Preteklo leto je bilo na pravnem področju zaznamovano s pomembnim korakom k regulaciji umetne inteligence: Evropski Parlament in Svet sta junija 2024 sprejela Akt o umetni inteligenci,[1] prvi zakonodajni akt, ki si prizadeva za urejanje sistemov umetne inteligence na svetu. Ker se bo Akt o umetni inteligenci v celotnem besedilu začel uporabljati 2. avgusta 2026,[2] je pričakovati, da bodo priprave na pravno skladnost v letošnjem letu predstavljale poseben fokus tehnoloških podjetij. Ne gre pa pozabiti na obveznosti, ki tovrstne subjekte zavezujejo že danes in jih morajo upoštevati v vseh fazah razvoja aplikacije umetne inteligence, vključno s prvim korakom, pri zbiranju in obdelavi obsežne baze podatkov, na podlagi katerih se ta uri. Govorim seveda o pravu varstva osebnih podatkov.
Kako zagotoviti zakonito obdelavo osebnih podatkov v kontekstu kompleksnih procesov obdelave med strojnim učenjem oziroma pri nadaljnji uporabi sistema umetne inteligence, je pereče vprašanje, s katerim se soočajo evropski nadzorni organi. Slednji morajo pravne standarde Splošne uredbe o varstvu podatkov[3] umestiti v tehnološko napredne modele, ob tem pa razjasniti tudi pravno sporna vprašanja, med drugim vprašanje možnosti anonimizacije osebnih podatkov, ki so predmet obdelave.[4] Kako strogo se pravo varstva osebnih podatkov intepretira v okolju inovativnih tehnologij posredno vpliva tudi na cilje strategije Evropske Unije za umetno inteligenco;[5] neizogibno, gre za politično obarvano vprašanje.
Med aplikacijami umetne inteligence, ki so postale del našega vsakdanjika, izstopa ChatGPT, napreden klepetalnik, ki uporablja tehnologije obdelave naravnega jezika, da se odziva na pozive uporabnikov z na videz realistično komunikacijo.[6] Zaradi razsežnosti podatkov, na kateri je bil model osnovan, kot tudi zaradi narave interakcije modela z uporabniki, obstaja določeno tveganje za varstvo osebnih podatkov uporabnikov in tretjih oseb. Na to nadzorni organi za varstvo osebnih podatkov opozarjajo že od zagona aplikacije v Evropi.[7]
Septembra 2024 je irski nadzorni organ pri izvajanju nadzora nad družbo X izrazil skrb, da obdelava osebnih podatkov, ki so vsebovani v javnih objavah uporabnikov X iz EU/EEA, za namen usposabljanja umetne inteligence Grok, predstavlja tveganje za temeljne pravice in svoboščine posameznikov.[8] Nadzorni organ je Evropski odbor za varstvo podatkov (EDPB) v skladu z mehanizmom za skladnost iz drugega odstavka 64. člena Splošne uredbe pozval, da preuči obseg obdelave osebnih podatkov v različnih fazah usposabljanja in uporabe modela umetne inteligence.[9] Natančneje, analiza naj bi naslovila (1) kdaj se lahko model umetne inteligence šteje kot ‘anonimen’; (2) kako lahko upravljavci utemeljijo obdelavo na podlagi zakonitega interesa v fazi razvoja ter (3) v fazi uporabe aplikacije, ter (4) kakšne so posledice nezakonite obdelave osebnih podatkov v razvojni fazi modela na njegovo nadaljnjo uporabo oziroma delovanje. Evropski odbor za varstvo podatkov je 17. decembra 2024 sprejel močno pričakovano Mnenje 28/2024 o vidikih varstva podatkov v okolju modelov umetne inteligence.[10]
II.
Da bi model umetne inteligence obravnavali kot anonimnega, morata biti tako verjetnost neposredne ekstrakcije osebnih podatkov iz podatkovne baze, uporabljene za razvoj modela, kot tudi verjetnost pridobitve takšnih osebnih podatkov iz pozivov, bodisi namerno bodisi nenamerno, nepomembni.[11] Nadzorni organi morajo verjetnost presojati v vsakem primeru posebej, ob upoštevanju vseh sredstev, za katera se razumno pričakuje, da jih lahko za namen identifikacije posameznika uporabi upravljavec ali druga oseba.[12]
Odbor se v tem delu sklicuje tudi na Mnenje 05/2014 o tehnikah anonimizacije, ki ga je sprejela Delovna skupina za varstvo podatkov iz člena 29 (WP29),[13] in potrjuje da upravljavci anonimnost podatkov lahko izkažejo na dva alternativna načina.[14] Prvič, tako da dokažejo, da so vsa tveganja ponovne identifikacije (z izločitvijo podatkov, njihovim povezovanjem in s sklepanjem) v celoti odpravljena. Drugič, kadar ne morejo dokazati, da ni tveganj ponovne identifikacije pa, da izvedejo temeljito oceno tveganja identifikacije in izkažejo, da so glede tveganj sprejeli ustrezne ukrepe.[15]
III.
