11. travnja 2025. irsko nadzorno tijelo (DPC) je objavilo početak istrage o korištenju osobnih podataka sadržanih u javno dostupnim objavama koje su korisnici iz EU/EGP-a objavili na platformi društvenih medija 'X', u svrhu obuke generativnih modela umjetne inteligencije, posebno Groka, velikog jezičnog modela (LLM). Istraga će ispitati usklađenost s nizom ključnih odredbi GDPR-a, uključujući i one u vezi sa zakonitošću i transparentnošću obrade.
Grok je naziv skupine AI modela koje je razvio xAI. Ovi LLM-ovi se koriste, između ostalog, za pokretanje generativnog alata za upite umjetne inteligencije/Chabota, koji je dostupan na X platformi. Poput drugih LLM-ova, Grok LLM-ovi su razvijeni i obučeni na širokom rasponu podataka. Ova istraga razmatra niz pitanja koja se tiču korištenja podskupa ovih podataka koje je kontrolirao X Internet Unlimited Company (XIUC), tj. osobnih podataka sadržanih u javno dostupnim objavama koje su korisnici iz EU/EGP-a objavili na platformi društvenog medija 'X'. Svrha ove istrage je utvrditi jesu li ovi osobni podaci zakonito obrađeni radi osposobljavanja Grok LLM-a.
Od prosinca 2024. Grok je dostupan svim korisnicima X platforme i koristio je biografije ljudi koji imaju račun na platformi X, također u vlasništvu Muskovog xAI-a. Zasad nije jasno jesu li osobni podaci korisnika X platforme u EU obrađeni zakonito i je li tvrtka slijedila obvezne zahtjeve transparentnosti utvrđene u GDPR-u.
Istraga DPC-a usredotočit će se na to jesu li osobni podaci zakonito obrađeni za obuku modela umjetne inteligencije Grok.
DPC je pokrenuo, a zatim brzo završio, istragu protiv X platforme zbog navodne nezakonite obrade podataka njezinih korisnika za obuku njezinog modela umjetne inteligencije, Grok.
Kao rezultat toga, X se obvezao trajno suzdržati od obrade podataka korisnika iz EU za obuku Grok i izbrisao je sve prethodno obrađene podatke korištene u tu svrhu. U kolovozu 2024., organizacije za zaštitu potrošača Euroconsumers, Altroconsumo i Europski centar za digitalna prava (Noyb) tvrdili su da je X počinio višestruka kršenja GDPR-a i podnijeli pritužbe irskom DPC-u.
Prema GDPR-u, X Internet Unlimited Company, novo ime Twitter International Unlimited Company od 1. travnja, voditelj obrade za korisnike X-a iz EU i ima sjedište u Dublinu, mogao bi biti kažnjen novčanom kaznom do 4% svog godišnjeg globalnog prometa.
Mišljenje EDPB-a 28/2024 o upotrebi osobnih podataka za razvoj i uporabu modela umjetne inteligencije
Europski odbor za zaštitu podataka (EDPB) usvojio je Mišljenje 28/2024 17. prosinca 2024. na temelju članka 64. stavka 2. Opće uredbe o zaštiti podataka (GDPR). Ovo mišljenje bavi se pitanjima zaštite podataka vezanim uz modele umjetne inteligencije. Zatražio ga je irski Povjerenik za zaštitu podataka (DPC) u rujnu 2024., a mišljenje nudi neiscrpne smjernice o tumačenju odredbi GDPR-a prilikom obuke i primjene modela umjetne inteligencije.
Mišljenje odgovara na sljedeća četiri pitanja:
- Kada i kako se model umjetne inteligencije može smatrati „anonimnim“?
- Kako voditelji obrade mogu dokazati prikladnost legitimnog interesa kao pravne osnove u fazi razvoja modela umjetne inteligencije?
- Kako voditelji obrade mogu dokazati prikladnost legitimnog interesa kao pravne osnove u fazi implementacije modela umjetne inteligencije?
- Koje su posljedice nezakonite obrade osobnih podataka u fazi razvoja modela umjetne inteligencije na naknadnu obradu ili rad modela umjetne inteligencije?
Modeli umjetne inteligencije u kontekstu mišljenja
EDPB shvaća da se sustav umjetne inteligencije oslanja na model umjetne inteligencije kako bi ostvario svoje predviđene ciljeve uključivanjem modela umjetne inteligencije u širi okvir. Jedan primjer za to je sustav umjetne inteligencije za korisničku službu koji bi mogao koristiti model umjetne inteligencije obučen na starim podacima o razgovorima (samim razgovorima) kako bi odgovorio na korisničke upite. Štoviše, modeli umjetne inteligencije relevantni za ovo mišljenje su modeli razvijeni kroz proces obuke. Takvi modeli umjetne inteligencije uče iz podataka kako bi obavljali svoje predviđene zadatke. Ovo mišljenje obuhvaća samo podskup modela umjetne inteligencije koji su rezultat obuke takvih modela pomoću osobnih podataka.
