Вештачка интелигенција како предизвик за заштитата на лични податоци

од 24HR

Вештачката интелигенција (во колоквијалниот говор позната и по скратеницата „AI“ од англискиот термин „Artificial intelligence“) е дефинирана како способност на машината да ги прикаже човечките способности како што се расудување, учење, планирање и креативност.

Ера на AI

Вештачката интелигенција е ново семејство на технологии, кое брзо се развива и има потенцијал да револуционизира и преобликува голем број индустрии и аспекти од нашиот секојдневен живот. Употребата на вештачката интелигенција има голем број на предности во смисла на зголемување на ефикасноста, брзината и прецизноста. Алатките кои употребуваат вештачка интелигенција можат да им помогнат на малите и средни претпријатија да ги намалат трошоците, а со тоа и да придонесат кон подостапност на создавањето, заштитата и спроведувањето на правата од интелектуална сопственост. Но, употребата на вештачката интелигенција исто така со себе носи голем број на предизвици

Во Адвокатско друштво Пепељугоски повеќе од 25 години ги антиципираме промените и нивната рефлексија врз деловните активности на нашите клиенти. Неминовно во ерата на експанзија на вештачката интелигенција ја посочуваме потребата да се разгледаат етичките и социјалните импликации од нејзината употребата. Исто така, потребно е, заедно со развојот на технологиите, да се регулираат и основните принципи на нивниот понатамошен раст, начинот на нивно користење, односно заштитните мерки од областа на безбедносните ризици, заштитата на приватноста, спречувањето на дискриминација итн.

Предизвици во доменот на заштита на личните податоци

Од исклучителна важност е влијанието на вештачката интелигенција врз заштитата на личните податоци. Предизвиците и опасностите кои ги носи вештачката интелигенција во однос на заштита на податоците пред сè се однесуваат на транспарентноста и одговорноста при обработката на личните податоци.

Имено, многу модели на вештачка интелигенција може да бидат сложени и тешки за да се интерпретираат, што доведува од една страна до недостаток на транспарентност, а од друга страна доведува до тешкотии во согледувањето на тоа кој е одговорен за одлуките или преземените постапки (нема доволно одговорност).

Недостатокот на транспарентноста и одговорноста при обработката на личните податоци со користење на вештачка интелигенција, особено доаѓа до израз при носење на одлуки кои се носат исклучиво врз основа на автоматизирана обработка со помош на вештачка интелигенција.

300.000 евра за една автоматизирана одлука

Автоматизирана одлука е одлука што ИТ систем ја носи само врз основа на алгоритми и без човечка интервенција.

Како пример за значењето на транспарентноста и одговорноста при автоматизирана обработка со помош на вештачка интелигенција ќе го посочиме примерот со изрекување на казна за една германска банка.

Имено, Берлинскиот комесар за заштита на податоци и слобода на информации (BlnBDI) изрече казна од 300.000 евра на банка поради недостиг на транспарентност во врска со автоматизирана индивидуална одлука.

Банката одби да му обезбеди на клиентот разбирливи информации за причините за автоматското одбивање на апликација за кредит, а банката интензивно соработуваше со BlnBDI и ја прифати казната.

Во овој случај, Општата регулатива за заштита на податоците (GDPR) предвидува посебни обврски за транспарентност, односно личните податоци мора да се обработуваат на начин што е разбирлив за субјектите на податоците, а засегнатите лица имаат право на образложение за одлуката донесена по соодветна процена. Доколку субјектите на податоците бараат информации од одговорните, тие мора да дадат значајни информации за логиката вклучена зад автоматизираната одлука.

Во овој случај, банката не ја зела предвид регулативата во својата дигитална апликација за кредит. Банката користела онлајн формулар за да побара различни податоци за приходите, професијата и личните податоци на барателот. Врз основа на бараните информации и дополнителните податоци од надворешни извори, алгоритамот на банката го одбил барањето на клиентот без конкретна причина.

Бидејќи клиентот имал добра кредитна историја, a и редовен висок приход, тој се посомневал во автоматизираното одбивање. На прашањето зошто е одбиен клиентотот, банката дала само општи информации за процесот на бодување и истата одбила да му каже зошто претпоставува дека неговиот кредитен рејтинг е лош. Поради тоа, подносителот на жалбата не можел да разбере која база на податоци и фактори биле основа за одбивањето и кои критериуми биле користени за да се одбие неговата апликација за кредит.