Odbor je potrdil, da je zakoniti interes upravljavca oziroma tretjih oseb lahko dopustna pravna podlaga za obdelavo osebnih podatkov v modelih umetne inteligence, upravljavci pa jo morajo utemeljiti s tristopenjskim testom glede na posamezen proces obdelave.[16] Pri modelih umetne inteligence je treba razlikovati vsaj med obdelavo osebnih podatkov v fazi razvoja modela (vse, kar zadeva usposabljanje) in v fazi njegove implementacije (dejanske uporabe).[17]
Tristopenjski test zajema določitev zakonitega interesa, ki ga zasleduje upravljavec ali tretja oseba; analizo nujnosti obdelave za namene zakonitega interesa; in oceno, ali so zakoniti interes(i) uravnoteženi z interesi ali temeljnimi pravicami in svoboščinami posameznikov.[18] V mnenju Odbor podrobneje pojasni, kako se navedene dejavnike presoja v konkretnem okolju modelov umetne inteligence. Na primer, zakoniti interes je lahko interes za razvoj klepetalnika za pomoč uporabnikom, za optimizacijo zaznavanja groženj v informacijskem sistemu ali za razvoj sistema za zaznavo škodljivih vsebin.[19] Relevantne ostajajo tudi Smernice EDBP 1/2024 o obdelavi osebnih podatkov na podlagi točke f) prvega odstavka 6. člena Splošne uredbe.[20]
V okviru tehtanja interesov Odbor kot dejavnike navaja specifična tveganja za temeljne pravice, ki se lahko pojavijo pri razvoju ali pri uporabi modelov umetne inteligence,[21] kakšen je učinek obdelave na posameznike,[22] ali so posamezniki takšno obdelavo lahko razumno pričakovali[23] ter, ali je upravljavec sprejel ustrezne ukrepe za varstvo pravic in interesov posameznikov.[24] Zaradi kompleksnosti tehnologij modelov umetne inteligence, raznolikosti njihove uporabe ter dejstva, da so za posameznike procesi obdelave težje pregledni in razumljivi, mora biti poseben poudarek namenjen presoji razumnih pričakovanj posameznikov.[25] Pomembno je, ali so posamezniki prejeli informacije o obdelavi njihovih podatkov oziroma, ali so bile podane druge okoliščine, ki bi jih napotile do takšnega sklepanja.[26] Na primer, ali so bili osebni podatki javno dostopni, ali jih je upravljavec pridobil neposredno od posameznika ali s spletnim strganjem, zasebnostne nastavitve vira podatkov (spletne strani), ali je obstajal odnos med posameznikom in upravljavcem, narava storitve, možne nadaljnje rabe modela ter, ali so bili posamezniki sploh dejansko seznanjeni, da so njihovi osebni podatki na spletu.[27]
IV.
Upravljavec mora uvesti posebne ukrepe za omejitev vpliva obdelave na posameznike, kadar se zdi, da interesi, pravice in svoboščine posameznikov prevladajo nad zakonitim interesom, ki ga zasleduje upravljavec ali tretja oseba. Lahko gre za tehnične ukrepe, ukrepe, ki zagotavljajo transparentnost obdelave ali ukrepe, ki spodbujajo uresničevanje pravic posameznikov iz naslova varstva osebnih podatkov.[28] Posebni ukrepi naj bodo predvideni za primer razvoja umetne inteligence s spletnim strganjem (web scraping),[29] na primer izločitev vsebin ali publikacij, ki lahko vsebujejo podatke s posebnim tveganjem za posameznike v primeru razkritja; izločitev določenih kategorij (spletnih) virov iz obdelave glede na njihovo občutljivo vsebino; izločitev tistih spletnih strani, ki jasno nasprotujejo spletnemu strganju njihove vsebine za namen gradnje baz podatkov za usposabljanje umetne inteligence ali določitev drugih omejitev za pridobivanje podatkov (na primer časovna omejitev).[30] Poleg tehničnih ukrepov Odbor priporoča ukrepe za preglednost obdelave ter uveljavljanje pravic posameznikov, na primer da upravljavec vodi opt-out seznam, ki posameznikom omogoča ugovarjanje obdelavi določenih njihovih informacij se preden se prične faza zbiranja podatkov za razvoj modela umetne inteligence.[31]
Posebni ukrepi naj bodo predvideni tudi v fazi uporabe tehnologije, da se zmanjšajo tveganja z vidika pravic in temeljnih svoboščin posameznikov. Tehnični ukrepi, kot so izhodni filtri, lahko preprečijo shranjevanje, duplikacijo ali generiranje osebnih podatkov v odgovorih na pozive, kar še posebej velja za modele tipa GPT. Digitalno označevanje izhodov, generiranih s strani umetne inteligence (watermarking), prispeva k zmanjšanju tveganja nezakonite uporabe vsebin.[32] V zaščito pravic posameznikov pa jim je lahko, na primer, omogočena funkcija, da zahtevajo izbris osebnih podatkov iz izhodnih vsebin.[33]
V.
