov:
  • Razmislite, ali sistem UI obdeluje osebne podatke.
  • Opredelite, kakšna je vloga podjetja ali organizacije v sistemu varstva osebnih podatkov (upravljavec, obdelovalec, skupni upravljavec).
  • Določite namen ali namene obdelave osebnih podatkov.
  • Opredelite pravno podlago za obdelavo podatkov in – če sistem UI obdeluje posebne vrste podatkov – , tudi pravno podlago za obdelavo teh podatkov.
  • Omejite obseg osebnih podatkov, ki se obdelujejo, zgolj na tiste podatke, ki so nujno potrebni glede na zasledovani namen obdelave.
  • Določite obdobje hrambe osebnih podatkov.
  • Razmislite, ali boste lahko uresničevali pravice, ki jih Splošna uredba daje posameznikom in na kakšen način boste to učinkovito zagotavljali.
  • Določite organizacijske in tehnične ukrepe za zagotavljanje varnosti osebnih podatkov.

 

• RELEVANTNI ČLENI SPLOŠNE UREDBE:
• Uvodne določbe: 71
• Členi: 5, 6(1) in 6(4), 15, 21, 22, 32, 35

OBVEZNO BRANJE:

• Akt o umetni inteligenci
• Poročilo delovne skupine za Chat GPT (Report of the work undertaken by the ChatGPT Taskforce),
• Smernice o avtomatiziranem sprejemanju posameznih odločitev in oblikovanju profilov za namene Uredbe (EU) 2016/679.

Uvodno o regulaciji sistemov umetne inteligence

S skokovitim povečevanjem velikosti in kompleksnosti velikih jezikovnih modelov (LLMs) se povečujejo tudi njihove zmogljivosti. Uvajanje tovrstnih rešitev brez tehtnega premisleka o tem, kakšne posledice lahko imajo za posameznike, njihove temeljne pravice in svoboščine ter družbo kot celoto, ima lahko daljnosežne posledice. Posebej zaskrbljujoči so vplivi (generativne) umetne inteligence na ranljive skupine; poleg otrok mednje lahko prištevamo tudi starejše, ki po eni strani pogosteje niso seznanjeni s tveganji tovrstnih tehnologij, obenem pa lahko vezanost nanje pri opravljanju vsakdanjih opravil povzroči, da je del starejših prikrajšan za dostop do določenih storitev (na primer pri nadomeščanju osebnega pogovora s klepetalnimi roboti), bodisi ker tovrstne tehnologije sploh ne znajo uporabljati ali pa ji zgolj ne zaupajo.

Umetna inteligenca odpira pomembna nova vprašanja. Nekatera izmed njih so že urejena z obstoječimi pravnimi pravili. Med njimi ima pomembno mesto varstvo osebnih podatkov, ki se uporablja za sisteme umetne inteligence, ki obdelujejo osebne podatke. V EU Akt o umetni inteligenci po drugi strani predpisuje enotna pravila za vse sisteme umetne inteligence  (sistemi UI), ne glede na to, kakšne podatke obdelujejo. Kljub temu, da različna pravna področja predpisujejo različne zahteve za skladnost, lahko spoštovanje zahtev enega področja pripomore tudi k zagotavljanju skladnosti na drugih področjih (na primer priprava ocene učinka v zvezi z varstvom osebnih podatkov lahko predstavlja izhodišče za pripravo širše ocene učinka na temeljne pravice na podlagi Akta o umetni inteligenci).

V nadaljevanju so (1) predstavljeni koraki, ki vam lahko pomagajo pri zagotavljanju skladnosti sistemov UI s pravili s področja varstva osebnih podatkov; in (2) predstavljena izhodišča in temeljne zahteve Akta o umetni inteligenci.

