Prijava

(intervju) Nam je res vseeno, če bi zaposlitveni pogovor opravili z UI-sistemom?

Rosana Lemut Strle je odvetnica, ki se s pravom varstva osebnih podatkov ukvarja že več kot 20 let. Na letošnji konferenci bo predstavila najpomembnejše sodbe sodišča EU, v katerih so v zadnjih letih odločili o številnih vprašanjih s področja varovanja osebnih podatkov. Nekatere od njih so tudi zelo konkretne in temeljijo na podrobnostih, pa vendar je njihovo poznavanje pomembno tako za skladnost poslovanja kot tudi za sprejemanje pravih poslovnih odločitev. Pred dogodkom smo jo v krajšem pogovoru prosili, naj na kratko predstavi nekaj takšnih sodb in njihovih implikacij, dotaknili pa smo se tudi področja umetne inteligence.

Ste pravnica, ki se že vrsto let ukvarja s pravom varstva osebnih podatkov. Kako se je v tem času spremenilo oziroma razvilo dojemanje pomena osebnih podatkov in njihovega varstva?

S pravom varstva osebnih podatkov se ukvarjam že od leta 2003, torej že več kot 20 let, ko sem se na p(ZZZS#Zavod za zdravstveno zavarovanje Slovenije) kot direktorica področja za obvezno zdravstveno zavarovanje prvič na poklicni poti srečala z vprašanjem varstva osebnih podatkov zavarovanih oseb, vodenjem zbirk in nasploh z obdelavo osebnih podatkov. Izzivi niso bili zanemarljivi, res pa z razvojem tehnologije tudi področju varstva osebnih podatkov namenjamo vse več pozornosti. Vse lažje je obdelati velike količine osebnih podatkov, ne da bi posamezniki za to sploh vedeli, na tej podlagi tudi vplivati na posameznike, da sprejmejo določene odločitve, jih morda ne sprejmejo oziroma se vedejo tako, kot se sicer ne bi. Tudi posamezniki sami vse bolj razumejo, da predpisi na področju varstva osebnih podatkov niso namenjeni sami sebi, niso zaviralci razvoja, temveč je njihov namen najti in vzdrževati občutljivo ravnotežje med težnjo po hitrem razvoju in brezkompromisni uporabi novih tehnologij in potrebi po osebnem prostoru posameznika v informacijski družbi.

Katere so nekatere izmed najpomembnejših sodb sodišča EU, v katerih so v zadnjih letih odločili o številnih vprašanjih s področja varovanja osebnih podatkov?

Vsaj delno je prepoznava sodb sodišča EU kot bolj pomembnih ali manj pomembnih podvržena osebnim preferencam. Sama bi poudarila, na primer, sodbo v zadevi C‑683/21, v kateri je sodišče EU presojalo položaj upravljavca in skupnih upravljavcev osebnih podatkov ter odločilo, da gre (tudi) pri obdelavi osebnih podatkov za namene testiranja aplikacij za obdelavo osebnih podatkov v smislu splošne uredbe in je treba izpolniti vse obveznosti. Razmerja med subjekti pri obdelavi osebnih podatkov niso vedno enostavna. Pogosto je udeleženih več subjektov in njihova vloga oziroma položaj ni očiten na prvi pogled. Tako je opaziti, da se v praksi premalo pozornosti posveča temeljitemu vpogledu v okoliščine, ki so odločilne za to, ali bo subjekt upravljavec, obdelovalec ali gre morda za skupne upravljavce. Za posebej pomembno štejem tudi sodbo v zadevi C‑634/21, po kateri avtomatizirana izdelava verjetnostne ocene s strani agencije za kreditne informacije, ki se nanaša na sposobnost posameznika, da v prihodnje izpolni svoje plačilne obveznosti, pomeni avtomatizirano sprejemanje odločitev v smislu določb splošne uredbe in ima posameznik določene pravice v zvezi s takšno obdelavo svojh osebnih podatkov. Pa potem sodba v zadevi C-340/21, s katero je sodišče EU odločilo, da upravljavec ni prost obveznosti, da osebi, ki je imela škodo, to povrne, zgolj zaradi dejstva, da je ta škoda posledica nepooblaščenega razkritja osebnih podatkov ali nepooblaščenega dostopa do takih podatkov s strani »tretjih oseb«, ampak mora upravljavec dokazati, da v nobenem primeru ni odgovoren za dogodek, ki je povzročil škodo. Iz sodbe izhaja še, da nepremoženjsko škodo v smislu splošne uredbe lahko pomeni že sam strah posameznika, da bi lahko tretje osebe zlorabile njegove osebne podatke. In, seveda, še bi lahko naštevala …

Kakšne so implikacije teh sodb? Oziroma ali lahko na konkretnem primeru ene izmed teh sodb pojasnite njene implikacije?

