Početna Blog Umjetna inteligencija i GDPR

Umjetna inteligencija i GDPR

Svi članci
19.03.2024.

Parlament EU je usvojio regulativu o umjetnoj inteligenciji koja jamči sigurnost i poštivanje temeljnih prava, a istovremeno potiče inovacije.  Upotreba AI-a se regulira primjenom pristupa koji se temelji na riziku: što je veći rizik, stroža su pravila.

Cilj regulative je bio postaviti svjetski standard za regulaciju umjetne inteligencije.

Što tvrtke moraju napraviti?

Tvrtke moraju razmotriti pravne izazove, uključujući posebno i zaštitu podataka, koje predstavljaju usluge umjetne inteligencije. Jedna od takvih usluga je Microsoft 365 Copilot, generativna tehnologija koju pokreće AI, a koja ima za cilj pomoći korisnicima u različitim zadacima kao što su izrada dokumenata ili sažetak bilješki sa sastanaka.

Otkako je Copilot postao dostupan široj javnosti, tvrtke su počele procjenjivati gdje bi se sve mogle koristiti takve AI usluge.

Kao dio odluke o omogućavanju Copilota za zaposlenike (ili samo određene skupine zaposlenika), tvrtke  bi morale  razmotriti pravne izazove – uključujući rizike povezane sa propisima o zaštiti podataka – povezane s korištenjem takvih usluga umjetne inteligencije. Samo rješavanjem ovih izazova tvrtke mogu maksimizirati prednosti koje pružaju ove usluge umjetne inteligencije.

Analiza usluga i razumijevanje zadataka

Dok tvrtke već mogu predvidjeti učinak nadolazećih propisa kao što je nova regulativa o umjetnoj inteligenciji, trenutni propisi kao što su Opća uredba o zaštiti podataka (GDPR) i propisi vezani uz intelektualno vlasništvo te autorska prava već zahtijevaju analizu rizika. Kao i kod svih pravnih izazova, specifični rizici iz perspektive propisa o zaštiti podataka razlikuju se ovisno o konkretnoj usluzi i slučaju upotrebe. Stoga bi tvrtke prvo trebale procijeniti sljedeća pitanja:

  • Koje AI usluge tvrtka želi koristiti? Želi li tvrtka omogućiti korištenje općenito dostupnih, besplatnih AI usluga, kupiti specifične AI usluge za poboljšanje softvera koji se već koristi unutar tvrtke ili razviti vlastitu internu uslugu AI?
  • Koji komercijalni uvjeti pokrivaju korištenje AI usluge?
  • Je li usluga umjetne inteligencije obuhvaćena odredbama propisa o zaštiti podataka odnosno u kojoj mjeri se mora uskaditi i sa predmetnim propisima?
  • Koliko su transparentne i dostupne informacije o (pojedinim) uslugama (na primjer, kakve implikacije ima korištenje Binga kada je ova usluga omogućena unutar Copilota; je li Microsoft implementirao zakonska načela o zaštiti podataka u vezi s obukom i upotrebom Copilota; pruža li Microsoft dovoljne kontrole zlouporabe za sprječavanje kršenja propisa o zaštiti podataka i kako tvrtke mogu izbjeći anketiranje i praćenje svojih zaposlenika putem Copilot sustava za izvješćivanje)?
  • Kako tvrtka procjenjuje promjenjivu prirodu odabranih AI usluga (buduća ažuriranja)?

Transparentnost i odgovornost temeljna su načela propisa o zaštiti podataka. Međutim, funkcionalnost AI alata kao što je Copilot često je složena i nije u potpunosti transparentna za tvrtke koje razmišljaju o omogućavanju takvih AI usluga. Zbog toga može biti teško razumjeti kako se obrađuju osobni podaci i mora se osigurati usklađenost s obvezama zaštite podataka. Za rješavanje ovih pitanja često je korisno razgovarati o tim aspektima izravno s pružateljem usluga.

Plan akcije

Uredba o zaštiti podataka zahtijeva da organizacije koje koriste usluge umjetne inteligencije kao što je Copilot dokumentiraju kako su se posvetile izazovima povezanim sa propisima o zaštiti podataka. Velika prednost provođenja ove analize u okviru procjene utjecaja na zaštitu podataka je potpuno dokumentiranje razumijevanja tvrtke o usluzi umjetne inteligencije i odabir dovoljnih mjera za smanjenje rizika od kojih će u konačnici imati koristi zaposlenici i drugi koji bi mogli biti pogođeni korištenjem usluga umjetne inteligencije. Ovisno o odabranim uslugama umjetne inteligencije, potrebne radnje mogu uključivati, ali se ne ograničavaju na:

  • Osiguravanje putem regulative za umjetnu inteligenciju i edukaciju zaposlenika da zaposlenici koriste samo rezultat Copilota kao osnovu za svoj rad. Iz perspektive zakona o zaštiti podataka tvrtke ne bi trebale koristiti rezultate umjetne inteligencije kao jedini temelj za donošenje odluka koje bi mogle utjecati na njihove zaposlenike ili kupce ili druge kategorije ispitanika (ovo bi inače moglo predstavljati nezakonit slučaj automatizirane obrade podataka u skladu s člankom 22. GDPR-a). U idealnom slučaju, regulativa za umjetnu inteligenciju također pokriva daljnja načela zaštite podataka (kao što je minimizacija podataka) i upućuju zaposlenike na izbjegavanje korištenja osjetljivih podataka unutar usluga umjetne inteligencije.
  • Pregled koncepta prava i uloga unutar okruženja Microsoft 365 budući da Copilot pristupa svim podacima kojima zaposlenici mogu pristupiti putem okruženja Microsoft 365. Često analiziranje ovih koncepata tijekom procesa implementacije Copilota otkriva nedostatke koje je potrebno pokriti.
  • Korištenje procjene usluga za objašnjenje zaposlenicima i drugima (na primjer, klijentima) kako AI usluge obrađuju osobne podatke u okviru pravila privatnosti.
  • Procjene rizika i vođenje evidencija aktivnosti obrade.
  • Pružanje edukacije zaposlenika o korištenju sustava umjetne inteligencije (na primjer, za razumijevanje implikacija unosa netočnih podataka u Copilot i potrebe za pregledom rezultata koji daje Copilot zbog provjere činjenične točnosti).

S obzirom na goleme mogućnosti AI usluga, scenariji nadzora zaposlenika lako su zamislivi. Stoga su tvrtke s radničkim vijećem dužne uključiti i radničko vijeće prije uvođenja usluga umjetne inteligencije.

Naravno da je popis obveza jako širok stoga ukoliko vas zanimaju detalji možete zatražiti snimku našeg webinara.

Želim snimku webinara AI i GDPR!
Odgovaramo u najbržem mogućem roku.

Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.