Menu

Narazí umělá inteligence u nařízení GDPR?

Big Data skrývají obrovský potenciál pro rozvoj podnikání. Tam, kde s jejich analýzou končí schopnosti běžného softwaru, nastupuje mnohdy umělá inteligence. Je-li to i váš případ, podívejte se, jaké změny vás čekají po příchodu GDPR.

Co má společného samořiditelné auto s programem pro hodnocení úvěrové spolehlivosti klientů banky? Umělou inteligenci (AI, zkratka z anglického výrazu artificial intelligence). Právě ta těmto strojům umožňuje využívat mimo jiné i samoučících schopností a na jejich základě autonomně přijímat rozhodnutí i v předem nenaprogramovaných scénářích.

Pro tyto kvality se umělá inteligence stále častěji používá pro zpracovávání osobních údajů, zejména pak pro tzv. Big Data – tedy soubory dat o velkém objemu a různé struktuře, jejichž zpracování a vyhodnocení v rozumném čase je mimo možnosti běžně používaných programů. Příkladem jsou údaje z analýz sociálních sítí specifické svojí nestrukturovaností a dynamikou, ale i záznamy z kamer či senzorických sítí, které třeba na letištích pátrají po podezřelých osobách.

Inteligentní pomocníci

V obou případech by analýza takového množství údajů člověkem nedávala ekonomický smysl, ale šikovně naprogramovaný stroj s AI stejnou operaci zvládne ve zlomku času. Se zvyšující se důležitostí využití Big Data v podnikání dochází postupně i k častější potřebě tuto činnost svěřit inteligentnímu stroji, a zůstat tak konkurenceschopný.

V poslední době však zaznívají obavy, zda nový právní rámec v čele s GDPR tento trend nezbrzdí a neodradí podniky od zavádění většího množství automatizovaných inteligentních systémů, protože s jejich provozem budou kvůli složité legislativě spojeny dodatečné náklady. Co by si měli provozovatelé takových strojů uvědomovat v souvislosti s GDPR?

Umělá inteligence a osobní údaje

Aby učinil rozhodnutí, potřebuje každý systém nebo stroj vstupní data. Ta vyhodnotí a na jejich základě se rozhodne o dalším postupu. Může jít o data zcela nesouvisející s lidmi, například klimatické podmínky v určitém prostředí, popřípadě o data, která nenaplňují obecnou definici osobních údajů nebo která ji sice naplňují, ale činností „chytrého“ stroje nedochází k jejich zpracovávání ve smyslu GDPR. V takovém případě se dopadem nové regulace pochopitelně netřeba příliš stresovat.

Nicméně řada nejrůznějších strojů, zařízení a aplikací s umělou inteligencí se bude na zpracovávání osobních údajů přímo zaměřovat, ať už to je analýza Big Data, nebo program pro předschvalování půjček, a proto by jejich provozovatelé měli zpozornět a zhodnotit, zda je jejich činnost s nařízením v souladu.

A co na to GDPR?

Bude-li docházet vlivem zařízení obdařeného umělou inteligencí ke zpracovávání osobních údajů, je třeba se zamyslet, zda tím zároveň nedochází k automatizovanému individuálnímu rozhodování či k profilování. Jsou to totiž právě tyto dvě formy zpracování osobních údajů, které bude činnost vámi užívané umělé inteligence pravděpodobně naplňovat. Těmto tématům jsme věnovali samostatný článek, který reaguje na výkladové stanovisko pracovní skupiny WP29 a obsahuje řadu praktických tipů a příkladů.

Kdy stroj automatizovaně rozhodne…

Automatizované individuální rozhodování je de facto kvalifikovanou formou běžného zpracovávání osobních údajů, které oproti klasickému režimu přináší některá specifika, co se vztahu správce-subjekt týče. Smyslem jeho úpravy je v některých ohledech zpřísnit zásady ochrany osobních údajů, jelikož ty jsou zpracovávány strojově a bez patřičného lidského dohledu.

Dle GDPR se do režimu automatizovaného rozhodování správce dostane tehdy, pokud jsou (1) určitá jeho rozhodnutí ve vztahu k subjektům údajů založena výhradně na automatizovaném zpracování osobních dat a na vytváření těchto rozhodnutí se v jeho stěžejních fázích, zejména při vyhodnocování informací, na kterém je rozhodnutí založeno, nepodílí člověk, a (2) tato rozhodnutí zároveň mají vůči danému subjektu právní účinky nebo se ho jinak významně dotýkají. Příkladem je třeba automatizované zamítnutí on-line žádostí o úvěr nebo automatické vyřazení z náboru zaměstnanců po zhodnocení žadatelovy kvalifikace.