Pitanje 1: Kada i kako se model umjetne inteligencije može smatrati „anonimnim“?
Modeli umjetne inteligencije, bez obzira jesu li obučeni na osobnim podacima ili ne, dizajnirani su za izvođenje predviđanja ili zaključaka. Čak i ako model umjetne inteligencije nije izričito dizajniran za generiranje osobnih podataka iz skupa podataka za obuku, u nekim je slučajevima moguće koristiti sredstva za koja je razumno vjerojatno da će izvući osobne podatke iz nekih modela umjetne inteligencije ili jednostavno slučajno dobiti osobne podatke interakcijama s modelom umjetne inteligencije.
EDPB smatra da se model umjetne inteligencije obučen na osobnim podacima ne može u svim slučajevima smatrati anonimnim. Umjesto toga, anonimnost modela umjetne inteligencije treba procijeniti od slučaja do slučaja.
Da bi se model umjetne inteligencije smatrao anonimnim, trebalo bi biti vrlo malo vjerojatno:
- da će izravno ili neizravno izvlačiti osobne podatke pojedinaca čiji su podaci korišteni za stvaranje modela;
- da će izvlačiti takve osobne podatke iz modela putem upita. Dakle, u biti, da bi bio zaista „anoniman“, model umjetne inteligencije mora učiniti ponovnu identifikaciju osobnih podataka nemogućom.
Nadzorna tijela moraju provesti temeljitu procjenu vjerojatnosti identifikacije kako bi zaključila o anonimnoj prirodi modela umjetne inteligencije. Tijekom provođenja procjene, nadzorna tijela trebaju uzeti u obzir „sva sredstva za koja je razumno vjerojatno da će ih koristiti“ voditelj obrade ili druga osoba te nenamjernu ponovnu (upotrebu) ili otkrivanje modela umjetne inteligencije. Slijedom toga, EDPB uspostavlja visoki prag za dokazivanje anonimnosti modela umjetne inteligencije. Gledajući u budućnost, dokazivanje anonimnosti moglo bi postati sve izazovnije za AI modele, jer će morati dokazati da je vjerojatnost identifikacije "svim sredstvima" zanemariva.
Pitanja 2 i 3: Kako voditelji obrade mogu dokazati prikladnost legitimnog interesa kao pravne osnove u fazama razvoja i implementacije AI modela?
Prilikom odgovaranja na oba pitanja, EDPB se nadovezuje na Smjernice 1/2024 o obradi osobnih podataka na temelju članka 6(1)(f) GDPR-a i spominje trostupanjsku procjenu legitimnog interesa (LIA) koju je potrebno provesti prilikom procjene prikladnosti legitimnog interesa kao pravne osnove u kontekstu razvoja i implementacije AI modela.
EDPB također ističe važnost usklađenosti s člankom 5. GDPR-a, koji postavlja načela koja se odnose na obradu osobnih podataka, a koja će procijeniti nadzorna tijela prilikom procjene određenih AI modela.
Kako bi procijenili temelji li se određena obrada osobnih podataka na legitimnom interesu, nadzorna tijela trebala bi provjeriti ispunjavaju li voditelji obrade sljedeća tri uvjeta:
- ostvarivanje legitimnog interesa od strane voditelja ili treće strane;
- obrada je nužna za ostvarivanje legitimnog interesa („test nužnosti“);
- legitimni interes nije nadjačan interesima ili temeljnim pravima i slobodama ispitanika („test ravnoteže“).
A. Ostvarivanje legitimnog interesa
EDPB je dalje razradio kriterije koji bi trebali biti ispunjeni da bi ostvarivanje interesa bilo legitimno, važno je da:
- je interes zakonit;
- je interes jasno i precizno artikuliran; i
- je interes stvaran i prisutan, a ne spekulativan.
B. Test nužnosti
Procjena nužnosti podrazumijeva sljedeća dva elementa:
- hoće li aktivnost obrade zaista i stvarno omogućiti ostvarivanje svrhe; i
- ne postoji li manje nametljiv način ostvarivanja te svrhe.
Jedan od načina testiranja primjenjivosti testa nužnosti u kontekstu modela umjetne inteligencije jest analiza može li se svrha obrade na odgovarajući način ostvariti bez obrade osobnih podataka u fazi razvoja modela umjetne inteligencije.
Drugi korak ovog postupka jest procjena može li se ta svrha obrade postići s manjom količinom osobnih podataka i korištenjem sredstava koja manje narušavaju prava ispitanika, poput provedbe tehničkih zaštitnih mjera za zaštitu osobnih podataka ispitanika. Sve navedeno mora biti dobro argumentirano i dokazivo.
C. Test ravnoteže
Treći korak LIA-e je test ravnoteže, gdje se prava i slobode ispitanika moraju uravnotežiti s interesima voditelja ili treće strane. Modeli umjetne inteligencije mogu predstavljati rizike za prava i slobode ispitanika, kao što je prikupljanje njihovih osobnih podataka bez njihovog znanja tijekom faze razvoja i zaključivanje o osobnim podacima sadržanim u bazi podataka za obuku modela umjetne inteligencije tijekom faze implementacije modela umjetne inteligencije.
