GDPR a fungovanie AI: Umelá inteligencia (AI) predstavuje revolúciu v spracúvaní osobných údajov a súčasne prináša výzvy v oblasti ochrany súkromia. GDPR (General Data Protection Regulation) bolo prijaté s cieľom zabezpečiť transparentnosť a bezpečnosť spracúvania osobných údajov, avšak jeho aplikácia na AI systémy je komplikovaná. S rastúcim vplyvom AI prijala Európska únia ďalšiu reguláciu, ako je AI Act. AI Act tak doplňuje existujúce pravidlá spracúvania osobných údajov.

Ako ovplyvňuje GDPR vývoj AI a čo prinesie nová regulácia?

GDPR kladie dôraz na niekoľko základných zásad spracúvania osobných údajov, ktoré sa však dostávajú do konfliktu s fungovaním AI. Ide o najmä o tieto zásady:

1. Transparentnosť a informovanosť

GDPR vyžaduje, aby boli algoritmy a rozhodovacie procesy zrozumiteľné pre jednotlivcov, ktorých osobné údaje sú spracúvané, čo je problém pri zložitých modeloch strojového učenia AI (napr. neurónové siete). Užívateľ AI má právo vedieť, ako AI dospela k určitému rozhodnutiu, čo je v praxi ťažké zabezpečiť. Problematická je aj tzv. „black box“ AI, kde modely na báze hlbokého učenia robia rozhodnutia bez možnosti jednoduchého vysvetlenia ich logiky.

Riešením môže byť použitie tzv. interpretable AI (XAI), kde sú modely navrhnuté tak, aby boli ľahšie pochopiteľné. Ide najmä o metódy:

• Feature importance (Dôležitosť prvkov) – identifikácia kľúčových faktorov, ktoré ovplyvnili rozhodnutie modelu.
• SHAP (Shapley Additive Explanations) – kvantifikácia vplyvu jednotlivých vstupných parametrov na výstup AI modelu.
• LIME (Local Interpretable Model-Agnostic Explanations) – vytvorenie zjednodušeného modelu, ktorý napodobňuje správanie AI v konkrétnej situácii.
• Vizualizácie neurónových sietí – nástroje na grafické znázornenie aktivácií neurónov v rôznych vrstvách modelu.

2. Súhlas so spracúvaním osobných údajov

AI často spracováva veľké objemy dát, pričom získanie súhlasu od každého jednotlivca je náročné. GDPR však vyžaduje špecifický a informovaný súhlas, čo môže obmedziť využívanie určitých AI technológií. Niektoré AI systémy, ako personalizované reklamy či odporúčacie algoritmy, môžu operovať na údajoch, ktoré neboli získané priamym súhlasom, ale cez tzv. oprávnený záujem, čo je právne sporné.

Pre firmy je dôležité jasne komunikovať, ako sa osobné údaje používajú a umožniť jednoduché odvolanie súhlasu.

3. Právo na výmaz („právo byť zabudnutý“)

Ak AI pracuje s osobnými údajmi a jednotlivec požiada o ich vymazanie, môže to byť problematické, ak boli už údaje použité na trénovanie modelu. Modely strojového učenia si môžu „pamätať“ určité údaje aj po ich formálnom odstránení, čo môže viesť k porušeniu GDPR.

4. Minimalizácia osobných údajov a získavanie len nevyhnutných údajov

GDPR vyžaduje, aby boli spracúvané len nevyhnutné údaje, no AI systémy často fungujú efektívnejšie pri väčších datasetoch. Firmy musia nájsť rovnováhu medzi efektívnosťou AI a požiadavkou na ochranu súkromia. Implementácia techník ako syntetické dáta, kde sa generujú anonymizované verzie skutočných údajov, môže pomôcť splniť požiadavky GDPR bez straty výkonnosti AI modelov.

AI Act vs. GDPR

GDPR rieši ochranu osobných údajov, zatiaľ čo AI Act sa zameriava na bezpečnosť a etiku AI systémov. Spolu vytvárajú komplexný regulačný rámec pre AI v EÚ.

