EU AI Act ili svima već poznat Akt o umjetnoj inteligenciji, koji se počeo primjenjivati ovo ljeto u svojoj uvodnoj izjavi 10. jasno naznačuje da se apsolutno oslanja na GDSPR kad su u pitanju obrade osobnih podataka putem AI tehnologija i sustava.
„Temeljno pravo na zaštitu osobnih podataka osobito je zajamčeno uredbama (EU) 2016/679 (11) i (EU) 2018/1725 (12) Europskog parlamenta i Vijeća te Direktivom (EU) 2016/680 Europskog parlamenta i Vijeća (13). Direktivom 2002/58/EZ Europskog parlamenta i Vijeća (14) dodatno se štiti privatni život i povjerljivost komunikacija, među ostalim i pružanjem uvjeta za svu pohranu osobnih i neosobnih podataka u terminalnoj opremi te pristup tim podacima s terminalne opreme. Ti su pravni akti Unije temelj za održivu i odgovornu obradu podataka, među ostalim i onda kada skupovi podataka uključuju kombinaciju osobnih i neosobnih podataka. Ovom se Uredbom ne nastoji utjecati na primjenu postojećeg prava Unije kojim se uređuje obrada osobnih podataka, uključujući zadaće i ovlasti neovisnih nadzornih tijela nadležnih za praćenje usklađenosti s tim instrumentima. Ona usto ne utječe na obveze dobavljačâ UI sustava i subjekata koji uvode te sustave u njihovoj ulozi voditelja obrade podataka ili izvršitelja obrade podataka koje proizlaze iz prava Unije o zaštiti osobnih podataka ili nacionalnog prava o zaštiti osobnih podataka u mjeri u kojoj dizajniranje, razvoj ili korištenje UI sustava uključuje obradu osobnih podataka. Također je primjereno pojasniti da ispitanici i dalje uživaju sva prava i jamstva koja su im dodijeljena tim pravom Unije, među ostalim i prava povezana s isključivo automatiziranim pojedinačnim donošenjem odluka, uključujući izradu profila. Usklađena pravila o stavljanju na tržište, stavljanju u upotrebu i korištenju UI sustava uspostavljena ovom Uredbom trebala bi olakšati djelotvornu provedbu i omogućiti ostvarivanje prava ispitanikâ i drugih pravnih sredstava zajamčenih na temelju prava Unije o zaštiti osobnih podataka i drugih temeljnih prava.“
Zapravo je sve teže zamisliti današnju primjenu AI u kojoj ne bi bilo obrađivanih osobnih podataka.
Drugim riječima, bez usklađenosti s GDPR-om nema ni usklađenosti s Aktom o umjetnoj inteligenciji.
Evo nam i primjera iz Danske.
Osiguravateljska kompanija je radi „unaprjeđenja korisničkog iskustva“ (svima poznat buzzword) i praćenja kvalitete rada telefonskih agenata, odlučila snimati telefonske razgovore službe za korisnike. Ništa kompleksno, rekli bismo. Trebaju samo dokazati valjanost legitimnog interesa, informirati zaposlenike i korisnike o snimanju na ispravan način, najaviti snimanje poziva i ograničiti rokove zadržavanja snimki kao i prava pristupa snimkama, sve to putem internog pravilnika,
Angažirana je druga tvrtka kao izvršitelj obrade da pretvori snimke u transkripte (tekst) koristeći software za prepoznavanje govora, koji je analizirao i prepoznavao specifične riječi korištene od strane agenata, s ciljem ujednačavanja komunikacije s klijentima putem telefona.
Software je analizirao riječi koje su donosile pozitivne i negativne učinke tijekom razgovora te je prepoznavajući reakcije i ponašanje klijenata izradio nove tekstove komunikacije klijentima u skladu s njihovim interesima, na web stranicama, unutar newslettera i telefonske komunikacije.
Jasno je da je osiguravatelj koristio snimljene razgovore za učenje AI modela i da je se AI koristio za navedenu analitiku.
U tu svrhu je osiguravatelj morao, po jasnom informiranju klijenata, uz uvažavanje i članka 22. GDPR-a s obzirom na profiliranje klijenta, dobiti njihov valjani pristanak – izričitu privolu za konkretnu vrstu i svrhu obrade njihovih snimki razgovora, koje su sadržavale ime i prezime, financijske podatke, podatke o osiguranjima pa i podatke vezane uz zdravstveno stanje klijenta.
Više o slučaju:
https://gdprhub.eu/index.php?title=Datatilsynet_(Denmark)_-_2023-431-0018&mtc=today
Image from FreePik
#gdprcroatia