S sodbami sodišče EU prispeva k enotni uporabi določb splošne uredbe in jih vsekakor tudi pomensko polni. Nadzorni organi odločitve sodišča EU uporabljajo pri svoji praksi, se nanje sklicujejo. Lep primer je, denimo, sodba sodišča v zadevi C‑579/21, šlo je za vprašanje obsega pravice dostopa do podatkov iz 15. člena splošne uredbe. Informacijski pooblaščenec se pri odločanju o pravici dostopa do podatkov nanjo redno sklicuje, posledično pa so svoje ravnanje sodbi prilagodili tudi upravljavci. Predmet presoje v zadevi je bila upravičenost do podatka o datumu in namenih vpogledov v osebne podatke ter o identiteti fizičnih oseb znotraj upravljavca (zaposlenih), ki so dostopale do osebnih podatkov. Sodišče EU je s sodbo odločilo, da pravica po prvem odstavku 15. člena splošne uredbe praviloma ne zajema pravice v zvezi z informacijami o identiteti zaposlenih pri upravljavcu, ki so do podatkov dostopali v okviru opravljanja delovnih nalog.

Poseben izziv je področje umetne inteligence. Med dobro sprejetimi aplikacijami UI je, na primer, ChatGPT, pri katerem pa obstaja tveganje za varstvo osebnih podatkov. Kako je to področje urejeno danes? Kako se razvija?

Pravzaprav me preseneča, kako malo pozornosti je v javnosti namenjene aktu o umetni inteligenci. Res se bo z nekaj izjemami začel uporabljati (šele) 2. avgusta 2026, se pa umetnointeligenčni sistemi že uporabljajo; takšni, ki so razmeroma preprosti in so v rabi že desetletja, pa tudi bolj kompleksni in takšni, ki prinašajo visoko tveganje za temeljne pravice posameznikov. Lahko razumem fascinacijo večjega dela javnosti s ChatGPT, težko pa sprejmem lahkomiselnost oziroma odsotnost potrebe poznati delovanje takšnega sistema umetne inteligence, njegove omejitve in tveganja, tako vsebinska (na primer: ali je odgovor pravi) kot pravna (na primer: ali smem uporabiti določene podatke, kot so podatki, ki so varovani po pravilih intelektualne lastnine, osebne podatke …). Akt o umetni inteligenci je sicer tipičen akt p(Evropske unije#Evropska unija), obsežen in tu in tam težje razumljiv. Seznanjanje z določbami gre počasi in ni prav razburljivo in kreativno delo. Čisto drugačno od gradnje in uporabe umetnointeligenčnih sistemov. Pa vendar … Nam je res vseeno, če bi namesto s kadrovnikom prihodnjega delodajalca pogovor opravili z umetnointeligenčnim sistemom? Ta ne bo vrednotil le vsebine življenjepisa in odgovorov, ki smo jih dali. Povratno informacijo bo izdelal iz analize vsega zaznanega; našega glasu, načina govora (glasnost, slovnična pravilnost, povezanost, jedrnatost …), drže telesa, mimike obraza in podobno. Morda se temu ne bomo mogli izogniti, je pa prav, da smo vsaj izčrpno informirani in se lahko odločimo, ali bomo pod temi pogoji vseeno kandidirali.

Naslov tokratne konference Dnevi prava zasebnosti in varovanja informacij je Skladnost: celostno + povezano = uspešno. Kako z vidika vaše tematike razlagate ta naslov oziroma osrednje sporočilo konference?

Naslov letošnje konference sporoča, k čemu težimo; k skladnosti, ki pomeni tudi uspešnost. Skladnost s predpisi je velik izziv. Ne zato, ker si ne bi resno prizadevali za ta cilj, temveč ker je biti skladen s predpisi v vseh vidikih in vselej resnično težko. Eksponentni vzpon tehnologije, vsaj zdi se, konvencionalne vrednote potiska v ozadje. Številčnost predpisov narašča, mi pa se vse težje znajdemo v tem svetu. Naslov konference poudarja potrebo po povezanosti, potrebo po tem, da skupaj najdemo odgovore na izzive in smo skupaj uspešni.

NAZAJ NA NOVICE

11. dnevi prava in zasebnosti in varovanja informacij

Dobre prakse na področju varstva osebnih podatkov in novosti na področju prava zasebnosti in varovanja informacij

ČASNIK FINANCE

Časnik Finance, d. o. o.
Bleiweisova 30, 1000 Ljubljana, Slovenija
Kontaktna oseba:

Jasna Špende, Poslovna akademija Časnika Finance

T: +386 41 917 871
E: jasna.spende@finance.si

INFO HIŠA, svetovanje in izobraževanje, d.o.o.,

Likozarjeva 14,
1000 Ljubljana

T: +386 1 23 55 036
E: info@info-hisa.si
W: https://www.info-hisa.si