ZAGOTAVLJANJE SKLADNOSTI S SPLOŠNO UREDBO

Odgovornost in upravljanje umetno inteligenčnih sistemov

Uporaba sistemov UI lahko podjetjem in organizacijam pomaga pri zagotavljanju večje učinkovitosti in inovativnosti, vendar so z njihovo uporabo povezana tudi številna tveganja za temeljne človekove pravice in svoboščine. Zaradi tehnične kompleksnosti sistemov UI in različnih akterjev, ki sodelujejo pri njihovem razvoju in uvajanju, se odpirajo raznolika vprašanja in izzivi za zagotavljanje skladnosti.

Kdo je odgovoren za skladnost s pravili s področja varstva osebnih podatkov?

Splošna uredba ločuje med dvema skupinama akterjev, ki sodelujejo pri obdelavi osebnih podatkov: upravljavci so pravne ali fizične osebe, ki sami ali skupaj (v tem primeru gre za skupne upravljavce) usmerjajo obdelavo z določanjem njenih ciljev in sredstev, lahko pa jo tudi prepustijo tretji osebi, ki v tem primeru nastopa v vlogi obdelovalca. Njihove vloge, in posledično tudi odgovornosti, v verigi obdelav podatkov se razlikujejo.

V skladu z načelom odgovornosti so upravljavci odgovorni za zagotavljanje skladnosti z določbami Splošne uredbe in jo morajo biti sposobni tudi dokazati. V primeru očitanih kršitev bo upravljavec tisti, ki bo moral izkazati, da sistem UI obdeluje osebne podatke na ustreznem zakonitem temelju, da njihov obseg ni prekomeren, da je posamezniku, na katerega se podatki nanašajo, zagotovil vse zahtevane informacije in omogočil učinkovito izvrševanje njegovih pravic ter da je zagotovil vse tehnične in organizacijske ukrepe za varnost podatkov. Zato je ključno, da razvijalec ali uvajalec sistema UI pravilno presodi, kakšno vlogo - in s tem tudi odgovornosti - ima v okviru varstva osebnih podatkov. Pri tem si lahko pomaga s Smernicami Evropskega odbora za varstvo podatkov o pojmih upravljavec in obdelovalec iz Splošne uredbe o varstvu podatkov.

Razvoj in uvajanje sistemov UI običajno vsebuje več postopkov obdelav (osebnih) podatkov, ki lahko zasledujejo različne namene, zato ni nujno, da ista organizacija nastopa v vlogi upravljavca glede vseh obdelav osebnih podatkov. Lahko se zgodi, da je glede določenih obdelav podatkov upravljavec, glede drugih pa obdelovalec.

Delitev odgovornosti med upravljavci in obdelovalci glede na to, kateri izmed njih odločilno vpliva na obdelavo podatkov z določanjem njenih namenov in sredstev je značilna za varstvo osebnih podatkov, medtem ko Akt o umetni inteligenci uvaja drugačno ureditev (več o tem si lahko preberete v podpoglavju o Aktu o umetni inteligenci).

Kako si upravljavci lahko pomagajo pri zagotavljanju skladnosti?

Upravljavci si lahko pri identifikaciji in upravljanju s tveganji, ki jih prinašajo sistemi UI, pomagajo tako, da pripravijo oceno učinka v zvezi z varstvom podatkom, ki je pomembno orodje za uspešno implementacijo načela odgovornosti in vgrajenega varstva osebnih podatkov.

V skladu s 35. členom Splošne uredbe je ocena učinkov obvezna, če bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, zlasti jo upravljavci pripravijo v primeru:

1. sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;
2. obsežne obdelave občutljivih podatkov ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški, ali
3. obsežnega sistematičnega spremljanja javno dostopnega območja.

Informacijski pooblaščenec je pripravil seznam obdelav, za katere je ocena učinkov obvezna. Glede na kriterije, ki sprožijo obveznost priprave ocene učinka, na primer masovno zbiranje podatkov, kombiniranje podatkov iz različnih podatkovnih zbirk, analitika na podlagi masovnih podatkov, inovativna raba novih tehnologij, obstaja velika verjetnost, da bo vsaj obdelava osebnih podatkov pri razvoju sistemov UI zahtevala pripravo ocene učinka.

