Atmosfera pred usvajanje nedavno donetog Zakona o veštačkoj inteligenciji EU podseća na godine kada su kompanije bile u trci da usklade svoje poslovanje sa GDPR-om. Oba propisa predstavljaju značajne promene u načinu na koji preduzeća moraju poslovati u EU, posebno kada je reč o upravljanju podacima i novim tehnologijama.
GDPR i Zakon o veštačkoj inteligenciji dele sličnosti u svom regulatornom pristupu, budući da oba imaju za cilj da zaštite osnovna prava pojedinaca uz promovisanje odgovorne inovacije. Oni uspostavljaju detaljne obaveze za usklađenost poslovanja preduzeća i nameću stroge kazne za nepoštovanje propisa, uključujući i značajne novčane kazne. Međutim, dok se GDPR fokusira na zaštitu podataka o ličnosti, Zakon o veštačkoj inteligenciji cilja na etičku i sigurnu upotrebu AI sistema, uvodeći širi obim regulacije van okvira obrade podataka o ličnosti.
Kako se preduzeća sve više oslanjaju na AI sisteme koji obrađuju ogromne količine podataka o ličnosti, ključno je razumeti kako se ove dve regulative preklapaju. U ovom blogu ćemo istražiti obaveze prema GDPR-u i Zakonu o veštačkoj inteligenciji, ističući ključne oblasti u kojima se ovi propisi preklapaju i šta to znači za kompanije koje posluju u ovim branšama.
Sličnosti između GDPR-a i Zakona o veštačkoj inteligenciji
Regulatorni pristup:
U oba slučaja se radi o obimnim propisima na nivou EU koja se direktno primenjuju na preduzeća bez potrebe za sprovođenjem od strane pojedinačnih država članica.
One uspostavljaju okvir, sa jasno naznačenim zahtevima i standardima, koji kompanije moraju poštovati.
Eksteritorijalna primena:
Jedna od značajnih sličnosti između GDPR-a i Zakona o veštačkoj inteligenciji je njihov eksteritorijalni opseg. Oba propisa proširuju svoj domet van granica Evropske unije, primenjujući se na bilo koje lice koje obrađuje podatke o ličnosti ili razvija/implementira AI sisteme koji utiču na pojedince unutar EU, bez obzira na to gde je kompanija osnovana. To znači da preduzeća van EU moraju poštovati ove propise ako njihove aktivnosti utiču na rezidente EU, čime se osigurava da su prava pojedinaca zaštićena bez obzira na postojanje državnih granice.
Pristup zasnovan na riziku:
Oba propisa usvajaju pristup zasnovan na riziku. Prema GDPR-u, rukovaoci i obrađivači podataka su obavezni da procene rizike po privatnost pojedinaca. S druge strane, Zakon o veštačkoj inteligenciji ide korak dalje zahtevajući sistematsku klasifikaciju rizika AI sistema – kategorizujući ih kao neprihvatljive, visoke, ograničene ili minimalne rizike – svaki sa specifičnim obavezama radi usklađivanja poslovanja kompanija.
Principi:
GDPR i Zakon o veštačkoj inteligenciji zasnivaju se na sličnim osnovnim principima koji daju prioritet zaštiti pojedinaca i odgovornoj upotrebi tehnologije.
Transparentnost je ključni princip u oba propisa, jer preduzeća moraju jasno komunicirati kako se podaci o ličnosti obrađuju i kako AI sistemi funkcionišu, osiguravajući da korisnici budu obavešteni o potencijalnim rizicima i prirodi procesa donošenja odluka. Odgovornost takođe igra vitalnu ulogu, s obzirom na to da GDPR naglašava da rukovaoci podataka moraju demonstrirati usklađenost, dok Zakon o veštačkoj inteligenciji zahteva da AI programeri, implementatori, uvoznici i korisnici održavaju ljudski nadzor kako bi se osigurala odgovorna upotreba AI tehnologija. Pored toga, princip tačnosti je centralan u oba propisa. Prema GDPR-u, lični podaci moraju biti ažurni, dok Zakon o veštačkoj inteligenciji nalaže da učesnici razumeju svoju odgovornost za rezultate (output) AI sistema. Ovo uključuje odgovornost za netačna rešemka, poput onih koje mogu nastati kada AI „halucinira“, deluje kao crna kutija ili daje odgovore zasnovane na pogrešnim podacima za obuku.
Kazne za neusklađenost:
GDPR i Zakon o veštačkoj inteligenciji nameću stroge kazne za nepoštovanje ovih propisa. GDPR predviđa kazne do 4% globalnog godišnjeg prometa ili 20 miliona evra (u zavisnosti od toga šta je veće). Zakon o veštačkoj inteligenciji se ugleda na to, predlažući čak i veće kazne u zavisnosti od težine neusklađenosti (do 35 miliona evra ili 7% godišnjeg globalnog prihoda).
