Висновок EDPB 28/2024 щодо захисту даних при розробці моделей ШІ

21 января 2025

European Data Protection Board (EDPB) нещодавно опублікувала Висновок 28/2024, який надає важливі роз’яснення щодо викликів у сфері захисту даних і вимог щодо відповідності GDPR при обробці персональних даних у контексті штучного інтелекту (ШІ). Цей висновок надає рекомендації організаціям, які розробляють і впроваджують системи ШІ, наголошуючи на необхідності суворого дотримання принципів захисту даних, які прийняті та діють на території Європейського Союзу.

Зі зростаючим впровадженням технологій ШІ у різних галузях виникають занепокоєння щодо етичних та правових наслідків обробки персональних даних. Висновок 28/2024 охоплює кілька ключових аспектів, пов’язаних із розробкою та використанням моделей ШІ, які передбачають обробку персональних даних, зокрема анонімність, правові підстави для обробки та наслідки недотримання вимог.

1. Анонімність моделей ШІ

Важливий аспект, на якому наголошує EDPB, — це хибне уявлення про те, що моделі ШІ, навчені на персональних даних, автоматично стають анонімними. Комісія підкреслює, що визначення анонімності моделі ШІ потребує ретельної оцінки з урахуванням можливості прямого або непрямого вилучення персональних даних.

До ключових факторів належать:

  • Можливість отримання персональних даних через взаємодію з системою ШІ.
  • Ймовірність повторної ідентифікації за допомогою доступних методів та додаткових джерел даних.
  • Засоби, які можуть бути розумно використані зацікавленою стороною для вилучення інформації.

За висновком EDPB, моделі штучного інтелекту можуть вважатися анонімними лише тоді, коли ризик повторної ідентифікації є незначним, що вимагає застосування надійних методів анонімізації та регулярних оцінок.

 

2. Правова основа для обробки персональних даних

Одним із ключових питань у розробці ШІ є встановлення законної основи для обробки персональних даних. EDPB наголошує, що організації повинні визначити відповідну правову підставу відповідно до GDPR перед збиранням чи обробкою персональних даних.
Висновок розглядає кілька правових підстав, зокрема:
Законні інтереси: Організації можуть аргументувати обробку персональних даних на основі їхніх законних інтересів; однак необхідно довести, що такі інтереси не переважають права та свободи суб’єктів даних. Для цього потрібен ретельний тест на балансування.
Згода: У випадках, коли персональні дані обробляються для навчання моделей ШІ, часто необхідно отримати явну та інформовану згоду від суб’єктів даних.
Виконання договору: Якщо обробка персональних даних є необхідною для виконання договірних зобов’язань, це може бути законною підставою.
EDPB застерігає від автоматичного використання законних інтересів як підстави для обробки персональних даних у контексті ШІ, закликаючи організації до ретельної оцінки, адже в кожному окремому випадку потрібно ретельно оцінювати законні підстави і не завжди застосування законних інтересів може мати раціональне підґрунтя.

3. Наслідки незаконної обробки

Організації, які не дотримуються вимог GDPR під час розробки моделей ШІ, можуть стикнутися з серйозними наслідками, зокрема:

  • Регуляторні санкції: Органи захисту даних мають право накладати штрафи та санкції за порушення.
  • Операційні ризики: Незаконна обробка персональних даних може призвести до репутаційних втрат, судових позовів та порушення бізнес-процесів.
  • Недійсність моделей ШІ: Системи ШІ, побудовані на неправомірно отриманих або оброблених даних, можуть бути визнані недійсними.

4. Використання даних третіх сторін

Висновок 28/2024 надає рекомендації щодо використання даних, отриманих від третіх сторін, наголошуючи на необхідності ретельної перевірки джерел даних. Організації повинні переконатися, що треті сторони збирають дані відповідно до GDPR.

Рекомендовані дії:

  •  Отримання гарантій щодо правомірності збирання даних.
  •  Проведення аудитів і перевірок практик обробки даних.
  •  Включення договірних зобов’язань щодо відповідності вимогам захисту даних.

5. Практичні рекомендації для організацій

Для забезпечення відповідності GDPR організаціям, які розробляють моделі ШІ, слід дотримуватись таких кращих практик:

  • Оцінка впливу на захист даних (DPIA): Проведення детальних оцінок для виявлення та мінімізації ризиків.
  • Концепція «Конфіденційність за дизайном»: Впровадження заходів захисту даних на всіх етапах розробки.
  • Прозорість та підзвітність: Чітке інформування суб’єктів даних та забезпечення механізмів підзвітності.
  • Регулярні аудити та моніторинг: Постійне оцінювання роботи моделей ШІ для виявлення потенційних загроз.

Висновок

Висновок 28/2024 підкреслює важливість інтеграції принципів захисту даних у процеси розробки ШІ. Дотримання рекомендацій EDPB допоможе організаціям забезпечити відповідність GDPR, зміцнити довіру та прозорість. У світі, де ШІ стає все більш регульованим, проактивний підхід до захисту даних стане ключем до успішної інтеграції рішень на основі штучного інтелекту.