Tudi če v skladu s kriteriji iz Splošne uredbe ocena učinka ni obvezna, vseeno predstavlja dobro prakso, sledenje kateri Informacijski pooblaščenec priporoča pri implementaciji vseh obsežnejših in kompleksnejših postopkov obdelav osebnih podatkov, kamor gotovo sodijo sistemi UI. Poleg tega lahko ocena učinka v zvezi z varstvom podatkov predstavlja izhodišče za pripravo ocene učinka na temeljne pravice, ki jo bodo morali izvesti uvajalci določenih visokotveganih sistemov UI na podlagi Akta o umetni inteligenci.

Pomembno je, da upravljavci ocene učinka ne dojemajo zgolj kot enkratne in samostojne obveznosti v skladu s Splošno uredbo, ki se je lahko »rešijo« z uporabo pred pripravljenih vzorcev in splošnih ocen tveganj za varstvo osebnih podatkov. Postopek priprave ocene učinka predstavlja idealno priložnost, da upravljavci razmislijo o konkretnih tveganjih, ki se lahko pojavijo v zvezi z sistemi UI, učinkovitimi načini za njihovo odpravljanje in postopki za izkazovanje skladnosti v skladu z načelom odgovornosti.

Opredelitev namena obdelave osebnih podatkov in izbira pravne podlage

Življenjski cikel sistema UI običajno obsega več postopkov obdelav osebnih podatkov, na primer zbiranje osebnih podatkov, učenje in testiranje (validacija), uvajanje sistema UI. Različni postopki obdelav osebnih podatkov služijo različnim namenom (ciljem), ki jih mora upravljavec čim bolj jasno in določno opredeliti še preden začne obdelovati osebne podatke.

Namen obdelave osebnih podatkov začrta meje dopustne obdelave osebnih podatkov – od namena obdelave podatkov je odvisno, katere podatke bo upravljavec obdeloval in na kateri pravni podlagi, koliko časa jih bo hranil in kakšne ukrepe za zagotavljanje varnosti podatkov bo v tem času moral zagotoviti. Ali z drugimi besedami: jasna in natančna določitev namena obdelave podatkov je predpogoj za zagotavljanje skladnosti z načelom zakonitosti, načelom omejitve namena in shranjevanja podatkov ter načelom celovitosti in zaupnosti.

Kako naj upravljavci izberejo ustrezno pravno podlago?

Tako kot vsaka druga obdelava podatkov, mora tudi obdelava osebnih podatkov, ki poteka pri razvoju ali uvajanju sistemov UI, temeljiti na zakoniti pravni podlagi. Splošna uredba v 6. členu določa šest pravnih podlag: privolitev, izvajanje pogodbe, izpolnitev zakonske obveznosti, zaščita življenjskih interesov, javni interes in zakoniti interes. Glede na pravno podlago, na kateri temelji obdelava podatkov, se lahko obveznosti upravljavca in pravice posameznikov nekoliko razlikujejo.

Med pravnimi podlagami ni hierarhije, vendar pa ni vsaka pravna podlaga primerna za vsak postopek obdelave oziroma za vsako razmerje med upravljavcem in posameznikom, na katerega se podatki nanašajo, na primer če posameznik ne more svobodno zavrniti privolitve, se upravljavec ne more sklicevati na to pravni podlago. Upravljavec mora glede na vse okoliščine konkretne obdelave osebnih podatkov izbrati najbolj ustrezno med njimi, pri tem pa mora upoštevati tudi posebnosti obdelave osebnih podatkov pri razvoju in uvajanju sistemov UI. Tako si je na primer težko zamisliti okoliščine, ki bi dopuščale sklicevanje na pravno podlago zaščite življenjskih interesov posameznika za namen učenja umetno inteligenčnega sistema.

Pravno podlago mora upravljavec določiti pred začetkom obdelave osebnih podatkov in jo lahko spremeni le, če za to obstaja utemeljen razlog.

