Pravni nadzor br. 77 – studeni 2024. 

Umjetna inteligencija kao radni alat: kakav je okvir potreban?

Korištenje umjetne inteligencije na radnom mjestu danas je u ekspanziji, često bez prethodnog razmišljanja i bez da poslodavac točno zna kako njegovi zaposlenici koriste nove alate koji su im na raspolaganju.

Bilo da se radi o sada već klasičnim jezičnim modelima poput ChatGPT-a ili alatima koji omogućuju izradu grafičkog dizajna (Canva), izdvajanje podataka s weba (Browse AI) ili automatsko bilježenje tijekom sastanka (Fireflies), mogućnosti su bezbrojne.

Prema IFOP-ovoj studiji za Learnthings iz prosinca 2023., gotovo svaki četvrti zaposlenik već je koristio alat umjetne inteligencije u profesionalnom kontekstu, a među njima više od polovice (55 %) to je učinilo bez obavještavanja svog menadžera.

Međutim, razumijevanje načina na koji se ti alati koriste interno ključno je za osiguranje usklađenosti s primjenjivim pravnim okvirom, a posebno s europskom uredbom o umjetnoj inteligenciji i GDPR-om.

Nekoliko tijela, uključujući ANSSI i CNIL, objavilo je preporuke usmjerene na podizanje svijesti među profesionalnim korisnicima. Evo glavnih točaka:

Implementacija povelje o umjetnoj inteligenciji unutar tvrtke kako bi se

• Navedite dopuštene alate;
• Mapirajte ove alate prema rizicima, u skladu s uredbom o umjetnoj inteligenciji;
• Reguliranje visokorizičnih sustava (npr. strukovno osposobljavanje i zapošljavanje ljudskih resursa, gdje korištenje umjetne inteligencije riskira stvaranje „automatizacije diskriminacije“).

Organizirajte društveni dijalog, konzultirati se s CSE-om i izmijeniti interna pravila rada kako bi se ta pravila mogla interno provoditi.

Osiguravanje sigurnosti podataka Pružanje osobnih podataka sustavu umjetne inteligencije (npr. podataka o kupcima ili zaposlenicima) ili osjetljive ili strateške dokumentacije može imati značajne posljedice u smislu povjerljivosti.

Nadalje, korištenje takvog sustava može utjecati na integritet informacijskog sustava na koji je povezan.

CNIL savjetuje davanje prioriteta implementaciji rješenja "na licu mjesta" koja ograničavaju rizike ekstrakcije podataka od treće strane.

Iako može biti ekonomičnije koristiti sustav u oblaku, bit će potreban ugovor o podugovaranju kojim se specificiraju različite odgovornosti i ovlašteni pristup obrađenim podacima. 

U ovom slučaju preporučuje se ograničavanje pružanja osobnih podataka sustavu umjetne inteligencije.

Za obuku i podizanje svijesti krajnji korisnici trebali bi slijediti ove najbolje prakse:

• Pružite samo podatke za koje ste ovlašteni dijeliti, isključujući u načelu sve povjerljive podatke;
• Provjeriti točnost i kvalitetu podataka koje generira sustav, odsutnost plagijata i rizik od diskriminacije;
• Nemojte reproducirati izlaze sustava točno onakvima kakvi jesu kako biste zadržali kritičku perspektivu.

Osiguravanje transparentnosti u obradi, posebno one koje generiraju automatizirane odluke u vezi sa zaposlenicima i trećim stranama izvan tvrtke.

Uspostaviti upravljanje : imenovati DPO-a, odbor ili referenta (također uključujući CISO-a) kako bi se krajnjim korisnicima ponudila kontaktna točka za pokretanje etičnih pitanja ili poteškoća i provjeru usklađenosti s pravilima.

Uz sankcije predviđene GDPR-om i uredbom o umjetnoj inteligenciji, usvajanje jasnog okvira predstavlja i društveno i etičko pitanje, u interesu i ljudi izvan i unutar tvrtke.

 

        

CNIL objavljuje akcijski plan za podršku akterima u Srebrnom gospodarstvu, sektoru posvećenom aktivnostima u korist starijih osoba.

Ističe da će starije osobe predstavljati otprilike 24 milijuna ljudi u Francuskoj do 2060. godine te da „priroda obrađenih podataka i ciljanje na temelju dobi postavljaju značajna pitanja u vezi sa zaštitom podataka“.

Namjerava ažurirati svoj paket za usklađenost (informativne listove, preporuke itd.) i predlaže novi „pješčanik“ za podršku trima inovativnim projektima u ovom sektoru.

Dana 18. studenog, CNIL i DGCCRF najavili su potpisivanje novog protokola o suradnji kojim se ažurira sporazum iz 2011. godine.

