Právny prehľad č. 77 – november 2024. 

Umelá inteligencia ako pracovný nástroj: aký druh rámca je potrebný?

Používanie umelej inteligencie na pracovisku dnes prudko rastie, často bez predchádzajúceho premýšľania a bez toho, aby zamestnávateľ presne vedel, ako jeho zamestnanci nové nástroje, ktoré má k dispozícii, používajú.

Či už ide o dnes už klasické jazykové modely ako ChatGPT, alebo nástroje, ktoré umožňujú vytvárať grafický dizajn (Canva), extrahovať dáta z webu (Browse AI) alebo automaticky robiť poznámky počas stretnutia (Fireflies), možností je nespočetné množstvo.

Podľa štúdie IFOP pre Learnthings z decembra 2023 takmer každý štvrtý zamestnanec už použil nástroj umelej inteligencie v profesionálnom kontexte a z nich viac ako polovica (55 %) tak urobila bez toho, aby o tom informovala svojho manažéra.

Pochopenie toho, ako sa tieto nástroje používajú interne, je však nevyhnutné na zabezpečenie súladu s platným právnym rámcom, a najmä s európskym nariadením o umelej inteligencii a GDPR.

Niekoľko orgánov vrátane ANSSI a CNIL publikovalo odporúčania zamerané na zvýšenie povedomia medzi profesionálnymi používateľmi. Tu sú hlavné body:

Implementácia charty umelej inteligencie v rámci spoločnosti, aby

• Vymenujte povolené nástroje;
• Zmapujte tieto nástroje podľa rizík v súlade s nariadením o umelej inteligencii;
• Regulácia vysoko rizikových systémov (napr. odborné vzdelávanie a nábor ľudských zdrojov, kde používanie umelej inteligencie predstavuje riziko „automatizácie diskriminácie“).

Organizujte sociálny dialóg, konzultovať s CSE a zmeniť interné pracovné pravidlá tak, aby boli tieto pravidlá vymáhateľné interne.

Zabezpečenie bezpečnosti údajov Poskytovanie osobných údajov systému umelej inteligencie (napr. údajov o zákazníkoch alebo zamestnancoch) alebo citlivej či strategickej dokumentácie môže mať významné dôsledky z hľadiska dôvernosti.

Okrem toho, používanie takéhoto systému môže mať vplyv na integritu informačného systému, ku ktorému je pripojený.

CNIL odporúča uprednostniť nasadenie riešení „na mieste“, ktoré obmedzujú riziká extrakcie údajov od tretej strany.

Hoci môže byť ekonomickejšie používať systém hostovaný v cloude, bude potrebné mať subdodávateľskú zmluvu, ktorá špecifikuje rôzne zodpovednosti a oprávnený prístup k spracovaným údajom. 

V tomto prípade sa odporúča obmedziť poskytovanie osobných údajov systému umelej inteligencie.

Školiť a zvyšovať povedomie Koncoví používatelia by mali dodržiavať tieto osvedčené postupy:

• Poskytujte iba údaje, na ktorých zdieľanie máte oprávnenie, pričom v zásade vylučujte akékoľvek dôverné údaje.
• Overiť presnosť a kvalitu údajov generovaných systémom, absenciu plagiátorstva a riziko diskriminácie;
• Nereprodukujte výstupy systému presne tak, ako sú, aby ste si zachovali kritický pohľad.

Zabezpečenie transparentnosti pri spracovaní, najmä tie, ktoré generujú automatizované rozhodnutia týkajúce sa zamestnancov a tretích strán mimo spoločnosti.

Zaviesť riadenie : určiť zodpovednú osobu, výbor alebo referenta (vrátane CISO), aby koncovým používateľom poskytol kontaktný bod na nastolenie etických otázok alebo ťažkostí a overenie dodržiavania pravidiel.

Okrem sankcií stanovených v GDPR a nariadení o umelej inteligencii predstavuje prijatie jasného rámca aj sociálnu a etickú otázku, a to v záujme ľudí externých aj interných voči spoločnosti.

 

        

CNIL zverejňuje akčný plán na podporu aktérov v striebornej ekonomike, sektore zameranom na aktivity v prospech seniorov.

Poukazuje na to, že seniori budú do roku 2060 vo Francúzsku predstavovať približne 24 miliónov ľudí a že „povaha spracovávaných údajov a cielenie na základe veku vyvoláva značné otázky týkajúce sa ochrany údajov“.

Má v úmysle aktualizovať svoj balík dokumentácie (informačné listy, odporúčania atď.) a navrhuje nový „pieskovisko“ na podporu troch inovatívnych projektov v tomto sektore.

