Dana 12. srpnja 2024., EU Akt o umjetnoj inteligenciji, Uredba (EU) 2024/1689 ("EU AI Act") objavljen je u Službenom listu EU-a, što ga čini prvim sveobuhvatnim horizontalnim pravnim okvirom za regulaciju sustava umjetne inteligencije u cijelom EU. EU AI Akt stupa na snagu u svih 27 država članica EU-a 1. kolovoza 2024., a primjena većine njegovih odredbi počet će 2. kolovoza 2026.
Sustavi umjetne inteligencije (AI) oslanjaju se na unose podataka od razvoja, kroz fazu obuke i tijekom same upotrebe. S obzirom na široku definiciju osobnih podataka, razvoj i korištenje AI sustava često će rezultirati obradom osobnih podataka.
EU Akt o umjetnoj inteligenciji propis je i o sigurnosti proizvoda koji osigurava ˝adekvatan˝ tehnički razvoj i korištenje sustava umjetne inteligencije. Uz nekoliko iznimaka, ne stvara nikakva posebna prava za pojedince. Nasuprot tome, GDPR je propis, koji među ostalim uređuje i prava, dakle propis i o temeljnim pravima zaštite privatnosti koji pojedincima daje širok raspon prava u vezi s obradom njihovih podataka. GDPR „popunjava prazninu” u smislu individualnih prava za scenarije u kojima sustavi umjetne inteligencije koriste podatke koji se odnose na žive osobe, stoga su AI i GDPR usko vezani, rekli bismo, nekada i neodvojivi jedan od drugoga.
GDPR i sustavi umjetne inteligencije
Opća uredba o zaštiti podataka ("GDPR") tehnološki je neutralna uredba. Kako je definicija "obrade" prema GDPR-u široka (i u praksi uključuje gotovo sve aktivnosti koje se provode s osobnim podacima, uključujući pohranu podataka), očito je da se GDPR odnosi na AI sustave.
Iako se umjetna inteligencija ne spominje izričito u GDPR-u, automatizirano donošenje odluka (članak 22. GDPR-a) služi kao oblik neizravne kontrole nad upotrebom sustava umjetne inteligencije, na temelju toga što se sustavi umjetne inteligencije često koriste za donošenje automatiziranih odluka koje utječu na pojedinaca. Bio je to ˝ulaz na mala vrata˝i u AI regulativu.
Umjetna inteligencija obično uključuje prikupljanje golemih količina podataka (osobito u fazi obuke), dok mnogi sustavi umjetne inteligencije imaju širok potencijalni raspon primjena (što odražava imitaciju ljudske inteligencije), zbog čega je teško jasno definirati „svrhe obrade“.
Provedba tijela za zaštitu podataka protiv sustava umjetne inteligencije
Prije Akta o umjetnoj inteligenciji, tijela EU za zaštitu podataka ("DPA") bila su među prvim regulatornim tijelima koja su poduzela mjere protiv upotrebe sustava umjetne inteligencije. Ove radnje provedbe temelje se na zabrinutosti, posebice na nedostatku pravne osnove za obradu osobnih podataka ili posebnih kategorija osobnih podataka, nedostatku transparentnosti, zlouporabama automatiziranog donošenja odluka, neispunjavanju prava ispitanika i pitanjima točnosti podataka. Možemo reći kako se nadzorna tijela boje AI no svjesna su koliko olakšavaju posao i koliko se često koriste.
Najznačajniji primjeri uključuju odluku talijanskog DPA-a o privremenoj zabrani OpenAI-jevog ChatGPT-a, kaznu Deliveroo-u talijanskog DPA-a u vezi s automatiziranim ocjenjivanjem performansi vozača omogućenom umjetnom inteligencijom, kaznu Clearview AI francuskog DPA-a, platformu za prepoznavanje lica koja koristi milijarde fotografija s interneta i novčana kazna nizozemske Agencije za zaštitu podataka o nizozemskoj poreznoj i carinskoj upravi za razne povrede GDPR-a u vezi s aplikacijom za obavješćivanje o prijevari temeljenoj na umjetnoj inteligenciji.