Kaj pa obdelava občutljivih podatkov?

Za obdelavo občutljivih podatkov (posebnih kategorij osebnih podatkov) ne zadostujejo zgoraj navedene pravne podlage iz 6. člena Splošne uredbe, temveč mora upravljavec zadostiti tudi eni izmed izjem iz 9. člena Splošne uredbe.

V skladu s prvim odstavkom 10. člena ZVOP-2 enako velja tudi za osebne podatke o vpisu ali izbrisu v ali iz kazenskih evidenc in prekrškovnih evidenc.

Zbiranje podatkov in načelo najmanjšega obsega podatkov

Sistemi UI temeljijo na obdelavi velike količine (osebnih) podatkov, ki so lahko pridobljeni posebej za namen učenja  sistema UI (bodisi neposredno od posameznikov ali na kakšen drug način) ali pa so bili zbrani za kakšen drug namen in se ponovno uporabijo. Takšna nadaljnja uporaba je dopustna le, če je združljiva z namenom, za katerega so bili podatki prvotno zbrani.

Na glede na to, kako so bili osebni podatki zbrani, morajo biti posamezniki, na katere se podatki nanašajo, obveščeni o okoliščinah obdelave podatkov:

• takrat, ko so podatki zbrani, če upravljavec podatke pridobi neposredno od posameznika;
• v razumnem roku, vendar najkasneje v enem mesecu po tem, ko so podatki pridobljeni, če upravljavec pridobi podatke iz drugega vira.

Več o pravicah posameznikov si lahko preberete v razdelku Uresničevanje pravic posameznikov.

Kdaj obdelava šteje za združljivo s prvotnim namenom obdelave?

Upravljavec mora pri presoji, ali je nadaljnja obdelava združljiva s prvotno obdelavo ali ne, upoštevati naslednje kriterije iz četrtega odstavka 6. člena Splošne uredbe:

1. kakršno koli povezavo med nameni, za katere so bili osebni podatki zbrani, in nameni načrtovane nadaljnje obdelave;
2. okoliščine, v katerih so bili osebni podatki zbrani, zlasti kar zadeva razmerje med posamezniki, na katere se nanašajo osebni podatki, in upravljavcem;
3. naravo osebnih podatkov, zlasti ali se obdelujejo posebne vrste osebnih podatkov v skladu s členom 9 ali pa se obdelujejo osebni podatki v zvezi s kazenskimi obsodbami in prekrški v skladu s členom 10;
4. morebitne posledice načrtovane nadaljnje obdelave za posameznike, na katere se nanašajo osebni podatki;
5. obstoj ustreznih zaščitnih ukrepov, ki lahko vključujejo šifriranje ali psevdonimizacijo.

Če nadaljnja obdelava ni združljiva s prvotno, mora upravljavec zagotoviti pravno podlago iz prvega odstavka 6. člena Splošne uredbe. Zakonitosti obdelave občutljivih podatkov ni mogoče zagotoviti z združljivostjo namenov, ampak mora v vsakem primeru temeljiti na eni izmed izjem iz 9. člena Splošne uredbe.

V kakšnem obsegu je dopustno zbirati osebne podatke? Ali jih lahko zbiramo »na zalogo«?

Eno izmed temeljnih načel varstva osebnih podatkov, načelo najmanjšega obsega podatkov, od upravljavcev zahteva, da so podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Če podatki niso potrebni za namen, ki ga zasleduje obdelava osebnih podatkov, jih upravljavec za ta namen ne sme obdelovati. Zbiranje in hramba osebnih podatkov »na zalogo«, brez jasno določenega namena obdelave, zato ni dopustna.

Uresničevanje načela najmanjšega obsega podatkov in razvoj sistemov UI, ki praviloma zahteva obdelavo velike količine (osebnih) podatkov, sta na prvi pogled težko združljiva, vendar pa načelo najmanjšega obsega podatkov samo po sebi ni ovira za tovrstne obdelave podatkov, če je namen obdelave jasno določen in omejen v skladu s ciljem, ki ga obdelava zasleduje.

