Kako koristiti sustave umjetne inteligencije i obrađivati osobne podatke zakonito i na odgovarajući način

Korištenje umjetne inteligencije obuhvaća različite regulatorne zahtjeve i stoga regulatori AI sustava moraju imati temelje u zakonitoj i primjerenoj upotrebi osobnih podataka i AI sustava umjetne inteligencije, te rizicima koji s time dolaze.

Kako poboljšati način na koji koristite AI sustave i postupate s osobnim podacima?

Savjeti kako koristiti AI sustave na siguran način pritom pazeći na zakonitu obradu osobnih podataka:

1. Pristup temeljen na riziku pri razvoju i implementaciji AI sustava. Navedeni pristup trebao bi vam omogućiti procjenu trebate li koristiti AI za kontekst u kojem ćete ga implementirati. AI sustavi se općenito smatraju visokorizičnom tehnologijom o čemu smo pisali u našem prethodnom blogu te možda postoji učinkovitija alternativa koja više štiti privatnost. Ako koristite AI sustave, morate procijeniti rizike i primijeniti odgovarajuće tehničke i organizacijske mjere kako biste ih u dovoljnoj mjeri ublažili. U praksi se ne može u potpunosti isključiti ukloniti svaki rizik, a regulativa o zaštiti podataka to i ne zahtijeva od vas.

Korake koje bi trebali poduzeti:

• Provedite procjenu utjecaja na zaštitu podataka (DPIA) kako bi se lakše identificirao i minimizirao rizik od nezakonite obrade osobnih podataka od strane AI sustava, kao i za sprječavanje štete pojedincima;
• Provedite savjetovanje se s različitim korisnicima na koje bi vaša upotreba AI sustava mogla utjecati kako biste bolje razumjeli i procijenili rizike. Vaša obveza je da provedete DPIA kada je vjerojatno da će vaša obrada dovesti do visokog rizika za ispitanike. Ako je DPIA zakonski obvezna, morate je provesti prije nego što implementirate i koristite AI sustav što uključuje odgovarajuće tehničke i organizacijske mjere za ublažavanje ili upravljanje rizicima koje identificirate. Ako identificirate rizik koji ne možete dovoljno ublažiti, dužni ste se konzultirati se s nadzornim tijelom prije bilo kakve obrade.

2. Pažljivo razmislite o tome kako možete pojedincima na koje to utječe objasniti odluke koje donosi vaš AI sustav. Objasniti kako je AI sustav došao do odluke, može biti u praksi vrlo teško i komplicirano, posebno kada se koristi strojno učenje („machine learning“) u razvoju AI sustava. Međutim, ispitanici čiji se podaci obrađuju uvijek imaju pravo dobiti smisleno objašnjenje. To je i jedan od zahtjeva regulative stoga bi „developeri“ AI sustava trebali isto uvijek imati na umu prilikom razvoja AI sustava. 

Koraci koji vam mogu pomoći:

• budite jasni i otvoreni sa ispitanicima od samog početka o tome kako i zašto koristite njihove osobne podatke;
• razmotrite koje je objašnjenje potrebno u kontekstu u kojem ćete implementirati svoj AI sustav;
• procijenite kako će ispitanici vjerojatno očekivati da će vaše objašnjenje izgledati;
• procijenite potencijalni utjecaj odluka koje donosi vaš AI sustav kako biste razumjeli koliko sveobuhvatno vaše objašnjenje treba biti;
• razmislite o tome kako ćete rješavati pojedinačne zahtjeve za ostvarivanje prava ispitanika.

3. Prikupite samo podatke koji su vam potrebni za razvoj vašeg AI sustava. AI sustavi često zahtijevaju mnogo podataka. U praksi to čini bitnu razliku u odnosu prema načelu minimalizacije podataka. Unatoč tome, još uvijek možete koristiti AI sustav, uvažavajući zahtjeve važeće regulative u području zaštite osobnih podataka.

Slijedite sljedeće korake:

• osigurajte da su osobni podaci koje koristite točni, primjereni, relevantni i ograničeni. To će varirati ovisno o kontekstu u kojem koristite AI sustav;
• razmislite koje su tehnike za očuvanje privatnosti prikladne za kontekst u kojem koristite umjetnu inteligenciju za obradu osobnih podataka. Na primjer, u fazi obuke možete koristiti perturbaciju (dodavanje 'šuma'), sintetičke podatke ili udruženo učenje kako biste smanjili mogućnost obrade osobnih podataka.