V zadnjem poglavju Mnenja EDPB obravnava, kakšne so posledice nezakonite obdelave osebnih podatkov v razvojni fazi modela na zakonitost obdelave v fazi njegove uporabe. Odbor je analiziral tri scenarije v odvisnosti od tega, ali obdelavo v obeh fazah izvaja isti subjekt (prvi upravljavec), ali je subjekt, ki daje model umetne inteligence v uporabo, drug kot tisti, ki ga je zasnoval (drugi upravljavec).[34] V tretjem scenariju prvi upravljavec model, ki temelji na nezakoniti obdelavi, ‘anonimizira’, in ga nato da na voljo drugemu upravljavcu v uporabo oziroma to stori sam.[35] Podrobnosti posameznih pravnih konstrukcij presegajo namen tega prispevka; vredno pa je poudariti, da morata oba upravljavca (pri prenosu tehnologije v uporabo) izkazati zakonitost obdelave v skladu z načelom odgovornosti.[36] Za drugega upravljavca ta obveznost lahko vključuje tudi ustrezno presojo, poizvedbe o zakonitosti obdelave osebnih podatkov v procesu razvoja modela umetne inteligence s strani prvega upravljavca.[37]
Pri presoji zahtevane skrbnosti nadzorni organ upošteva celoto dejavnikov, na primer stopnjo tveganja za posameznike, katerih podatki so bili nezakonito obdelani, glede na konkretno uporabo modela umetne inteligence. Relevantno je tudi, ali je bila nezakonitost obdelave s strani prvega upravljavca ugotovljena z odločbo sodišča ali nadzornega organa.[38] Drugi upravljavec se odgovornosti ne more izogniti s sklicevanjem, da je prvi upravljavec izdal EU izjavo o skladnosti po določbah Akta o umetni inteligenci.[39]
Zanimivo bo spremljati, kako bodo nadzorni organi napotkom EDPB sledili v praksi, in kakšen vpliv bo navedena interpretacija načela odgovornosti upravljavcev imela na inovacije v razvoju in uporabi umetne inteligence.
VI.
Mnenje 28/2024 EDPB predstavlja pomembno vodilo za usklajevanje razvoja in uporabe umetne inteligence s pravili varstva osebnih podatkov. Poudarek na dosledni izvedbi analize zakonitega interesa, na načelu odgovornosti, ter uvedbi ustreznih ukrepov za omejevanje vplivov na pravice posameznikov, so ključni elementi, ki jih bodo morali razvijalci in ponudniki umetne inteligence dosledno upoštevati. Hkrati pa te zahteve prinašajo izzive za ponudnike modelov umetne inteligence, zlasti za srednja in manjša podjetja, ki bodo morala najti načine, kako obvladovati kompleksne pravne in tehnične vidike skladnosti s Splošno uredbo.
Prihodnji razvoj sodne prakse in izkušenj nadzornih organov bo bistveno prispeval k iskanju ravnovesja med spodbujanjem tehnoloških inovacij in zagotavljanjem učinkovite zaščite temeljnih pravic v digitalni dobi.
Odvetnica mag. Rosana Lemut Strle
[1] Uredba (EU) 2024/1689 Evropskega parlamenta in Sveta z dne 13. junija 2024 o določitvi harmoniziranih pravil o umetni inteligenci in spremembi uredb (ES) št. 300/2008, (EU) št. 167/2013, (EU) št. 168/2013, (EU) 2018/858, (EU) 2018/1139 in (EU) 2019/2144 ter direktiv 2014/90/EU, (EU) 2016/797 in (EU) 2020/1828 (Akt o umetni inteligenci).
[2] Člen 113 Akta o umetni inteligenci.
[3] Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splosna uredba o varstvu podatkov).