Od okoliščin vsakega posameznega primera je odvisno, na kakšen način bodo upravljavci zagotovili spoštovanje načela najmanjšega obsega podatkov pri razvoju in uvajanju sistemov umetne inteligence, vendar pa obstaja kar nekaj možnosti za omejitev obsega zbranih podatkov glede na namen obdelave, ki obenem ne okrnijo funkcionalnosti sistema umetne inteligence.

V fazi učenja sistema umetne inteligence načelo najmanjšega obsega podatkov zahteva, da upravljavec obdeluje manjši obseg osebnih podatkov, če lahko z njim doseže enak rezultat: to lahko doseže na primer tako, da namesto osebnih podatkov uporabi anonimizirane podatke ali obdela zgolj tiste vrste osebnih podatkov, ki jih dejansko potrebuje za to, da uresniči zastavljeni namen (cilj). Upravljavci morajo zato skrbno določiti vrste osebnih podatkov, ki jih nujno potrebujejo za učenje določenega sistema umetne inteligence. Upravljavci morajo prav tako presoditi, koliko podatkov potrebujejo za učenje sistema umetne inteligence ter oceniti, ali je obdelava v takšnem obsegu sorazmerna v skladu s ciljem, ki ga zasleduje. Zgolj zato, ker je obdelava podatkov koristna za razvoj sistema umetne inteligence ali bi lahko bila uporabna v prihodnje, še ni nujno, da je tudi pravno dopustna.

Obdobje hrambe osebnih podatkov

Tako kot ni dopustno zbirati neopredeljenega obsega osebnih podatkov, Splošna uredba tudi prepoveduje, da bi se osebni podatki hranili nedoločen čas. V skladu z načelom omejitve shranjevanja se osebni podatki lahko hranijo le toliko časa, kolikor je potrebno za namene, za katere se obdelujejo. Glede na namen obdelave osebnih podatkov in ostale okoliščine obdelave mora upravljavec določiti rok hrambe osebnih podatkov še preden se obdelava prične. Roke hrambe mora redno preverjati (43. člen ZVOP-2), po izteku rokov hrambe pa mora osebne podatke izbrisati ali anonimizirati.

Sistemi UI morda zahtevajo daljše obdobje hrambe v primerjavi z drugimi postopki obdelave podatkov, vendar to samo po sebi ne odvezuje upravljavcev od spoštovanja načela omejitve shranjevanja. Tudi v tem primeru morajo upravljavci določiti obdobje hrambe osebnih podatkov in pri tem upoštevati sorazmernost med namenom obdelave in obdobjem hrambe.

Avtomatizirano sprejemanje odločitev in profiliranje

Masovno zbiranje podatkov in na njem temelječa podatkovna analitika in umetna inteligenca, so omogočili avtomatizacijo procesov odločanja, ki se že izkorišča tako v zasebnem kot javnem sektorju. Avtomatizirano sprejemanje odločitev, sploh kadar ima učinke na pravni položaj posameznikov, spremljajo številna tveganja, ki lahko izvirajo iz nepravilnih, pristranih ali zgolj nenatančnih podatkov in pomanjkljivosti pri načrtovanju modelov umetne inteligence in njihove netransparentnosti. 

Odločitve, ki temeljijo na preteklih podatkih, reproducirajo obstoječe pristranosti in vodijo v začaran krog diskriminacije, ki je obenem težko zaznavna in še težje odpravljena. Splošna uredba zato tovrstno odločanje omejuje in zanj predpisuje stroge zaščitne ukrepe za zavarovanje pravic in svoboščin posameznikov, na katere se podatki nanašajo.

