„Stanovisko je průlomové, neboť se jedná o první celoevropské stanovisko k otázce vývoje umělé inteligence, které je horkým tématem mezi evropskými dozorovými úřady. Na téma vývoje umělé inteligence již několik evropských úřadů zveřejnilo svá stanoviska či doporučení (například německé úřady, francouzský, nizozemský, italský, norský či španělský úřad), přičemž byly zřejmé určité rozdíly v jejich přístupu,“ vysvětluje advokátka Štěpánka Havlíková z pražské kanceláře Dentons.

Přestože AI model nemusí být navržen k tomu, aby generoval infor­ma­ce o identifikovatelných fyzických osobách, EDPB upozorňuje, že osobní údaje použité k trénování mohou zůstat uchovány v jeho pa­ra­met­rech. To znamená, že AI modely trénované na osobních údajích nelze vždy považovat za anonymní. Aby byl AI model považován za anonymní, musí být velmi nepravděpodobná možnost získání osob­ních údajů buď přímo z modelu, nebo z dotazů (promptů) zadaných uživatelem. Před vývojem takového modelu je třeba provést po­sou­ze­ní z hlediska ochrany osobních údajů, které by mělo zohlednit všechny faktory, včetně povahy tréninkových dat, samotného modelu a tréninkového procesu či způsobu nasazení modelu.

„Sta­no­vis­ko po­pi­su­je kon­krét­ní opa­tře­ní ve všech fázích vý­vo­je AI mo­de­lů, která by měli vý­vo­já­ři přij­mout, aby bylo sní­že­no ri­zi­ko zpra­co­vá­ní a zís­ká­ní osob­ních údajů,“ vy­svět­lu­je Ště­pán­ka Hav­lí­ko­vá. „Jedná se na­pří­klad o opa­tře­ní při se­lek­ci zdro­jů pou­ži­tých k tré­no­vá­ní mode­lu nebo o pří­pra­vu a čiš­tě­ní data setů, včet­ně vy­lou­če­ní zdro­jů, u kterých exi­stu­jí ri­zi­ka z po­hle­du ochra­ny osob­ních údajů. V ne­po­sled­ní řadě jsou dů­le­ži­tá i opa­tře­ní na vý­stu­pu, tedy zej­mé­na output filtery, které kon­tro­lu­jí, jaké vý­stu­py AI model ge­ne­ru­je, a mohou za­brá­nit vy­ge­ne­ro­vá­ní vý­stu­pů, které za­sa­hu­jí do ochra­ny osob­ních údajů (například pokud bychom se umělé inteligence ptali na vyzrazení osobních údajů konkrétních fyzických osob),“ doplňuje Štěpánka Havlíková.

Správci by měli rovněž řádně dokumentovat operace zpracování podle GDPR. Dokumentace by měla zahrnovat především posouzení dopadu na ochranu osobních údajů DPIA (nebo vysvětlení, proč nebylo vypracování DPIA nutné), informace o technických a organizačních opatřeních a také dokumentaci prokazující odolnost AI modelu vůči technikám opětovné identifikace.

„Správci by měli provádět a dokumentovat interní či externí audity s cílem zhodnotit přijatá opatření při vývoji či nasazení umělé inteligence,“ dodává Štěpánka Havlíková.

Stanovisko připouští použití oprávněného zájmu jako právního zá­kla­du pro zpracování osobních údajů při vývoji a nasazení AI modelů. Pro posouzení oprávněného zájmu je přitom potřebný tříkrokový test, zahrnující identifikaci oprávněných zájmů, posouzení nezbytnosti zpracování osobních údajů a porovnání oprávněných zájmů správce se zájmy a základními právy subjektů osobních údajů. Jako příklad oprávněného zájmu zmiňuje stanovisko zájem na vývoji služby chat­bo­tu na pomoc uživatelům a důraz klade i na vyhodnocení rozum­ných očekávání subjektů osobních údajů s tím, že bude docházet k využití jejich osobních údajů pro trénování a vývoj AI modelů.

Pochybení při vývoji AI modelu může „kompromitovat“ i jeho následné nasazení v praxi. Podle stanoviska EDPB může nezákonné zpracování dat při vývoji AI modelu ovlivnit zákonnost jeho dalšího použití.