Razlike između GDPR-a i Zakona o veštačkoj inteligenciji
Primena regulative:
GDPR je usmeren isključivo na zaštitu podataka o ličnosti (podaci koji mogu identifikovati pojedinca).
Zakon o veštačkoj inteligenciji reguliše AI sisteme, bez obzira na to da li obrađuju podatke o ličnosti. Njegov obim uključuje način na koji se AI razvija, plasira na tržište i primenjuje u različitim sektorima.
Propisane uloge u regulativama:
GDPR se prvenstveno odnosi na rukovaoce i obrađivače podataka—entitete koji prikupljaju, čuvaju ili obrađuju podatke o ličnosti. Nasuprot tome, Zakon o veštačkoj inteligenciji je usmeren na pružaoce, korisnike, uvoznike i distributere AI sistema, regulišući sve koji su uključeni u razvoj, primenu ili korišćenje AI sistema, čak i ako ne obrađuju podatke o ličnosti. To uključuje i treće strane koje plasiraju AI sisteme na tržište EU. Važno je napomenuti da ne postoji direktna povezanost između ovih uloga. Pružalac AI sistema, na primer, može biti klasifikovan i kao rukovalac i kao obrađivač podataka prema GDPR-u, u zavisnosti od toga da li određuje svrhe i sredstva obrade podataka o ličnosti. Kao rezultat toga, kompanije se mogu suočiti sa različitim ili preklapajućim ulogama i obavezama, u zavisnosti od specifičnih aktivnosti u skladu sa svakim od ovih propisa.
Izvršenje regulative:
Primena GDPR-a pretežno je u nadležnosti nadzornih organa za zaštitu podataka (DPA) u svakoj zemlji članici.
Zakon o veštačkoj inteligenciji predviđa širi okvir primene, sa nadležnim nacionalnim organima (najmanje jednim notifikacionim organom i najmanje jednim organom za nadzor tržišta), Kancelarijom za veštačku inteligenciju, Evropskim odborom za veštačku inteligenciju (EAIB) i Naučnim panelom nezavisnih stručnjaka koji imaju ulogu u praćenju poštovanja propisa.
Preklapanje između GDPR-a i Zakona o veštačkoj inteligenciji
Nisu svi procesi obrade podataka koji su regulisani GDPR-om nužno povezani sa AI tehnologijom. Samim tim, nisu svi rukovaoci i obrađivači podataka obuhvaćeni obavezama iz Zakona o veštačkoj inteligenciji. S druge strane, kompanije koje pružaju, koriste ili uvoze AI sisteme gotovo sigurno će morati da se usklade sa oba regulatorna okvira. Iako se GDPR odnosi na obradu podataka o ličnosti, Zakon o veštčkoj inteligenciji reguliše razvoj i upotrebu AI sistema, od kojih mnogi uključuju obradu podataka o ličnosti. Ovo predstavljaju značajnu tačku preklapanja za poslovne subjekte.
Ključna činjenica za poslovne subjekte je da AI sistemi često obrađuju velike količine podataka, bili to podaci o ličnosti ili neki drugi podaci, što tehnički otežava razlikovanje ova dva tipa podataka. Kako AI tehnologije u velikoj meri zavise od skupova podataka za funkcionisanje, vrlo je verovatno da će se podaci o ličnosti koristiti u nekoj fazi životnog ciklusa AI sistema, bilo tokom obuke, primene ili upotrebe. Ovo povećava verovatnoću da će se obaveze iz GDPR-a aktivirati uz obaveze iz Zakona o veštačkoj inteligenciji.
Shodno tome, većina pružalaca, korisnika i implementatora AI-a moraće da poštuje oba propisa. Oni će morati da upravljaju ne samo rizicima povezanim sa veštačkom inteligencijom (kao što to zahteva Zakon o veštačkoj inteligenciji), već i da osiguraju da se svi podaci o ličnosti obrađuju u skladu sa GDPR-om. Ovo znači da kompanije moraju biti pažljive u prepoznavanju da li se koriste podaci o ličnosti i implementirati mehanizme usklađenosti koji obuhvataju oba regulativna okvira.
U sledećim odeljcima bloga, navešćemo specifične obaveze koje poslovni subjekti obuhvaćeni Zakonom o veštačkoj inteligenciji moraju ispuniti prema GDPR-u. Za detaljnije informacije o zahtevima za zakonitu obradu podataka putem AI-a, pročitajte naš blog koji služi kao osnovna kontrolna lista za usklađenu upotrebu podataka o ličnosti u razvoju i primeni veštačke inteligencije.
