Evropská unie přijala Akt o umělé inteligenci (Akt o AI) jako první ucelený právní rámec regulující umělou inteligenci na světě. Toto nařízení vstoupilo v platnost 1. srpna 2024 a představuje významný milník v regulaci technologií. Akt o AI zároveň odkazuje na Obecné nařízení o ochraně osobních údajů (GDPR), které se vztahuje také na osobní údaje zpracovávané systémy umělé inteligence. V tomto článku se zaměříme na vzájemný vztah obou právních předpisů a specifické požadavky, které musí subjekty, které implementují systémy AI dodržovat.
Kategorizace rizik podle Aktu o AI
Akt o AI je založen na hodnocení rizik, která různé systémy AI představují pro společnost a práva jednotlivců. Tento přístup založený na rizicích vychází z předpokladu, že všechny systémy AI nepředstavují stejnou míru nebezpečí pro základní práva a bezpečnost občanů. Akt o AI proto dělí systémy AI do čtyř kategorií, a to na:
- Systémy s minimálním rizikem,
- Systémy s omezeným rizikem,
- Vysoce rizikové systémy AI a
- Zakázané systémy AI
Pro vysoce rizikové systémy AI stanoví Akt o AI komplexní soubor požadavků, jejichž cílem je zajistit bezpečnost, předvídatelnost a soulad se základními právy. Tyto požadavky zahrnují mj. certifikaci a posouzení shody před uvedením na trh EU, vedení podrobné technické dokumentace, implementaci systémů řízení rizik nebo zajištění lidského dohledu nad rozhodováním AI (více jsme se těmito povinnostmi zabývali zde).
GDPR a jeho vztah k AI
Zatímco Akt o AI reguluje umělou inteligenci jako takovou, GDPR se zaměřuje na ochranu osobních údajů bez ohledu na technologie, které je zpracovávají. GDPR stanovuje komplexní pravidla pro zpracování osobních údajů, včetně požadavků na zákonnost jejich zpracování, jako je např. právní důvod, transparentnost vůči subjektům údajů, účelové omezení a minimalizaci údajů či právo na výmaz osobních údajů.
Ve vztahu k AI je důležitý především článek 22 GDPR, který stanoví právo subjektům údajů nebýt předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, pokud má právní či obdobně významné účinky. To znamená, že pokud firma používá AI k automatizovanému rozhodování ovlivňujícímu jednotlivce (např. hodnocení úvěruschopnosti nebo nábor zaměstnanců), musí buď získat výslovný souhlas, nebo zajistit, že do procesu vstupuje lidský prvek, případně poskytnout dotčeným osobám možnost rozhodnutí napadnout a nechat přezkoumat člověkem.
Vztah Aktu o AI a GDPR
Akt o AI a GDPR se v mnoha ohledech doplňují a překrývají. Pokud systém AI zpracovává osobní údaje občanů EU, vztahují se na něj obě regulace současně. Z praktického hlediska to znamená několik významných průsečíků.
Prvním z nich je integrace posouzení dopadů. GDPR vyžaduje u rizikových zpracování provést tzv. posouzení vlivu na ochranu osobních údajů (DPIA), zatímco Akt o AI předepisuje pro vysoce rizikové AI systémy posouzení dopadů na základní práva jednotlivců. Tento proces lze v praxi účelně propojit a provést analýzu rizik pokrývající aspekty obou nařízení. Zavádějící subjekty tedy mohou při plánování nasazení systému AI, který bude zpracovávat osobní data, provést rozšířenou analýzu rizik, kde vyhodnotí jak rizika podle GDPR, tak širší společenská rizika podle Aktu o AI.
Druhým významným požadavkem je důraz na kvalitu dat. Akt o AI klade důraz na reprezentativnost a kvalitu tréninkových dat, zatímco GDPR vyžaduje přesnost a aktuálnost zpracovávaných osobních údajů. Oba požadavky směřují k podobnému cíli, a to zajistit, aby data, s nimiž systém pracuje, byla adekvátní svému účelu a nezpůsobovala nežádoucí důsledky.
Třetím požadavkem je transparentnost algoritmů. Akt o AI požaduje transparentnost systémů AI, vysvětlitelnost jejich rozhodování a dokumentaci jejich funkčnosti. GDPR obdobně stanoví povinnost informovat subjekty o logice automatizovaného zpracování. Tyto požadavky se vzájemně posilují a vytváří komplexní rámec pro transparentnost algoritmického rozhodování. Pro dotčené subjekty by měla být srozumitelnou formou dostupná informace, že rozhodnutí bylo učiněno za pomoci AI, a případně na požádání základní vysvětlení jeho logiky.
Čtvrtým požadavkem je lidský dohled. Obě regulace akcentují potřebu, aby u významných rozhodnutí existovala možnost lidského přezkumu. Akt o AI tento požadavek konkretizuje pro vysoce rizikové systémy, GDPR jej zakládá pro automatizované rozhodování s právními účinky. U každého rozhodovacího procesu je vhodné zavést princip, kdy sporné nebo negativní rozhodnutí AI vždy potvrzuje člověk, nebo alespoň že dotčený subjekt může rozhodnutí zpochybnit a požádat o manuální revizi.
