GDPR a umělá inteligence

Evropa posiluje pravidla ochrany osobních údajů v kontextu umělé inteligence (AI). Na přelomu roku 2024 vydal Evropský sbor pro ochranu osobních údajů (EDPB) podrobný soubor doporučení, jak zajistit ochranu dat při vývoji a provozu AI modelů. Tyto pokyny představují důležitý krok pro fungování, provozovatele a dozorové úřady. Klíčovou otázkou se stala anonymita modelů – zda jsou data skutečně anonymní, a tím pádem mimo dosah GDPR, nebo zda je nutné dodržovat dosah předpisů.

Anonymita modelů má zásadní právní důsledky. Pokud lze model považovat za anonymní, GDPR se na něj nevztahuje. Anonymní modely AI nejsou samozřejmostí, protože i když nejsou dostupné k poskytování osobních údajů, mohou být nedostatečně „regurgitovat“ (znovu vyvolat) nebo umožnit identifikaci. Například dotaz na vzácné onemocnění může být součástí odhalení, že konkrétní pacient byl součástí tréninkových dat.

EDPB vyžaduje, aby anonymita byla podrobena přísnému testování. Německé dozorové úřady upozornily, že jazykové modely zpracovávají data pomocí anonymních tokenů, což však neeliminuje riziko nepřímé identifikace. Kromě technických opatření, jako je pseudonymizace nebo diferenciální soukromí, je třeba pravidelně testovat modely proti pokusům o zpětnou identifikaci.

Minimalizace rizik vyžaduje strategická opatření, která zahrnují volbu datových zdrojů, výběr tréninkových dat bez osobních údajů nebo jejich důslednou anonymizaci, pseudonymizaci, odstranění přímých identifikátorů, jako jsou jména nebo adresy, přidání statistického šumu metodou differential privacy, aby ani při sofistikovaném útoku nebylo možné získat původní údaje, a redukci informací ve výstupech, aby model nevrátil citlivé informace ani při pokusech o jejich získání. Tyto kroky se neomezují jen na technické aspekty, ale zahrnují také organizační opatření, jako je pravidelná kontrola souladu s GDPR nebo transparentní dokumentace procesů.

Pokud anonymita není možná nebo žádoucí, například při zpracování životopisů uchazečů, je třeba zajistit právní základ pro zpracování. Nejčastěji se využívá oprávněný zájem správce, který musí projít tzv. tříkrokovým testem: identifikace oprávněného zájmu, který musí být jasný a zákonný, posouzení nezbytnosti, kdy zpracování musí být nezbytné k dosažení zájmu a neexistovat méně invazivní alternativa, a balanční test, kdy ochrana práv a svobod jednotlivců musí být vyvážená vůči zájmu správce.

Klíčovou roli hraje také informovanost uživatelů. Pokud dotčené osoby nerozumí, jak jejich údaje budou zpracovány, může dojít k porušení jejich práv. Organizace musí zajistit, aby byly informace nejen přístupné, ale také srozumitelné. Uživatelé by měli být schopni pochopit, že jejich údaje mohou být využity k trénování nebo zlepšování modelů AI.

Evropské standardy přinášejí nejen výzvy, ale také jasná pravidla, která pomáhají chránit osobní údaje v éře umělé inteligence. Vývojáři a organizace musí najít rovnováhu mezi technologickými možnostmi AI a právními požadavky. Pečlivé posouzení, implementace opatření a důsledná transparentnost jsou klíčem k úspěšnému nasazení modelů v souladu s GDPR. Pro koncového uživatele to znamená větší jistotu, že jeho údaje jsou chráněny, ať už se nacházejí v tréninkových datech nebo ve výstupech moderních AI systémů.