Umělá inteligence a osobní údaje v roce 2024

S narůstajícím významem umělé inteligence (dále jen "AI") se zvyšují nároky klientů v této oblasti, a proto je klíčové v tomto směru neustále aktualizovat informace. S tématem AI se nedílně pojí i zpracování osobních údajů. Tuto problematiku Nařízení o ochraně osobních údajů (General Data Protection Regulation, dále jen “GDPR”), které je použitelné i v souvislosti se zpracováním údajů AI a snaží se chránit osobní údaje občanů EU.

Co to je GDPR a jak nás chrání?

Pro případ, že jste o něm ještě neslyšeli - GDPR stanovuje pravidla pro zpracování osobních údajů v EU. Jeho zásady se vztahují na jakékoliv subjekty, které shromažďují, uchovávají, zpracovávají nebo předávají osobní údaje občanů EU. To zahrnuje také organizace a společnosti, které využívají AI pro zpracování těchto dat.

Jedním z hlavních principů GDPR je zásada účelového omezení zakotveného v čl. 5 odst. 1, písm. b) GDPR. To znamená, že osobní údaje by měly být shromažďovány pouze pro konkrétní a oprávněné účely a neměly by být zpracovávány způsobem, který by tomuto odporoval. 

Totéž tedy platí i pro využití AI při zpracování osobních údajů. Organizace musí zajistit, že využití AI je v souladu s účely, pro které byly údaje shromažďovány, a že se vyhýbá nadměrnému nebo neoprávněnému zpracování. V praxi to tedy znamená například to, že pokud přemýšlíte, že “čím více údajů mít v databázi”, tím lépe, musíte zpozornět. Vždy si rozmyslete s jakými daty budete pracovat.

Jak přistupovat k osobním údajům při práci s umělou inteligencí?

Již při vývoji AI systémů by se mělo dbát na ochranu osobních údajů, a to zejména přijetím technických a organizačních opatření pro minimalizaci rizika ztráty, zneužití nebo neoprávněného přístupu k těmto datům. Měla by tak být používána adekvátní bezpečnostní opatření, jako je například šifrování dat, anonymizace či pseudonymizace. Dále může být užito zabezpečných úložišť dat či sledování kdo má k datům přístup.

Zohlednění ochrany osobních údajů v oblasti AI můžeme najít i v novém nařízení EU AI Act, které reguluje právě používání umělé inteligence. Pokud by bylo v tomto směru postupováno v rozporu s postupy, které nastiňuje GDPR nebo toto nové nařízení EU AI Act mohou za to být ukládány sankce, typicky ve formě pokut, jak je řečeno dále.

Osobními údaji se pak rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě (čl. 4 odst. 1 Nařízení GDPR). Proto je nutné přistoupit minimálně k úpravě smluv týkajících se zpracování osobních údajů, jak jsme uvedli výše.

GDPR také klade důraz na transparentnost - což je zakotveno společně se zákonností a korektností v čl. 5 odst. 1, písm. a) GDPR - a informovanost. Osoby, jejichž osobní údaje jsou zpracovávány, musí být řádně informovány o účelech zpracování, kategoriích zpracovávaných údajů a v neposlední řadě je nutné je poučit o jejich právech ve vztahu k jejich údajům (např. právo být zapomenut, které je upraveno v čl. 17 GDPR). O to spíše toto platí i v případě využití AI, kdy by měly být poskytovány jasné informace o tom, jak AI systémy zpracovávají osobní údaje a jaká jsou s tím spojená rizika.

Bezpečnost AI je třeba sledovat i z pohledu firem, u kterých by mohlo docházet např. k úniku obchodních tajemství, či porušení povinnosti mlčenlivosti. Pokud tedy Vaši zaměstnanci používají při práci např. ChatGPT, je nutné, aby neudávali žádná citlivá data, která by mohla způsobit nenapravitelné škody.

Pro zaměstnance tedy doporučujeme pořádat školení zaměřená na tuto problematiku či zavést vnitřní směrnice. S ohledem na to dále doporučujeme upravit vztahy i směrem ven ze společnosti, a to s ohledem na dodavatele, například by mohlo být vhodné upravit smlouvy.

Zdravotnictví a umělá inteligence “v plenkách”

Neopomenutelným tématem je ve vztahu k AI bezpochyby obor zdravotnictví. Sluší se zdůraznit, že údaje o  zdravotním stavu se řadí mezi zvláštní kategorii osobních údajů, u kterých je zvýšená jejich ochrana, na což navazují i odpovídající pokuty, které dosahují vyšších částek. Samotná Světová zdravotnická organizace (dále jen “WHO”) avšak poukazuje na to, že užívání AI by mělo být ve zdravotnictví spíše marginální a užívat ji jen velmi obezřetně.*

Mimo již známé aplikace, které nám sledují kupříkladu kalorický příjem, je zde i pojem telemedicíny jako zcela nového odvětví, kterému se věnovala ve svém článku Mgr. Barbora Dlabolová (dostupný zde). Tento pojem zastřešuje v podstatě poskytování zdravotní péče na dálku pomocí digitálních zařízení, nicméně v tuto chvíli není nijak regulován. I zde jsou rizika, na které upozorňuje i WHO, vzhledem k tomu, že je stále preferováno poskytování zdravotních služeb jak je známe.

Za předpokladu, že by se zdravotnictví, resp. údaje o našem zdravotním stavu mělo propojit s novodobou technologií AI, bude třeba zajisté novelizovat zákon č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování, aby s tímto pokrokem šel ruku v ruce. Bude tak více než vhodné upravit i interní směrnice či politiky jednotlivých zdravotnických zařízení, které budou zohledňovat právě zavádění AI.

Co se stane při porušení těchto pravidel?

Pokud porušíte pravidla stanovená GDPR pro práci s osobními údaji, mohou Vám hrozit vysoké pokuty. To zahrnuje i případy nedodržení požadavků na ochranu osobních údajů při využití AI. Je proto důležité, abyste ve své organizaci pečlivě dodržovali Nařízení GDPR a zajistili, že AI systémy jsou taktéž v souladu s těmito požadavky.

Dle čl. 83 GDPR mohou pokuty za porušení povinností dle GDPR vystoupat až do výše 10 000 000 EUR, nebo jedná-li se o podnik, až do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší.

V případě AI Act se jedná o pokuty až do výše 30 000 000 EUR nebo, dopustí-li se porušení společnost, až do výše 6 % jejího celkového ročního obratu celosvětově za předchozí finanční rok podle toho, která hodnota je vyšší.

Odstrašujícím příkladem může být například pokuta udělená Hello bank! za neoprávněné nakládání s biometrickými podpisy svých klientů, kdy dostala pokutu ve výši čtvrt milionu korun.

AI nabízí mnoho přínosů a inovací, ale zpracování osobních údajů by mělo být prováděno s respektem k soukromí a právům jednotlivců. Směrnice GDPR přináší důležité rámce a pravidla, která mají chránit osobní údaje a zajišťovat, že využití AI je v souladu se základními principy ochrany soukromí. Umělé inteligenci se věnujeme i v článcích zde či zde.

V případě, že byste měli dotazy týkající se tohoto tématu, neváhejte se na nás obrátit, rádi se s Vaším případem seznámíme.

______________________________________________

*WHO calls for safe and ethical AI for health. Online. 2023. Dostupné z: https://www.who.int/news/item/16-05-2023-who-calls-for-safe-and-ethical-ai-for-health. [cit. 2024-03-20].

Na článku spolupracovala Kateřina Chaloupková.