CNIL a DGCCRF 18. novembra oznámili podpísanie nového protokolu o spolupráci, ktorým sa aktualizuje dohoda z roku 2011.

Oba orgány posilňujú svoju spoluprácu a vyvíjajú nové cesty k zdieľaniu informácií s cieľom prispôsobiť sa zmenám v legislatíve a ekonomickým výzvam digitálneho veku.

V publikácii z 19. novembra CNIL tiež opakuje zásady ochrany údajov platné pre používanie rozšírených kamier v priestore pre cestujúcich v nákladných vozidlách a trvá na tom, že zamestnávateľ musí prijať všetky potrebné opatrenia na zabezpečenie súladu takýchto kamier s predpismi pred ich inštaláciou.

CNIL 25. novembra zverejnila sériu tipov na ochranu vašich údajov pri interakcii s hlasovým asistentom.

Zamestnanec, ktorý vykonáva príkazy porušujúce GDPR, sa vystavuje trestnej zodpovednosti, a to aj v prípade, že koná na základe pokynov svojho zamestnávateľa.

Na trestnom súde v Nantes práve požiadal prokurátor o pokutu 6 000 eur, z ktorej je 3 000 eur podmienečne vyplatených, pre zamestnanca IT subdodávateľskej spoločnosti za to, že na príkaz svojho šéfa nainštaloval špionážne zariadenie v priestoroch svojich klientov.

Prokurátor požaduje pre šéfa deväťmesačný podmienečný trest odňatia slobody a pokutu 30 000 eur.

Odvolací súd v Paríži vo svojom rozhodnutí vydanom 21. novembra 2024 potvrdil rozsudok vydaný Priemyselným tribunálom v Meaux 23. júla 2021: súkromná konverzácia v aplikácii Messenger, ktorá pôvodne nemala byť zverejnená, sa nemôže považovať za porušenie zmluvných povinností zamestnanca a disciplinárne prepustenie z takýchto dôvodov nemožno legitímne odôvodniť.

Súd sa odvoláva na rozhodnutie Kasačného súdu z 22. decembra 2023 v tej istej veci.

Toto zdôvodnenie platí aj v prípade, že by sa zamestnávateľ, ako v prejednávanej veci, nesnažil získať prístup k týmto informáciám: počas neprítomnosti zamestnankyne ju požiadal o poskytnutie svojich identifikátorov, aby umožnil kolegom prístup k jej pracovným dokumentom, a správy sa zobrazili na obrazovke, keď sa konverzácia automaticky otvorila.

 

Európske inštitúcie a orgány

Európsky výbor pre ochranu údajov (EDPB) vyhlasuje výzvu na predkladanie pripomienok k svojim usmerneniam týkajúcim sa článku 48 GDPR.

Tieto usmernenia sa týkajú žiadostí o priamu spoluprácu medzi verejným orgánom tretej krajiny (ako sú bankové regulačné orgány, daňové orgány, orgány činné v trestnom konaní alebo národná bezpečnosť) a súkromným subjektom Európskej únie (EÚ).

Pripomienky je možné posielať do 27. januára 2025.

EDPB tiež začiatkom decembra prijal vyhlásenie týkajúce sa druhej správy Európskej komisie o uplatňovaní GDPR, v ktorom zdôrazňuje dôležitosť súladu medzi digitálnou legislatívou a GDPR.

EDPB zintenzívni tvorbu obsahu pre neodborníkov vrátane malých a stredných podnikov a zdôrazňuje potrebu dodatočných finančných a ľudských zdrojov, ktoré pomôžu orgánom na ochranu údajov (DPA) vyrovnať sa s čoraz zložitejšími výzvami a získať ďalšie zručnosti, a to aj v oblasti umelej inteligencie.

Víťazstvo kandidáta protieurópskej opozície v prvom kole rumunských prezidentských volieb 24. novembra má dôsledky na európskej úrovni.

Zatiaľ čo Ústavný súd krajiny práve zrušil toto prvé kolo volieb po odtajnení dokumentov národných spravodajských služieb, ktoré odhaľujú rozsiahlu operáciu na TikToku v prospech tohto kandidáta, Európska komisia 29. novembra oficiálne požiadala spoločnosť o informácie podľa zákona o digitálnych službách (DSA).

Výbor pre umelú inteligenciu Rady Európy prijal 28. novembra metodiku (HUDERIA) na posudzovanie rizík a vplyvov systémov umelej inteligencie z hľadiska ľudských práv, demokracie a právneho štátu.

Túto metodiku môžu verejní aj súkromní aktéri použiť na pomoc pri identifikácii a riešení týchto rizík a vplyvov počas celého životného cyklu systémov umelej inteligencie.

