V tomto textu se budeme soustředit výhradně na sběr a zpracování osobních údajů externích subjektů údajů, typicky zákazníků či klientů zákazníků, pro trénování a vývoj AI systémů.
Vývoj AI systému – technologie
Vývojář vyvine podle funkční specifikace systém (např. neuronovou síť s interfacem), z nějž se později (prostřednictvím tréninku) stane AI nástroj. Zde můžeme konstatovat, že nedochází ke sběru osobních údajů externích subjektů.
Trénování AI
V této fázi dochází k přetvoření klasického softwaru na AI systém. Trenér (často zaměstnanec provozovatele) pomocí trénovacích dat trénuje software, čímž dojde k „přizpůsobování parametrů AI systému, které se lze naučit, včetně vah neuronové sítě“.
Z pohledu GDPR rozlišujeme několik scénářů:
Trénovací data jsou osobními údaji = Ten, kdo trénuje AI systém (provozovatel) je správcem osobních údajů subjektů.
Trénovací data jsou anonymizované údaje, GDPR se neuplatní. Z pohledu compliance rizik se jedná o jednodušší situaci, v mnoha případech ale ve skutečnosti není anonymizace možná, například při tréninku AI pomocí obrázků obličejů lidí. Dále je klíčové, kdo provedl anonymizaci a zda trenér má jakýkoli přístup k původním datům:
Anonymizaci neprovedl trenér a trenér nemá žádný přístup k zdrojovým osobním údajům. V tomto případě proces tréninku AI systému nepodléhá GDPR.
Anonymizaci provedl trenér (nebo osoba na niž má trenér vliv, například jiná právnická osoba v rámci koncernu), a/nebo trenér má přístup ke zdrojovým datům. V tomto případě je trenér správcem osobních údajů v rámci trénovacích dat.
Trénovací data nejsou vůbec osobními údaji. GDPR se neuplatní
Uvedení AI systému na trh (Evropské unie)
Uvedením na trh se rozumí první dodání systému AI na trh Unie. S tímto krokem se pojí řada právních povinností, například posouzení rizik, registrace produktu, vyhotovení produktové dokumentace a návodu k použití, určení účelu a specifikace nepřijatelných způsobů použití a implementace technických a organizačních opatření.
Uvedení na trh Unie může zajistit:
Poskytovatel, tedy fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, které vyvíjí nebo nechávají vyvíjet systém AI za účelem jeho uvedení na trh nebo do provozu pod svým vlastním jménem nebo ochrannou známkou;
Malý poskytovatel, což je poskytovatel, který je mikropodnikem nebo malým podnikem;
Zplnomocněný zástupce, jímž je jakákoli fyzická nebo právnická osoba usazená v Unii, která obdržela od poskytovatele systému AI písemné pověření k tomu, aby jeho jménem plnila povinnosti podle unijní regulace;
dovozce, což je jakákoli fyzická nebo právnická osoba usazená v Unii, která uvádí na trh nebo do provozu AI systém označený jménem nebo ochrannou známkou fyzické nebo právnické osoby usazené mimo Unii;
distributor, tedy fyzická nebo právnická osoba v dodavatelském řetězci, jiná než poskytovatel nebo dovozce, která dodává systém AI na trh Unie, aniž by ovlivňovala jeho vlastnosti.
AI Act také zná také roli provozovatel.
Dle definice v AI Actu je jím poskytovatel, uživatel, zplnomocněný zástupce, dovozce nebo distributor.
Pozor na uvedení AI systému na trh EU mimochodem...
Specifický případ nastane, kdy AI systém začne bez dalšího používat uživatel, tj. jakákoli fyzická nebo právnická osoba … využívající AI systém. Jedná se např. o situaci, kdy firma z EU využije AI systém nabízený na trhu v USA a následně zpřístupnil tento AI systém svým zákazníkům nebo uložil svým zaměstnancům, aby jej využívali. V principu se tím stal provozovatelem AI systému ve smyslu připravované regulace. Tím mu vznikly povinnosti platné pro uvádění AI systému na trh. Jelikož o tom ale nejspíše nebude mít ani potuchy, lze se domnívat, že při tom poruší, resp. zanedbá celou plejádu povinností dle AI Actu či GDPR. V praxi lze vždy doporučit se této situaci obloukem vyhnout a přenechat uvádění na trh EU někomu z výše uvedených osob/rolí. To přinejmenším znamená nakoupit AI nástroj od provozovatele v EU.
Další compliance povinnosti dle AI Actu
Testování
AI Act vyžaduje pravidelné ověřování, že AI systém „nezvlčel“. To probíhá na testovací sadě dat a AI systém musí při každém testování vykazovat konzistentní výsledky. Netestovaný AI systém, nebo systém, který neplní specifikace, nesmí být provozován.