Profiliranje je v Splošni uredbi opredeljeno kot vsaka oblika avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika (4. točka 4. člena Splošne uredbe). Pri oblikovanju profilov ne gre nujno za izključno avtomatizirano obdelavo, temveč mora biti proces obdelave vsaj delno avtomatiziran, temeljiti mora na uporabi osebnih podatkov, cilj obdelave pa je ocenjevanje osebnih okoliščin posameznika. Profiliranje je sicer možno izvesti tudi brez avtomatiziranega odločanja.

Avtomatizirano sprejemanje odločitev pa pomeni izključno avtomatizirano odločanje izključno s tehnološkimi sredstvi brez človekovega posredovanja, ki lahko temelji na profilih, ni pa nujno. Za človekovo posredovanje se šteje le nadzor nad odločitvijo, ki ima dejansko nek pomen in je izveden s strani nekoga, ki ima avtoriteto in pristojnost, da odločitev tudi spremeni.

Profiliranje in avtomatizirano sprejemanje odločitev po Splošni uredbi ni prepovedano, morajo pa upravljavci pri tem spoštovati načela Splošne uredbe in za tovrstno obdelavo zagotoviti ustrezno pravno podlago v skladu s 6. členom Splošne uredbe. Pri izključno avtomatiziranem sprejemanju odločitev morajo upravljavci upoštevati dodatne omejitve iz 22. člena Splošne uredbe.

Posameznik, na katerega se nanašajo osebni podatki ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, ki ima pravne učinke v zvezi z njim ali na podoben način nanj znatno vpliva. Utemeljiti je torej treba tri elemente: (1) gre za odločitev; (2) ta odločitev temelji zgolj na avtomatizirani obdelavi;  (3) znatno vpliva na posameznika, oz. zanj ustvarja pravne učinke.

Nadalje so določene izjeme in sicer se prvi odstavek ne uporablja, če je:

1. odločitev nujna za sklenitev ali izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki in upravljavcem;
2. če je posameznik, na katerega se nanašajo osebni podatki podal izrecno privolitev;
3. če je odločitev dovoljena v pravu Unije ali pravu države članice, ki velja za upravljavca in določa tudi ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika.

Zgoraj navedene izjeme ne smejo temeljiti na posebnih vrstah osebnih podatkov (t. i. občutljivi osebni podatki) razen če je: posameznik podal izrecno privolitev (po točki (a) drugega odstavka 9. člena Splošne uredbe) ali pa je obdelava potrebna iz razlogov bistvenega javnega interesa na podlagi prava Unije ali prava države članice (glej točko (g) drugega odstavka 9. člena Splošne uredbe) in se izvajajo ustrezni ukrepi za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki.

22. člen Splošne uredbe sicer ne razlikuje med tem, ali se obdelava nanaša na odrasle ali otroke, vendar pa iz uvodne opombe 71 Splošne uredbe izhaja, da se avtomatizirano sprejemanje odločitev ne bi smelo uporabljati za otroke. Po mnenju Evropskega odbora z varstvo podatkov (EOVP) sicer ne gre za absolutno prepoved, se pa upravljavci praviloma ne bi smeli posluževati izjem iz drugega odstavka 22. člena Splošne uredbe za utemeljitev obdelave osebnih podatkov otrok.

Načelo preglednosti zahteva, da upravljavci posameznikom zagotovijo nekatere ključne informacije o okoliščinah obdelave osebnih podatkov, ki so določene v 13. in 14. členu Splošne uredbe.

Upravljavci morajo posamezniku pri informiranju o obdelavi njegovih osebnih podatkov med drugim zagotavljati lahko dostopne informacije o obstoju avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov ter smiselne informacije o razlogih zanj, kot tudi pomenu in predvidenih posledicah take obdelave za posameznika, na katerega se nanašajo osebni podatki. Pri tem bi moral upravljavec poiskati preproste načine za seznanitev posameznika, z utemeljitvijo sprejete odločitve ali merili, uporabljenimi pri njenem sprejemanju, na način, da bi podal zgolj smiselne informacije o razlogih, da bi posameznik lahko razumel razloge za odločitev, ter navedel resnične in konkretne primere vrst možnih učinkov (dobra praksa bi bila npr. primerna grafična ponazoritev).

