NASVET Na kaj paziti, če vaša storitev UI uporablja osebne podatke

Kdaj se modeli umetne inteligence (UI) lahko štejejo za anonimne? Ali se lahko zakoniti interes uporabi kot pravna podlaga za razvoj ali uporabo modelov UI? Kakšne so posledice, če se model UI razvije z uporabo osebnih podatkov, ki so bili obdelani nezakonito? To so vprašanja, na katera odgovarja evropski odbor za varstvo podatkov (EDPB), ki ga sestavljajo vsi nadzorni organi za varstvo podatkov v EU, s čimer si prizadevajo za vseevropsko uskladitev pravil.

Za mnenje je zaprosil irski informacijski pooblaščenec. EDPB sicer pripravlja še širše mnenje, ki bo zadevalo širše področje UI in varstva osebnih podatkov. Tokrat bomo tako pogledali tri področja, ki jih je v svojih vprašanjih povzel irski informacijski pooblaščenec. Dodajmo še pojasnilo EDPB, da se v tem mnenju nanaša na modele UI, ki se skozi uporabo osebnih podatkov učijo opravljati svoje naloge.

Osnovno o UI in osebnih podatkih

Osebni podatek vključuje vse informacije, ki so povezane z določenim ali določljivim posameznikom. Varstvo osebnih podatkov se prav tako uporablja za sisteme UI, ki obdelujejo osebne podatke. To pomeni, da morate tako kot pri preostalih rabah osebnih podatkov imeti ustrezno pravno podlago za obdelavo podatkov tudi v tem primeru (o tem podrobneje v nadaljevanju), urad informacijske pooblaščenke pa v svojih pojasnilih piše, da si pri identifikaciji in upravljanju tveganj, ki jih prinašajo sistemi UI, lahko pomagate s pripravo ocene učinka na varstvo osebnih podatkov. Ocena učinka je potrebna takrat, ko je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij (ob upoštevanju narave, obsega, okoliščin in namenov obdelave), povzročila veliko tveganje za pravice in svoboščine posameznikov.

Sistemi UI temeljijo na obdelavi velike količine (osebnih) podatkov, ki so lahko pridobljeni posebej za namen učenja sistema UI (bodisi neposredno od posameznikov bodisi kako drugače) ali pa so bili zbrani za kakšen drug namen in se uporabijo vnovič. Takšna nadaljnja uporaba je dopustna le, če je združljiva z namenom, za katerega so bili podatki prvotno zbrani. Dodajmo pravilo, ki velja pri vsakem zbiranju osebnih podatkov: pri opredelitvi namena morate biti natančni. »Podatke zbiramo zaradi izboljšanja storitve,« ni dovolj dobro pojasnilo namena.

Ponovimo še eno klasično pravilo GDPR: podatkov ne smete zbirati na zalogo, češ, morda nam pa prav pridejo čez nekaj časa. Eno temeljnih načel varstva osebnih podatkov je namreč načelo najmanjšega obsega podatkov, ki zahteva, da so zbrani podatki ustrezni, relevantni in omejeni na količino, ki je potrebna za namene, za katere se obdelujejo. »Uresničevanje načela najmanjšega obsega podatkov in razvoj sistemov UI, ki praviloma zahteva obdelavo velike količine (osebnih) podatkov, sta na prvi pogled težko združljiva, vendar pa načelo najmanjšega obsega podatkov samo po sebi ni ovira za tovrstne obdelave podatkov, če je namen obdelave jasno določen in omejen v skladu s ciljem, ki ga obdelava zasleduje,« je pojasnjeno na strani urada informacijske pooblaščenke.

Nadalje pri informacijski pooblaščenki razlagajo, da v fazi učenja sistema UI načelo najmanjšega obsega podatkov zahteva, da upravljavec obdeluje manjši obseg osebnih podatkov, če lahko z njim doseže enak rezultat: to lahko doseže na primer tako, da namesto osebnih podatkov uporabi anonimizirane podatke ali obdela zgolj tiste vrste osebnih podatkov, ki jih dejansko potrebuje za to, da uresniči zastavljeni namen. »Upravljavci morajo zato skrbno določiti vrste osebnih podatkov, ki jih nujno potrebujejo za učenje določenega sistema umetne inteligence. Upravljavci morajo prav tako presoditi, koliko podatkov potrebujejo za učenje sistema umetne inteligence, ter oceniti, ali je obdelava v takšnem obsegu sorazmerna v skladu s ciljem, ki ga zasleduje. Zgolj zato, ker je obdelava podatkov koristna za razvoj sistema umetne inteligence ali bi lahko bila uporabna v prihodnje, še ni nujno, da je tudi pravno dopustna.«

Še eno splošno pravilo GDPR, ki velja tudi tu, je časovna omejitev hrambe podatkov. Hramba torej ni neomejena, pravilo GDPR pravi, da se osebni podatki lahko hranijo toliko časa, kolikor je potrebno za namene, za katere se obdelujejo. V primeru UI morate upravljavci določiti obdobje hrambe osebnih podatkov in pri tem upoštevati sorazmernost med namenom obdelave in obdobjem hrambe.

1. Kdaj se modeli UI lahko štejejo za anonimne?

 

Na kratko, to je odvisno od primera, vsi modeli UI, ustvarjeni z osebnimi podatki, ne sodijo nujno med anonimne. Če torej UI vprašate po podatkih določene osebe, ta pa vam odgovori z osebnimi podatki te osebe, ta model UI ni anonimen.

