Vývoj v oblasti AI – propojení GDPR s aktem o umělé inteligenci

Technologie umělé inteligence prošly v poslední době významným vývojem a zeširoka se začleňují do každodenního života každého z nás. To je také důvod, proč se o vývoj v této oblasti zajímají státní orgány. Jedním z příkladů dobré praxe je Generální sekretariát Belgického Úřadu pro ochranu osobních údajů, který vydal brožuru zaměřenou na propojení AI s požadavky GDPR a Aktu o umělé inteligenci (AI Akt). V tomto článku jsou nastíněny základní požadavky a důležitá propojení mezi těmito předpisy v souvislosti s ochranou údajů při používání a začleňování AI systémů.

AI systémy obecně

Obecně je třeba objasnit, co znamená pojem „systém AI“. Tento pojem je vymezen v AI Act (čl. 3 odst. 1), ale lze jej zjednodušeně popsat jako počítačový systém specificky určený k analýze dat, identifikaci vzorců a využití těchto znalostí k přijímání informovaných rozhodnutí nebo předpovědí.

Pro demonstraci, že AI systémem není jen ChatGPT nebo určitý chatbot, ale že se s ním setkáváme denně, lze uvést několik příkladů – počínaje spamovými filtry v e-mailu, které rozlišují mezi spamem a legitimními e-maily, přes doporučování seriálů nebo filmů na streamovacích platformách, virtuální asistenty ovládané hlasem, až po analýzu lékařských snímků (např. rentgenových snímků) pomocí AI – to vše lze považovat za systémy AI.

Systémy AI se rozdělují do čtyř kategorií podle míry rizika:

1. Systémy s nepřijatelným rizikem;
2. Systémy s vysokým rizikem;
3. Ostatní systémy, které nejsou ani vysoce rizikové, ani nepřijatelně rizikové;
4. Systémy, které nepodléhají regulaci podle nařízení.

Další podrobnosti o samotném AI Aktu, jeho účinnosti a případných sankcích naleznete v článku zde.

Jaké jsou požadavky GDPR a AI Aktu na systémy AI?

• Zákonnost, korektnost a transparentnost zpracování

GDPR stanovuje šest základních podmínek pro zpracování osobních údajů, a to jmenovitě: souhlas, smlouvu, právní povinnost, životně důležité zájmy, veřejný zájem a oprávněné zájmy. Tytéž podmínky se vztahují i na systémy umělé inteligence, které upravuje AI Akt. Kromě toho AI Akt rovněž některé systémy AI zakazuje (např. systémy pro tzv. social scoring nebo systémy AI pro rozpoznávání obličejů na veřejných místech v reálném čase).

Ačkoli AI Akt toto zvláště neupravuje, vychází ze zásad stanovených v čl. 2 odst. 1 GDPR a čl. 5 odst. 1 písm. a) GDPR. Pokud jde o transparentnost, AI Akt vyžaduje základní úroveň transparentnosti pro všechny systémy AI (uživatelé by tedy měli být informováni o tom, že komunikují se systémem AI). Kromě toho také vyžaduje vyšší úroveň transparentnosti pro vysoce rizikové systémy AI.

• Účelové omezení a minimalizace údajů

GDPR vyžaduje účelové omezení a minimalizaci údajů, což znamená, že osobní údaje musí být shromažďovány pro konkrétní a legitimní účely a omezeny pouze na to, co je pro tyto účely nezbytné. Tato zásada je pro vysoce rizikové systémy AI dále posílena v AI Aktu zdůrazněním potřeby dobře definovaného a zdokumentovaného účelu, pro který mají být data shromažďována.

• Přesnost údajů

GDPR vyžaduje, aby osobní údaje byly přesné a aktualizované. Toto musí zajistit samotné organizace, které s osobními údaji nakládají. AI Akt na to navazuje tím, že požaduje použití vysoce kvalitních a nezkreslených údajů v rámci vysoce rizikových systémů umělé inteligence, aby se zabránilo diskriminačním výsledkům (např. při používání systémů umělé inteligence k automatickému schvalování úvěrů by mohlo docházet k systematickému odmítání poskytování úvěrů žadatelům s nižšími příjmy).