Opseg i primjenjivost GDPR-a i EU AI Akta
Materijalni opseg GDPR-a je obrada osobnih podataka potpuno ili djelomično automatiziranim sredstvima ili ručna obrada osobnih podataka gdje su ti podaci dio relevantnog sustava arhive (članak 2. GDPR-a). Teritorijalni opseg GDPR-a definiran je u članku 3. GDPR-a i pokriva različite scenarije.
Posljedično, GDPR ima izvanteritorijalni opseg, što znači da se voditelji obrade i izvršitelji obrade izvan EU-a moraju pridržavati GDPR-a ako obrađuju osobne podatke ispitanika u EU.
S druge strane, materijalni opseg Akta o umjetnoj inteligenciji EU-a temelji se na njegovoj definiciji sustava umjetne inteligencije. Teritorijalno, EU AI Akt se primjenjuje na pružatelje, implementatore, uvoznike, distributere i ovlaštene predstavnike.
Za razliku od GDPR-a, Akt o umjetnoj inteligenciji ima čvrstu kategorizaciju rizika i donosi različite obveze za različite kategorije rizika. Većina obveza odnosi se samo na visokorizične sustave umjetne inteligencije (pokriveno člankom 6. i Dodatkom III. Akta o umjetnoj inteligenciji EU-a). Razni AI sustavi također podliježu posebnim obvezama (kao što su modeli AI opće namjene) i obvezama transparentnosti (kao što su sustavi emocionalne kategorizacije).
Međudjelovanje između uloga prema GDPR-u i Zakonu o umjetnoj inteligenciji EU-a
Kao što GDPR razlikuje voditelje obrade i izvršitelje obrade, tako i propisi o umjetnoj inteligenciji EU razlikuje različite kategorije reguliranih operatera.
Pružatelj (operator koji razvija AI sustav ili ima razvijen AI sustav) i "deployer" (operator pod čijom se nadležnošću koristi AI sustav) u praksi su najznačajniji.
Organizacije koje obrađuju osobne podatke tijekom razvoja ili korištenja sustava umjetne inteligencije morat će razmotriti uloge koje imaju prema GDPR-u i propisima o umjetnoj inteligenciji EU-a.
Primjer 1: pružatelj (EU AI Akt) i voditelj (GDPR)
Tvrtka (A) koja obrađuje osobne podatke u kontekstu obuke novog sustava umjetne inteligencije djelovat će i kao pružatelj usluga prema Aktu o umjetnoj inteligenciji EU i kao voditelj obrade prema GDPR-u. To je zato što tvrtka razvija novi AI sustav i, kao dio tog razvoja, donosi odluke o tome kako obrađivati osobne podatke u svrhu obuke AI sustava.
Primjer 2: "deployer" (EU AI Akt) i voditelj (GDPR)
Tvrtka (B) koja kupuje AI sustav opisan u primjeru 1: pružatelj (EU AI Akt) i voditelj obrade (GDPR) od tvrtke A i koristi ga na način koji uključuje obradu osobnih podataka (na primjer, kao chatbot za razgovor s klijentima ili kao automatizirani alat za zapošljavanje) djelovat će i kao "deployer"prema Aktu o umjetnoj inteligenciji EU i kao zasebni voditelj obrade prema GDPR-u za obradu vlastitih osobnih podataka (to jest, nije voditelj obrade za osobne podatke korišteni za izvorno treniranje AI sustava, ali to je za sve podatke koje koristi u kombinaciji s AI).
Složeniji scenariji mogu nastati kada tvrtke nude usluge koje uključuju obradu osobnih podataka i korištenje AI sustava za obradu tih podataka. Ovisno o činjenicama, korisnici takvih usluga mogu se kvalificirati kao voditelji obrade ili izvršitelji obrade (prema GDPR-u), iako bi obično bili "deployer-i" prema EU Aktu o umjetnoj inteligenciji.
Tvrtke koje razvijaju ili implementiraju sustave umjetne inteligencije trebale bi pažljivo analizirati svoje uloge prema odgovarajućim zakonima, po mogućnosti prije pokretanja relevantnih projekata razvoja i implementacije.