Dva tijela jačaju svoju suradnju i razvijaju nove puteve za razmjenu informacija kako bi se prilagodila promjenama u zakonodavstvu i ekonomskim izazovima digitalnog doba.

U publikaciji od 19. studenog, CNIL također ponavlja načela zaštite podataka koja se primjenjuju na korištenje proširenih kamera u putničkom prostoru vozila za prijevoz robe te inzistira na tome da poslodavac mora poduzeti sve potrebne mjere kako bi osigurao usklađenost takvih kamera prije njihove ugradnje.

Dana 25. studenog, CNIL je objavio niz savjeta za zaštitu vaših podataka prilikom interakcije s glasovnim asistentom.

Zaposlenik koji provodi naredbe koje krše GDPR izlaže se kaznenoj odgovornosti, čak i ako djeluje prema uputama svog poslodavca.

Na kaznenom sudu u Nantesu, javni tužitelj upravo je zatražio novčanu kaznu od 6000 eura, od čega je 3000 eura uvjetno, protiv zaposlenika IT podizvođačke tvrtke, zbog instaliranja špijunskog uređaja u prostorijama svojih klijenata po nalogu svog šefa.

Tužitelj traži uvjetnu kaznu zatvora od 9 mjeseci i novčanu kaznu od 30.000 eura za šefa.

U presudi donesenoj 21. studenog 2024., Pariški žalbeni sud potvrdio je presudu koju je 23. srpnja 2021. donio Industrijski sud u Meauxu: privatni razgovor na Messengeru, koji u početku nije bio namijenjen javnosti, ne može se smatrati kršenjem ugovornih obveza zaposlenika, a disciplinski otkaz na temelju takvih razloga ne može se legitimno opravdati.

Sud se poziva na presudu Kasacijskog suda od 22. prosinca 2023. o istoj temi.

Ovo obrazloženje vrijedi čak i ako, kao u ovom slučaju, poslodavac nije tražio pristup tim informacijama: tijekom odsutnosti zaposlenice, zamolio ju je da prenese svoje identifikatore kako bi njezine kolege mogle pristupiti njezinim profesionalnim dokumentima, a poruke su se pojavile kada se razgovor automatski otvorio na ekranu.

 

Europske institucije i tijela

Europski odbor za zaštitu podataka (EDPB) objavljuje poziv za komentare o svojim smjernicama koje se odnose na članak 48. GDPR-a.

Smjernice se odnose na zahtjeve za izravnu suradnju između javnog tijela treće zemlje (kao što su bankarski regulatori, porezne vlasti, tijela za provedbu zakona ili nacionalna sigurnost) i privatnog subjekta Europske unije (EU).

Komentari se mogu slati do 27. siječnja 2025.

EDPB je također početkom prosinca usvojio izjavu o drugom izvješću Europske komisije o primjeni GDPR-a, u kojoj naglašava važnost dosljednosti između digitalnog zakonodavstva i GDPR-a.

EDPB će intenzivirati proizvodnju sadržaja za nestručnjake, uključujući mala i srednja poduzeća, te naglašava potrebu za dodatnim financijskim i ljudskim resursima kako bi se pomoglo tijelima za zaštitu podataka (DPA) da se nose sa sve složenijim izazovima i dodatnim vještinama, uključujući i umjetnu inteligenciju.

Pobjeda protueuropskog oporbenog kandidata u prvom krugu rumunjskih predsjedničkih izbora 24. studenog ima posljedice na europskoj razini.

Dok je Ustavni sud zemlje upravo poništio ovaj prvi krug nakon što su deklasificirani dokumenti nacionalnih obavještajnih službi koji otkrivaju veliku operaciju na TikToku u korist ovog kandidata, Europska komisija je 29. studenog pokrenula službeni zahtjev za informacijama od tvrtke prema Zakonu o digitalnim uslugama (DSA).

Odbor za umjetnu inteligenciju Vijeća Europe usvojio je 28. studenog metodologiju (HUDERIA) za procjenu rizika i utjecaja sustava umjetne inteligencije iz perspektive ljudskih prava, demokracije i vladavine prava.

Ovu metodologiju mogu koristiti javni i privatni akteri kako bi pomogli u identificiranju i rješavanju tih rizika i utjecaja tijekom cijelog životnog ciklusa sustava umjetne inteligencije.

Sredinom studenog, Fond za digitalnu slobodu objavio je, u sklopu projekta digiRISE, sveobuhvatnu bazu podataka o kolektivnoj pravnoj zaštiti u Europi, osmišljenu za promicanje kolektivne akcije u obrani digitalnih prava prema Povelji EU o temeljnim pravima.