Odabir odgovarajućeg pravnog osnova:
Pružaoci i korisnici (osim upotrebe u lične svrhe) AI-a koji obrađuju podatke o ličnosti moraju osigurati jedan od šest pravnih osnova prema GDPR-u za opravdanje obrade. Ovi osnovi uključuju pristanak, legitimni interes, izvršenje ugovora, zakonsku obavezu, zaštitu životno važnih interesa ili javni interes. Bez važećeg pravnog osnova, obrada podataka o ličnosti bila bi nezakonita.
Definisanje svrha obrade:
Svrhe za koje se podaci o ličnosti obrađuju moraju biti jasno i transparentno definisane. Pružaoci i korisnici AI-a moraju osigurati da svaka faza njihovih operacija—kao što su obuka, razvoj ili primena AI sistema—ima specifičnu, zakonitu svrhu koja opravdava obradu podataka. Pravni osnov se takođe može razlikovati u zavisnosti od faze, pri čemu određene faze mogu zahtevati drugačije opravdanje za korišćenje podataka.
Tehničke i organizacione mere:
I GDPR i Zakon o veštačkoj inteligenciji zahtevaju od poslovnih subjekata da implementiraju odgovarajuće tehničke i organizacione mere kako bi osigurali sigurnost podataka. Ove mere mogu uključivati enkripciju, pseudonimizaciju i druge zaštitne mere za zaštitu podataka o ličnosti. S obzirom na to da se većina podataka obrađuje elektronski, sigurnosne mere neophodne za usklađenost sa oba propisa često su slične, a dobro strukturiran sigurnosni okvir može pomoći u ispunjavanju zahteva oba propisa.
Vođenje evidencije o obradi podataka:
Pružaoci i korisnici AI-a moraju voditi evidenciju svojih aktivnosti obrade podataka, posebno ako obrađuju podatke o ličnosti u velikom obimu ili obrađuju osetljive podatke. Ove evidencije treba da sadrže kategorije obrađenih podataka, svrhe i periode zadržavanja podataka. Vođenje tačne i ažurirane evidencije je ključno za dokazivanje usklađenosti sa GDPR-om.
Ugovor o obradi podataka (DPA):
Ako se koristi AI sistem treće strane ili ako su pružaoci usluga uključeni u podršku AI operacijama, pružaoci ili korisnici AI-a možda će morati da zaključe Ugovor o obradi podataka (DPA). Ovaj sporazum osigurava da svi spoljašnji subjekti uključeni u obradu podataka poštuju standarde zaštite podataka prema GDPR-u, jasno definišući odgovornosti svake strane.
Prevencija i otkrivanje pristrasnosti:
I GDPR i Zakon o veštačkoj inteligenciji zahtevaju pažljivo razmatranje kako bi se sprečila pristrasnost i diskriminacija, posebno pri obradi osetljivih podataka poput rasnog ili etničkog porekla, političkih stavova, verskih uverenja, biometrijskih podataka, seksualnog života ili seksualne orijentacije. Prema GDPR-u, obrada ovakvih podataka zahteva dodatnu pažnju kako bi se izbegla pristrasnost i zaštitila prava pojedinaca. Istovremeno, Zakon o veštačkoj inteligenciji omogućava obradu posebnih kategorija podataka o ličnosti, uz zaštitne mere, za svrhe praćenja, otkrivanja i ispravljanja pristrasnosti.
Obrada podataka visokog rizika i visokorizični sistemi veštačke inteligencije
I GDPR i Zakon o veštačkoj inteligenciji primenjuju pristup regulaciji zasnovan na riziku, ali „visoki rizik“ je drugačije definisan u ova dva propisa. Obrada podataka visokog rizika prema GDPR-u odnosi se na bilo koju aktivnost obrade koja verovatno predstavlja značajan rizik za prava i slobode pojedinaca. Nasuprot tome, Zakon o veštačkoj inteligenciji identifikuje visokorizične sisteme veštačke inteligencije na osnovu njihovog potencijala da značajno utiču na pojedince ili društvo, naročito kada se ovi sistemi koriste u značajnim sektorima kao što su zdravstvo, sprovođenje zakona ili zapošljavanje.
Razlika u načinu na koji se rizik kategorizuje prema ovim propisima dovodi do različitih skupova obaveza. Obrada podataka visokog rizika prema GDPR-u zahteva specifične mere zaštite i procene, dok su visokorizični sistemi veštačke inteligencije prema Zakonu o veštačkoj inteligenciji podvrgnuti strogim zahtevima kako bi se osigurala transparentnost, pravednost i bezbednost.
