Nemojmo nipošto zaboraviti na GDPR u procesu razvoja AI rješenja

Svakodnevno se susrećemo s brojnim objavama pojedinaca i poslovnih subjekata kojima obznanjuju izradu aplikacije ili gotovog poslovnog rješenja baziranog na AI tehnologijama za specifičnu svrhu koja bi poslovnim subjektima mogla biti ključ tržišnog uspjeha.

Da, i u RH postoji nemali broj softverskih tvrtki koje izrađuju takva rješenja temeljena na AI.

Svima njima su zajedničke u pravilu dvije temeljne faze razvoja i implementacije rješenja:

  1. Treniranje AI modela na velikim količinama osobnih podataka
  2. Implementacija AI modela u konkretnom okruženju kupca softverskog rješenja za njegove vlastite korisnike

kao što im je zajedničko i zanemarivanje odredbi EU AI Akta (Akta o umjetnoj inteligenciji) i GDPR-a tijekom razvoja i implementacije.

 

Pogledajmo jednu od ključnih i svima razumljivih odredbi AI Akta u njegovom članku 2., pri čemu je važno prepoznati da se u EU AI Aktu GDPR spominje kao Uredba (EU) 2016/679:

7.Pravo Unije o zaštiti osobnih podataka, privatnosti i povjerljivosti komunikacija primjenjuje se na osobne podatke koji se obrađuju u vezi s pravima i obvezama utvrđenima u ovoj Uredbi. Ova Uredba ne utječe na uredbe (EU) 2016/679 i (EU) 2018/1725 ni na direktive 2002/58/EZ i (EU) 2016/680, ne dovodeći pritom u pitanje članak 10. stavak 5. i članak 59. ove Uredbe.

8.Ova se Uredba ne primjenjuje na aktivnosti istraživanja, testiranja ili razvoja UI sustava ili UI modela prije njihova stavljanja na tržište ili u upotrebu. Takve se aktivnosti provode u skladu s primjenjivim pravom. Testiranje u stvarnim uvjetima nije obuhvaćeno tim isključenjem.

 

Iz prethodno navedenog je jasno da je u obje faze razvoja i implementacije AI sustava, ako se njima na bilo koji način obrađuju osobni podaci pojedinaca, moraju u cijelosti poštivati obveze iz GDPR-a.

……………………………..

Prethodno navedeno je znala banka u Belgiji, koja si je zadala cilj uvesti AI sustav u poslovanje kojim bi svojim klijentima izračunavali individualizirane posebne popuste na usluge.

I tu je u pripremnoj fazi banka odredila pravne temelje iz članka 6. GDPR-a:

  • Za treniranje AI modela – legitimni interes iz članka 6. stavka 1. točke (f) GDPR-a
  • Za aktiviranje izračuna posebnih pospusta putem AI modela – privola klijenta iz članka 6. stavka 1. točke (a) GDPR-a.

 

Međutim, jedan klijent banke, očigledno stručan, podnio je prigovor nadzornom tijelu za zaštitu osobnih podataka koje je pokrenulo istragu u banci.

Bio je ljut što je banka njegove osobne podatke, zapravo sve relevantne povijesne zapise u svojim evidencijama iskoristila za treniranje AI modela, o čemu klijent navodno nije bio upoznat prilikom prelaska na tu banku i da je banka u tom trenutku smatrala da se samim time što klijent želi individualiziranu ponudu posebnih popusta podrazumijeva da se time i njegovi osobni podaci mogu koristiti u treniranju Ai modela banke.

 

Nadzorno tijelo je jasno utvrdilo da je banka ispravno primijenila GDPR:

A. da su treniranje AI modela banke i izrada individualizirane ponude posebnih popusta za svoje klijente – dvije potpuno odvojene obrade osobnih podataka za koje mora postojati zaseban pravni temelj iz članka 6. GDPR-a

 

B. da klijent banke, koji pristaje da mu banka ponudi individualiziranu ponudu popusta, ne mora razumno očekivati da će njegovi povijesni podaci biti korišteni za treniranje AI modela i da te svrhe nisu kompatibilne

 

C. da je legitimni interesa banke opravdan jer ne zadire bitno u temeljna prava klijenta kao fizičke osobe jer su njegovi podaci korišteni za treniranje AI modela na način da su uklonjeni identifikatori kojima bi se moglo klijenta identificirati, odnosno, podaci za treniranje AI modela su bili anonimizirani. Pri tom se podaci nisu otkrivali trećim stranama niti su obrađivane posebne kategorije osobnih podataka, čime je utjecaj na samo klijenta minimalan i klijent je uvijek mogao podnijeti prigovor na legitimni interes za korištenje njegovih osobnih podataka za treniranje AI modela prema uputama u politici privatnosti i izravnim obavijestima

 

Više o slučaju banke u Belgiji:

https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_46/2024&mtc=today

 

Jesmo li rekli da ovaj post, kao i nijedan drugi na GDPR Croatia, nije pisala umjetna inteligencija?

 

Image from FreePik

#gdprcroatia