Existují dvě nejčastější varianty, kdy tester
používá umělá data = pro testera se GDPR neuplatní
používá-li osobní údaje pro testování = tester je správcem osobních údajů
Uvedení do provozu
Při těchto činnostech lze v praxi očekávat zejména tyto dva scénáře:
Provozovatel při uvedení do provozu sbírá osobní údaje uživatelů (např. v rámci customizace systému, či vytváření uživatelských účtů či profilů v AI systému) a to na základě instrukcí od zákazníka (uživatele) = provozovatel je zpracovatelem podle GDPR
Chybí jasné instrukce provozovateli od zákazníka, nebo koncoví uživatelé mají smlouvu přímo s provozovatelem (např. Všeobecné Obchodí Podmínky nástroje přijímá každý z uživatelů) = provozovatel je správcem či společným správcem
Monitorování AI a kybernetická bezpečnost
Provozovatelé jsou povinni vysoce rizikové AI systémy pravidelně monitorovat a zajistit automaticky generované protokoly o provozu AI systémů. To zahrnuje i protokoly obvyklé v řízení informační (kybernetické) bezpečnosti.
Tyto záznamy a protokoly musí vždy umožnit dovodit, kdo/co kdy a proč jakou událost vyvolal. Je-li iniciátorem události člověk, pak logicky záznam o události bude obsahovat jeho identifikátory, a tyto protokoly tak budou osobními údaji. Poskytovatel tak bude správcem osobních údajů obsažených v protokolech z monitoringu AI systémů a řízení kybernetické bezpečnosti.
K tomu však často přibývá povinnost pro uživatele, jež je v roli samostatného správce údajů svých zaměstnanců a klientů, implementovat technická a organizační opatření dle GDPR (čl. 32 GDPR), jež jsou nutná pro bezpečný provoz AI systému a ochranu dat souvisejících s provozem AI systému. Uživatel bude správcem osobních údajů sbíraných v souvislosti s řízením kybernetické bezpečnosti.
Tyto činnosti mohou probíhat nezávisle vedle sebe, nebo koordinovaně. Uživateli lze doporučit, aby se při svém využívání AI systémů zaměřil na nezbytné povinnosti dle GDPR, zatímco protokolování a monitorování plynoucí z AI Actu lze ponechat na provozovateli. V tom případě poskytovatel bude v roli zpracovatele při sběru a uchovávání událostí nezbytných pro naplnění článku 32 GDPR.
Změny AI systému, stažení z trhu
Jedná se o specifickou situaci, při níž provozovatel AI systému disponuje množstvím dříve nasbíraných osobních údajů, které získal v důsledku používání AI systému uživatelem.
Při stažení AI systému z trhu by měl poskytovatel osobní údaje a také údaje odvozené z těchto osobních údajů vymazat. Ale podle jakých pravidel a v jakých lhůtách? To se bude řídit dle podmínek provozu stanovených v dokumentaci AI systému a smlouvách s uživatelem. Režim a postupy při provádění změn musí take být určeny v dokumentaci AI systému. Dokumentace, která vychází z analýz aktuální implementace AI systému, tak je naprosto klíčová pro upřesnění zákonných povinností aktérů. Postavení poskytovatele ve smyslu GDPR bude nutné určit v rámci přípravy na uvedení AI systému na trh a upřesnit ji v dokumentaci (smlouvy, VOP, aj.)
Lze nicméně předpokládat zejména 2 scénáře:
Poskytovatel je správcem údajů (tj. např služby AI systému poskytuje napřímo subjektům např. na veřejné webové stránce) = poskytovatel určuje jak bude s daty naloženo a odpovídá za zajištění souladu s GDPR i při významných změnách AI systému
Poskytovatel je zpracovatelem, který například poskytuje služby AI systému společnostem, které je dále nabízejí svým zaměstnancům nebo koncovým klientům. Instrukce, jak zacházet s osobními údaji při provádění změn či stahování AI systému z trhu, musí vydávat uživatel.
Určení právního titulu
Pro některé aktivity, jejichž provádění bude podle AI Actu povinné, bude pro provozovatele obvykle právním titulem ke zpracování plnění právní povinnosti podle článku 6 odst. 1 písm. c) GDPR. V některých případech v kombinaci s plněním smlouvy dle článku 6 odst. 1 písm. b) GDPR. Smlouvou zde bude konkrétní smluvní ujednání mezi provozovatelem a koncovým uživatelem, které musí reflektovat konkrétní architekturu a nastavení daného AI systému.
Umělá inteligence a DPIA
Provedení posouzení vlivu na ochranu osobních údajů bude ve velké většině případů povinnou součástí uvádění AI systému na trh. Díky nepřeberné možnosti pojetí architektury systému však jen těžko lze nabídnout nějaké obecné schéma či návod. Lze však očekávat, že s postupem času některé nové standardy pro provádění DPIA pro AI systémy vykrystalizují.
Shrnutí pro provozovatele AI systémů
Zajišťování souladu (compliance) u AI systémů je relativně nová. To přináší náklady na výzkum a vývoj, které následovníci nejspíše ušetří. Iniciativy poskytovatelů AI systémů, v jejichž rámci spojí síly a o náklady se podělí, tak jistě lze považovat za efektivní způsob.
Při zavádění AI systému na trh v členské zemi EU lze jednoznačně doporučit využití služeb odborníků, kteří mají zkušenosti se zaváděním komplexních IT systémů zpracovávajících citlivé osobní údaje na daný trh.
Lze též doporučit konzultaci dozorových úřadů a aktivně se vydat směrem naznačeným v AI Actu, vstříc tzv. regulatorním pískovištím (regulatory sandbox).
