Informacijski pooblaščenec opozarja na tveganja nacionalne platforme za UI

V opozorilu je bila izpostavljena vprašljiva skladnost komercialnih sistemov generativne umetne inteligence ponudnikov zunaj EU. Zoper največje ponudnike na ravni EU namreč potekajo različni nadzorni postopki, so danes zapisali pri informacijskem pooblaščencu. Na mnoge nevarnosti in tveganja smo danes na N1 opozorili v članku: Umetna inteligenca za vse v Sloveniji: "poskusni zajčki", nenavadnosti in ministrovi odgovori za N1.

"Kot je razumeti, naj bi bila nacionalna platforma na voljo različnim javnostim, posameznikom in organizacijam, tudi v javnem sektorju, in sicer za različne namene, lahko tudi za obdelave osebnih podatkov. Tveganja se glede na različne namene uporabe v različnih sektorjih seveda bistveno razlikujejo - od relativno neproblematičnih uporab generativne umetne inteligence za npr. generiranje grafik do takih, ki imajo lahko negativne posledice za posameznike, še posebej za ranljive skupine, mladostnike in otroke, kot je npr. odločanje o posameznikih in zadevah na podlagi vnosa osebnih podatkov iz konkretnih zadev, informacijskih sistemov in baz upravljavcev podatkov v sisteme komercialnih ponudnikov generativne umetne inteligence izven EU," so navedli.

Zoper največje ponudnike na ravni EU potekajo različni nadzorni postopki glede skladnosti s pravili o varstvu osebnih podatkov. Kot izhaja iz poročila posebne delovne skupine Evropskega odbora za varstvo podatkov, ki se je ukvarjala s klepetalnim robotom ChatGPT, se največ težav kaže pri vprašanjih zakonitosti pridobivanja podatkov tako za učenje kot potem za delovanje umetne inteligence, glede izvrševanja pravic posameznikov, glede preglednosti in tveganj (ponudniki ne bi smeli prenašati tveganj glede skladnosti na končne uporabnike) ter glede zagotavljanja točnosti rezultatov oz. odgovorov.

Informacijska pooblaščenka Jelena Virant Burnik je poudarila, da se je treba se je zavedati, da zgolj zahteva, da se smejo podatki hraniti le v EU, kot to določa razpis, še ne pomeni skladnosti z zakonodajo o varstvu podatkov.

"Če so sistemi generativne umetne inteligence uporabljeni tako, da npr. javne institucije ali podjetja vanje vpisujejo podatke svojih strank, zaposlenih, oziroma glede na to da ponudnik sistema umetne inteligence obdeluje osebne podatke uporabnikov, je treba upoštevati vsa pravila s področja varstva osebnih podatkov," je opozorila.

Zlasti regulirana področja, kot so bančni in zavarovalni sektor, institucije v javnem sektorju, zdravstvo in šolstvo, bodo težko uporabljali rešitve, ki jih predvideva nacionalna platforma, če ne bo brez dvoma jasno, da komercialni ponudniki res ustrezno varujejo podatke, meni. "Pri tem je posebej problematična netočnost podatkov oz. halucinacije in nezmožnost izbrisa podatkov, popravka, seznanitve z lastnimi podatki," je dodala.

Organizacija, ki bi želela uporabljati nacionalno platformo (npr. šola, javni zavod, podjetje), bi morala imeti za obdelavo podatkov ustrezno pravno podlago, obseg osebnih podatkov bi moral biti omejen, poleg tega bi morala biti obdelava osebnih podatkov pregledna.

Posamezniki, katerih podatki bi se vnašali ali pridobivali iz takega sistema, bi morali biti po besedah informacijske pooblaščenke na njim razumljiv način obveščeni o tem, kaj se dogaja z njihovimi podatki, kje se hranijo in koliko časa.

Poleg tega imajo posamezniki določene pravice glede obdelave njihovih osebnih podatkov. Med drugim lahko od upravljavca podatkov (torej institucije, ki bi uporabljala platformo) zahtevajo izbris osebnih podatkov, ki ga trenutni komercialni modeli generativne umetne inteligence ne zagotavljajo, prav tako ne zagotavljajo možnosti za seznanitev z lastnimi osebnimi podatki, je opozorila. Prenosi osebnih podatkov zunaj EU so dopustni le takrat, ko je tudi v tej tretji državi zagotovljen enakovreden standard varstva osebnih podatkov, je dodala.

"Uvajanje tovrstnih rešitev brez tehtnega premisleka o tem, kakšne posledice lahko imajo za posameznike, njihove temeljne pravice in svoboščine ter družbo kot celoto ima lahko daljnosežne posledice. Zato morajo upravljavci za tvegane oblike obdelav osebnih podatkov, na primer če gre za obsežne obdelave osebnih podatkov ali celo občutljivih podatkov, najprej pripraviti oceno učinka v zvezi z varstvom podatkom, v kateri ocenijo, kakšna tveganja lahko nastanejo pri obdelavi podatkov in kako jih lahko zmanjšajo ali odpravijo," je navedla.

V primeru priprave državnega projekta, ki naj bi vključeval obdelavo množice osebnih podatkov posameznikov kot uporabnikov sistema umetne inteligence, bi pripravo celovite ocene učinka in s tem temeljit premislek o morebitnih tveganjih za posameznike in družbo kot celoto gotovo pričakovali, je dejala.

Rok za oddajo ponudb na razpis za nacionalno platformo se je sicer iztekel 11. decembra. Na ministrstvu za visoko šolstvo, znanost in inovacije niso razkrili, koliko prijav so prejeli, so pa zagotovili, da se postopek izvaja skladno z zakonom o javnem naročanju. Kot so navedli, postopek nalaga, da do trenutka, ko komisija sprejme in na portalu javnih naročil objavi odločitev o priznanju sposobnosti kandidatov, kakršno koli razkrivanje podatkov, kot je število prijaviteljev, ni dopustno.