Odstraní AI manuální činnost v personalistice?
V personalistice je mnoho témat, úkolů a administrativních povinností, kde může umělá inteligence efektivně snížit zátěž na lidské zaměstnance nebo jejich práci usnadnit. To samozřejmě k jejímu využívání svádí.
Zaměstnavatelé s ohledem na aktuální rychlý rozvoj užívání umělé inteligence hledají vhodný způsob začlenění těchto nástrojů do firemních procesů. Kvůli obavám z rizik, které s sebou umělá inteligence nese, se často se rozhodnou pro jejich zákaz. To však není řešení, protože zaměstnancům žádný zákaz nezabrání, ale tyto nástroje používali.
Umělá inteligence a HR v praxi
Každý zaměstnavatel spravuje osobní údaje minimálně právě zaměstnanců, a to bez ohledu na své obchodní zaměření. Může v tomto ohledu zpracovávat i citlivé informace, resp. zvláštní kategorii osobních údajů, a to zejména z okruhu zdravotního stavu či stále častěji biometrické údaje, např. v docházkových systémech.
Využití nástrojů umělé inteligence je v oblasti HR velmi lákavé. V praxi jsem se setkala například s vygenerováním pracovních smluv anebo dohod o pracích konaných mimo pracovní poměr a jiné pracovněprávní dokumentace, jindy mi nadšenec do umělé inteligence popisoval, jak nechává AI generovat rozdělení směn pro konkrétně označené zaměstnance. Společné pro všechny popsané uživatele bylo, že se vůbec nezamýšleli nad způsobem vytváření učící databáze používaného nástroje, ani nad skutečností, že poskytují osobní údaje svých zaměstnanců třetím stranám. To vše samozřejmě bez jakékoliv potřebné dokumentace, a hlavně bez povědomí, jak s danými daty bude dále nakládáno.
Jaká dokumentace je vlastně potřeba?
Třeba takové rozdělení směn pro konkrétní zaměstnance může splňovat parametry zpracování osobních údajů. Zaměstnavatel je správce údajů, dodavatel, provozovatel AI nástroje, zpracovatel osobních údajů. Tím pádem by měla být uzavřena zpracovatelská smlouva, a to v písemné podobě. Nehledě na skutečnost, že uložení dat do učící databáze je také zpracováním, neboť i z vložených dat se umělá inteligence dále učí a také tato data užívá, jinak řečeno zpracovává.
Představme si situaci, že jediná data, která AI dostala například o rozpisu směn na listopad paní XY jsou ta, která jste sami vložili. Jakou odpověď tedy může nabídnout někomu úplně cizímu při vhodně položeném dotazu, například jak správně naplánovat směny na listopad? Je velmi reálné, že AI pro poskytnutí odpovědi použije Vámi vložené osobní údaje.
Velmi lákavé je užití AI v rámci náborového procesu. Umělá inteligence bude, a částečně už je, schopna shrnout informace o některých osobách na jednoduchý dotaz. Je to mnohem snazší než provádět třeba lustraci sociálních sítí, neboť vyžádané informace jsou vám shrnuty najednou.
AI a podmínky zpracování osobních údajů
Před užitím nástroje umělé inteligence si musíme zodpovědět, zda při jejím využívání budeme do nástroje zadávat, a tím tedy zpracovávat, osobní údaje. Osobním údajem ve smyslu definice dle čl. 4 GDPR jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě.
Pokud jsme si jisti, že nehodláme používat osobní údaje, tak máme minimálně o jeden z potenciálních problémů méně. Pokud se o osobní údaje jedná, tak je na místě zvážit, jaký právní základ zpracování uplatňujeme. Předpokládám, že nejpravděpodobnější v daném případě bude oprávněný zájem.
Máte zdokumentovaný aktuální a úplný balanční test?
V neposlední řadě musíme i zvážit rizika z hlediska práv a svobod subjektů údajů. Nejedná se o zpracování, jež může s ohledem na svou povahu, rozsah, kontext a účely představovat vysoké riziko pro práva a svobody fyzických osob? Mezi rizikové typy operací zpracování mohou patřit ty, při nichž jsou zejména používány nové technologie, nebo které jsou zcela nového druhu. Nebude myslím velkého sporu, že ze všech technologických novinek je to právě umělá inteligence, kterou lze za považovat za operaci nového druhu. Je tedy jistě na místě i provedení posouzení vlivu na ochranu osobních údajů.
Transparentnost zpracování dat pomocí AI
Zaměstnanci by navíc měli být informování o tomto způsobu zpracování jejich osobních údajů. Proto je na místě také doplnit informační a pracovněprávní dokumentaci.
Nezapomeňte také na právech subjektů údajů, jako jsou právo na přístup, opravu, vymazání a omezení zpracování. Je důležité zajistit, že AI systémy umožňují jednotlivcům uplatňovat tato práva. Pokud tedy nástroj umělé inteligence je zpracovatelem, tak vy jako správci jste odpovědní za jeho výběr a také zajištění možnosti na uplatnění práv vašich zaměstnanců. Včetně práva na přístup k osobním údajů.
Kdo je odpovědný za nasazení AI?
Problém ale je mnohem širší, a to včetně situace, kdy budete jako zaměstnavatel chtít použít data z výstupů umělé inteligence. Garantuje vám provozovatel AI nástroje, zda byla data shromážděna v souladu s právními předpisy? Mohlo by se stát, že potenciální problém, který vznikl při sběru učících dat, budete muset řešit vy. Protiprávní shromáždění, resp. zpracování dat následně jen těžko zhojíte.
A co ostatní data?
Samostatnou kapitolou je pak obecně poučení zaměstnanců a spolupracujících osob o nutné ochraně jakýchkoliv firemních dat a to zejména při využívání nástrojů od třetích stran, včetně nástrojů s AI.
Velmi jednoduše to lze zaměstnancům vysvětlit tak, že než cokoliv vloží do generátoru umělé inteligence, měli by se zamyslet na tím, zda se nejedná o data chráněné obchodním tajemstvím či dokonce zákonem uloženou mlčenlivostí. V zásadě by zaměstnanci měli chápat, že použití jakýchkoliv textu se v případě umělé inteligence může rovnat jejich faktickému zpřístupněním neznámému okruhu dalších osob, často přímo zveřejnění.
Není dobré prosazovat případné restrikce či omezení na sílu, ale spíše zaměstnance edukovat, aby pochopili základní principy fungování nástrojů umělé inteligence (ale také například jazykových překladačů, které mají v některých aspektech stejné parametry) a sami byli schopni posoudit vhodnost či nevhodnost jejich používání na některé operace, které obsahují citlivé údaje.
Samozřejmě není tajemstvím, jak jednotlivé nástroje umělé inteligence fungují. Dokumentace, popisů a smluvních podmínek lze obvykle najít docela dost.
Kdy jste však naposledy četli podmínky jakékoliv služby či aplikace? A co vaši zaměstnanci, kteří vaše firemní nebo dokonce soukromá data do generátorů umělé inteligence zadávají. Nestálo by za to se na chvíli zastavit a než tyto nástroje zakazovat, tak vysvětlit rizika s nimi spojená a nabídnout efektivní postup, jak tyto nástroje bezpečně využívat?