Europos duomenų apsaugos priežiūros pareigūnas paskelbė naują gairių dokumentą: Dirbtinio intelekto (DI) sistemų rizikos valdymo gairės, kurios skirtos padėti įmonėms, veikiančioms kaip duomenų valdytojai, nustatyti ir sumažinti riziką, susijusią su Bendrajame duomenų apsaugos reglamente (BDAR) nustatytų duomenų apsaugos principų (sąžiningumo, tikslumo, duomenų minimalizavimo, saugumo ir duomenų subjektų teisių) nesilaikymu. Vienintelis šių gairių tikslas – palengvinti sistemingą rizikos duomenų apsaugai vertinimą. Kitaip tariant, jis nepakeičia būtino kiekvienos DI sistemos atitikties vertinimo, kurį turi atlikti duomenų valdytojas, kuris privalo užtikrinti, kad nustatyti rizikos veiksniai būtų valdomi taip, kad būtų įvykdyti visi ES ir nacionaliniais duomenų apsaugos teisės aktais nustatyti įpareigojimai.
Advokatų profesinės bendrijos „NEWTON LAW“ advokatė Asta Kederytė primena, kad BDAR tikslas – apsaugoti fizinių asmenų teises ir laisves, įskaitant privatumą ir duomenų apsaugą tvarkant jų asmens duomenis. Visi duomenų valdytojai yra atsakingi už jų duomenų tvarkymo veiklos keliamų pavojų šioms teisėms ir laisvėms nustatymą ir mažinimą bei už tai, kad gebėtų nurodyti ir paaiškinti, kaip jie tai padarė. Tai ypač svarbu, kai kalbama apie DI sistemų įsigijimą, kūrimą ir diegimą, kurių neigiamas poveikis dar nėra įvertintas. Šiose gairėse pateiktas rizikos veiksnių ir priešpriešinių priemonių sąrašas nėra baigtinis, o tik atspindi kai kurias aktualiausias problemas, kurias duomenų valdytojai turi spręsti įsigydami, kurdami ir diegdami DI sistemas.
Sąžiningumas yra bendrasis principas, pagal kurį asmens duomenys neturi būti tvarkomi taip, kad toks tvarkymas būtų nepagrįstai žalingas, neteisėtai diskriminuojantis, netikėtas ar klaidinantis duomenų subjektą. Kad duomenų tvarkymas būtų sąžiningas, duomenų subjektai turi aiškiai suprasti, kaip bus naudojami iš jų surinkti asmens duomenys ir kokį poveikį turės toks jų duomenų tvarkymas. Sąžiningumas įpareigoja duomenų valdytoją būti skaidrų bei neviršyti duomenų subjektų pagrįstų lūkesčių. Tačiau sąžiningumas numato ne tik skaidrumo reikalavimus. Advokatė A. Kederytė primena, kad siekiant laikytis sąžiningo duomenų tvarkymo reikalavimo, reikėtų įvertinti, kaip duomenų tvarkymas paveiks suinteresuotųjų asmenų, kaip grupės ir atskirai, interesus ir pagrindines teises, o asmens duomenys neturėtų būti naudojami taip, kad jiems būtų padarytas nepagrįstas neigiamas poveikis. Be to, duomenų valdytojai privalo įgyvendinti procedūrines apsaugos priemones, susijusias su duomenų rinkimu ir tvarkymu, taip pat su teisių ir interesų pusiausvyros užtikrinimu pagal duomenų apsaugos sistemą.
Sąžiningo duomenų tvarkymo reikalavimo laikymasis ypač svarbus, kai asmens duomenys tvarkomi DI sistemose, kurių veikimą ir poveikį gali būti sunku suprasti netgi patiems duomenų valdytojams. Viena svarbi rizika, kuri šiame kontekste gali lemti sąžiningumo principo nesilaikymą, yra šališkumas, ir būtent šiose gairėse sąžiningumo principas suprantamas kaip reikalavimas duomenų valdytojams nustatyti, įvertinti ir sumažinti šiuos šališkumus. Advokatė Asta Kederytė pabrėžia, kad siekiant užtikrinti, kad duomenų tvarkymas būtų sąžiningas, duomenų valdytojai, kurie perka, kuria ar diegia DI sistemas, susijusias su asmens duomenų tvarkymu, ypač tas, kurios naudojamos priimant sprendimus dėl asmenų ar padedant juos priimti, turėtų nustatyti ir įvertinti šiuos šališkumus bei įgyvendinti technines ir organizacines priemones, kad būtų užkirstas kelias bet kokiai diskriminacijai ar ji būtų ištaisyta.
Šališkumas DI sistemose gali duoti rezultatus, kuriuose atsispindi išankstiniai nusistatymai (pvz., neteisingas dėmesys tam tikrai rasei ar etninei grupei policijos kontekste) arba neteisingos preferencijos (pvz., neproporcingas paskolų paraiškų iš aukštesnių pajamų pašto kodų patvirtinimas).
Kai kurios pagrindinės šališkumo DI kontekste priežastys gali būti:
Advokatų profesinės bendrijos „NEWTON LAW“ advokatė Asta Kederytė atkreipia dėmesį, kad šios gairės skirtos asmenims, dalyvaujantiems dirbtinio intelekto sistemų pirkimuose, kūrime ir diegime, įskaitant programinės įrangos kūrėjus, duomenų mokslininkus, IT inžinierius, IT projektų vadovus, duomenų apsaugos pareigūnus ir duomenų apsaugos koordinatorius.
Apibendrinant galima teigti, kad rizikos, kurią gali kelti DI sistemos, mažinimas nėra antraeilė užduotis, o pagrindinė įmonių pareiga. Atitiktis BDAR, pagrindinių teisių apsauga ir visuomenės pasitikėjimo išsaugojimas priklauso nuo duomenų valdytojų gebėjimo aktyviai nustatyti, įvertinti ir mažinti riziką visą DI gyvavimo ciklą. Tam reikia daugiau nei vienkartinio vertinimo: reikalinga atskaitingumo kultūra, nuolatinė stebėsena ir prisitaikantis tobulinimas. Įtraukdamos šias praktikas į savo DI valdymą, įmonės gali ne tik susidoroti su sudėtingais DI kūrimo klausimais ir atsakingai naudoti DI, bet ir parodyti lyderystę užtikrinant, kad inovacijos būtų tvirtai grindžiamos pagarba pagrindinėms teisėms ir duomenų apsaugos principais.
Advokatų profesinė bendrija „NEWTON LAW“
Advokatė Asta Kederytė
+37064789067