Odnos između načela GDPR-a i EU AI Akta
GDPR je izgrađen oko načela zaštite podataka navedenih u članku 5. GDPR-a. Ta načela su zakonitost, poštenje, transparentnost, ograničenje svrhe, minimiziranje podataka, točnost, ograničenje pohrane, integritet i povjerljivost.
S druge strane, prvi međuvladin standard o umjetnoj inteligenciji, preporuka o umjetnoj inteligenciji koju je izdao OECD (OECD Recommendation of the Council on Artificial Intelligence, "OECD AI Principles") uvodi pet komplementarnih načela za odgovorno upravljanje pouzdanom umjetnom inteligencijom koja ima jaku poveznice s načelima u GDPR-u: uključiv rast, održivost i dobrobit, vrijednosti u središtu čovjeka, poštenost, transparentnost, objašnjivost, robusnost, sigurnost, sigurnost i odgovornost.
Uvodna izjava 27 EU Akta o umjetnoj inteligenciji odnosi se na sljedeća načela: ljudsko djelovanje i nadzor, tehnička robusnost i sigurnost, privatnost i upravljanje podacima, transparentnost, raznolikost, nediskriminacija, pravednost, društvena i ekološka dobrobit. Neka od ovih načela već se materijaliziraju kroz posebne obveze EU AI Akta: članak 10. EU AI Akt propisuje prakse upravljanja podacima za visokorizične AI sustave, članak 13. EU AI Akt bavi se transparentnošću, članci 14. i 26. EU AI Akta uvode ljudski nadzor i praćenje zahtjeva, članak 27. Akta o umjetnoj inteligenciji EU-a uvodi obvezu provođenja procjene učinka na temeljna prava za neke visokorizične sustave umjetne inteligencije.
Razumijevanje sinergija i razlika između načela GDPR-a i načela EU AI Akta omogućit će organizacijama da iskoriste svoje postojeće znanje o GDPR-u i svojim postojećim procesima usklađivanja s GDPR-om. Ovo je stoga ključni korak za smanjenje troškova usklađivanja.
Ljudski nadzor prema EU AI Akt i automatizirano donošenje odluka prema GDPR-u
Prema članku 22. GDPR-a, ispitanici imaju pravo ne podlijegati isključivo automatiziranim odlukama koje uključuju obradu osobnih podataka a rezultiraju pravnim ili sličnim značajnim učincima. Tamo gdje se takve odluke donose, moraju se temeljiti na jednoj od osnova navedenih u članku 22. stavku 2. GDPR-a.
Poput GDPR-a, EU AI Akt također se bavi osiguravanjem da su temeljna prava i slobode zaštićeni odgovarajućim ljudskim nadzorom i intervencijom.
Članak 14. Akta o umjetnoj inteligenciji EU zahtijeva da visokorizični sustavi umjetne inteligencije budu dizajnirani i razvijeni na takav način da ih fizičke osobe mogu učinkovito nadzirati tijekom razdoblja u kojem se sustav umjetne inteligencije koristi. Drugim riječima, pružatelji usluga moraju zauzeti pristup "ljudskog nadzora prema dizajnu" u razvoju sustava umjetne inteligencije.
Prema članku 26.1 Akta EU-a o umjetnoj inteligenciji, osoba koja postavlja sustav umjetne inteligencije mora poduzeti odgovarajuće tehničke i organizacijske mjere kako bi osigurala da je njegova uporaba sustava umjetne inteligencije u skladu s uputama za uporabu koje prate sustav, uključujući u pogledu ljudskog nadzora.
Razina ljudskog nadzora i intervencije koju provodi korisnik sustava umjetne inteligencije može biti odlučujuća u dovođenju sustava u ili izvan okvira automatiziranog odlučivanja prema GDPR-u. Drugim riječima, smislena intervencija fizičke osobe u ključnoj fazi procesa donošenja odluka sustava umjetne inteligencije može biti dovoljna da se osigura da odluka više nije potpuno automatizirana u smislu članka 22. GDPR-a. Možda je vjerojatnije da će se sustavi umjetne inteligencije koristiti za donošenje potpuno automatiziranih odluka, ali će učinkovit ljudski nadzor djelovati kao zaštita koja će osigurati da je automatizirani proces donošenja odluka pošten i da se poštuju prava pojedinca, uključujući njihova prava na zaštitu podataka.
