Technologie umělé inteligence prošly v poslední době významným vývojem a zeširoka se začleňují do každodenního života každého z nás. To je také důvod, proč se o vývoj v této oblasti zajímají státní orgány. Jedním z příkladů dobré praxe je Generální sekretariát Belgického Úřadu pro ochranu osobních údajů, který vydal brožuru zaměřenou na propojení AI s požadavky GDPR a Aktu o umělé inteligenci (AI Akt). V tomto článku jsou nastíněny základní požadavky a důležitá propojení mezi těmito předpisy v souvislosti s ochranou údajů při používání a začleňování AI systémů.
Obecně je třeba objasnit, co znamená pojem „systém AI“. Tento pojem je vymezen v AI Act (čl. 3 odst. 1), ale lze jej zjednodušeně popsat jako počítačový systém specificky určený k analýze dat, identifikaci vzorců a využití těchto znalostí k přijímání informovaných rozhodnutí nebo předpovědí.
Pro demonstraci, že AI systémem není jen ChatGPT nebo určitý chatbot, ale že se s ním setkáváme denně, lze uvést několik příkladů – počínaje spamovými filtry v e-mailu, které rozlišují mezi spamem a legitimními e-maily, přes doporučování seriálů nebo filmů na streamovacích platformách, virtuální asistenty ovládané hlasem, až po analýzu lékařských snímků (např. rentgenových snímků) pomocí AI – to vše lze považovat za systémy AI.
Další podrobnosti o samotném AI Aktu, jeho účinnosti a případných sankcích naleznete v článku zde.
GDPR stanovuje šest základních podmínek pro zpracování osobních údajů, a to jmenovitě: souhlas, smlouvu, právní povinnost, životně důležité zájmy, veřejný zájem a oprávněné zájmy. Tytéž podmínky se vztahují i na systémy umělé inteligence, které upravuje AI Akt. Kromě toho AI Akt rovněž některé systémy AI zakazuje (např. systémy pro tzv. social scoring nebo systémy AI pro rozpoznávání obličejů na veřejných místech v reálném čase).
Ačkoli AI Akt toto zvláště neupravuje, vychází ze zásad stanovených v čl. 2 odst. 1 GDPR a čl. 5 odst. 1 písm. a) GDPR. Pokud jde o transparentnost, AI Akt vyžaduje základní úroveň transparentnosti pro všechny systémy AI (uživatelé by tedy měli být informováni o tom, že komunikují se systémem AI). Kromě toho také vyžaduje vyšší úroveň transparentnosti pro vysoce rizikové systémy AI.
GDPR vyžaduje účelové omezení a minimalizaci údajů, což znamená, že osobní údaje musí být shromažďovány pro konkrétní a legitimní účely a omezeny pouze na to, co je pro tyto účely nezbytné. Tato zásada je pro vysoce rizikové systémy AI dále posílena v AI Aktu zdůrazněním potřeby dobře definovaného a zdokumentovaného účelu, pro který mají být data shromažďována.
GDPR vyžaduje, aby osobní údaje byly přesné a aktualizované. Toto musí zajistit samotné organizace, které s osobními údaji nakládají. AI Akt na to navazuje tím, že požaduje použití vysoce kvalitních a nezkreslených údajů v rámci vysoce rizikových systémů umělé inteligence, aby se zabránilo diskriminačním výsledkům (např. při používání systémů umělé inteligence k automatickému schvalování úvěrů by mohlo docházet k systematickému odmítání poskytování úvěrů žadatelům s nižšími příjmy).
GDPR vyžaduje, aby osobní údaje byly uchovávány pouze po dobu nezbytnou k dosažení účelů, pro které byly shromážděny. Tento požadavek pak AI Akt výslovně nerozšiřuje, a to ani pro vysoce rizikové systémy.
Obě nařízení se zabývají významem zapojení člověka do automatizovaného rozhodování. GDPR dává jednotlivcům právo vznést námitku proti výhradně automatizovanému rozhodování, zatímco AI Akt vyžaduje proaktivní lidský dohled nad vysoce rizikovými systémy umělé inteligence. Tento požadavek vyplývá z toho, aby se zajistila ochrana před možným zkreslením a zároveň zde byl zaručen zodpovědný vývoj a používání takových systémů v praxi.
Jak GDPR, tak AI Akt zdůrazňují význam zabezpečení osobních údajů. Konkrétně GDPR vyžaduje, aby organizace zavedly technická a organizační opatření (např. šifrování údajů, kontroly přístupu), která odpovídají konkrétním rizikům vznikajícím při zpracovávání těchto údajů. AI Akt staví na těchto základech a dále je rozvíjí tím, že zajišťuje robustní bezpečnostní opatření pro vysoce rizikové systémy umělé inteligence (např. detekce anomálií nebo lidský přezkum vysoce rizikových datových bodů).
GDPR zaručuje fyzickým osobám práva, k nimž patří právo na přístup k osobním údajům (čl. 15), na opravu (čl. 16), na výmaz (čl. 17), na omezení zpracování (čl. 18) a na přenositelnost údajů (čl. 20). AI Akt pak zdůrazňuje, že pro podporu těchto práv je důležité poskytnout jasné poučení o tom, jak jsou údaje v systémech AI používány.
GDPR vyžaduje odpovědnost za zpracování osobních údajů prostřednictvím několika opatření, jako je transparentní zpracování, zásady a postupy pro nakládání s osobními údaji, zdokumentované právní základy pro zpracování, vedení záznamů a další bezpečnostní opatření.
AI Akt nemá samostatný oddíl stran výše uvedené problematiky odpovědnosti, ale opět vychází ze zásad GDPR. Vyžaduje tedy, aby organizace zavedly dvoustupňový přístup k řízení rizik pro systémy AI, vedly jasnou dokumentaci a zajistily lidský dohled nad systémy AI s vysokým rizikem.
Závěrem lze říci, že propojení mezi GDPR a AI Aktem je klíčové pro plné pochopení regulace systémů AI. Je tedy zřejmé, že tato nařízení jsou vzájemně provázaná a nelze je posuzovat izolovaně. AI Akt konkretizuje a zpřísňuje podmínky pro systémy AI, zejména pro ty vysoce rizikové, přičemž vychází ze zavedených zásad GDPR.
Naše advokátní kancelář se specializuje na implementaci AI a je proslulá svým inovativním přístupem k technologiím. Díky tomu jsme připraveni poskytnout našim klientům právní pomoc také v souvislosti s implementací systémů AI.
Právě díky používání AI byla naše advokátní kancelář oceněna cenou „Právní inovace roku 2023/2024 v české kanceláři“.
Odpovědný právník: Mgr. Filip Ondřej, na článku spolupracovala Kateřina Chaloupková.
Když nám na sebe necháte kontakt, heslo Vám rádi zašleme. K celé databází mají přístup zdarma i naši klienti a je stejné jako heslo k naší veřejné Wi-Fi v zasedacích místnostech.
JUDr. Jakub Dohnal, Ph.D
advokát, partner
Podělte se s námi prosím o: