BI CONSULT - Ne prođe dan da se neki poslovni subjekt pohvali kako je uveo AI sustave, a o GDPR-u ni slovca

GDPR Croatia

Napisao/la BI CONSULT 07 Svi 2026

AZOP, koji svjedoči istome, je danas objavio opsežne i sveobuhvatne Smjernice naziva „Zaštita osobnih podataka i umjetna inteligencija”, namijenjene organizacijama koje razvijaju, treniraju, testiraju, integriraju ili koriste sustave umjetne inteligencije.

Smjernice prolaze kroz praktična pitanja koja se u projektima umjetne inteligencije vrlo brzo otvore: kada se na AI model ili sustav primjenjuje Opća uredba o zaštiti podataka, kako odrediti uloge dobavljača i korisnika sustava, kako definirati svrhu i pravnu osnovu obrade, što znači zaštita podataka po dizajnu, kako informirati ispitanike, kako omogućiti ostvarivanje prava, kada provesti DPIA-u i koje sigurnosne mjere uzeti u obzir.

Poseban naglasak stavljen je i na pitanja anonimnosti modela, rizike povezane s LLM-ovima, napade na modele i sustave, kao i na tehnologije za poboljšavanje privatnosti.

Poruka smjernica je jednostavna: zaštita osobnih podataka nije prepreka razvoju umjetne inteligencije. Ona je preduvjet da se umjetne inteligencija razvija i koristi na način koji je zakonit, odgovoran i usmjeren na čovjeka.

Smjernice su dostupne ovdje: https://azop.hr/wp-content/uploads/2026/05/AZOP-Smjernice-za-razvoj-AI-sustava.pdf

Izdvojit ćemo prave primjere i upute iz Smjernica:

֍ Javno tijelo planira uvesti virtualnog pomoćnika na svojoj mrežnoj stranici radi pružanja općih informacija građanima o pitanjima iz svoje nadležnosti. Sustav se temelji na tehnologiji umjetne inteligencije i koristi javno dostupne informacije objavljene na mrežnoj stranici javnog tijela. Sustav nije namijenjen donošenju odluka o pojedincima niti pružanju individualiziranih pravnih savjeta, već informativnom usmjeravanju korisnika.

Iako sustav nije namijenjen obradi osobnih podataka i od korisnika ne traži unos osobnih podataka, to samo po sebi ne znači da se Opća uredba o zaštiti podataka ne primjenjuje. U praksi se mogu obrađivati tehnički podaci, primjerice IP adresa, log zapisi, podaci o korištenju mrežne stranice ili drugi podaci povezani s radom virtualnog pomoćnika. Osim toga, korisnik može u slobodni tekstualni upit sam unijeti osobne podatke, primjerice ime i prezime, kontakt podatke, podatke o političkom djelovanju, zdravlju ili druge informacije koje nisu nužne za dobivanje opće informacije.

U takvom slučaju organizacija treba najprije utvrditi dolazi li do obrade osobnih podataka. Ako se obrađuju tehnički podaci korisnika, log zapisi ili sadržaj upita koji može sadržavati osobne podatke, potrebno je primijeniti Opću uredbu o zaštiti podataka u dijelu u kojem dolazi do takve obrade.

Ako sustav nije namijenjen obradi osobnih podataka, potrebno ga je oblikovati tako da se obrada osobnih podataka svede na najmanju moguću mjeru. To uključuje jasnu obavijest korisnicima da ne unose osobne podatke niti posebne kategorije osobnih podataka, tehničke mjere za ograničavanje ili filtriranje nepotrebnih podataka, ograničeno vođenje logova, kratke rokove čuvanja, pseudonimizaciju ili anonimizaciju gdje je primjenjivo te zabranu korištenja korisničkih upita za treniranje ili poboljšanje modela ako za to ne postoji odgovarajuća pravna osnova i jasno određena svrha.

Ako korisnik ipak unese osobne podatke koji nisu potrebni za davanje odgovora, sustav bi trebao biti konfiguriran tako da korisnika upozori da takvi podaci nisu potrebni, da ih ne obrađuje dalje nego što je nužno za funkcioniranje sustava i da ih ne zadržava dulje nego što je potrebno.

Organizacija mora korisnicima pružiti jasne, sažete i lako dostupne informacije o obradi osobnih podataka, uključujući informacije o voditelju obrade, službeniku za zaštitu podataka, svrhama i pravnim osnovama obrade, kategorijama podataka, primateljima, mogućem prijenosu podataka izvan Europskog gospodarskog prostora, rokovima čuvanja i pravima ispitanika.

Ako se koristi vanjski pružatelj AI usluge, potrebno je provjeriti gdje se podaci stvarno obrađuju, imaju li pružatelj i njegovi podizvršitelji pristup sadržaju korisničkih upita i tehničkim podacima, koriste li se ti podaci za vlastite svrhe pružatelja usluge ili za treniranje modela, u kojim se rokovima brišu te dolazi li do prijenosa osobnih podataka izvan Europskog gospodarskog prostora.

֍ Dobavljač će općenito biti voditelj obrade za aktivnosti obrade koje je proveo radi razvoja UI sustava jer će dobavljač općenito definirati svrhu i sredstva takvih aktivnosti obrade, uključujući namjenu i funkcionalnosti modela, predviđeni kontekst njegove implementacije te odabir i pripremu skupova podataka za treniranje koji mogu sadržavati osobne podatke. Na primjer, dobavljač koji pokreće razvoj UI sustava i odabire i stvara skup osobnih podataka za treniranje sustava umjetne inteligencije kojeg razvija smatrao bi se voditeljem obrade.

֍ Subjekt koji uvodi sustav umjetne inteligencije općenito će biti voditelj obrade osobnih podataka u kontekstu uporabe tog sustava pod svojom nadležnošću jer će utvrditi zašto upotrebljava određeni UI sustav te koje podatke obrađuje. To će općenito biti slučaj kada subjekt koji uvodi UI sustav odluči upotrebljavati UI sustav u određenom kontekstu za određene ispitanike i određene kategorije osobnih podataka.

֍ Društvo A angažira softversku tvrtku za razvoj internog UI sustava za upravljanje sastancima, primjerice za automatsku transkripciju, sažimanje zapisnika i predlaganje zadataka nakon sastanka. Društvo A određuje svrhu obrade, kategorije osobnih podataka koje će se obrađivati, korisnike sustava, rokove čuvanja podataka i način korištenja rezultata. Softverska tvrtka razvija i održava sustav isključivo prema dokumentiranim uputama društva A te ne koristi podatke za vlastite svrhe, primjerice za treniranje vlastitih modela ili razvoj novih komercijalnih funkcionalnosti. U takvom slučaju društvo A je voditelj obrade, a softverska tvrtka izvršitelj obrade.

֍ Softverska tvrtka nudi UI alat za automatsku analizu životopisa kandidata. Korporativni klijenti unose životopise kandidata u sustav i samostalno određuju svrhu obrade, kriterije selekcije, relevantne parametre, kategorije kandidata i način na koji će se rezultati koristiti u postupku zapošljavanja. Softverska tvrtka samo omogućuje tehničko funkcioniranje alata i obrađuje osobne podatke kandidata isključivo prema uputama pojedinog klijenta. Ne koristi podatke kandidata za vlastito treniranje modela, razvoj vlastitih proizvoda ili druge vlastite svrhe. U takvom slučaju klijent je voditelj obrade, a softverska tvrtka izvršitelj obrade.

Ako softverska tvrtka sama određuje kriterije rangiranja kandidata, razvija profil idealnog kandidata na temelju podataka svih klijenata ili koristi podatke kandidata za poboljšanje vlastitog modela, njezina se uloga mora ponovno procijeniti. U takvim okolnostima ona može biti zaseban voditelj obrade ili zajednički voditelj obrade.

֍ Sama činjenica da su osobni podaci javno dostupni na internetu ne znači da se oni mogu slobodno preuzeti, objediniti i koristiti za razvoj ili testiranje AI modela. Organizacija mora zasebno ocijeniti pravnu osnovu obrade, usklađenost daljnje obrade s izvornom svrhom, obvezu informiranja ispitanika, prirodu podataka, moguću prisutnost posebnih kategorija podataka, očekivanja ispitanika te okolnosti u kojima su podaci učinjeni javno dostupnima.

֍ Organizacija koja želi koristiti javno dostupan skup podataka s interneta za razvoj ili treniranje UI modela ne smije pretpostaviti da je takva uporaba zakonita samo zato što su podaci dostupni online.

֍ Dokazivanje usklađenosti u pravilu uključuje mapiranje aktivnosti obrade i tokova podataka, vođenje evidencija aktivnosti obrade, procjenu uloga uključenih subjekata, ugovorno uređenje odnosa s izvršiteljima obrade, provedbu odgovarajućih tehničkih i organizacijskih mjera, dokumentiranje procjena rizika te, kada je potrebno, provedbu procjene učinka na zaštitu podataka.

