Technologie využívající umělou inteligenci jsou stále populárnější. Nezapomínáte přitom ale na GDPR? Jak postupovat při zavádění nástrojů AI do praxe? Víte, že potřebujete hned 2 právní tituly?
Ochrana osobních údajů je založena na několika jednoduchých principech. Mezi tyto principy, lépe řečeno zásady, patří i zásada minimalizace a transparentnosti. Zatímco ta první nám říká, abychom pro účely zpracování využívali jen nezbytné minimum údajů, druhá předepisuje, jak postupovat v rámci informování subjektů údajů o operacích zpracování – tedy co konkrétně budeme s osobními údaji jako správci dělat. Jenže co když naše zpracování probíhá způsobem, kdy nejsme schopni vždy říct, zda je rozsah nezbytně nutný, či vůbec popsat, jak zpracování v konečném důsledku probíhá?
Tak tomu totiž často bývá při využívání technologie umělé inteligence. V takových případech obvykle sami nedokážeme se stoprocentní úspěšností říct, jak vlastně operace zpracování proběhla a jak jsme v rámci našeho systému došli k danému závěru. To však nic nemění na skutečnosti, že máme povinnost postupovat v souladu s GDPR a v okamžiku, kdy zpracováváme osobní údaje, plnit veškeré povinnosti, včetně povinnosti získat právní titul a informovat subjekty údajů. S tímto nelehkým úkolem nám mohou pomoci vodítka a podpůrná dokumentace, kterou v těchto dnech vydal francouzský úřad pro ochranu osobních údajů (CNIL).
Příklady systémů a oblastí, které využívají AI: – GPS systémy, – marketingové nástroje (remarketing apod.), – hlasoví asistenti (Siri, Cortana apod.) – chatboti, – samořiditelná auta, – finanční sektor (předcházení podvodů apod.), – logistika, – robotika.
Co je to umělá inteligence
Pojďme si nejprve vysvětlit, co je v tomto článku myšleno umělou inteligencí. Pravdou totiž je, že představy o těchto technologiích se mohou významně lišit. Spousta lidí si neuvědomuje, že jsou některé typy umělé inteligence v podstatě všudypřítomné. O definici umělé inteligence se pokusila Evropská komise, která za umělou inteligenci považuje „systémy vykazující inteligentní chování v podobě vyhodnocování svého okolí a následného rozhodování či vykonávání kroků – s určitou mírou autonomie – k dosažení konkrétních cílů“.
Pro ilustrační případy si vystačíme s definicí strojového učení, jež můžeme chápat jako jednu z podoblastí umělé inteligence. Prakticky si můžeme strojové učení představit jako software/algoritmus, který je schopen se na základě zdrojových dat sám učit a díky tomu se zdokonalovat. Například v oblasti zdravotnictví se jedná o velmi nadějnou technologii, která dokáže při čtení rentgenových snímků diagnostikovat pacienta mnohdy dokonce lépe než lidské oko. V dnešní praxi se tak již velmi často potkáváme se strojovým učením v rámci různých aplikací a služeb, které například umožňují rozpoznávání řeči či osob v rámci kamerového systému.
Soulad AI s GDPR
Jak s implementací GDPR v rámci umělé inteligence začít? CNIL vydal pomocný dokument nazvaný AI: ensuring GDPR compliance, který je rozdělen na několik částí a slouží jako základní rozcestník povinností a jejich plnění dle GDPR. V rámci jednotlivých částí CNIL uvádí právní povinnost, specifika jejího plnění v rámci AI a taktéž příklady, které pomáhají lépe odhadnout, na co si dát pozor.
Například ve vztahu ke strojovému učení CNIL upozorňuje, že je nutné v rámci účelu zpracování pamatovat na to, že tento algoritmus ve skutečnosti sestává ze dvou fází – učicí (trénovací) a produkční. V rámci učicí fáze algoritmus analyzuje zdrojová data a trénuje na nich svou funkci. Teprve po natrénování algoritmus plní svoje produkční cíle a funguje tak, jak jsme (přibližně) zamýšleli. Zde CNIL podotýká to, co bývá velmi často opomíjeno, a sice že se jedná o dvě relativně oddělené činnosti, které není možno slučovat pod jeden účel. V praxi bychom tedy neměli opomíjet skutečnost, že již samotné trénování je operací zpracování, ke které potřebujeme získat právní titul. Měli bychom pečlivě zvážit, na základě jakého právního titulu tato operace zpracování probíhá. Lze totiž předpokládat, že zatímco algoritmus v rámci hlavní funkce může teoreticky spadat pod nezbytnost pro splnění smlouvy (strojové učení může být součástí naší služby poskytované subjektům údajů), sběr databáze pro trénink dat se nejspíš ve většině případů nepodaří podřadit pod jiný titul, než je souhlas.
Předmětná vodítka kromě účelu, titulu a souvisejících otázek pojednávají i o specifických oblastech, jako je plnění zásady minimalizace dat, a radí, jak si poradit s právy subjektů údajů či jak se vyhnout různým nežádoucím situacím. Rozhodně lze tedy doporučit tímto dokumentem začít.
Sebehodnocení systémů AI
Druhý soubor dokumentů, které mají pomoci správcům při zpracování osobních údajů, je checklist nazvaný Self-assessment guide for artificial intelligence (AI) systems rozdělený do sedmi částí („factsheets“). První z nich se věnuje otázkám, které by si měl každý správce/zpracovatel položit před tím, než začne o implementaci AI systému vůbec uvažovat. Otázky směřují na základní parametry, ale také na zdůvodnění, zda vůbec nový systém přináší hodnotu, která odůvodňuje možný zásah do práv subjektů údajů, oproti již stávajícím systémům zpracování, jež může správce/zpracovatel využít. Připravili jsme pro vás také českou verzi tohoto checklistu, kterou si můžete stáhnout zde. V dalších částech checklistu by měl správce/zpracovatel zodpovědět dotazy týkající se zásady zákonnosti, samotného systému, výkonu dozoru nad systémem, logování, ale také výkonu práv subjektů údajů.
Plánujete využívat AI?
Pokud zvažujete nasazení umělé inteligence v rámci vašich procesů, měli byste pečlivě zvážit otázku osobních údajů. V praxi se otázka GDPR velmi často opomíjí, což následně může negativně zasáhnout do fungování celé společnosti. Zmíněný checklist slouží jako velice dobrý návod na to, jak správně popsat veškeré systémy, a splnit tak zásadu odpovědnosti správce. Ten, kdo si projde předmětný checklist, bude výborně připraven nejen na výkon práv subjektů údajů, ale také i na případnou kontrolu ze strany ÚOOÚ.