Dodatne obaveze za visokorizične obrade podataka i AI sisteme
Sprovođenje DPIA, FRIA i Procene usklađenosti
Prema GDPR-u, organizacije moraju sprovesti Procenu uticaja na zaštitu podataka o ličnosti (DPIA) kad god su njihove aktivnosti obrade podataka verovatno visokog rizika za prava i slobode pojedinaca. Ovo je posebno relevantno u slučajevima koji uključuju osetljive podatke, velike skupove podataka ili automatizovane procese donošenja odluka. DPIA pomaže preduzećima da identifikuju i rešavaju potencijalne rizike, osiguravajući preduzimanje adekvatnih mera kako bi se sprečili, odnosno ublažili ti rizici. Kada se koriste AI sistemi, Procena uticaja na zaštitu podataka o ličnosti (DPIA) prema GDPR-u gotovo uvek će biti potrebna, jer AI tehnologije obično uključuju obradu podataka velikih razmera, često sa osetljivim podacima o ličnosti, i uz automatizovano donošenje odluka, što se smatra aktivnostima visokog rizika prema GDPR-u.
Uporedo s tim, Zakon o veštačkoj inteligenciji zahteva Procenu uticaja na osnovna prava (FRIA) kada se radi o visokorizičnim sistemima veštačke inteligencije, koja se posebno fokusira na potencijalni uticaj sistema na osnovna prava, uključujući privatnost, jednakost i zabranu diskriminacije. Ova procena prevazilazi zaštitu podataka, ispitujući kako veštačka inteligencija može uticati na šira prava i slobode pojedinaca. Pored toga, mora se sprovesti Procena usklađenosti kako bi se verifikovalo da sistem veštačke inteligencije visokog rizika ispunjava stroge zahteve Zakona o veštačkoj inteligenciji u vezi sa bezbednošću, transparentnošću i odgovornošću. Procena usklađenosti obuhvata tehničke evaluacije dizajna sistema, njegovih operacija i sposobnosti nadzora od strane ljudi. I FRIA i Procena usklađenosti služe kao ključne provere za AI sisteme, a tamo gde postoji preklapanje sa DPIA, organizacije mogu optimizovati ove procese kako bi izbegle duple napore, istovremeno osiguravajući sveobuhvatno upravljanje rizicima.
Pravni okvir za automatizovano donošenje odluka
I GDPR i Zakon o veštačkoj inteligenciji regulišu sisteme za automatizovano donošenje odluka, s posebnim naglašavanjem ljudskog nadzora. Prema GDPR-u, pojedinci moraju biti obavešteni kada se odluke donose isključivo automatizovanim procesima, naročito ako te odluke značajno utiču na njih. Štaviše, imaju pravo da zatraže ljudsku intervenciju kako bi se odluka preispitala, osiguravajući da je ishod pravedan i da su njihova prava zaštićena. Ovo je naročito važno u kontekstima kao što su ocenjivanje kreditne sposobnosti, zapošljavanje ili pravni procesi gde automatizovane odluke mogu imati dalekosežne posledice.
Zakon o veštačkoj inteligenciji nadograđuje ovo zahtevajući da visokorizični sistemi veštačke inteligencije budu dizajnirani sa ugrađenim mehanizmima za ljudski nadzor, osiguravajući da fizičko lice može efikasno pratiti i intervenisati po potrebi. Ovaj pristup unapred obezbeđenog nadzora od strane ljudi znači da pružaoci AI sistema moraju integrisati alate koji omogućavaju ljudsku kontrolu tokom celog životnog ciklusa AI sistema, osiguravajući da proces donošenja odluka ostane transparentan i odgovoran.
S obzirom na navedeno, korišćenje AI sistema sve više privlači pažnju nadzornih organa za zaštitu podataka, koji su već izrekli kazne zbog neusklađenosti sa GDPR-om u vezi sa korišćenjem AI. Na primer, italijanski nadzorni organ za zaštitu podataka kaznio je OpenAI (ChatGPT) zbog kršenja privatnosti, francuski nadzorni organ kaznio je Clearview AI zbog nezakonitog prikupljanja podataka, a holandski nadzorni organ preduzeo je mere protiv holandske poreske i carinske uprave zbog pristrasnog automatizovanog donošenja odluka. Kako i GDPR i Zakon o veštačkoj inteligenciji nameću strogo definisane obaveze, preduzeća koja su u opsegu oba propisa moraće da osiguraju usklađenost i sa jednim i sa drugim propisom. Neusklađenost bi mogla rezultirati dvostrukim izricanjem ogromnih kazni, s obzirom na to da obe regulative predviđaju visoke novčane kazne u zavisnosti od razmere kršenja.