Tehnologije veštačke inteligencije (AI) otvaraju vrata za inovacije u gotovo svim sektorima, ali sa sobom istovremeno donose nove i ozbiljne izazove kada je u pitanju zaštita podataka o ličnosti.
U svetlu ovih izazova, Evropski odbor za zaštitu podataka (EDPB) usvojio je u decembru 2024. godine obavezujuće mišljenje koje se bavi određenim značajnim aspektima obrade podataka o ličnosti u fazama razvoja i implementacije AI modela (u daljem tekstu: Mišljenje). Za razumevanje celokupnog konteksta treba odmah ukazati da je Mišljenje doneto na inicijativu irskog poverenika za zaštitu podataka, koji nadgleda usklađenost AI modela koji su razvijeni od strane velikih tehnoloških kompanija poput Google-a, Meta i X-a, i da u tom smislu ima za cilj da pruži smernice povodom obrade podataka o ličnosti u kontekstu razvoja i implementacije AI modela koji se svrstavaju u jedan određen podskup modela – generativnih AI modela.
U tom smislu, Mišljenje je od naročite važnosti za sve kompanije koje se bave razvojem AI modela ili AI modele koriste u poslovanju i pruža okvir za razumevanje i procenu usklađenosti AI modela sa propisima koji uređuju zaštitu ličnih podataka o ličnosti. Prilikom razvoja AI modela kroz proces obuke, u fazi u kojoj model uči iz skupa podataka o ličnosti kako bi obavljao svoju predviđenu funkciju, važno je postaviti odgovarajuće pravne osnove za obradu podataka.
Mišljenje EDPB naglašava da je važno razmotriti kada se AI model može smatrati anonimnim, kao i koje mere se moraju preduzeti kako bi se izbegli rizici od nezakonite obrade podataka. Takođe, podseća i na obavezu sagledavanja legitimnog interesa rukovaoca i pridržavanje principa proporcionalnosti i minimizacije podataka u fazama implementacije i razvoja AI sistema.
Tri najvažnije teme koje Mišljenje EDPB-a pokriva:
Anonimnost AI modela
Jedno od ključnih pitanja koje je EDPB razmatrao jeste da li se AI model koji je obučen ličnim podacima u svakoj situaciji može smatrati anonimnim. AI modeli se mogu smatrati anonimnim samo u situacijama kada je rizik od identifikacije pojedinaca zanemarljiv. Anonimnost AI modela procenjivaće se od slučaja do slučaja, uz ocenu verovatnoće da li se iz AI modela mogu ekstrahovati podaci o ličnosti, kao i verovatnoće da ti podaci budu dobijeni kroz upite.
U tom smislu, nadzorni organi će zahtevati od developera AI modela detaljnu analizu o rizicima identifikacije. Analiza bi, pored drugih definisanih metoda, podrazumevala i procenu da li su, u fazama razvoja i implementacije AI modela, preduzete odgovarajuće mere kako bi se sprečilo ili ograničilo prikupljanje podataka o ličnosti ili primenila zaštita od napada.
Legitimni interes kao pravni osnov za obradu podataka
Kako Zakon o zaštiti podataka o ličnosti ne ustanovljava hijerarhiju između propisanih pravnih osnova, rukovaoca podacima tereti obaveza identifikacije odgovarajućeg pravnog osnova za obradu podataka o ličnosti u fazama razvoja i implementacije AI modela, a Mišljenje implicira da bi, po svemu sudeći, najadekvatniji pravni osnov u tom slučaju bio legitimni interes.
Postojanje legitimnog interesa rukovalac podacima će morati da dokaže kroz test od tri koraka, čiji će prvi korak podrazumevati (1) identifikaciju ovog interesa kao zakonitog, stvarnog i jasno definisanog. Preostala dva koraka pomenutog testa podrazumevaju (2) testiranje neophodnosti, kada je potrebno utvrditi da je obrada podataka nužna za postizanje određenog cilja i ne postoji manje intruzivni načini da bi se određeni cilj postigao, i (3) testiranje balansiranja, kada je potrebno obuhvatiti prava i interese svih pojedinaca čiji se podaci o ličnosti obrađuju, kao i razmotriti potencijalne rizike po osnovna prava, poput rizika po slobodu izražavanja kada AI modeli blokiraju objavljivanje sadržaja.
Mišljenjem je, u kontekstu razvoja i primene AI modela, ukazano i na važnost pojma razumnog očekivanja ispitanika – često je teško da ispitanici budu svesni kako se njihovi podaci koriste, zbog složenosti tehnologija i načina na koji se podaci prikupljaju i obrađuju. Zbog toga, transparentnost u vezi sa obradom podataka postaje ključna, a rukovaoci podacima moraju pružiti jasne informacije o tome na koji način i zbog čega se podaci koriste.
Uticaj i posledice nezakonite obrade podataka
Tokom razvoja AI modela može doći do nezakonite obrade podataka. U takvim slučajevima, bitno je proceniti kako nezakonita početna obrada može uticati na zakonitost naknadne obrade. EDPB je ovde napravio razliku između tri potencijalna scenarija, ali i pored toga Mišljenjem se ukazuje da u određenim okolnostima nezakonita početna obrada ne mora uticati na zakonitost daljih aktivnosti obrade, ukoliko su podaci anonimizirani ili ako je implementacija modela usklađena sa GDPR-om.
***
Zaključili bismo ovaj članak konstatacijom da Mišljenje afirmiše obavezu rukovalaca podacima da razmotre sve aspekte zaštite podataka – od anonimizacije i legitimnog interesa, do mogućih posledica nezakonite obrade i očekivanja ispitanika, a istovremeno upućuje nadzorne organe da pažljivo razmatre specifične okolnosti svakog slučaja ponaosob, uvažavajući principe zaštite podataka predviđene GDPR-om, kako bi obezbedili usklađenost sa zakonodavstvom EU i zaštitili prava i slobode ispitanika.
Ukoliko imate bilo kakvo pitanje u vezi sa Mišljenjem i/ili vas zanimaju teme normativnog okvira za razvoj i odgovornu upotrebu veštačke inteligencije i zaštite podataka o ličnosti, uvek nam možete pisati na adrese marko.trisic@vmtlaw.rs, ana.popovic@vmtlaw.rs i nikolina.loncar@vmtlaw.rs.