Da podatki res sodijo med anonimne, morajo to biti podatki, kjer posameznik, na katerega se ti podatki nanašajo, ni določljiv. Torej modeli UI so lahko uvrščeni med anonimne, ko je zelo majhna verjetnost, da bi iz modela lahko posredno ali neposredno določili posameznike, katerih podatki so bili uporabljeni za oblikovanje modela.

EDPB pa organom nadzora (torej državnim informacijskim pooblaščencem) svetuje, da pri presoji, ali gre pri modelu UI res za anonimen model UI, proučijo vsak primer posebej. Tudi zato, ker se lahko zgodi, da so osebni podatki vseeno »skriti« in dostopni v modelu UI, pa čeprav nenačrtno.

2. Je zakoniti interes lahko pravna podlaga za obdelavo osebnih podatkov z UI?

 

Tako kot vsaka druga obdelava podatkov mora tudi obdelava osebnih podatkov, ki poteka pri razvoju ali uvajanju sistemov UI, temeljiti na zakoniti pravni podlagi. Teh je po GDPR šest vrst:

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo svojih osebnih podatkov za enega ali več določenih namenov;
  2. obdelava je potrebna za izvajanje pogodbe (denimo kreditne pogodbe);
  3. obdelava je potrebna za izpolnitev zakonske obveznosti;
  4. obdelava je potrebna za zaščito življenjskih interesov posameznika;
  5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  6. obdelava je potrebna zaradi zakonitih interesov.

Med pravnimi podlagami ni hierarhije, torej ena ni boljša od druge, predvsem gre za vprašanje primernosti, ni vsaka pravna podlaga primerna za vsak primer obdelave osebnih podatkov. Kot denimo piše na strani urada informacijske pooblaščenke, »si je težko zamisliti okoliščine, ki bi dopuščale sklicevanje na pravno podlago zaščite življenjskih interesov posameznika za namen učenja umetnointeligenčnega sistema«.

A tokrat se osredotočamo na zadnjo našteto pravno podlago, ki je sicer tista, ki zbuja največ vprašanj pri obdelavi osebnih podatkov, ne le pri obdelavi z UI. Takoj je treba razjasniti, da zakoniti interes ne sme biti zasilni izhod. Češ, če nimamo privolitve, imamo pa zakoniti interes. Ni tako preprosto. Kot pri vsaki pravni podlagi morate tudi uporabo zakonitega interesa dokazati. V 47. točki uvodnih določb GDPR piše, da se zakoniti interes kot pravna podlaga lahko uporabi, če ne vplivate resno na pravice in svoboščine posameznikov, sicer obdelave podatkov ne boste mogli utemeljiti s svojimi zakonitimi interesi in boste morali poiskati drugo pravno podlago.

Če želite uporabiti zakoniti interes, morate smiselnost in pravilnost njegove rabe dokazati. Ni dovolj, da rečete, da ga po svojem mnenju imate.

Kako je potem z zakonitim interesom in uporabo v primeru UI? Rabo vsake pravne podlage, tudi zakonitega interesa, morate dokazati. Tako kot v drugih primerih zakonitega interesa (denimo pogosto se uporablja pri neposrednem trženju), morate tudi v tem primeru izpolniti tri pogoje:

  • interes upravljavca mora biti zakonit (pri čemer se je možno za pomoč pri interpretaciji nasloniti tudi na angleško različico, ki uporablja besedo »legitimen«),
  • obdelava mora biti nujna za doseganje zakonitega interesa,
  • interesi ali temeljne pravice in svoboščine posameznika ne prevladajo nad interesi upravljavca.

Pri prvem pogoju EDPB pojasnjuje, da mora biti interes zakonit, jasno in natančno artikuliran ter realen (torej ne spekulativen). Pri drugem pogoju je treba razmisliti o količini osebnih podatkov, ki jih model UI procesira, in ali je ta količina skladna z načelom minimizacije količine podatkov. Pri tretjem pogoju pa EDPB svetuje, da pretehtate različne scenarije in okoliščine, ki bi jih nadzorni organ lahko uporabil pri odločanju o tem, ali je vaša raba zakonitega interesa skladna s pravili.

Upravljavci osebnih podatkov morate tako izvesti test, ali ima obdelava osebnih podatkov negativen vpliv na posameznike. Med drugim upoštevajte, ali so bili osebni podatki javno dostopni ali ne, kakšna je narava razmerja med posameznikom in upravljavcem, kakšna je narava storitve UI, v kakšnih okoliščinah so bili osebni podatki zbrani, iz katerih virov so bili pridobljeni (s katerih spletnih strani in kakšna je njihova politika zasebnosti) ter ali se posamezniki dejansko zavedajo, da so njihovi osebni podatki dostopni na spletu, pojasnjuje EDPB.

3. Kakšne so posledice, če se model UI razvije z uporabo osebnih podatkov, ki so bili obdelani nezakonito?

 

Nadzorni organi morajo pretehtati okoliščine posameznih primerov, na kratko odgovarja EDPB. Nezakonito obdelani osebni podatki tako lahko pomenijo, da je tudi uvedba modela UI lahko nezakonita, a tudi tu EDPB pravi, da je treba pogledati vsak primer posamezno. Izjema pri zakonitosti je le, če je bil model resnično anonimiziran (torej osebni podatki res niso določljivi).

Avtorica članka: Špela Mikuš, Finance