֍ Voditelj obrade mora osigurati i da su odnosi s dobavljačima, pružateljima AI usluga, pružateljima cloud infrastrukture, API-ja ili drugih tehničkih komponenti jasno uređeni. Ako ti subjekti obrađuju osobne podatke u ime voditelja obrade, odnos mora biti uređen u skladu s člankom 28. Opće uredbe o zaštiti podataka, uključujući jasne upute, obveze povjerljivosti, sigurnosne mjere, pravila o podizvršiteljima i postupanje u slučaju povrede osobnih podataka.

֍ Ako je organizacija obvezna imenovati službenika za zaštitu podataka, potrebno je osigurati njegovu pravodobnu uključenost u sve relevantne faze razvoja, nabave, testiranja i uporabe sustava umjetne inteligencije.

֍ Privola ispitanika za objavu fotografije na internetu ne znači automatski da organizacija istu fotografiju smije koristiti i za izradu skupa podataka za treniranje AI modela. Budući da se radi o dvije različite svrhe obrade, ispitanik mora biti jasno informiran o svakoj od njih i mora imati mogućnost zasebno pristati na objavu fotografije, a zasebno na njezinu uporabu za treniranje AI modela.

֍ Važno je napomenuti da je valjanost privole problematična u situacijama neravnoteže moći, primjerice kada je voditelj obrade poslodavac ili javno tijelo. U takvim odnosima zaposlenici ili građani često nisu u poziciji slobodno odbiti davanje privole bez straha od negativnih posljedica. Stoga se privola u tim slučajevima može smatrati valjanom samo iznimno i uz osiguranje potpune dobrovoljnosti.

֍ Ako korisnik otvara račun na društvenoj mreži i prihvaća opće uvjete poslovanja, činjenica da je u tim uvjetima navedeno kako će se njegovi podaci koristiti za razvoj i unapređenje novih proizvoda, usluga ili funkcionalnosti ne znači da je takva obrada nužna za izvršenje ugovora. Obrada osobnih podataka radi razvoja novih funkcionalnosti ili treniranja UI modela u pravilu predstavlja zasebnu svrhu obrade te se ne može automatski temeljiti na članku 6. stavku 1. točki (b) Opće uredbe o zaštiti podataka.

֍ Voditelj obrade društvene mreže želi koristiti komentare korisnika za razvoj UI modela koji će služiti za generiranje teksta, predlaganje odgovora i učinkovitije filtriranje nezakonitog ili štetnog sadržaja. Prije početka takve obrade jasno informira korisnike o svrsi obrade, kategorijama podataka koje će se koristiti, načinu funkcioniranja obrade, mogućim rizicima i zaštitnim mjerama. Korisnicima također omogućuje da prije početka obrade jednostavno ulože prigovor i budu izuzeti iz korištenja njihovih podataka za tu svrhu.

U takvom slučaju legitimni interes može biti moguća pravna osnova, pod uvjetom da je voditelj obrade proveo i dokumentirao test legitimnog interesa te dokazao da njegov interes ne nadilaze interesi, prava i slobode ispitanika.

֍ Voditelj obrade koristi samoposlužne blagajne u kojima je implementiran UI sustav za otkrivanje mogućih pogrešaka pri skeniranju i plaćanju proizvoda. Podatke nastale tijekom korištenja sustava želi koristiti i za poboljšanje njegove točnosti i smanjenje broja pogrešnih upozorenja.

U tu svrhu voditelj obrade zadržava samo podatke koji su nužni za poboljšanje sustava, primjenjuje mjere koje smanjuju mogućnost ponovne identifikacije kupaca, ograničava rokove čuvanja, jasno informira ispitanike o takvoj obradi i omogućuje im jednostavan prigovor kada se obrada temelji na legitimnom interesu. Takve mjere mogu pridonijeti zaključku da je obrada razmjerna i da su rizici za ispitanike odgovarajuće ublaženi.

֍ Organizacija mora unaprijed odrediti i dokumentirati rokove čuvanja za svaku relevantnu kategoriju osobnih podataka i povezanih artefakata koji nastaju tijekom životnog ciklusa UI sustava. To uključuje, prema potrebi, izvorne skupove podataka, očišćene i anotirane skupove podataka, skupove za treniranje, validaciju i testiranje, korisničke unose, promptove, izlaze sustava, logove, sigurnosne kopije, izvješća o testiranju, metapodatke, verzije modela i druge izvedene artefakte koji mogu sadržavati osobne podatke ili omogućiti njihovo posredno izdvajanje.