• Omezení ukládání dat

GDPR vyžaduje, aby osobní údaje byly uchovávány pouze po dobu nezbytnou k dosažení účelů, pro které byly shromážděny. Tento požadavek pak AI Akt výslovně nerozšiřuje, a to ani pro vysoce rizikové systémy.

• Automatizované rozhodování

Obě nařízení se zabývají významem zapojení člověka do automatizovaného rozhodování. GDPR dává jednotlivcům právo vznést námitku proti výhradně automatizovanému rozhodování, zatímco AI Akt vyžaduje proaktivní lidský dohled nad vysoce rizikovými systémy umělé inteligence. Tento požadavek vyplývá z toho, aby se zajistila ochrana před možným zkreslením a zároveň zde byl zaručen zodpovědný vývoj a používání takových systémů v praxi.

• Bezpečnost zpracování

Jak GDPR, tak AI Akt zdůrazňují význam zabezpečení osobních údajů. Konkrétně GDPR vyžaduje, aby organizace zavedly technická a organizační opatření (např. šifrování údajů, kontroly přístupu), která odpovídají konkrétním rizikům vznikajícím při zpracovávání těchto údajů. AI Akt staví na těchto základech a dále je rozvíjí tím, že zajišťuje robustní bezpečnostní opatření pro vysoce rizikové systémy umělé inteligence (např. detekce anomálií nebo lidský přezkum vysoce rizikových datových bodů).

• Práva subjektů údajů

GDPR zaručuje fyzickým osobám práva, k nimž patří právo na přístup k osobním údajům (čl. 15), na opravu (čl. 16), na výmaz (čl. 17), na omezení zpracování (čl. 18) a na přenositelnost údajů (čl. 20). AI Akt pak zdůrazňuje, že pro podporu těchto práv je důležité poskytnout jasné poučení o tom, jak jsou údaje v systémech AI používány.

• Odpovědnost

GDPR vyžaduje odpovědnost za zpracování osobních údajů prostřednictvím několika opatření, jako je transparentní zpracování, zásady a postupy pro nakládání s osobními údaji, zdokumentované právní základy pro zpracování, vedení záznamů a další bezpečnostní opatření.

AI Akt nemá samostatný oddíl stran výše uvedené problematiky odpovědnosti, ale opět vychází ze zásad GDPR. Vyžaduje tedy, aby organizace zavedly dvoustupňový přístup k řízení rizik pro systémy AI, vedly jasnou dokumentaci a zajistily lidský dohled nad systémy AI s vysokým rizikem.

Shrnutí

Závěrem lze říci, že propojení mezi GDPR a AI Aktem je klíčové pro plné pochopení regulace systémů AI. Je tedy zřejmé, že tato nařízení jsou vzájemně provázaná a nelze je posuzovat izolovaně. AI Akt konkretizuje a zpřísňuje podmínky pro systémy AI, zejména pro ty vysoce rizikové, přičemž vychází ze zavedených zásad GDPR.

Naše advokátní kancelář se specializuje na implementaci AI a je proslulá svým inovativním přístupem k technologiím. Díky tomu jsme připraveni poskytnout našim klientům právní pomoc také v souvislosti s implementací systémů AI.

Právě díky používání AI byla naše advokátní kancelář oceněna cenou „Právní inovace roku 2023/2024 v české kanceláři“.

Pokud máte k tomuto tématu nebo souvisejícím otázkám jakékoliv dotazy, neváhejte se na nás obrátit. Rádi se o Vašem případu dozvíme více a poskytneme Vám naše právní služby.

Odpovědný právník: Mgr. Filip Ondřej, na článku spolupracovala Kateřina Chaloupková.