Службеникот за заштита на податоци утврдил дека во конкретниот случај банката го прекршила член 22 (3), член 5 (1) (а) и член 15 (1) (ж) од GDPR. Банката не ја испочитувала должноста да ги информира клиентите за главните причини за одбивање при донесување автоматска одлука за апликација за кредит. Ова вклучува конкретни информации за базата на податоци и факторите на одлука, како и критериумите за отфрлање во поединечни случаи. При определувањето на казната, BlnBDI особено го зел предвид високиот промет на банката и намерниот дизајн на процесот на аплицирање и информациите. Една од работите што влијаеа на намалување на казната бил фактот што банката го признала прекршувањето и дека веќе има спроведено промени во процесите, а и најави дополнителни подобрувања.

Македонска регулатива

Правниот режим на заштита на податоците во Република Северна Македонија е регулиран во согласност со Општата регулатива за заштита на податоците на Европската унија (GDPR) и се состои од Законот за заштита на личните податоци („Службен весник на Република Северна Македонија“ бр. 42/2020 и 294/2021) кој го регулира правото на заштита на физичките лица во врска со обработката на личните податоци и слободниот проток на тие податоци и кој бара: транспарентно собирање и обработка на податоци, силни безбедносни мерки против потенцијални прекршувања на личните податоци, т.е почитување на правата на субјектот на податоците, вклучувајќи ги правата на информации, пристап, корекција, бришење, ограничување на обработката на податоците, како и правото на приговор.

Примената на овој закон во областите на развој и употреба на вештачка интелигенција подразбира да се утврди дали податоците вклучени во процесите на вештачка интелигенција (без разлика дали станува збор за обука на модел на вештачка интелигенција или користење на апликација што содржи вештачка интелигенција) претставуваат лични податоци, со цел да се идентификуваат прописите што се применуваат и обврските на компаниите.

Што мора да обезбеди компанијата?

Она што како професионалци во правото секогаш им го посочуваме на клиентите е дека, кога процесите на вештачка интелигенција вклучуваат обработка на лични податоци, прашањата и импликациите ќе се разликуваат во зависност од фазата.

Во фазата на развој на вештачката интелигенција (т.е. каде базите на податоци се користат за обука на модели), проблемите и примената на законските решенија ќе варираат во зависност од дали компанијата создала специфична база на податоци за обука на модели со вештачка интелигенција или сака да ги користи постоечките бази на податоци (создадени за други цели) за обука на модели за вештачка интелигенција.

Во секој случај, компанијата ќе мора: да обезбеди соодветна правна основа за обработка на лични податоци, која може да се заснова на согласност на лицето на кое се однесуваат податоците или на закон, врши обработка на податоците за целта за која се собрани податоците, за друга цел што е заснована на закон или е во согласност со целта на обработка за која се собрани податоците, соодветно ги информира субјектите на кои се однесуваат податоците за собирањето, односно обработката и користењето на нивните податоци и да се осигури дека субјектите на податоците можат да ги остварат своите права (права на пристап до лични податоци, на корекција и дополнување, на бришење на лични податоци, на ограничување на обработката, на преносливост на податоци, на приговор, на информации, на известување за повреда на лични податоци) – што не е секогаш едноставно во пракса, во зависност од податоците што се користат за обука на моделот.

Колку контрола има сопственикот на личните податоци?

Врз основа на член 26 од Законот за заштита на личните податоци, субјектот на личните податоци има право да не биде предмет на одлука заснована единствено на автоматизирана обработка, вклучувајќи го и профилирањето што предизвикува правни последици за него или на сличен начин значително влијае на него. Исклучоци се пропишуваат само во случаи кога одлуката а) е потребна за склучување или извршување на договор меѓу субјектот на личните податоци и контролорот; б) е дозволена со закон што се применува во однос на контролорот, и во кој исто така се предвидени соодветни мерки за заштита на правата и слободите и легитимните интереси на субјектот на личните податоци или

в) се заснова на изречна согласност на субјектот на личните податоци. Во исто време, во случајот од точка а) и в) операторот е должен да примени соодветни мерки за заштита на правата, слободите и легитимните интереси на субјектот на податоците, а најмалку правото да обезбеди учество на физичко лице под контрола на операторот во донесувањето одлука, правото на субјектот на податоците да го изрази својот став во однос на одлуката, како и правото на лицето на кое се однесуваат податоците да ја оспори одлуката пред овластеното лице на контролорот.

Остануваме во очекување и на пракса (судска и/или управна) за спроведување на Законот за заштита на личните податоци во контекст на новите трендови со вештачката интелигенција.

Извор: Адвокатско друштво Пепељугоски

0 коментар
0

Related Posts

Остави Коментар

Веб страната користи колачиња за подобро корисничко искуство. Претпоставуваме дека сте во ред со ова, но како опција можете да не ги користите. Прифати Повеќе...