Teisinis stebėjimas Nr. 77 – 2024 m. lapkričio mėn. 

Dirbtinis intelektas kaip darbo įrankis: kokia sistema reikalinga?

Dirbtinio intelekto naudojimas darbo vietoje šiandien sparčiai auga, dažnai iš anksto neapgalvotai ir darbdaviui tiksliai nežinant, kaip jo darbuotojai naudoja turimus naujus įrankius.

Ar tai būtų dabar jau klasikiniai kalbos modeliai, tokie kaip „ChatGPT“, ar įrankiai, leidžiantys kurti grafinį dizainą („Canva“), išgauti duomenis iš interneto („Browse AI“) ar automatiškai užsirašyti pastabas susitikimo metu („Fireflies“), galimybių yra begalė.

Remiantis IFOP 2023 m. gruodžio mėn. „Learnthings“ užsakymu atliktu tyrimu, beveik vienas iš keturių darbuotojų jau yra naudojęs dirbtinio intelekto įrankį profesiniame kontekste, o iš jų daugiau nei pusė (55 %) tai padarė nepranešę savo vadovui.

Tačiau norint užtikrinti atitiktį taikomai teisinei sistemai, ypač Europos dirbtinio intelekto reglamentui ir BDAR, labai svarbu suprasti, kaip šios priemonės naudojamos viduje.

Kelios institucijos, įskaitant ANSSI ir CNIL, paskelbė rekomendacijas, skirtas didinti profesionalių naudotojų informuotumą. Štai pagrindiniai punktai:

Dirbtinio intelekto chartijos įgyvendinimas įmonės viduje, siekiant

• Išvardykite leidžiamus įrankius;
• Susieti šiuos įrankius pagal riziką, laikantis dirbtinio intelekto reglamento;
• Didelės rizikos sistemų reguliavimas (pvz., profesinis mokymas ir žmogiškųjų išteklių įdarbinimas, kai dirbtinio intelekto naudojimas kelia „diskriminacijos automatizavimo“ riziką).

Organizuoti socialinį dialogą, pasikonsultuoti su CSE ir iš dalies pakeisti vidaus darbo taisykles, kad šios taisyklės būtų vykdytinos viduje.

Duomenų saugumo užtikrinimas Asmeninių duomenų (pvz., klientų ar darbuotojų duomenų) arba neskelbtinų ar strateginių dokumentų teikimas dirbtinio intelekto sistemai gali turėti didelių pasekmių konfidencialumo požiūriu.

Be to, tokios sistemos naudojimas gali paveikti informacinės sistemos, prie kurios ji prijungta, vientisumą.

CNIL rekomenduoja teikti pirmenybę diegti „vietoje“ veikiančius sprendimus, kurie riboja duomenų išgavimo iš trečiosios šalies riziką.

Nors gali būti ekonomiškiau naudoti debesyje talpinamą sistemą, reikės sudaryti subrangos sutartį, kurioje būtų nurodytos skirtingos atsakomybės sritys ir įgaliota prieiga prie tvarkomų duomenų. 

Tokiu atveju rekomenduojama apriboti asmens duomenų teikimą dirbtinio intelekto sistemai.

Mokyti ir didinti informuotumą Galutiniai vartotojai turėtų laikytis šių geriausių praktikų:

• Pateikite tik tuos duomenis, kuriais turite teisę dalytis, iš principo neįtraukdami jokių konfidencialių duomenų;
• Patikrinti sistemos sugeneruotų duomenų tikslumą ir kokybę, plagijavimo nebuvimą ir diskriminacijos riziką;
• Siekiant išlaikyti kritinį požiūrį, neatkurkite sistemų rezultatų tiksliai tokių, kokie jie yra.

Užtikrinant skaidrumą apdorojimo metu, ypač tuos, kurie generuoja automatizuotus sprendimus dėl darbuotojų ir trečiųjų šalių už įmonės ribų.

Nustatyti valdymą paskirti duomenų apsaugos pareigūną, komitetą arba referentą (taip pat įtraukiant CISO), kad galutiniams vartotojams būtų suteiktas kontaktinis asmuo, į kurį jie galėtų kelti etikos klausimus ar sunkumus ir patikrinti, ar laikomasi taisyklių.