Kdy dochází k profilování?

V souvislosti s automatizovaným rozhodováním je mnohdy zmiňováno i profilování, a ač se jedná o dva samostatné instituty, u komplexních systémů často půjde o nerozlučnou dvojici. Rovněž se jedná o jednu z forem automatizovaného zpracovávání osobních údajů, na základě které dochází nejprve k vyhodnocování chování konkrétních osob, a to zejména za účelem rozboru či předvídání aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů nebo spolehlivosti. Po tomto vyhodnocení zpravidla následuje zařazení do příslušné „škatulky“, a to s ostatními subjekty, které mají podobný profil.

Právě po takovém „vyprofilování“ osoby bude často docházet k automatizovanému individuálnímu rozhodnutí v závislosti na tom, do které skupiny vás sytém zařadil a jaké společné znaky v rámci „škatulky“ vykazujete.

Umělá inteligence pod kontrolou

Jednou ze základních premis nového nařízení je naprostá transparentnost vůči subjektům údajů. A s tou je třeba počítat i v případě zařízení s umělou inteligencí.

Jedním z nejproblematičtějších ustanovení GDPR ve vztahu k zařízením s umělou inteligencí provádějících automatizovaná rozhodnutí včetně profilování je bezesporu povinnost správců umožnit subjektům realizaci práva na lidský zásah ze strany správce (viz dále). Vedle toho nařízení od správce také očekává plnění informačních povinností, a to tak, že v případě žádosti subjektu mu správce srozumitelně, ne však nedostatečně, osvětlí, v čem spočívá logika automatizovaného zpracovávání a na jakých principech je založeno.

To bude v praxi znamenat, že do každého rozhodnutí učiněného vaším chytrým zařízením, ať jde o sebekomplikovanější rozhodovací proces, budete muset dostatečně vidět, rozumět mu a dokázat vysvětlit, proč bylo zrovna takto rozhodnuto, popřípadě do konkrétního procesu přímo vstoupit a v oprávněných případech ho i usměrnit zmiňovaným „lidským zásahem“.

Nespravedlivá rozhodnutí

Ten by měl sloužit jako pojistka pro zjemnění případné nespravedlnosti, kdy stroj zhodnotí pouze vybrané aspekty a může mu tak scházet potřebný nadhled reflektující i jiné důležité okolnosti. Pokud budou rozhodovací procesy zařízení nevhodně přednastaveny, může teoreticky dojít i k systémové diskriminaci celé skupiny osob.

V rámci informační povinnosti budete muset dokázat vysvětlit, jak vámi používané algoritmy obecně fungují a jak bylo konkrétní rozhodnutí učiněno a co při tom umělá inteligence brala v potaz. Splnit tuto povinnost může být v případech komplexních systémů vysoce náročné, zvlášť v kombinaci s požadavky na srozumitelnost a jednoduchost vaší komunikace se subjektem. Více se o žádostech subjektů u přístup k údajům, které se jich týkají, dočtete zde.

Bez lidí to nepůjde

Lze si představit, že výše zmíněné požadavky mohou donutit některé společnosti upustit od plánů zavést v rámci jejich provozu systémy s umělou inteligencí, popřípadě mohou přispět k zavádění méně složitých systémů užívajících snáze interpretovatelné algoritmy. Ty ale na druhou stranu mohou být méně spolehlivé a zvyšovat četnost nespravedlivých rozhodnutí ve vztahu k subjektům údajů. V každém případě smysl umělé inteligence, tedy nahrazení člověka při určité činnosti samostatným zařízením s umělou inteligencí, je zde uvedenými povinnostmi do určité míry popřen. Soulad s nařízením bude vyžadovat nezanedbatelné lidské zdroje na neustálý monitoring a objasňování fungování vašeho systému.

Analýza a využívání Big Data za pomoci umělé inteligence patří v poslední době k hlavním trendům na vyspělých trzích a připravit se o tuto možnost kvůli obavám ze striktního výkladu GDPR by mohlo snížit konkurenceschopnost tuzemských firem vůči mimoevropským podnikům. I v tomto bodě tak platí, že štěstí přeje připraveným a v případě využití systémů s umělou inteligencí je třeba od samého počátku jejich vývoje myslet na nová pravidla ochrany dat.

Mgr. Eva Škorničková
Mgr. Eva Škorničková

Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!


Hlavní partneři