Ocjene sukladnosti i procjene utjecaja na temeljna prava prema AI Aktu i DPIA prema GDPR-u
Prema Aktu o umjetnoj inteligenciji EU-a, procjena sukladnosti osmišljena je kako bi se osigurala odgovornost pružatelja za svaki od zahtjeva Akta o umjetnoj inteligenciji EU-a za siguran razvoj visokorizičnog sustava umjetne inteligencije. Ocjene sukladnosti nisu procjene rizika, već demonstracijski alati koji pokazuju usklađenost sa zahtjevima EU AI Akta.
DPIA je, s druge strane, obavezan korak koji se zahtijeva prema GDPR-u za visokorizične aktivnosti obrade osobnih podataka.
Posljedično, postoje značajne razlike u pogledu svrhe i oblika između ocjene sukladnosti i DPIA-e. Međutim, u kontekstu visokorizičnih sustava umjetne inteligencije, pružatelj takvih sustava također mora provesti DPIA u vezi s upotrebom osobnih podataka u razvoju i obuci sustava. U tom slučaju tehnička dokumentacija koja je izrađena za ocjene sukladnosti može pomoći u utvrđivanju činjeničnog konteksta DPIA-e. Slično, tehničke informacije mogu biti od pomoći postavljaču sustava umjetne inteligencije koji je dužan provesti DPIA u vezi s upotrebom sustava.
Zahtjev prema Aktu o AI-ju EU-a da se provede procjena učinka na temeljna prava (Fundamental Rights Impact Assessment, „FRIA”) konceptualno je sličan DPIA-i. Kao i kod DPIA-e, svrha FRIA-e je identificirati i ublažiti rizike za temeljna prava fizičkih osoba, koji u ovom slučaju proizlaze iz uvođenja sustava umjetne inteligencije.
EDPB o ulozi DPA-a u okviru propisa o umjetnoj inteligenciji
Tijekom posljednje plenarne sjednice, 17. srpnja, Europski odbor za zaštitu podataka (EDPB) usvojio je izjavu o ulozi tijela za zaštitu podataka (DPA) u okviru AI Akta.
Prema EDPB-u, DPA-i već imaju iskustvo i stručnost kada se bave utjecajem umjetne inteligencije na temeljna prava, posebno pravo na zaštitu osobnih podataka, te bi stoga u nizu slučajeva trebali biti imenovani tijelima za nadzor tržišta (Market Surveillance Authorities, MSAs). Time bi se osigurala bolja koordinacija između različitih regulatornih tijela, povećala pravna sigurnost za sve sudionike i ojačao nadzor i provedba Akta o umjetnoj inteligenciji i propisa EU-a o zaštiti podataka.
Prema Aktu o AI-ju, države članice će imenovati MSP-ove na nacionalnoj razini prije 2. kolovoza 2025. u svrhu nadzora primjene i provedbe Akta o AI-u.
U svojoj izjavi EDPB preporučuje sljedeće:
• Dodjeljivanje DPA-evima uloge MSA za visokorizične AI sustave koji se koriste u provedbi zakona, upravljanju granicama, pravosuđu i demokratskim procesima.
• Razmatranje imenovanja DPA kao MSA za druge visokorizične sustave umjetne inteligencije koji značajno utječu na prava osobnih podataka, posebno u sektorima koji utječu na prava i slobode pojedinca.
• Određivanje DPA-a kada su imenovani kao MSA-ovi, kao glavne kontaktne točke za javnost i interakcije s vlastima na nacionalnoj razini i razini EU-a.
• Stvaranje jasnih postupaka za suradnju između MSA-ova i drugih regulatornih tijela, uključujući DPA-e i uspostavljanje odgovarajuće koordinacije između EU Ureda za AI i DPA-a/EDPB-a.
Preporuke EDPB-a ističu važnu ulogu DPA-a u osiguravanju da se tehnologije umjetne inteligencije koriste odgovorno i u skladu s regulativom o zaštiti podataka. Uključivanjem DPA-a u okvir propisa o umjetnoj inteligenciji EU poboljšava nadzor i postavlja globalni primjer za regulaciju umjetne inteligencije, čime štiti prava pojedinaca.