[4] Pravna stroka je neenotna že pri vprašanju, ali se pri usposabljanju modelov umetne inteligence obdelujejo osebni podatki v smislu Splošne uredbe, torej ali se od tod izhajajoče obveznosti sploh uporabljajo za to fazo obdelave podatkov. Glej S. Stalla-Bourdillon, EDPB Opinion 28/2024 on personal data processing in the context of AI models: A Step Toward Long-Awaited Guidelines on Anonymisation?, 12. 1. 2025; P. Craddock, Op-ed: AI training data = (non-)personal data? And is consent really relevant?, 14. 10. 2024; C. Lenning, Response to Peter: Is LLM Training Data Personal Data?, 14. 10. 2024; D. Rosenthal, Part 19: Language models with and without personal data, 17. 7. 2024.
[5] Sporočilo Komisije Evropskemu parlamentu, Svetu, Evropskemu ekonomsko-socialnemu odboru in Odboru regij o spodbujanju zagonskih podjetij in inovacij na področju zaupanja vredne umetne inteligence, COM(2024) 28 final, 24. 1. .2024.
[6] OpenAI, Introducing ChatGPT, 30. 11. 2022. Dostopno na: <https://openai.com/index/chatgpt>.
[7] Mislim predvsem na odmevno odredbo italijanskega informacijskega pooblaščenca z dne 11. aprila 2023, v angleščini dostopna na:<https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9874702#english>. Zaradi splošnega pomena preiskav v skladnost OpenAI, je EDPB ustanovil tudi posebno delovno skupino.
[8] Data Protection Commission welcomes conclusion of proceedings relating to X’s AI tool ‘Grok’, 4. 9. 2024. Dostopno na
conclusion-proceedings-relating-xs-ai-tool-grok>.
[9] V kontekstu modelov GPT EDPB razlikuje med različnimi fazami obdelave osebnih podatkov:i) zbiranje podatkov za usposabljanje (vključno s spletnim strganjem), ii) predobdelava podatkov (vključno s filtriranjem), iii) usposabljanje algoritma, iv) pozivi in odgovori GPT ter v) usposabljanje GPT s pozivi. Glej EDPB, Report of the work undertaken by the ChatGPT Taskforce z dne 23. 5. 2024, str. 6.
[10] Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, 17. 12. 2024. Dostopno na: <https://www.edpb.europa.eu/system/files/2024-12/edpb_opinion_202428_ai-models_en.pdf>.
[11] Glej odst. 38.
[12] Odst. 41, prim. z uvodno izjavo 26 Splošne uredbe.
[13] WP29, Mnenje št. 5/2014 o anonimizacijskih tehnikah, sprejeto 10. 4. 2014.
[14] S. Stalla-Bourdillon, EDPB Opinion 28/2024 on personal data processing in the context of AI models: A Step Toward Long-Awaited Guidelines on Anonymisation?, 12. 1. 2025; dostopno na: <https://www.europeanlawblog.eu/pub/zh4uxsfq/release/1>.
[15] Odst. 40 Mnenja 28/2024, ki se sklicuje na WP29 Mnenje 05/2014 o tehnikah anonimizacije, str. 24
[16] Odst. 66 Mnenja 28/2024.
[17] Prav tam.
[18] Sodba SEU z dne 4. julija 2023, C-252/21, Meta proti Bundeskartellamt (ECLI:EU:C:2023:537), odst. 106; Sodba SEU z dne 11. decembra 2019, C-708/18, Asociaţia de Proprietari bloc M5A-ScaraA (ECLI:EU:C:2019:1064), odst. 40. Glej tudi EDPB Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR, sprejete 8. 10. 2024.
[19] Odst. 69.
[20] EDPB Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR, 8. 10. 2024.
[21] Odst. 77-81 Mnenja 28/2024.
[22] Odst. 82-90.
[23] Odst. 91-95.
[24] Odst. 96 - 108.
[25] Odst. 92, glej tudi recital 47 Splošne uredbe.
[26] Prav tam.
[27] Odst. 93-95.
[28] Odst. 96 in nasl.
[29] Odst. 104-106.
[30] Odst. 105.
[31] Odst. 106.
[32] Odst. 107-108.
[33] Prav tam.
[34] Poglavje 3.4 Mnenja 28/2024.
[35] Odst. 133-135.
[36] Drugi odstavek 5. člena ter 24. člen Splošne uredbe.
[37] Odst. 129 Mnenja 28/2024.
[38] Prav tam.
[39] Točka g) 16. člena, 47. člen ter Priloga 5, točka 5 k Aktu o umetni inteligenci.
Kommentare