Praktické dopady
Pro podniky implementující nebo využívající systémy AI znamená souběh obou regulací nutnost systematického přístupu k právnímu souladu. V praxi je vhodné zaměřit se na několik klíčových oblastí.
Klíčovou součástí implementace Aktu o AI je zmíněná kategorizace používaných systémů AI dle míry rizika. Společnosti by proto měly systematicky vyhodnotit, zda jimi používané nebo vyvíjené systémy AI nespadají do kategorie vysokého rizika. Typické příklady vysoce rizikových AI systémů u firem zahrnují systémy AI pro nábor či hodnocení zaměstnanců nebo HR. Pro takto identifikované vysoce rizikové systémy je nezbytné zajistit soulad s přísnějšími požadavky, včetně certifikace, posouzení shody a registrace.
Je také důležité nezapomínat, že pokud společnost pořizuje vysoce rizikový systém AI od třetí strany, stále se na ni vztahují některé povinnosti podle Aktu o AI. Jako zavádějící subjekt má mj. povinnost ověřit, že systém má potřebné certifikace a splňuje právní požadavky, a sama jej používat jen v souladu s návodem a omezeními určenými poskytovatelem.
Na základě identifikovaných rizik je následně potřeba zavést odpovídající technická a organizační opatření. Ta by měla zahrnovat např. systém zajištění kvality tréninkových dat s důrazem na prevenci diskriminace, mechanismy pro lidský dohled nad rozhodováním AI, postupy pro monitorování a testování systémů AI v provozu, procesy pro řešení incidentů souvisejících s AI a bezpečnostní opatření proti manipulaci a zneužití systémů AI.
Při implementaci těchto opatření lze často stavět na již existujících mechanismech zavedených v rámci souladu s GDPR, například na systému řízení bezpečnosti informací nebo procesech pro posuzování dopadu na soukromí.
Jak již bylo zmíněno, obě regulace kladou značný důraz na transparentnost. To v praxi znamená informovat subjekty údajů/uživatele o využití AI při zpracování jejich dat, vysvětlit základní logiku fungování systému AI v přístupné formě, označovat obsah generovaný AI, zajistit, aby uživatelé věděli, když komunikují s AI (pokud to není zjevné), a poskytovat možnost vznést námitku proti automatizovanému rozhodnutí.
Jakýkoli nový způsob využití osobních údajů – včetně nasazení AI – musí být transparentně komunikován subjektům údajů. Před nasazením AI je proto vhodné zrevidovat informační povinnosti a doplnit zmínku o použití AI, včetně účelu a logiky. Je také potřeba ověřit právní důvod: pokud AI dělá něco nad rámec původního účelu sběru dat, může být nutné získat souhlas subjektů.
Součástí firemní politiky by měla být mj. aktualizace vnitřních předpisů a systém průběžného vzdělávání zaměstnanců v oblasti AI gramotnosti, což je jedním z požadavků Aktu o AI. Dále je důležité nastavit postupy pro hlášení potenciálních incidentů souvisejících s používáním AI a zpracováváním osobních údajů.
Možné následky porušení povinností
Častým pochybením v této oblasti je sdílení citlivých dat s veřejnými AI nástroji. Stává se, že zaměstnanci poskytnout firemní či osobní údaje do volně dostupných služeb, resp. systémů AI, čímž mohou neúmyslně porušit GDPR a vystavit firmu riziku úniku know-how. Proto je nutné nastavit jasná pravidla používání AI pro zaměstnance, vysvětlit, jaký obsah je zakázáno do externích AI systémů nahrávat, a zvážit technická opatření, která zabrání odesílání citlivých dat.
Druhou chybou může být implementace automatizovaných rozhodnutí bez možnosti zásahu člověka. Pokud totiž chybí možnost lidského přezkumu či dohledu, hrozí porušení článku 22 GDPR a také riziko nespravedlivých či neověřených výstupů AI. U každého automatizovaného rozhodovacího procesu je proto vhodné zavést lidský dohled a zajistit, že výstup systému AI potvrzuje člověk.
Další chybou je nedostatečná dokumentace a absence souhlasů subjektů údajů. Při implementaci systému AI, který zpracovává osobní údaje, společnosti mohou zapomenout aktualizovat své zásady ochrany osobních údajů a získat potřebné souhlasy, resp. právní důvody podle GDPR. Proto je nutné před implementací takového systémů AI zrevidovat potřebnou dokumentaci a ověřit zákonnost zpracování osobních údajů.
Závěr
Akt o AI a GDPR představují komplementární právní rámce, které společně vytvářejí systém regulace umělé inteligence v Evropské unii. Zatímco GDPR se zaměřuje primárně na ochranu osobních údajů, Akt o AI řeší širší spektrum rizik spojených s umělou inteligencí, od bezpečnosti přes diskriminaci až po transparentnost.
Pro společnosti implementující systémy umělé inteligence představuje soulad s oběma normami významnou výzvu. Proaktivní přístup k souladu s požadavky s relevantní právní úpravou zároveň umožní společnostem vyhnout se potenciálním vysokým sankcím.