Dokument uključuje resurse o tome kako je deset država članica EU-a implementiralo mehanizme kolektivne pravne zaštite: dostupna su nacionalna izvješća, komparativno izvješće i komparativni alat za otkrivanje konvergencija i razlika između proučavanih jurisdikcija.

I u području kolektivne pravne zaštite, nevladina organizacija NOyB navodi da je sada odobrena kao „kvalificirani subjekt“ za pokretanje kolektivnih postupaka pred sudovima EU-a.

Takva akcija prema Direktivi (EU) 2020/1828 može biti „sudska zabrana“ ili „korektivna“ mjera.

Ovi zakoni omogućuju tisućama korisnika da budu zastupani i da traže, na primjer, nematerijalnu štetu kada su njihovi osobni podaci nezakonito obrađeni.

Za razliku od američkih kolektivnih tužbi, europsko zakonodavstvo zahtijeva da se te tužbe podnose u neprofitne svrhe.

Meta ponovno revidira svoje planove za distribuciju personaliziranih oglasa u Europskoj uniji.

Ova promjena proizlazi iz stava regulatora EU-a, koji su smatrali da sustav oglašavanja "pristanak ili plaćanje" koji se nudi europskim korisnicima Facebooka i Instagrama krši GDPR i Uredbu o digitalnim tržištima (DMA).

Nova ponuda uključuje pretplatu bez oglasa po sniženoj cijeni, a uvodi i besplatni model koji karakterizira isporuka "manje personaliziranih oglasa" uz pristanak.

Max Schrems, koji je pokrenuo nekoliko akcija protiv Mete, izjavio je da "sveukupno, ovo izgleda kao još jedan pokušaj ignoriranja europskog zakonodavstva (...) korisnici moraju imati stvarni izbor između oglasa koji koriste njihove osobne podatke i onih koji to ne čine".

 

Vijesti iz zemalja članica Europske unije.

U Njemačkoj je Savezni sud (Bundesgerichtshof, BGH) djelomično poništio odluku Višeg regionalnog suda u Kölnu koji je smatrao da zahtjev za naknadu moralne štete nije dovoljno obrazložen.

Slučaj se odnosio na povredu podataka: u travnju 2021. godine podaci otprilike 533 milijuna korisnika Facebooka objavljeni su na internetu.

BGH je naglasio da, prema sudskoj praksi Suda EU, čak i jednokratni i privremeni gubitak kontrole nad podacima može predstavljati nematerijalnu štetu prema članku 82(1) GDPR-a.

Dotična osoba ne mora dokazati konkretnu zlouporabu svojih osobnih podataka.

Austrijski sud presudio je da odvjetnik za razvod braka može opravdati slanje video materijala koji prikazuje izvanbračnu vezu osobe odvjetniku suprotne strane putem e-pošte na temelju legitimnog interesa prema članku 6(1)(f) i 9(2)(f) GDPR-a.

Drugi sud je, međutim, smatrao da interes jednog supružnika da se ne snima tijekom bračnih sporova u njihovom domu nadmašuje interes drugog supružnika da se te snimke koriste u brakorazvodnom postupku.

U Belgiji je APD 28. studenog sankcionirao korištenje osobnih iskaznica kao kartica vjernosti: utvrdio je da je tvrtka Freedelity, tvrtka specijalizirana za prikupljanje podataka putem elektroničkih osobnih iskaznica (eID), prekršila nekoliko članaka GDPR-a koji se odnose na valjanost privole, minimiziranje prikupljanja i trajanje čuvanja podataka.

Freedelity prikuplja podatke o elektroničkoj identifikaciji, posebno putem terminala postavljenih u partnerskim trgovinama.

Ti se podaci zatim dijele i sinkroniziraju s trgovinama koje koriste njegove usluge u slučaju ažuriranja.

U Španjolskoj je APD kaznio tvrtku The Phone House SL s 6.500.000 eura zbog poduzimanja neadekvatnih sigurnosnih mjera koje su omogućile napad ransomwareom.

Napad je pogodio otprilike 13 milijuna korisnika, otkrivši adrese, telefonske brojeve, identifikacijske dokumente i bankovne podatke.

Posti, finska poštanska služba, kažnjena je 13. studenog s 2.400.000 eura zbog dodjeljivanja e-mail računa svojim korisnicima bez njihovog izričitog pristanka.

Korisnicima koji su tražili usluge poput prosljeđivanja pošte automatski je dodijeljen račun e-pošte bez mogućnosti odjave.

Talijanska agencija za zaštitu podataka (APD) donijela je 27. studenog odluku o licencnom ugovoru između OpenAI-a i izdavačke kuće GEDI.