Unutar testa ravnoteže, EDPB pridaje značajnu važnost razumnim očekivanjima ispitanika. EDPB navodi da ako se obrada osobnih podataka ispitanika provodi u svrhu koja nije ona koju ispitanici razumno očekuju u vrijeme prikupljanja podataka, temeljna prava ispitanika mogla bi, posebno, nadjačati interes voditelja obrade. Osim toga, razumna očekivanja ispitanika mogu varirati ovisno o raznim čimbenicima, kao što je to jesu li ispitanici javno objavili svoje podatke i jesu li podaci dobiveni izravno od ispitanika ili iz drugog izvora. Štoviše, ako test ravnoteže pokaže da se obrada ne bi trebala odvijati zbog negativnog utjecaja na pojedince, mjere ublažavanja mogu ograničiti taj negativni utjecaj. Mišljenje uključuje neiscrpan popis takvih mjera ublažavanja, uključujući olakšavanje pojedincima da ostvare svoja prava, kao što su pravo na brisanje i pravo na odustajanje od obrade, te usvajanje tehničkih mjera za sprječavanje dobivanja osobnih podataka od strane AI modela.
Pitanje 4: Koje su posljedice nezakonite obrade osobnih podataka u fazi razvoja AI modela na naknadnu obradu ili rad AI modela?
Nezakonita obrada znači obradu osobnih podataka koja nije u skladu GDPR-om posebno s člankom 5(1)(a) i člankom 6. GDPR-a. Moguće mjere za za otklanjanje nezakonitosti obrade uključuju izricanje novčane kazne, nametanje privremenih ograničenja obrade, brisanje dijela nezakonito obrađenog skupa podataka ili nalaganje brisanja cijelog skupa podataka, uzimajući u obzir proporcionalnost mjere.
Scenarij 1: Voditelj obrade nezakonito obrađuje osobne podatke za razvoj modela, osobni podaci se zadržavaju u modelu i naknadno ih obrađuje isti voditelj obrade.
Nadzorno tijelo ima ovlast nametnuti korektivne mjere protiv nezakonite obrade, pri čemu može naložiti voditelju obrade da izbriše nezakonito obrađene osobne podatke.
Takve korektivne mjere ne bi dopustile voditelju obrade da provede naknadnu obradu osobnih podataka. Na primjer, ako se naknadna obrada temelji na članku 6(1)(f) GDPR-a (legitimni interesi), nezakonitost početne obrade trebala bi utjecati na procjenu, posebno u pogledu rizika za ispitanike i njihovih razumnih očekivanja. Stoga, nezakonita obrada u fazi razvoja može utjecati na legitimnost naknadnih aktivnosti obrade.
Scenarij 2: voditelj obrade nezakonito obrađuje osobne podatke radi razvoja modela, osobni podaci se zadržavaju u modelu i obrađuje ih drugi voditelj obrade u kontekstu implementacije modela.
U takvom scenariju, voditelj obrade trebao bi procijeniti zakonitost obrade koju provode:
- voditelj obrade koji je izvorno razvio model umjetne inteligencije; i
- voditelj obrade koji je pribavio model umjetne inteligencije i sam obrađuje osobne podatke.
Prilikom takve procjene, nadzorna tijela trebala bi razmotriti je li voditelj obrade procijenio neke neiscrpne kriterije, kao što je izvor podataka i je li model umjetne inteligencije rezultat kršenja GDPR-a. Stupanj procjene voditelja obrade i razina detalja koju očekuju nadzorni organi mogu varirati ovisno o različitim čimbenicima, uključujući vrstu i stupanj rizika koje proizlazi iz obrade u modelu umjetne inteligencije tijekom njegove implementacije u odnosu na ispitanike čiji su podaci korišteni za razvoj modela.
Scenarij 3: Voditelj obrade nezakonito obrađuje osobne podatke za razvoj modela i osigurava da je model anonimiziran prije nego što isti ili drugi voditelj obrade pokrene drugu obradu osobnih podataka u kontekstu implementacije.
Ako naknadno djelovanje modela umjetne inteligencije ne uključuje obradu osobnih podataka, GDPR se ne bi primjenjivao i početna nezakonita obrada ne bi utjecala na djelovanje modela. Međutim, tvrdnje o anonimnosti moraju biti potkrijepljene, a nadzorna tijela to moraju procijeniti od slučaja do slučaja, vodeći se razmatranjima EDPB-a.
Ako se osobni podaci obrađuju tijekom faze implementacije nakon anonimizacije, GDPR se primjenjuje na te aktivnosti. U takvim slučajevima, zakonitost obrade u fazi implementacije nije pogođena početnom nezakonitom obradom.
Više o smjernicma EDPB-a pročitajte ovdje.
