Lenka Michalcová
V této sérii článků představujeme novinky navržené tzv. Digitálním omnibusem, které mají význam pro vývoj i provoz umělé inteligence. V prvním díle jsme se zaměřili na časovou osu, zjednodušená pravidla pro SME a SMC a požadavek zajištění AI gramotnosti. V tomto díle nastíníme některé změny v pravidlech zpracování osobních údajů.
Deklarovaným primárním cílem úpravy regulace osobních údajů je zvýšení právní jistoty a vyjasnění aplikačních otázek. Další část návrhů potom reaguje na výkladovou praxi Soudního dvora Evropské unie (SDEU). Odkaz na první díl
Využití pseudonymizovaných dat k vývoji a provozu systému AI
Zúžení definice osobních údajů spadá do druhé zmíněné kategorie, neboť v reakci na nedávné rozhodnutí SDEU navrhuje doplnit text GDPR negativním vymezením osobních údajů. GDRP by tak mělo do budoucna uvádět, že informace není osobním údajem ve vztahu k tomu subjektu, který nedisponuje prostředky, o kterých lze rozumně předpokládat, že budou použity pro identifikaci dané fyzické osoby. Tímto by měla být zakotvena více subjektivní, okolnostmi podmíněná definice osobních údajů. A byť se jedná o interpretaci již dovozenou SDEU, vývojářům systémů AI přináší její legislativní potvrzení příslib jednotnosti budoucí výkladové praxe, což je v kontextu rozsáhlých investic spojených s vývojem a trénováním systémů AI jistě žádoucí.
Pro vývojáře systémů AI to tedy znamená možnost provádět trénování a vývoj AI na pseudonymizovaných datech, pokud nebude mít přístup k prostředkům k re-identifikaci fyzických osob. Pomyslným klíčem k odemčení těchto pseudonymizovaných dat, bude důkladné posouzení situace u každého jednotlivého vývojáře systému AI a datasetu, který možnost použití této výjimky potvrdí. Důkazní břemeno, že se nejedná o osobní data bude totiž ležet právě na osobě, která tento dataset využívá.
Oprávněný zájem jako titul zpracování osobních údajů při vývoji a provozu systémů AI
Digitální omnibus navrhuje kodifikovat oprávněný zájem jako možný titul pro zpracování osobních údajů při vývoji a provozu systémů AI. Nejde ale ani zdaleka o stržení pomyslné červené pásky okolo osobních údajů, jak by se mohlo na první pohled zdát. Předně je třeba zmínit, že oprávněný zájem, jako v zásadě jediný realisticky použitelný titul zpracování osobních údajů, je napříč Evropskou unií skloňován v zásadě od okamžiku masivního rozšíření využívání umělé inteligence. K použitelnosti tohoto titulu zpracování osobních údajů se vedle národních dozorových orgánů vyjádřil například i Evropský sbor pro ochranu osobních údajů. I přesto zůstává řada otázek nezodpovězená.
Digitální omnibus chybějící odpovědi bohužel spíše nenabízí. V zásadě identicky s již platnou textací GDPR Digitální omnibus opakuje, že oprávněný zájem je přípustným titulem zpracování osobních údajů pouze je-li takovéto zpracování nezbytné pro dosažení daného účelu a v konkrétním případě nepřeváží zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů. Ani po případném přijetí Digitálního omnibusu se tedy poskytovalé ani subjekty zavádějící systémy AI neobejdou bez provedení balančního testu podkládajícího převahu jimi sledovaného oprávněného zájmu.
Digitální omnibus ale zároveň stanoví, že tam, kde evropské právo, nebo lokální úprava členských států, vyžaduje souhlas, nelze oprávněný zájem jako titul pro zpracování osobních údajů při vývoji a provozu systému AI využít. Tímto způsobem Digitální omnibus paradoxně vytváří další prostor pro roztříštěnost regulace v rámci Evropské unie, což je přesně ten problém, proti kterému Digitální omnibus původně plánoval bojovat.
Digitální omnibus sice zmiňuje, že při vývoji a provozu AI systémů je, za určitých podmínek, možné využít oprávněný zájem, ale nevyjasňuje, zda způsob získání osobních údajů - ať už scrapováním z internetu nebo přímo od subjektu osobních údajů - má vliv na jeho použitelnost pro zpracování těchto osobních údajů. Podobně jako v případě obecné úpravy oprávněného zájmu zakotvené v GDPR, i Digitální omnibus uvádí, že subjekt údajů má mít právo vznést nepodmíněnou námitku proti zpracování osobních údajů; bohužel ale opět neposkytuje žádné konkrétní zpřesnění praktických dopadů vznesení námitky např. pro již natrénovaný model AI.
Zpracování zdravotních údajů, politických názorů a dalších citlivých osobních údajů skrz AI
Provoz a vývoj systémů AI v praxi často naráží na překážku striktních podmínek zpracovaní zvláštních kategorií osobních údajů (např. údaje, které vypovídají o zdravotním stavu, politických názorech nebo náboženském vyznání). Digitální omnibus navrhuje stanovit podmínky, za kterých bude zpracování těchto zvláštních kategorií osobních údajů při vývoji nebo provozu AI možné. První podmínkou je implementace vhodných opatření, která mají shromažďování tohoto typu osobních údajů předcházet. Dále, pokud by, i přesto, že byla zavedena vhodná opatření pro minimalizaci těchto dat, byly zvláštní kategorie osobních údajů identifikovány v testovací, trénovacím nebo validačním datasetu, musí být bezodkladně smazány. Pro případ, že by smazání vyžadovalo nepřiměřené úsilí, umožňuje návrh správci těchto údajů (typicky vývojář systému AI), aby je pouze chránil před zpřístupněním nebo použitím při výrobě výstupu.
Prostudování tohoto pravidla nepochybně vyvolává řadu otázek, například Jaký smysl má odstranění osobních údajů, když už AI model byl natrénován? I když odstraníme data ze souboru, model i jeho výsledky zůstanou nedotčené.
Vedle toho digitální omnibus připouští zpracování zvláštních kategorií osobních údajů za účelem detekce a korekce zaujetí v souvislosti s vysoce rizikovými systémy AI. Ani tuto výjimku není možné využít bez dalšího, naopak, je třeba splnit několik předpokladů. Tím prvním a zásadním předpokladem je, že detekce nebo korekce zaujetí nelze dosáhnout zpracováním jiných, syntetických nebo anonymizovaných dat. Kompromisní návrh kyperského předsednictví prosazuje, aby se záruky určené pro systémy AI s vysokým rizikem vztahovaly i na další typy systémů a modelů.
Důsledky navrhovaných změn
Využití zvláštních kategorií osobních údajů bude tedy i nadále podléhat omezením a podmínkám a lze očekávat, že jejich naplnění budou dozorové orgány důkladně přezkoumávat, a to zejména u vysoce rizikových systémů AI. Vývojáři systémů ani provozovatelé systémů AI se tak pravděpodobně neobejdou bez důkladné dokumentace zahrnující jak obhajitelné právní posouzení, tak specifikaci technických a organizačních opatření.
Hledáte experta, který Vám pomůže; chcete poptat naše služby; nebo se zkrátka na něco zeptat? Dejte nám o sobě vědět a my se Vám co nejdříve ozveme zpátky.