APD se protivi korištenju legitimnog interesa kao pravne osnove za obradu osobnih podataka u svrhu obuke za umjetnu inteligenciju, bez obzira uključuje li obrada osjetljive podatke ili ne.

Prema APD-u, ugovori o licenciranju uredničkog sadržaja korištenog za obuku o umjetnoj inteligenciji trebali bi jamčiti, u nedostatku privole, brisanje ili anonimizaciju svih korištenih osobnih podataka.

Ova odluka dolazi nekoliko tjedana prije mišljenja EDPB-a o ovom pitanju, koje se očekuje krajem prosinca.

Talijanska agencija za zaštitu podataka (APD) također je kaznila tvrtku za dostavu hrane Foodinho, podružnicu Glovo grupe, s 5.000.000 eura zbog brojnih i kontinuiranih kršenja GDPR-a povezanih s obradom podataka njezinih zaposlenika, uključujući kontinuirano praćenje njihove geolokacije i automatizirano dodjeljivanje smjena.

Nizozemska Agencija za zaštitu podataka (DPA) objavila je 11. studenog izvješće u kojem se navodi da je algoritam koji Izvršna agencija za obrazovanje koristi za borbu protiv prijevara diskriminirajući i nezakonit.

Agencija je koristila ovaj algoritam kako bi provjerila zloupotrebljavaju li studenti stipendiju za nerezidente.

Učenicima je dodijeljen "bod rizika" uzimajući u obzir vrstu obrazovanja, dob i udaljenost između adrese učenika i adrese njihovih roditelja.

Ti kriteriji nisu imali objektivno opravdanje, a ministar obrazovanja, kulture i znanosti odgovoran za agenciju na kraju je priznao da je algoritam neizravno diskriminirajući prema studentima imigrantskog podrijetla.

U Poljskoj je APD kaznio kontrolora podataka s 353.589 PLN (82.000 €) zbog nedovoljnih sigurnosnih mjera koje su omogućile napad ransomwareom.

Hakeri su šifrirali i učinili nedostupnima podatke otprilike 200 kupaca i zaposlenika. Umiješani podizvođač kažnjen je s 9.822 PLN (2.200 €).

 

Krajem studenog, australski Senat usvojio je zakon o izmjenama i dopunama zakona o privatnosti koji sadrži nekoliko važnih promjena:

• Uvođenje građanskog prekršaja za teške povrede privatnosti.
• Proširenje ovlasti za provedbu i istragu koje su dostupne APD-u.
• Moć za to je razviti kodeks privatnosti za djecu na internetu.
• Nova prilika za generalnog guvernera da uspostavi "bijeli popis" zemalja koje nude odgovarajuću zaštitu podataka.
• Obveza da politike zaštite podataka detaljno opisuju automatizirane sustave donošenja odluka koji mogu utjecati na prava ili interese pojedinca.

I u Australiji je parlament 29. studenog donio kontroverzni zakon kojim se djeci i tinejdžerima mlađima od 16 godina zabranjuje pristup društvenim mrežama.

Zakon ne precizira kako će platforme morati provjeravati dob svojih posjetitelja.

Brazilska Agencija za zaštitu podataka (APD) objavljuje izvješće o generativnoj umjetnoj inteligenciji i zaštiti podataka.

Izvorno razvijen za internu podršku APD timova, dokument se bavi konceptima umjetne inteligencije, njezinim odnosom sa zaštitom podataka, brazilskim kontekstom i izgledima za umjetnu inteligenciju.

Dana 3. prosinca, Savezna trgovinska komisija Sjedinjenih Država (FTC) objavila je sklapanje nacrta sporazuma kojima se dvama glavnim posrednicima u obradi podataka, Mobilewalli i Gravy Analyticsu, zabranjuje prodaja osjetljivih podataka o lokaciji, uključujući, na primjer, posjećenost crkava, vojnih baza, medicinskih ordinacija ili LGBTQ barova.

Ova mjera nadovezuje se na akcije poduzete ranije ove godine protiv posrednika podataka koji se bave sličnim praksama.

Nakon Zastupničkog doma, meksički Senat je krajem studenog odobrio nacrt ustavnog zakona kojim se predviđa ukidanje sedam kontrolnih tijela, uključujući tijelo za zaštitu podataka i pristup administrativnim dokumentima (INAI).

Ovlasti tih tijela preuzela bi različita ministarstva.

One iz INAI-a preuzelo bi Ministarstvo borbe protiv korupcije i dobre uprave.

Komentatori smatraju da bi ratifikacija zakona od strane većine zakonodavnih skupština meksičkih država trebala biti brza, kao što se dogodilo s drugim prijedlozima reformi posljednjih mjeseci.