V primeru sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo, je v skladu s točko (a) tretjega odstavka 35. člena Splošne uredbe potrebno izvesti tudi oceno učinka v zvezi z varstvom podatkov, s katero lahko upravljavec tudi učinkovito opredeli ukrepe, ki jih bo uvedel za obvladovanje tveganj v zvezi z varstvom osebnih podatkov, povezanih z obdelavo.

Več o tem glej:

• Zavihek o oceni učinka v zvezi z varstvom podatkov 
• Zavihek o obveščanju posameznikov o obdelavi osebnih podatkov
• Nasveti za upravljavce o obveščanju posameznikov na Upravljavec.si

Uresničevanje pravic posameznikov

Upravljavec mora posameznikom podati informacije o obdelavi njihovih osebnih podatkov, med drugim o njihovih pravicah skladno s Splošno uredbo in jim olajšati izvrševanje njihovih pravic, na primer jim razložiti, kako jih lahko uveljavljajo (npr. v kakšni obliki). Posamezniki morajo odgovor upravljavca praviloma prejeti v enem mesecu.

Kadar sistemi UI vključujejo obdelavo osebnih podatkov, mora upravljavec poskrbeti, da lahko posamezniki uveljavljajo svoje pravice: dostopa (15. člen Splošne uredbe), popravka (16. člen Splošne uredbe), izbrisa (17. člen Splošne uredbe), omejitve obdelave (18. člen Splošne uredbe), prenosljivosti (20. člen Splošne uredbe) in ugovora (21. člen Splošne uredbe). Posamezniki lahko pravice uveljavljajo skozi celoten življenjski cikel sistema umetne inteligence glede obdelav osebnih podatkov.

Če upravljavec osebnih podatkov ne potrebuje več za namene, za katere jih je obdeloval,  mu ni treba ohraniti, pridobiti ali obdelati dodatnih informacij, da bi lahko identificiral posameznike izključno zaradi skladnosti s Splošno uredbo (11. člen Splošne uredbe). Če upravljavec podatkov dokaže, da ne more identificirati posameznika, potem se pravice določene v 15. – 20. členu Splošne uredbe ne uporabljajo, razen če posameznik zagotovi dodatne informacije, ki lahko omogočijo njihovo ponovno identifikacijo.

Posebej o pravici dostopa in ugovora pri avtomatiziranem odločanju

V zvezi z avtomatiziranim sprejemanjem odločitev mora upravljavec posamezniku pri izvajanju pravice dostopa po 15. členu Splošne uredbe (primerljivo z njegovimi obveznostmi po 13. oz. 14. členu Splošne uredbe) med drugim zagotoviti informacijo o obstoju avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena, ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki. Prav tako bi moral upravljavec v skladu s tretjim odstavkom 15. člena Splošne uredbe posamezniku na njegovo zahtevo zagotoviti kopijo njegovih osebnih podatkov, kar pomeni, da mu mora dati na voljo podatke, ki se uporabljajo kot vhodni podatki npr. za oblikovanje profila, ter zagotoviti dostop do informacij o profilu in podrobnosti o tem, v katere segmente so bili uvrščeni posamezniki, na katere se nanašajo osebni podatki.

Posamezniku morajo biti informacije, ki mu lahko pomagajo pri ugovarjanju zoper prejeto odločitev, primerno predstavljene. Posameznik, na katerega se nanašajo osebni podatki, ima namreč skladno s prvim odstavkom 21. člena Splošne uredbe na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim, ki temelji na točki (e) ali (f) prvega odstavka 6. člena Splošne uredbe (če je obdelava potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti ali na podlagi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba), vključno z oblikovanjem profilov na podlagi teh določb. Kadar se osebni podatki obdelujejo za namene neposrednega trženja ima posameznik pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim za namene takega trženja, vključno z oblikovanjem profilov, kolikor je povezano s takim neposrednim trženjem. Posameznika mora upravljavec na pravico do ugovora izrecno opozoriti najpozneje ob prvem komuniciranju in z njim in mu mora to pravico predstaviti jasno in ločeno od vseh drugih informacij.