Be BDAR ir Dirbtinio intelekto reglamente numatytų sankcijų, aiškios sistemos priėmimas taip pat yra socialinis ir etinis klausimas, svarbus tiek įmonės vidaus, tiek išorės darbuotojams.

 

        

CNIL paskelbė veiksmų planą, skirtą paremti „Sidabrinės ekonomikos“ – sektoriaus, skirto veiklai, naudingai senjorams, – dalyvius.

Ji atkreipia dėmesį, kad iki 2060 m. Prancūzijoje vyresnio amžiaus žmonės sudarys maždaug 24 mln. žmonių ir kad „apdorojamų duomenų pobūdis ir tikslinė atranka pagal amžių kelia didelių klausimų dėl duomenų apsaugos“.

Ji ketina atnaujinti savo atitikties dokumentų rinkinį (informacijos lapus, rekomendacijas ir kt.) ir siūlo naują bandomąją aplinką, skirtą trims novatoriškiems šio sektoriaus projektams paremti.

Lapkričio 18 d. CNIL ir DGCCRF paskelbė apie naujo bendradarbiavimo protokolo, kuriuo atnaujinamas 2011 m. susitarimas, pasirašymą.

Abi valdžios institucijos stiprina bendradarbiavimą ir kuria naujas informacijos mainų galimybes, kad prisitaikytų prie teisės aktų pokyčių ir skaitmeninio amžiaus ekonominių iššūkių.

Lapkričio 19 d. publikacijoje CNIL taip pat pakartoja duomenų apsaugos principus, taikomus papildinių kamerų naudojimui krovininių transporto priemonių keleivių salone, ir reikalauja, kad darbdavys prieš įrengiant tokias kameras imtųsi visų būtinų priemonių, kad užtikrintų jų atitiktį reikalavimams.

Lapkričio 25 d. CNIL paskelbė patarimų, kaip apsaugoti savo duomenis bendraujant su balso asistentu, seriją.

Darbuotojui, kuris vykdo BDAR pažeidžiančius įsakymus, gresia baudžiamoji atsakomybė, net jei jis veikia pagal darbdavio nurodymus.

Nanto baudžiamųjų bylų teisme prokuroras ką tik pareikalavo skirti 6000 eurų baudą, iš kurių 3000 eurų vykdymas būtų atidėtas, IT subrangos įmonės darbuotojui už tai, kad savo viršininko nurodymu savo klientų patalpose įrengė šnipinėjimo įrenginį.

Prokuroras prašo viršininkui skirti 9 mėnesių laisvės atėmimo bausmę, kurios vykdymas lygtinis, ir 30 000 eurų baudą.

2024 m. lapkričio 21 d. priimtu sprendimu Paryžiaus apeliacinis teismas patvirtino Meaux pramonės tribunolo 2021 m. liepos 23 d. priimtą sprendimą: privatus pokalbis per „Messenger“, kuris iš pradžių nebuvo numatytas viešinti, negali būti laikomas darbuotojo sutartinių įsipareigojimų pažeidimu, o drausminis atleidimas dėl tokių priežasčių negali būti teisėtai pateisinamas.

Teismas remiasi Kasacinio teismo 2023 m. gruodžio 22 d. nutartimi tuo pačiu klausimu.

Šis samprotavimas taikytinas net ir tuo atveju, kaip ir šiuo atveju, jei darbdavys nesiekė gauti šios informacijos: darbuotojos nebuvimo metu jis paprašė jos perduoti savo identifikatorius, kad kolegos galėtų pasiekti jos profesinius dokumentus, o pranešimai pasirodė, kai pokalbis automatiškai atsidarė ekrane.

 

Europos institucijos ir įstaigos

Europos duomenų apsaugos valdyba (EDAV) skelbia kvietimą teikti pastabas dėl jos gairių, susijusių su BDAR 48 straipsniu.

Gairės susijusios su prašymais dėl tiesioginio bendradarbiavimo tarp trečiosios šalies valdžios institucijos (pvz., bankų reguliavimo institucijų, mokesčių administratorių, teisėsaugos ar nacionalinio saugumo institucijų) ir Europos Sąjungos (ES) privačiojo subjekto.

Komentarus galima teikti iki 2025 m. sausio 27 d.

