Jak vytrénovat umělou inteligenci na veřejně dostupných datech? Odborníci představují trojdílný praktický návod pro firmy a vývojáře
Členové Spolku pro ochranu osobních údajů, František Nonnemann a Michal Nulíček, popisují základní pravidla pro ochranu údajů při vývoji a využití AI
Trénování systémů umělé inteligence (AI) na veřejně dostupných datech je pro mnoho firem a vývojářů atraktivní možností, jak svůj výtvor rychle vylepšit. V záplavě dat by nicméně neměli zapomínat, že veřejné ještě neznamená volně použitelné. Technologický pokrok naráží na systém právní ochrany osobních údajů, který na evropské úrovni završuje hlavně nařízení GDPR. Nový trojdílný seriál odborníků na osobní údaje, Františka Nonnemanna a advokáta ROWAN LEGAL Michala Nulíčka, podrobně vysvětluje, jak lze veřejně dostupná data pro trénink AI využívat. Věnuje se přitom tématům od rozlišení anonymizovaných a neanonymizovaných dat přes praktické vysvětlení tzv. oprávněného zájmu až po praktické možnosti a limity využití dat ze sociálních sítí.
Odborná debata o trénování AI nástrojů na veřejně dostupných datech je nezbytností. Stále totiž existuje řada firem a vývojářů, kteří se mylně domnívají, že mezi pojmy „veřejný“ a „volně použitelný“ je rovnítko. Zjednodušeně řečeno by to znamenalo, že se na veřejně dostupná osobní data nevztáhne působnost evropského nařízení GDPR ani navazujících národních předpisů. Jak ale autoři upozorňují, myslet si něco takového by byla závažná chyba.
GDPR se totiž v plném rozsahu vztahuje i na zveřejněné osobní údaje. Pro firmy to může představovat problém, zejména pokud si hned při startu projektu nevyhodnotí, zda s osobními údaji skutečně pracují a jaké to má právní souvislosti. AI nástroje přitom mohou být v rozporu s GDPR už ve vývojové fázi ještě před uvedením do praxe. Tyto nuance jsou rozebrány v prvním díle seriálu – mimo jiné se zde autoři věnují rozlišení mezi anonymizovanými a neanonymizovanými daty, situacím, kdy je anonymizace nemožná či nepraktická, ale i otázce odpovědnosti uživatelů a výběru právního titulu ke zpracování osobních dat.
Posledně jmenovaná problematika je pak dopodrobna rozebrána ve druhém díle – zejména s důrazem na nejčastěji využívaný právní titul v technologickém ekosystému, oprávněný zájem. Ten je sice považován za nejvhodnější a nejdostupnější právní titul ke zpracování osobních údajů v situacích, kdy anonymizace není možná vůbec nebo je nepravděpodobné, že by se podařilo sehnat souhlas subjektů údajů. To je nicméně zjednodušující výklad – tento právní institut je podstatně komplexnější a jeho využití vyžaduje mj. provedení, a dokumentování, tzv. balančního testu.
Balanční test představuje i jakýsi nástroj racionální ochrany. Na druhou stranu, pokud není proveden a náležitě zdokumentován, vystavuje se subjekt využívající osobní údaje riziku citelných sankcí. Už tato premisa svědčí o tom, že to zdaleka není jen jakási formalita. V druhém díle seriálu jsou pravidla a praktický návod pro provedení balančního testu dopodrobna rozebrána po jednotlivých fázích a text tak podtrhuje nepřekročitelnou zásadu – oprávněný zájem nelze použít, pokud by zpracování znamenalo nepřiměřený zásah do soukromí dotčených osob.
Praktické dopady trénování AI zkoumá závěrečný díl seriálu. Autoři přitom vycházejí zejména z přelomového rozhodnutí Soudního dvora Evropské unie (SDEU) ve věci Wirtschaftsakademie Schleswig-Holstein GmbH. V něm soud vyslovil právní názor, že i obyčejný provozovatel fanouškovské stránky na Facebooku může být společným správcem osobních údajů s provozovatelem dané sociální sítě, pokud se na zpracování osobních údajů podílí. S postavením společného správce se pak pojí i odpovědnost za dodržování všech pravidel pro využití osobních údajů.
Dopad na firmy to má značný – ty totiž musejí sledovat, jak provozovatelé sociálních sítí nakládají s daty a následně tomu přizpůsobovat své marketingové i compliance strategie. Společné správcovství má ale více významových vrstev. Samotná přítomnost na sociálních sítích například nutně neznamená, že jsou provozovatel profilu a sociální sítě společnými správci. Stejně tak existují různé možnosti, jak firmy mohou minimalizovat rizika, a potřeba je také sledovat kroky největších hráčů na trhu. Autoři to vše vysvětlují na příkladu AI strategie společnosti Meta.
Seriál spojuje právní teorii s konkrétními příklady z praxe. Pro firmy i vývojáře trénující AI nástroje na veřejně dostupných datech to je cenný návod, jak si počínat v souladu s unijní i národní legislativou. Nejde ale jen o striktní literu zákona, ta se musí reálně promítnout do myšlení manažerů a interních strategií obchodních společností. Pokud chcete pochopit, jak GDPR a AI Act ovlivní vaši práci s daty a vyhnout se zbytečným právním i reputačním rizikům, doporučujeme přečíst si všechny tři díly.
Spolek pro ochranu osobních údajů sdružuje pověřence pro ochranu osobních údajů a další profesionály zabývajících se zpracováním a ochranou osobních údajů v soukromém sektoru, samosprávě a veřejné správě.
Sdružujeme pověřence a další profesionály zabývajících se zpracováním a ochranou osobních údajů