Europejska Rada Ochrony Danych (EROD) wydała długo oczekiwaną Opinię 28/2024, która w kompleksowy sposób odnosi się do kluczowych aspektów ochrony danych osobowych w kontekście rozwoju i wdrażania modeli AI.
W tym artykule przeanalizujemy najważniejsze wnioski i rekomendacje, które mają fundamentalne znaczenie dla firm rozwijających lub wykorzystujących rozwiązania oparte na sztucznej inteligencji.
A) Kiedy model AI można uznać za anonimowy?
Jednym z najważniejszych aspektów poruszonych w opinii jest kwestia anonimowości modeli AI. EROD podkreśla, że nie można z góry założyć, że model trenowany na danych osobowych automatycznie staje się anonimowy. Aby model mógł zostać uznany za anonimowy, muszą zostać spełnione dwa kluczowe warunki:
1. Musi być znikome prawdopodobieństwo bezpośredniego (w tym probabilistycznego) wydobycia danych osobowych dotyczących osób, których dane wykorzystano do treningu modelu
2. Musi być znikome prawdopodobieństwo uzyskania takich danych osobowych z zapytań kierowanych do modelu, zarówno celowo jak i przypadkowo
Ocena anonimowości powinna uwzględniać „wszystkie rozsądnie prawdopodobne środki”, które mogą zostać wykorzystane przez administratora lub inne podmioty.
B) Prawnie uzasadniony interes jako podstawa prawna
EROD szczegółowo analizuje możliwość wykorzystania prawnie uzasadnionego interesu jako podstawy prawnej przetwarzania danych zarówno na etapie rozwoju, jak i wdrażania modeli AI. Przykładowo, w fazie rozwojowej może to być tworzenie chatbota do obsługi klienta, a w fazie wdrożeniowej – poprawa wykrywania zagrożeń w systemie informatycznym.
Aby móc skorzystać z tej podstawy prawnej, administrator musi przeprowadzić trzystopniowy test:
1. Zidentyfikować prawnie uzasadniony interes (musi być zgodny z prawem, jasno określony i rzeczywisty)
2. Wykazać niezbędność przetwarzania dla realizacji tego interesu
3. Przeprowadzić test równowagi między interesem administratora a prawami i wolnościami osób, których dane dotyczą
C) Szczególne zagrożenia związane z AI
Opinia zwraca uwagę na specyficzne ryzyka dla praw podstawowych, które mogą pojawić się zarówno w fazie rozwoju, jak i wdrażania modeli AI. EROD podkreśla, że przetwarzanie danych osobowych w kontekście AI może mieć różnorodny wpływ na osoby, których dane dotyczą – zarówno pozytywny, jak i negatywny.
Przy ocenie tego wpływu należy wziąć pod uwagę:
– Charakter przetwarzanych danych
– Kontekst przetwarzania
– Możliwe dalsze konsekwencje przetwarzania
D) Rozsądne oczekiwania osób, których dane dotyczą
Szczególnie istotnym elementem jest kwestia rozsądnych oczekiwań osób, których dane dotyczą. EROD zwraca uwagę, że ze względu na złożoność technologii AI, osobom może być trudno zrozumieć różnorodne sposoby wykorzystania ich danych. Przy ocenie tych oczekiwań należy wziąć pod uwagę:
– Informacje przekazane osobom, których dane dotyczą
– Kontekst przetwarzania
– Źródło pozyskania danych
– Publiczną dostępność danych
– Charakter relacji między osobą a administratorem
– Świadomość osób odnośnie obecności ich danych w internecie
E) Środki łagodzące ryzyko – praktyczne przykłady
EROD przedstawia szereg konkretnych środków łagodzących, które mogą zostać zastosowane w różnych fazach rozwoju i wdrażania AI:
Faza rozwojowa:
– Implementacja mechanizmów filtrowania i czyszczenia danych przed treningiem modelu
– Stosowanie technik minimalizacji danych i pseudonimizacji
– Wdrożenie procedur testowania modelu pod kątem potencjalnych wycieków danych
– Regularne audyty bezpieczeństwa
– Szkolenia dla zespołów AI w zakresie ochrony danych osobowych
Faza wdrożeniowa:
– Mechanizmy monitorowania i wykrywania nietypowych wzorców wykorzystania modelu
– Systemy ostrzegania o potencjalnych próbach ekstrakcji danych osobowych
– Ograniczenia liczby zapytań do modelu od pojedynczego użytkownika
– Implementacja wielopoziomowych mechanizmów kontroli dostępu
– Regularne przeglądy i aktualizacje zabezpieczeń
EROD podkreśla, że lista ta nie jest wyczerpująca, a środki powinny być dobierane i aktualizowane w zależności od konkretnego przypadku oraz rozwoju technologii.
❗️ Praktyczny przykład: Chatbot obsługi klienta
EROD przedstawia przykład wdrożenia chatbota w dziale obsługi klienta, gdzie prawnie uzasadnionym interesem jest poprawa jakości obsługi. W tym przypadku niezbędne środki łagodzące mogą obejmować:
1. Ograniczenie dostępu chatbota tylko do niezbędnych danych klienta
2. Implementację mechanizmów zapobiegających zapisywaniu wrażliwych danych w logach
3. Regularne czyszczenie historii konwersacji
4. Jasne informowanie użytkowników o interakcji z systemem AI
5. Możliwość przełączenia się na kontakt z człowiekiem
—
Potrzebujesz wsparcia w dostosowaniu swoich rozwiązań AI do wymogów RODO?
Nasi eksperci pomogą Ci przeprowadzić kompleksową analizę ryzyka i wdrożyć odpowiednie zabezpieczenia.
Skontaktuj się z nami już dziś, by umówić bezpłatną konsultację.
Umów bezpłatną konsultację:
– ☎️ +48 784 072 348
– 📧 biuro@juvo.pl