Svakodnevno prateći razne objave u medijima i na društvenim mrežama na temu primjene AI ne možemo se oteti dojmu da zaštita osobnih podataka obrađivanih putem AI sustava nije prepoznata kao jednim od temeljnih i nezaobilaznih elemenata usklađenosti AI sustava.
֍ Jel možda razlog ili uzrok tome leži u činjenici da ni GDPR nismo usvojili onako kako smo ga trebali još prije puno godina?
֍ Ili nam je GDPR previše kompleksan i nitko nam ga ne zna kvalitetno približiti?
֍ Ili je razlog tome što nismo imali vremena pročitati EU AI Act ili nam je i taj propis previše kompleksan?
Molim?
Što je AI Act ili Artificial Intelligence Act?
Sažeto rečeno, AI Act ili Akt o umjetnoj inteligenciji ili Uredba (EU) 2024/1689 je Uredba EU, baš kao i GDPR, koja donosi skup strogih zakonskih obveza za sve sudionike u AI okruženju, koja pruža svim sudionicima implementacije AI sustava jasne zahtjeve i obveze u pogledu određenih primjena AI.
Ne smijemo zatvarati oči na činjenicu da danas već naveliko prisutni određeni AI sustavi stvaraju rizike koji itekako mogu donijeti neželjene ishode, prvenstveno na nas obične male ljude i na naša temeljna prava. Na primjer, često nije moguće saznati zašto je AI donio odluku ili predviđanje i zašto je poduzeo određenu mjeru. Stoga može biti teško procijeniti je li netko bio u nepravednom nepovoljnom položaju, primjerice u odluci o zapošljavanju ili o iznosu police osiguranja ili pak u zahtjevu za dobivanje kredita.
AI aktom se utvrđuje pravni okvir za:
֍ rješavanje rizika posebno uzrokovanih primjenama AI;
֍ zabranu AI praksi koje predstavljaju neprihvatljive rizike za temeljna ljudska prava;
֍ utvrđivanje popisa visokorizičnih aplikacija;
֍ utvrđivanje jasnih zahtjeva za AI sustave za visokorizične primjene;
֍ definiranje posebnih obveza subjekata za uvođenje i dobavljača visokorizičnih AI aplikacija;
֍ ocjenjivanje sukladnosti prije stavljanja određenog AI sustava u uporabu ili stavljanja na tržište;
֍ implementaciju i provedbu AI akta nakon stavljanja određenog AI sustava na tržište;
֍ uspostavu nadzornu strukturu na europskoj i nacionalnoj razini.
Da, istina je, svakim danom vidimo sve više tvrtki u RH koje se nastoje pohvaliti kako su u svoje poslovne procese ili u svoja softverska rješenja uveli AI sustave.
Sve češće dobivamo ponude za edukacije na temu primjene AI.
I, vjerujte nam, nikad nismo vidjeli da pri tom itko spominje zaštitu osobnih podataka niti GDPR. Ok, vjerojatno vidimo samo loše objave i dobivamo nepotpune ponude.
Važno je što prije prepoznati da je GDPR zapravo sastavni i nezaobilazni dio AI akta.
Ako putem AI sustava, vlastitih ili kupljenih, obrađujemo osobne podatke, GDPR se u cijelosti primjenjuje. Drugim riječima, bez poštivanja GDPR-a ne može se ni AI akt ispoštovati.
Vjerovali ili ne, GDPR ili Uredba (EU) 2016/679 se u tekstu AI akta izrijekom spominje čak 30 puta. Trideset. Tri-Nula.
Uvodna izjava (10) AI Akta kaže:
„Temeljno pravo na zaštitu osobnih podataka osobito je zajamčeno uredbama (EU) 2016/679 (11) i (EU) 2018/1725 (12) Europskog parlamenta i Vijeća te Direktivom (EU) 2016/680 Europskog parlamenta i Vijeća (13). Direktivom 2002/58/EZ Europskog parlamenta i Vijeća (14) dodatno se štiti privatni život i povjerljivost komunikacija, među ostalim i pružanjem uvjeta za svu pohranu osobnih i neosobnih podataka u terminalnoj opremi te pristup tim podacima s terminalne opreme. Ti su pravni akti Unije temelj za održivu i odgovornu obradu podataka, među ostalim i onda kada skupovi podataka uključuju kombinaciju osobnih i neosobnih podataka. Ovom se Uredbom ne nastoji utjecati na primjenu postojećeg prava Unije kojim se uređuje obrada osobnih podataka, uključujući zadaće i ovlasti neovisnih nadzornih tijela nadležnih za praćenje usklađenosti s tim instrumentima. Ona usto ne utječe na obveze dobavljačâ UI sustava i subjekata koji uvode te sustave u njihovoj ulozi voditelja obrade podataka ili izvršitelja obrade podataka koje proizlaze iz prava Unije o zaštiti osobnih podataka ili nacionalnog prava o zaštiti osobnih podataka u mjeri u kojoj dizajniranje, razvoj ili korištenje UI sustava uključuje obradu osobnih podataka. Također je primjereno pojasniti da ispitanici i dalje uživaju sva prava i jamstva koja su im dodijeljena tim pravom Unije, među ostalim i prava povezana s isključivo automatiziranim pojedinačnim donošenjem odluka, uključujući izradu profila. Usklađena pravila o stavljanju na tržište, stavljanju u upotrebu i korištenju UI sustava uspostavljena ovom Uredbom trebala bi olakšati djelotvornu provedbu i omogućiti ostvarivanje prava ispitanikâ i drugih pravnih sredstava zajamčenih na temelju prava Unije o zaštiti osobnih podataka i drugih temeljnih prava.“
Uvodna izjava (69) AI Akta kaže:
„Pravo na privatnost i zaštitu osobnih podataka mora biti zajamčeno tijekom cijelog životnog ciklusa UI sustava. U tom su pogledu načela smanjenja količine podataka te tehničke i integrirane zaštite podataka, kako su utvrđena u pravu Unije o zaštiti podataka, primjenjiva tijekom obrade osobnih podataka. Mjere koje dobavljači poduzimaju kako bi osigurali usklađenost s tim načelima mogu uključivati ne samo anonimizaciju i kriptiranje, nego i upotrebu tehnologije kojom se omogućuje dovođenje algoritama u podatke i treniranje UI sustavâ bez prijenosa između strana ili kopiranja samih neobrađenih ili strukturiranih podataka, ne dovodeći u pitanje zahtjeve u pogledu upravljanja podacima predviđene u ovoj Uredbi.“
Stoga je nezaobilazno za svaku organizaciju dati odgovor na slijedeće pitanje: Znamo li da prilikom implementacije AI sustava moramo ispoštovati GDPR u cijelosti?
Jesmo li spomenuli da će Agencija za zaštitu osobnih podataka najvjerojatnije biti nadležno tijelo i za nadzor AI sustava u RH? Sad jesmo…
Image from FreePik
#gdprcroatia