EDAV gruodžio pradžioje taip pat priėmė pareiškimą dėl Europos Komisijos antrosios BDAR taikymo ataskaitos, kuriame pabrėžiama skaitmeninių teisės aktų ir BDAR nuoseklumo svarba.

Europos duomenų apsaugos valdyba (EDAV) intensyvins turinio, skirto ne ekspertams, įskaitant mažąsias ir vidutines įmones, kūrimą ir pabrėžia papildomų finansinių ir žmogiškųjų išteklių poreikį, siekiant padėti duomenų apsaugos institucijoms (DAI) susidoroti su vis sudėtingesniais iššūkiais ir turėti papildomų įgūdžių, be kita ko, dirbtinio intelekto srityje.

Antieuropietiško opozicijos kandidato pergalė pirmajame Rumunijos prezidento rinkimų ture lapkričio 24 d. turi atgarsių Europos lygmeniu.

Nors šalies Konstitucinis Teismas ką tik panaikino šį pirmąjį rinkimų etapą po to, kai buvo išslaptinti nacionalinės žvalgybos dokumentai, atskleidžiantys didelio masto operaciją „TikTok“ platformoje, kuria buvo siekiama paremti šį kandidatą, Europos Komisija lapkričio 29 d. pateikė oficialų prašymą bendrovei pateikti informaciją pagal Skaitmeninių paslaugų įstatymą (DSA).

Lapkričio 28 d. Europos Tarybos Dirbtinio intelekto komitetas priėmė metodiką (HUDERIA), skirtą dirbtinio intelekto sistemų rizikai ir poveikiui įvertinti žmogaus teisių, demokratijos ir teisinės valstybės požiūriu.

Šią metodiką gali naudoti viešojo ir privačiojo sektorių subjektai, siekdami nustatyti ir pašalinti šią riziką ir poveikį per visą dirbtinio intelekto sistemų gyvavimo ciklą.

Lapkričio viduryje Skaitmeninės laisvės fondas, įgyvendindamas „digiRISE“ projektą, paskelbė išsamią kolektyvinių teisių gynimo priemonių Europoje duomenų bazę, skirtą skatinti kolektyvinius veiksmus ginant skaitmenines teises pagal ES pagrindinių teisių chartiją.

Dokumente pateikiami ištekliai apie tai, kaip dešimt ES valstybių narių įgyvendino kolektyvinio teisių gynimo mechanizmus: pateikiamos nacionalinės ataskaitos, lyginamoji ataskaita ir lyginamoji priemonė, skirta tirtų jurisdikcijų panašumams ir skirtumams nustatyti.

Kolektyvinio teisių gynimo srityje NVO NOyB taip pat nurodo, kad dabar yra patvirtinta kaip „kvalifikuotas subjektas“, galintis pareikšti kolektyvinio teisių gynimo ieškinius ES teismuose.

Toks veiksmas pagal Direktyvą (ES) 2020/1828 gali būti „draudimas“ arba „taisomoji“ priemonė.

Šie įstatymai leidžia tūkstančiams vartotojų būti atstovaujamiems ir reikalauti, pavyzdžiui, neturtinės žalos atlyginimo, kai jų asmens duomenys buvo tvarkomi neteisėtai.

Kitaip nei Amerikos kolektyviniuose ieškiniuose, Europos teisės aktai reikalauja, kad šie ieškiniai būtų pareiškiami ne pelno tikslais.

„Meta“ vėl peržiūri savo planus dėl suasmenintos reklamos platinimo Europos Sąjungoje.

Šis pokytis kyla iš ES reguliavimo institucijų pozicijos, kurios manė, kad „sutikimo arba mokėjimo“ reklamos sistema, siūloma Europos „Facebook“ ir „Instagram“ naudotojams, pažeidė BDAR ir Skaitmeninių rinkų reglamentą (DMA).

Naujasis pasiūlymas apima prenumeratą be reklamos už mažesnę kainą ir nemokamą modelį, kuriam būdingas „mažiau suasmenintų reklamų“ rodymas gavus sutikimą.

Maxas Schremsas, inicijavęs keletą veiksmų prieš „Meta“, pareiškė, kad „apskritai tai atrodo kaip dar vienas bandymas ignoruoti Europos teisės aktus (...) vartotojai turi turėti realų pasirinkimą tarp reklamų, kuriose naudojami jų asmens duomenys, ir tų, kuriose jie nenaudojami“.

