Používanie AI aplikácií v práci

Využívanie umelej inteligencie (AI)Článok 3 bod 1 AI Act – systém AI je strojový systém, ktorý je dizajnovaný na prevádzku s rôznymi úrovňami autonómnosti, ktorý môže po nasadení prejavovať adaptabilitu a ktorý pre explicitné alebo implicitné ciele odvodzuje zo vstupov, ktoré dostáva, spôsob generovania výstupov, ako sú predpovede, obsah, odporúčania alebo rozhodnutia, ktoré môžu ovplyvniť fyzické alebo virtuálne prostredie.  sa už dnes zdá samozrejmosťou. Možno si ani neuvedomujeme, kde všade je AI zapracovaná a pomáha. Zmenilo sa vyhľadávanie v googli. Tiež sa mnohé chatboty alebo voiceboty zmenili na digitálne asistentky s AI. V článku sa zameriame na dva aspekty. Využívanie AI prevádzkovateľmi, ak chcú pri spracúvaní údajov využívať systémy AI. Pozrieme sa aj na využívanie AI v práci (alebo ak chcete, pri práci). 

Pri využívaní AI by zamestnanci aj samotní prevádzkovatelia mali mať vždy na pamäti, že AI je pomocník a nie autorita. Veľmi potrebný (aj predpokladaný) je ľudský dohľad, resp. kritické myslenie pri spracúvaní výsledkov generovaných AI. 

 

Ako používať AI pri spracúvaní osobných údajov? Na čo nezabudnúť? 

Táto časť je pohľadom na povinnosti prevádzkovateľa (nasadzujúceho subjektu), ktorý plánuje využívať AI na spracúvanie osobných údajov. Či už je to uľahčenie práce, automatizácia alebo aj spomínaný chatbot. 

Pokiaľ budú využívaním nasadenej AI spracúvané osobné údaje, predpokladáme, že prevádzkovateľ by mal splniť všetky povinnosti podľa GDPR. Najmä by však nemal zabudnúť na nasledujúce odporúčania. Všetky sú rovnocenné (nie sú zoradené v časovej ani vecnej následnosti). 

1. Prvým krokom bude určenie rizikovosti AI systémuNajmä článok 5 a 6 AI Actu.. Od toho sa bude odvíjať miera povinností, ktoré následne musí podľa AI Actu splniť. 
2. Nástroje s využívaním AI by nemali spracúvať osobné údaje, ak preto neexistuje účel a právny základ. V prípade, ak toto nemá prevádzkovateľ ošetrené, mal by údaje, ktoré bude AI spracúvať, vhodne anonymizovať. 
3. Aj v prípade, ak má prevádzkovateľ účel a právny základ, platí zásada minimalizácie spracúvania osobných údajov. Mal by s využitím AI spracúvať len to, čo je nevyhnutne potrebné. 
4. Účel predpokladáme nebude problémom. Problematickým bude skôr právny základ, pokiaľ ide o samotné využívanie osobných údajov na trénovanie (programovanie) AI. Tu sa názory odborníkov rozchádzajú. Niektoré „hlasujú“ za transparentnejšie (no ťažšie realizovateľné) súhlasy dotknutých osôb a iné sú skôr naklonené využívaniu oprávneného záujmu. O ten by sa možno v budúcnosti mohlo opierať aj samotné GDPR, ak vstúpi do platnosti toľko diskutovaný Omnibushttps://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal. 
5. Náležitú pozornosť musí prevádzkovateľ venovať osobitnej kategórii osobných údajov (napr. biometria slúžiaca pre identifikáciu alebo údaje o zdraví), kedy právny základ musí nájsť v čl. 9 ods. 2 GDPR alebo si získať súhlasy dotknutých osôb. Inak by tieto typy údajov nemal vôbec do AI „púšťať“. 
6. Alfou omegou GDPR aj AI Actu je transparentnosť. Prevádzkovateľ by mal transparentne informovať dotknuté osoby, ak využívaním AI dochádza k novým spracovateľským operáciám (t.j. AI nie je „len“ ďalší z nástrojov slúžiacich na spracovanie údajov v zmysle akéhokoľvek iného informačného systému). Aj AI ActNariadenie 2024/1689, ktorým sa stanovujú harmonizované pravidlá v oblasti umelej inteligencie a ktorým sa menia nariadenia (ES) č. 300/2008, (EÚ) č. 167/2013, (EÚ) č. 168/2013, (EÚ) 2018/858, (EÚ) 2018/1139 a (EÚ) 2019/2144 a smernice 2014/90/EÚ, (EÚ) 2016/797 a (EÚ) 2020/1828 (akt o umelej inteligencii) rovnako predpokladá informovanie dotknutých osôb o interakcii s AI (napr. s chatbotom). 
7. Zabezpečiť povinnosti súvisiace s vybavovaním žiadostí dotknutých osôb, a to najmä spojených s uplatnením práva na prístup (vedieť, ktoré osobné údaje a kde spracúvam) a práva na zabudnutie (výmaz). Ak na spracúvanie osobných údajov využíva sprostredkovateľa, môže ev. poveriť jeho, aby tieto možnosti preveril a následne implementoval. Napríklad aj tým, že tieto požiadavky zahrnie do požiadaviek kladených na obstarávaný (nakupovaný) nástroj (riešenie). 
8. Preveriť sprostredkovateľa povereného spracúvaním osobných údajov. Tu odporúčame dvojaké preverenie. Jedno vykonať v rozsahu čl. 28 ods. 3 písm. h) GDPR. Podľa tohto ustanovenia GDPR sprostredkovateľ poskytne prevádzkovateľovi všetky informácie potrebné na preukázanie splnenia povinností stanovených v tomto článku a umožní audity, ako aj kontroly vykonávané prevádzkovateľom alebo iným audítorom, ktorého poveril prevádzkovateľ, a prispieva k nim. Preverenie (audit) by mali preukázať spôsobilosť sprostredkovateľa spracúvať osobné údaje v mene prevádzkovateľa. Druhý typ preverenia odporúčame vo vzťahu k samotnému AI. Zamerať sa na špecifiká AI Actu, riadenie rizík, kybernetickej bezpečnosti a znalosti samotného AI Actu zo strany dodávateľa. Opierať by sa pri tom prevádzkovateľ mal o overené štandardy (napr. ISO, NIST). 
9. Prijať primerané bezpečnostnotechnické a personálne opatrenia. Sem by sme odporúčali zaradiť výber takých riešení, ktoré umožňujú spracúvanie priamo u prevádzkovateľa (on premise) alebo v cloude s prístupmi len pre prevádzkovateľa (v jeho tenante). Takpovediac, aby osobné údaje neopustili prostredie prevádzkovateľa. Do týchto prostredí sa nasadí riešenie AI. T.j. takéto riešenie nie je „vystrčené“ do sveta. Odporúčame, aby bolo naprogramované tak, že sa nebude učiť z osobných údajov prevádzkovateľa. Hovoríme o nastavení a izolovaní prostredia, na ktorom bude fungovať AI. Sem spadá tiež bezpečná architektúra prostredia. 
10. ...

 

Autor: JUDr. Paula Babicová