4. Rješavanje rizika od pristranosti i diskriminacije u ranoj fazi. Postoji nekoliko načina na koje AI sustav može biti pristran ili dovesti do diskriminacije, uključujući neuravnotežene skupove podataka i skupove podataka koji odražavaju prošlu diskriminaciju. Rano rješavanje ovih rizika može učiniti veliku razliku.

Preporuke za umanjenje rizika od pristranosti i diskriminacije:

• procijenite jesu li podaci koje prikupljate točni, reprezentativni, pouzdani, relevantni i ažurni za populaciju ili različite grupe ispitanika na koje ćete primijeniti AI sustav;
• mapirajte vjerojatne učinke i posljedice odluka koje donosi AI sustav za različite skupine i procijenite jesu li one prihvatljive;
• edukacija (zaposlenici, korisnici i dr.) je važna kako bi mogli shvatiti rizike od slučajne diskriminacije utemeljene na umjetnoj inteligenciji.

5. Odvojite vrijeme i posvetite resurse prikladnoj pripremi podataka. Kvaliteta izlaza/produkta AI sustava uvjetovana je kvalitetom ulaznih podataka. Odvajanje vremena i izdvajanje resursa za pripremu podataka za obuku AI sustava rezultirat će boljim ishodom.

Trebali bi:

• imati jasne kriterije i linije odgovornosti za označavanje podataka koji uključuju zaštićena svojstva ili podatke posebne kategorije (ili oboje);
• konzultirati se s članovima zaštićenih skupina kako bi definirali kriterije označavanja.

6. Provjerite je li vaš AI sustav siguran. AI sustavi mogu pogoršati sigurnosne rizike ili stvoriti nove. Ne postoji univerzalna sigurnosna mjera. Međutim, zakonski ste obavezni primijeniti odgovarajuće tehničke i organizacijske mjere kako biste osigurali razinu sigurnosti primjerenu riziku.

Preporučeni koraci:

• provesti procjenu sigurnosnog rizika kako bi vam omogućio osnovno razumijevanje mjesta gdje bi se potencijalni incidenti mogli dogoditi;
• provodite redovito uklanjanje pogrešaka modela (tj. obradu pronalaženja i popravljanja problema u vašem modelu), bilo od strane nekog internog ili vanjskog revizora sigurnosti;
• proaktivno nadzirati sustav i istražiti sve anomalije.

7. Osigurajte da svaki ljudski pregled odluka koje donosi umjetna inteligencija ima smisla. Kada koristite AI za donošenje odluka, trebali biste odlučiti hoćete li ga koristiti kao podršku ljudskom donositelju odluka ili će donositi isključivo automatizirane odluke. Ispitanici imaju pravo ne podlijegati isključivo automatiziranim odlukama s pravnim ili sličnim značajnim učincima. Ako donosite takve odluke, ispitanici mogu zatražiti da osoba pregleda odluke donesene o njima.

Kako biste bili sigurni da ljudski pregled ima smisla, trebali biste osigurati da su preglednici:

• adekvatno osposobljeni za tumačenje i osporavanje izlaznih podataka koje daje AI sustav;
• imaju ovlasti poništiti automatiziranu odluku;
• uzimajući u obzir druge dodatne faktore koji nisu bili uključeni kao dio ulaznih podataka.

8. Surađujte s vanjskim dobavljačem kako biste osigurali da vaša upotreba umjetne inteligencije bude primjerena. Nabava AI sustava od treće strane ne oslobađa vas odgovornosti za poštivanje regulatornih zahtjeva u vezi zaštite osobnih podataka. U većini slučajeva, vi ćete vjerojatno biti voditelj obrade podataka jer ćete odlučiti kako i u koju svrhu implementirati AI sustav. Stoga morate biti u mogućnosti pokazati kako je AI sustav u skladu sa zakonodavstvom o zaštiti osobnih podataka.

Trebali bi slijediti sljedeće korake:

• Odaberite odgovarajućeg dobavljača provođenjem dubinske analize prije svake nabave;
• Surađujte s vanjskim dobavljačem radi provedbe procjene utjecaja na zaštitu podataka, prije implementiranja (npr. DPIA);
• Dogovorite i dokumentirajte uloge i odgovornosti s vanjskim dobavljačem (npr. tko će odgovarati na pojedinačne zahtjeve o pravima ili tko će provoditi sigurnosne testove);
• Zatražite uvid u dokumentaciju od vanjskog dobavljača koja dokazuje da je primijenio pristup zaštite podataka po dizajnu („Privacy by design“);
• Razmotrite hoće li biti međunarodnih prijenosa osobnih podataka. Ako postoje, osigurajte da su prava ispitanika primjereno zaštićena.