BI CONSULT - AZOP: Umjetna inteligencija i zaštita osobnih podataka

GDPR Croatia

Napisao/la BI CONSULT 01 Kolovoz 2025

Dokument je dostupan svima na poveznici:

https://azop.hr/wp-content/uploads/2025/08/FAQs-zastita-osobnih-podataka-i-UI.pdf

i predstavlja izvrstan praktičan sažetak primjene EU AI Akta, prvenstveno dobavljača (koji razvija i/ili stavlja ga na tržište) i subjekata koji upotrebljavaju AI sustave. Potonjih je na hrvatskom tržištu puno više, s brojnim primjerima primjene AI sustava.

Svakim danom sve više vidimo primjere u kojima domaći pravni subjekti s ponosom javno obznanjuju kako su uveli AI u svoje poslovanje, što je svakako izvrsna stvar. A pri tom nikako da pronađemo neku javnu objavu o uspješnoj implementaciji ili reviziji GDPR usklađenosti.

Pa kakve veze imaju AI Akt (Uredba o umjetnoj inteligenciji) i GDPR (Opća uredba o zaštiti podataka)?

AI akt ili Uredba o umjetnoj inteligenciji primjenjuje se na javne i privatne subjekte unutar i izvan EU, sve dok je AI sustav stavljen na tržište Unije ili njegova uporaba ima učinak na osobe koje se nalaze u EU.

AI sustav ne može funkcionirati bez ulaznih podataka, bili oni korišteni za treniranje AI modela i algoritama ili bili korišteni za samu svrhu AI sustava.

A kad spominjemo podatke, najčešće se radi o podacima temeljem kojih se može identificirati određena osoba, odnosno, o osobnim podacima.

Stoga dolazimo do ključnih poruka AZOP-a:

„Neovisno o tome kojeg je rizika sustav umjetne inteligencije, Opća uredba o zaštiti podataka se primjenjuje na aktivnosti obrade osobnih podataka u sustavima umjetne inteligencije tijekom cijelog životnog ciklusa sustava umjetne inteligencije; u svim fazama razvoja, testiranja i uporabe sustava.

Sukladno članku 47. Uredbe o umjetnoj inteligenciji, dobavljač sustava umjetne inteligencije (AI provider) je u obvezi sastaviti pisanu EU izjavu o sukladnosti iz članka 47. za visokorizični sustav. Ako UI sustav obuhvaća obradu osobnih podataka, u obvezi je dati izjavu da je taj UI sustav usklađen s Uredbama (EU) 2016/679 (Opća uredba o zaštiti podataka) i (EU) 2018/1725 te Direktivom (EU) 2016/680.“

Kako su povezani GDPR i AI Akt?

Njih treba promatrati kao komplementarne instrumente odnosno propise koji se međusobno nadopunjuju. Važno je naglasiti da se pravo EU o zaštiti podataka u potpunosti primjenjuje na obradu osobnih podataka uključenih u životni ciklus sustava umjetne inteligencije.

Jedan od načina za zaštitu osobnih podataka i privatnosti tijekom treniranja AI sustava je korištenje anonimiziranih ili pseudonimiziranih podataka. Naime, GDPR se ne primjenjuje na anonimizirane podatke, što znači da se podaci koji su potpuno anonimizirani mogu koristiti bez ograničenja, jer nije moguće identificirati ispitanike.

AI modeli se mogu dizajnirati i optimizirati tako da za svoj rad koriste minimalnu količinu podataka, čime se dodatno smanjuju rizici za privatnost.

Pod određenim okolnostima, ispitanici imaju pravo tražiti brisanje svojih osobnih podataka. To uključuje i podatke koji su korišteni za treniranje AI modela. Novi algoritmi omogućuju tzv. „machine unlearning“, odnosno selektivno uklanjanje podataka iz treniranih modela bez potrebe za potpunim ponovnim treniranjem cijelog modela. Time se omogućuje poštivanje prava ispitanika i nakon što su njihovi podaci već korišteni u procesu učenja.

Osobni podaci ne smiju se čuvati neograničeno. Opća uredba o zaštiti podataka zahtijeva da se unaprijed odredi razdoblje čuvanja podataka, nakon kojeg se podaci moraju izbrisati ili, u određenim slučajevima, arhivirati. Ovo razdoblje čuvanja mora utvrditi voditelj obrade, uzimajući u obzir svrhu zbog koje su osobni podaci prikupljeni.

GDPR se primjenjuje i na osobne podatke koji su javno dostupni, primjerice objavljeni u javnim registrima, društvenim mrežama, internetskim stranicama javnih tijela itd.

Ukoliko voditelj obrade (npr. dobavljač AI sustava) želi koristiti takve osobne podatke za treniranje AI modela ili u neku drugu svrhu, potrebno je odrediti odgovarajući pravni temelj, poštovati načela iz članka 5. GDPR-a i udovoljiti svim ostalim zahtjevima iz GDPR-a. Ukoliko voditelj obrade želi obradu osobnih podataka temeljiti na legitimnom interesu, takav legitiman interes je potrebno dokazati provedbom trodijelnog testa.

Jesu li organizacije ili pojedinci obvezni poštovati GDPR i ako nisu sami razvili AI sustav?

Svaka fizička ili pravna osoba koja određuje svrhu i sredstva obrade osobnih podataka smatra se voditeljem obrade te je obvezna postupati u skladu s GDPR-om, bez obzira na to je li sama razvila AI sustav ili koristi sustav treće strane. Čak i ako dobavljač ili subjekti koji uvode sustav određuje tehničke specifikacije sustava, to ne mijenja činjenicu da je upravo korisnik AI sustava najčešće voditelj obrade s odgovornostima prema GDPR-u.

Koje su obveze subjekata koji uvode visokorizične sustave umjetne inteligencije - AI deployeri (članak 26. AI akta)?

֍ Korištenje i nadzor

֍ Podaci i praćenje rada sustava

֍ Evidencije i čuvanje zapisa

֍ Obavještavanje radnika

֍ Obveze javnih tijela

֍ Procjena učinka na zaštitu podataka

#AI

#AICroatia

#GDPRCroatia

#fundametalrights

#compliance

AZOP: Umjetna inteligencija i zaštita osobnih podataka

Kontaktiraj nas

Izbornik

AZOP: Umjetna inteligencija i zaštita osobnih podataka

Dok vi gradite svoj poslovni uspjeh

mi brinemo o zaštiti podataka

Kontaktiraj nas

Izbornik