U kontekstu UI sustava nije dovoljno upravljati samo izvornim skupovima podataka. Potrebno je uzeti u obzir i izvedene artefakte koji mogu sadržavati osobne podatke, odražavati njihove elemente ili omogućiti ponovnu identifikaciju ispitanika. Rokovi čuvanja moraju biti povezani s konkretnom svrhom obrade i ne smiju biti određeni općenito, neograničeno ili bez jasnog opravdanja.

֍ Ako organizacija izradi skup podataka za treniranje UI modela i objavi ga na platformi za razmjenu podataka, na stranici za preuzimanje trebala bi pružiti jasne informacije o izvoru podataka, svrsi izrade skupa, kategorijama podataka i ispitanika, mogućoj prisutnosti osobnih podataka, primijenjenim zaštitnim mjerama i ograničenjima daljnje uporabe. Takve informacije mogu pomoći ponovnim korisnicima u procjeni zakonitosti njihove obrade, ali ih ne oslobađaju vlastitih obveza iz Opće uredbe o zaštiti podataka.

֍ Organizacija upravlja platformom za prijavu kandidata za zaposlenje. U bazi ima registrirane korisnike koji su ranije unijeli svoje životopise, podatke o obrazovanju, radnom iskustvu, struci i drugim kvalifikacijama. Organizacija želi te podatke koristiti za treniranje UI modela koji bi pomagao u sortiranju prijava prema relevantnosti za određeno radno mjesto i u inicijalnom bodovanju prijava.

Prije početka takve obrade organizacija mora jasno informirati registrirane korisnike o novoj svrsi obrade, vrstama podataka koje namjerava koristiti, pravnoj osnovi, mogućim učincima obrade, rokovima čuvanja i njihovim pravima. Ako se obrada temelji na legitimnom interesu, korisnicima mora omogućiti jednostavno ulaganje prigovora prije početka korištenja njihovih podataka za treniranje modela.

֍ Subjekti koji uvode AI sustav trebaju provjeriti i sigurnosnu razinu svojih dobavljača zbog toga što rizici trećih strana mogu značajno utjecati na zaštitu osobnih podataka i kibernetičku sigurnost organizacije. Takvu provjeru potrebno je provesti prije ugovaranja usluge te periodično tijekom njezina trajanja, primjerice kroz provjeru relevantnih sigurnosnih kontrola, certifikata, izvješća o reviziji i usklađenosti s primjenjivim standardima, poput ISO/IEC 27001, odnosno relevantnim propisima iz područja kibernetičke sigurnosti.

֍ U kontekstu UI sustava međunarodni prijenosi osobnih podataka ne nastaju samo kada se glavni skupovi podataka ili korisnički podaci izravno pohranjuju u trećoj zemlji. Potrebno je uzeti u obzir i druge tokove podataka, kao što su logovi, telemetrija, promptovi, izlazi sustava, sigurnosni zapisi, razvojna i testna okruženja, udaljeni pristup radi održavanja ili podrške, kao i pristup podacima od strane izvršitelja i podizvršitelja. Osobitu pozornost treba posvetiti situacijama u kojima pružatelj usluge ili njegov podizvršitelj iz treće zemlje ima udaljeni pristup osobnim podacima, budući da i takav pristup može predstavljati prijenos u smislu Opće uredbe o zaštiti podataka.

Stoga se preporučuje da organizacija prije početka uporabe UI sustava ili povezane usluge mapira sve prijenose osobnih podataka izvan EGP-a, uključujući izravne i daljnje prijenose, sve uključene izvršitelje i podizvršitelje, države u koje se podaci prenose ili iz kojih im se pristupa, vrste podataka koje su obuhvaćene, svrhe prijenosa, korištena okruženja te odgovarajući prijenosni mehanizam i eventualne dodatne zaštitne mjere.

Hvala AZOP-u.

#gdprcroatia

#aicroatia

Ne prođe dan da se neki poslovni subjekt pohvali kako je uveo AI sustave, a o GDPR-u ni slovca

Kontaktiraj nas

Izbornik

Ne prođe dan da se neki poslovni subjekt pohvali kako je uveo AI sustave, a o GDPR-u ni slovca

Dok vi gradite svoj poslovni uspjeh

mi brinemo o zaštiti podataka

Kontaktiraj nas

Izbornik