Európska únia prijala AI Act, ktorý dopĺňa GDPR a zavádza nové pravidlá pre využívanie AI:

1. Kategorizácia AI systémov podľa rizika:

AI Act rozdeľuje systémy do štyroch skupín:

1. zakázané (napr. AI systémy na sociálne skórovanie, ako je napr. hodnotenie jednotlivcov na základe och správania a manipulácia verejnej mienky);
2. vysokorizikové (napr. systémy používané v biometrickej identifikácii, zdravotníctve, bankovníctve a v kritickej infraštruktúre);
3. obmedzené riziko (napr. chatboty, ktoré musia jasne informovať používateľa, že s ním komunikuje AI);
4. minimálne riziko (napr. AI systémy na automatické preklady, spamové filtre alebo herné AI, ktoré nezasahujú do práv jednotlivcov).

     2. Nové povinnosti pre vývojárov a firmy

Vývojári  a firmy majú povinnosť zabezpečiť transparentnosť a náležitú starostlivosť pri vývoji AI systémov. AI Act kladie dôraz na požiadavku pri overení  a testovaní AI pred jej uvedením na trh. Vývojári musia zdokumentovať spôsob fungovania AI, jeho tréningové dáta a mechanizmy rozhodovania.

Ďalej je potrebné zaviesť etické a bezpečnostné kontroly, ktoré zabránia zaujatosti alebo nepredvídaným dôsledkom rozhodnutí AI.

Rovnako vzniká povinnosť pravidelného auditovania AI systémov najmä, ak patria do kategórie vysokorizikových systémov. Zabezpečenie, že AI systémy umožnia ľudský dohľad, čím sa minimalizuje riziko autonómnych rozhodnutí bez možnosti zásahu človeka.

Dôležitá tiež bude implementácia mechanizmov na odvolanie alebo opravu rozhodnutí AI, najmä v situáciách, kde môže dôjsť k nespravodlivosti alebo diskriminácii.

Ako sa firmy môžu pripraviť?

1. Zaviesť audit AI systémov spočívajúci v kontrole, či AI dodržiava pravidlá GDPR a AI Act a rovnako vykonávať pravidelné hodnotenie rizík súvisiacich so spracúvaním osobných údajov.

1. Zabezpečiť transparentnosť poskytovaním zrozumiteľných informácií pre používateľov o tom, ako AI pracuje, dokumentovať rozhodovacie procesy AI a umožniť ich kontrolu dozornými orgánmi.

3. Minimalizovať spracúvanie osobných údajov používaním anonymizácie a pseudonymizácie osobných údajov a zaviesť techniky federatívneho učenia na ochranu súkromia (učenie, pri ktorom sa modely trénujú priamo na používateľských zariadeniach, napr. smartfónoch a počítačoch, namiesto odosielania všetkých údajov na centrálny server.

1. Školiť zamestnancov v oblasti GDPR a nových regulácií týkajúcich sa AI a pripraviť interné postupy na riešenie incidentov súvisiacich s únikom osobných údajov.
2. Zaviesť mechanizmy na spracúvanie žiadostí o právo na výmaz, najmä vytvoriť efektívne procesy na odstránenie údajov z AI systémov na požiadanie a monitorovať, či sú splnené požiadavky GDPR na vymazanie osobných údajov.

Záver

GDPR a AI Act predstavujú zásadný krok k regulácii AI technológií. Hoci GDPR kladie dôraz na ochranu osobných údajov, AI Act dopĺňa tieto pravidlá špecifickými požiadavkami na vývoj a použitie AI systémov.

Pre firmy a vývojárov AI je dôležité pochopiť nové povinnosti a implementovať opatrenia na ochranu osobných údajov. Budúcnosť AI v EÚ bude závisieť od schopnosti regulátorov a technologických firiem nájsť rovnováhu medzi inováciami a ochranou súkromia.

 

Potrebujete pomôcť s nastavením pravidiel pri vývoji a používaní AI tak, aby bola v súlade s GDPR? Neváhajte nás kontaktovať na avris@avris.sk.