 

Naujienos iš Europos Sąjungos šalių narių.

Vokietijoje Federalinis Teisingumo Teismas (Bundesgerichtshof, BGH) iš dalies panaikino Kelno Aukštesniojo regioninio teismo sprendimą, kuriuo moralinės žalos reikalavimas buvo pripažintas nepakankamai pagrįstu.

Byla buvo susijusi su duomenų pažeidimu: 2021 m. balandžio mėn. internete buvo paviešinti maždaug 533 milijonų „Facebook“ vartotojų duomenys.

BGH pabrėžė, kad, remiantis ES Teisingumo Teismo praktika, net vienkartinis ir laikinas duomenų kontrolės praradimas gali būti laikomas neturtine žala pagal BDAR 82(1) straipsnį.

Suinteresuotam asmeniui nereikia įrodyti konkretaus netinkamo jo asmens duomenų naudojimo.

Austrijos teismas nusprendė, kad skyrybų advokatas gali pateisinti vaizdo medžiagos, kurioje matyti asmens nesantuokiniai romanai, siuntimą priešingos šalies advokatui el. paštu remdamasis teisėtu interesu pagal BDAR 6(1)(f) straipsnį ir 9(2)(f) straipsnį.

Tačiau kitas teismas nusprendė, kad vieno sutuoktinio interesas nebūti įrašytam santuokinių ginčų metu jų namuose yra svarbesnis už kito sutuoktinio interesą naudoti šiuos įrašus skyrybų procese.

Belgijoje APD lapkričio 28 d. sankcionavo asmens tapatybės kortelių naudojimą kaip lojalumo korteles: ji nustatė, kad bendrovė „Freedelity“, kuri specializuojasi duomenų rinkime naudojant elektronines asmens tapatybės korteles (eID), pažeidė kelis BDAR straipsnius, susijusius su sutikimo galiojimu, rinkimo mažinimu ir duomenų saugojimo trukme.

„Freedelity“ renka elektroninės tapatybės duomenis, visų pirma per terminalus, esančius partnerių parduotuvėse.

Šie duomenys atnaujinimo atveju bendrinami ir sinchronizuojami su parduotuvėmis, naudojančiomis jos paslaugas.

Ispanijoje APD skyrė 6 500 000 eurų baudą bendrovei „The Phone House SL“ už nepakankamas saugumo priemones, kurios leido įvykdyti išpirkos reikalaujančios programinės įrangos ataką.

Išpuolis paveikė maždaug 13 milijonų klientų, paviešindamas adresus, telefono numerius, asmens tapatybės dokumentus ir banko duomenis.

Lapkričio 13 d. Suomijos pašto tarnyba „Posti“ buvo nubausta 2 400 000 eurų bauda už el. pašto paskyrų skyrimą savo klientams be jų aiškaus sutikimo.

Klientams, pageidaujantiems tokių paslaugų kaip laiškų peradresavimas, automatiškai buvo priskirta el. pašto paskyra be galimybės atsisakyti.

Italijos duomenų apsaugos tarnyba (APD) lapkričio 27 d. priėmė sprendimą dėl licencijavimo sutarties tarp „OpenAI“ ir leidyklos „GEDI“.

APD prieštarauja teisėto intereso naudojimui kaip teisiniam pagrindui tvarkant asmens duomenis dirbtinio intelekto mokymo tikslais, nepriklausomai nuo to, ar tvarkomi jautrūs duomenys.

Pasak APD, licencijavimo sutartys dėl redakcinio turinio, naudojamo dirbtinio intelekto mokymui, turėtų garantuoti, kad, negavus sutikimo, visi naudojami asmens duomenys bus ištrinti arba nuasmeninti.

Šis sprendimas priimtas likus kelioms savaitėms iki EDAV nuomonės šiuo klausimu, kuri, kaip tikimasi, bus paskelbta gruodžio pabaigoje.

Italijos duomenų apsaugos tarnyba (APD) taip pat skyrė 5 000 000 eurų baudą maisto pristatymo bendrovei „Foodinho“, „Glovo“ grupės dukterinei įmonei, dėl daugybės nuolatinių BDAR pažeidimų, susijusių su jos darbuotojų duomenų tvarkymu, įskaitant nuolatinį jų geografinės vietos stebėjimą ir automatizuotą pamainų skyrimą.