Več o pravicah posameznikov lahko preberete na spletni strani IP TiOdlocas.si.

Zagotavljanje varnosti podatkov

Osebni podatki se morajo obdelovati tako, da je zagotovljena ustrezna varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo. Upravljavci morajo pri odločitvi, kakšne organizacijske in tehnične ukrepa bodo sprejeli za zagotavljanje ustrezne ravni varnosti upoštevati:

1. najnovejši tehnološki razvoj in stroške izvajanja;
2. naravo, obseg, okoliščine in namene obdelave;
3. tveganja za pravice in svoboščine posameznikov.

Praviloma postopki obdelave osebnih podatkov, ki vključujejo večji obseg osebnih podatkov ali obdelavo občutljivih podatkov in predstavljajo večje tveganje za pravice in svoboščine posameznikov, zahtevajo vpeljavo strožjih ukrepov za zagotavljanje varnosti osebnih podatkov.

Varnostnim grožnjam so lahko podvrženi tako (osebni) podatki, na katerih se sistemi UI učijo, kot tudi sami modeli UI. Nove oblike napadov (na primer model inversion attacks, membership inference attacks) lahko omogočijo tudi ponovno razkritje podatkov, ki se nanašajo na določenega ali določljivega posameznika – torej osebnih podatkov – in s tem ogrozijo celovitost in varnost podatkov. Vendar pa se ne razvijajo le nove oblike kibernetskih napadov, temveč je napredek opazen tudi na področju zagotavljanja varnosti modelov UI. Za zagotavljanje skladnosti z načelom varnosti morajo upravljavci spremljati najnovejši razvoj na tem področju in implementirati ustrezne organizacijske in tehnične ukrepe za zaščito osebnih podatkov.

V primeru kršitve varstva osebnih podatkov mora upravljavec o tem obvestiti pristojni nadzorni organ, kadar pa je verjetno, da bo kršitev povzročila veliko tveganje za pravice in svoboščine posameznikov, mora o tem obvestiti tudi posameznike, na katere se podatki nanašajo.

AKT O UMETNI INTELIGENCI

Uredba (EU) 2024/1689 Evropskega parlamenta in Sveta z dne 13. junija 2024 o določitvi harmoniziranih pravil o umetni inteligenci in spremembi uredb (ES) št. 300/2008, (EU) št. 167/2013, (EU) št. 168/2013, (EU) 2018/858, (EU) 2018/1139 in (EU) 2019/2144 ter direktiv 2014/90/EU, (EU) 2016/797 in (EU) 2020/1828 (Akt o umetni inteligenci) je bila sprejeta 13. junija 2024 in bo začela veljati 1. avgusta 2024.

Vendar se Akt o umetni inteligenci ne bo začel uporabljati takoj, temveč bodo v prehodnem obdobju, ki bo trajalo do let 2027, njegove določbe začele veljati postopoma:

2. februar 2025: začetek uporabe Poglavja I (Splošne določbe in definicije) in II (Prepovedane prakse)

2. avgust 2025: začetek uporabe Poglavja III, oddelek 4, Poglavja V (Modeli UI za splošne namene), Poglavja VII (Upravljanje) in Poglavja XII (Kazni) ter člena 78, razen člena 101

2. avgust 2026: začetek uporabe vseh ostalih določb, z izjemo člena 6(1)

2. avgust 2027: začetek uporabe člena 6(1) in ustreznih obveznosti v skladu s tem členom.

Celotno besedilo Akta o umetni inteligenci najdete tukaj.

Več o Aktu o umetni inteligenci si lahko preberete na spletni strani Evropske komisije.