Aktuality -> Analýzy - 14. 1. 2025

První celoevropské stanovisko k otázkám ochrany osobních údajů při vývoji a implementaci AI

AI_pracuje_s_osobn__mi_daty_2.jpegEvropský sbor pro ochranu osobních údajů zveřejnil stanovisko k otázkám ochrany osobních údajů při vývoji, trénování a nasazení modelů umělé inteligence. Stanovisko upřesňuje, jak se aplikuje GDPR při vývoji a nasazení modelů umělé inteligence. Zejména odpovídá na otázku, kdy a jak je možné modely AI považovat za zpracování osobních údajů, upřesňuje pokyny k posouzení oprávněného zájmu při jejich vývoji a nasazení a současně uvádí, jaká opatření k ochraně osobních údajů jsou ve vztahu k AI možná.



„Stanovisko je průlomové, neboť se jedná o první celoevropské stanovisko k otázce vývoje umělé inteligence, které je horkým tématem mezi evropskými dozorovými úřady. Na téma vývoje umělé inteligence již několik evropských úřadů zveřejnilo svá stanoviska či doporučení (například německé úřady, francouzský, nizozemský, italský, norský či španělský úřad), přičemž byly zřejmé určité rozdíly v jejich přístupu,“ vysvětluje advokátka Štěpánka Havlíková z pražské kanceláře Dentons.

Přestože AI model nemusí být navržen k tomu, aby generoval informace o identifikovatelných fyzických osobách, EDPB upozorňuje, že osobní údaje použité k trénování mohou zůstat uchovány v jeho parametrech. To znamená, že AI modely trénované na osobních údajích nelze vždy považovat za anonymní. Aby byl AI model považován za anonymní, musí být velmi nepravděpodobná možnost získání osobních údajů buď přímo z modelu, nebo z dotazů (promptů) zadaných uživatelem. Před vývojem takového modelu je třeba provést posouzení z hlediska ochrany osobních údajů, které by mělo zohlednit všechny faktory, včetně povahy tréninkových dat, samotného modelu a tréninkového procesu či způsobu nasazení modelu.

__t__p__nka_Havl__kov____advok__tka_z_kancel____e_Dentons_v_Praze.jpg„Stanovisko popisuje konkrétní opatření ve všech fázích vývoje AI modelů, která by měli vývojáři přijmout, aby bylo sníženo riziko zpracování a získání osobních údajů“ vysvětluje Štěpánka Havlíková. „Jedná se například o opatření při selekci zdrojů použitých k trénování modelu nebo o přípravu a čištění data setů, včetně vyloučení zdrojů, u kterých existují rizika z pohledu ochrany osobních údajů. V neposlední řadě jsou důležitá i opatření na výstupu, tedy zejména output filtery, které kontrolují, jaké výstupy AI model generuje, a mohou zabránit vygenerování výstupů, které zasahují do ochrany osobních údajů (například pokud bychom se umělé inteligence ptali na vyzrazení osobních údajů konkrétních fyzických osob),“ doplňuje Štěpánka Havlíková.

Správci by měli rovněž řádně dokumentovat operace zpracování podle GDPR. Dokumentace by měla zahrnovat především posouzení dopadu na ochranu osobních údajů DPIA (nebo vysvětlení, proč nebylo vypracování DPIA nutné), informace o technických a organizačních opatřeních a také dokumentaci prokazující odolnost AI modelu vůči technikám opětovné identifikace.

„Správci by měli provádět a dokumentovat interní či externí audity s cílem zhodnotit přijatá opatření při vývoji či nasazení umělé inteligence,“ dodává Štěpánka Havlíková.

Stanovisko připouští použití oprávněného zájmu jako právního základu pro zpracování osobních údajů při vývoji a nasazení AI modelů. Pro posouzení oprávněného zájmu je přitom potřebný tříkrokový test, zahrnující identifikaci oprávněných zájmů, posouzení nezbytnosti zpracování osobních údajů a porovnání oprávněných zájmů správce se zájmy a základními právy subjektů osobních údajů. Jako příklad oprávněného zájmu zmiňuje stanovisko zájem na vývoji služby chatbotu na pomoc uživatelům a důraz klade i na vyhodnocení rozumných očekávání subjektů osobních údajů s tím, že bude docházet k využití jejich osobních údajů pro trénování a vývoj AI modelů.

Pochybení při vývoji AI modelu může „kompromitovat“ i jeho následné nasazení v praxi. Podle stanoviska EDPB může nezákonné zpracování dat při vývoji AI modelu ovlivnit zákonnost jeho dalšího použití.


 
  

- PR -

ZoKB vám neřekne, že jste pod útokem, Progress Flowmon ano

Nový zákon o kybernetické bezpečnosti (ZoKB), který vychází z evropské směrnice NIS2, přináší pro řadu organizací nové povinnosti v oblasti řízení kybernetických rizik. Aktualizují bezpečnostní politiky, nastavují procesy řízení rizik, posilují ochranu kritických systémů a připravují se na nové regulatorní povinnosti. Přesto existuje skutečnost, o které se v souvislosti s ZoKB mluví překvapivě málo. Firma může splňovat všechny požadavky nového zákona o kybernetické bezpečnosti, a přesto neodhalit laterální pohyb útočníka, zneužití privilegovaného účtu nebo probíhající exfiltraci dat.

  

- PR -

Aby AI ve firmách uspěla, musí stát na pevných datových základech

Digitalizace výrobních podniků už dávno není jen otázkou automatizace jednotlivých procesů. Stále více firem si uvědomuje, že skutečná konkurenční výhoda vzniká teprve tehdy, když dokážou propojit výrobní technologie, informační systémy, data a lidské rozhodování do jednoho funkčního celku. Významná část aktuálního vydání IT Systems je proto věnována moderním přístupům k řízení výroby.

Časopis IT Systems / Odborná příloha Kalendář akcí
   červenec - 2026   
Po Út St Čt So Ne
  12345
6789101112
13141516171819
20212223242526
272829303112
3456789
RSS kanál