Lapkričio 11 d. Nyderlandų duomenų apsaugos tarnyba (DPA) paskelbė ataskaitą, kurioje nustatyta, kad Švietimo vykdomosios agentūros naudojamas algoritmas kovai su sukčiavimu yra diskriminacinis ir neteisėtas.

Agentūra naudojo šį algoritmą, kad patikrintų, ar studentai piktnaudžiauja nerezidentams skirtomis stipendijomis.

Studentams buvo priskirtas „rizikos balas“, atsižvelgiant į išsilavinimo tipą, amžių ir atstumą tarp studento ir jo tėvų adresų.

Šie kriterijai neturėjo objektyvaus pagrindimo, ir už agentūrą atsakingas švietimo, kultūros ir mokslo ministras galiausiai pripažino, kad algoritmas netiesiogiai diskriminavo studentus iš imigrantų šeimų.

Lenkijoje APD skyrė duomenų valdytojui 353 589 PLN (82 000 EUR) baudą už nepakankamas saugumo priemones, kurios leido įvykdyti išpirkos reikalaujančios programinės įrangos ataką.

Įsilaužėliai užšifravo ir padarė neprieinamus maždaug 200 klientų ir darbuotojų duomenis. Dalyvaujančiam subrangovui buvo skirta 9 822 PLN (2 200 EUR) bauda.

 

Lapkričio pabaigoje Australijos Senatas priėmė įstatymo projektą, kuriuo iš dalies keičiami privatumo įstatymai, kuriame yra keletas svarbių pakeitimų:

• Civilinio nusižengimo už šiurkščius privatumo pažeidimus įvedimas.
• APD turimų vykdymo ir tyrimo įgaliojimų išplėtimas.
• Galia tam sukurti vaikų privatumo internete kodeksą.
• Nauja galimybė generalgubernatoriui sudaryti „baltąjį sąrašą“ šalių, užtikrinančių tinkamą duomenų apsaugą.
• Duomenų apsaugos politikos įpareigojimas išsamiai aprašyti automatizuoto sprendimų priėmimo sistemas, kurios gali turėti įtakos asmens teisėms ar interesams.

Australijoje parlamentas lapkričio 29 d. priėmė prieštaringai vertinamą įstatymą, draudžiantį vaikams ir paaugliams iki 16 metų naudotis socialiniais tinklais.

Įstatymas nenurodo, kaip platformos turės tikrinti savo lankytojų amžių.

Brazilijos duomenų apsaugos agentūra (APD) paskelbė ataskaitą apie generatyvinį dirbtinį intelektą ir duomenų apsaugą.

Iš pradžių APD komandų vidinei paramai parengtame dokumente aptariamos dirbtinio intelekto sąvokos, jo ryšys su duomenų apsauga, Brazilijos kontekstas ir dirbtinio intelekto perspektyvos.

Gruodžio 3 d. Jungtinių Valstijų federalinė prekybos komisija (FTC) paskelbė apie susitarimų projektus, kuriais siekiama uždrausti dviem pagrindiniams duomenų tarpininkams – „Mobilewalla“ ir „Gravy Analytics“ – parduoti jautrius vietos duomenis, įskaitant, pavyzdžiui, lankomumą bažnyčiose, karinėse bazėse, medicinos įstaigose ar LGBTQ baruose.

Ši priemonė yra tęsinys veiksmų, kurių buvo imtasi anksčiau šiais metais prieš duomenų brokerius, kurie vykdė panašią praktiką.

Po Deputatų rūmų Meksikos Senatas lapkričio pabaigoje patvirtino konstitucinio įstatymo projektą, kuriuo numatyta panaikinti septynias kontrolės institucijas, įskaitant Duomenų apsaugos ir prieigos prie administracinių dokumentų instituciją (INAI).

Šių institucijų įgaliojimus perimtų skirtingos ministerijos.

INAI atstovus perimtų Kovos su korupcija ir gero valdymo ministerija.

Komentatoriai mano, kad įstatymo projektą turėtų greitai ratifikuoti dauguma Meksikos valstijų įstatymų leidžiamųjų asamblėjų, kaip tai įvyko su kitais reformų pasiūlymais pastaraisiais mėnesiais.