V polovici novembra zverejnil Fond digitálnej slobody v rámci projektu digiRISE komplexnú databázu o kolektívnom uplatňovaní nárokov na nápravu v Európe, ktorá je určená na podporu kolektívnej žaloby na obranu digitálnych práv podľa Charty základných práv EÚ.

Dokument obsahuje zdroje o tom, ako desať členských štátov EÚ zaviedlo mechanizmy kolektívneho uplatňovania nárokov na nápravu: k dispozícii sú národné správy, porovnávacia správa a porovnávací nástroj na zisťovanie konvergencií a rozdielov medzi skúmanými jurisdikciami.

Aj v oblasti kolektívneho uplatňovania nárokov mimovládna organizácia NOyB uvádza, že je teraz schválená ako „oprávnený subjekt“ na podávanie žalôb o kolektívne uplatňovanie nárokov na súdoch EÚ.

Takéto konanie podľa smernice (EÚ) 2020/1828 môže byť „súdnym príkazom“ alebo „nápravným“ opatrením.

Tieto zákony umožňujú tisíckam používateľov byť zastupovaní a požadovať napríklad náhradu nemajetkovej ujmy, ak boli ich osobné údaje spracované nezákonne.

Na rozdiel od amerických hromadných žalôb európska legislatíva vyžaduje, aby boli tieto žaloby podané na neziskové účely.

Spoločnosť Meta opäť prehodnocuje svoje plány týkajúce sa distribúcie personalizovanej reklamy v Európskej únii.

Táto zmena vyplýva z postoja regulačných orgánov EÚ, ktorí usúdili, že reklamný systém „súhlas alebo platba“ ponúkaný európskym používateľom Facebooku a Instagramu porušuje GDPR a nariadenie o digitálnych trhoch (DMA).

Nová ponuka zahŕňa predplatné bez reklám za zníženú cenu a tiež predstavuje bezplatný model, ktorý sa vyznačuje zobrazovaním „menej personalizovaných reklám“ so súhlasom.

Max Schrems, ktorý inicioval niekoľko žalôb proti spoločnosti Meta, uviedol, že „celkovo to vyzerá ako ďalší pokus ignorovať európsku legislatívu (...) používatelia musia mať skutočnú voľbu medzi reklamami, ktoré používajú ich osobné údaje, a tými, ktoré ich nepoužívajú.“

 

Správy z členských krajín Európskej únie.

V Nemecku Spolkový súdny dvor (Bundesgerichtshof, BGH) čiastočne zrušil rozhodnutie Vyššieho krajinského súdu v Kolíne nad Rýnom, ktorý považoval nárok na náhradu morálnej ujmy za nedostatočne odôvodnený.

Prípad sa týkal úniku údajov: v apríli 2021 boli na internete zverejnené údaje približne 533 miliónov používateľov Facebooku.

BGH zdôraznila, že podľa judikatúry Súdneho dvora EÚ môže aj jednorazová a dočasná strata kontroly nad údajmi predstavovať nemajetkovú ujmu podľa článku 82 ods. 1 GDPR.

Dotknutá osoba nemusí preukázať konkrétne zneužitie svojich osobných údajov.

Rakúsky súd rozhodol, že rozvodový právnik môže odôvodniť zaslanie videomateriálu zobrazujúceho mimomanželský pomer osoby právnikovi protistrany e-mailom na základe oprávneného záujmu podľa článku 6(1)(f) a článku 9(2)(f) GDPR.

Iný súd však usúdil, že záujem jedného z manželov na tom, aby nebol nahrávaný počas manželských sporov v ich dome, prevažuje nad záujmom druhého z manželov na použití týchto nahrávok v rozvodovom konaní.

V Belgicku APD 28. novembra schválil používanie identifikačných kariet ako vernostných kariet: zistil, že spoločnosť Freedelity, ktorá sa špecializuje na zhromažďovanie údajov prostredníctvom elektronických identifikačných kariet (eID), porušila niekoľko článkov GDPR týkajúcich sa platnosti súhlasu, minimalizácie zhromažďovania a doby uchovávania údajov.

Spoločnosť Freedelity zhromažďuje údaje o elektronickej identifikácii, najmä prostredníctvom terminálov umiestnených v partnerských predajniach.

Tieto údaje sa potom v prípade aktualizácie zdieľajú a synchronizujú s obchodmi využívajúcimi jeho služby.

V Španielsku dostala spoločnosť The Phone House SL od APD pokutu 6 500 000 eur za prijatie nedostatočných bezpečnostných opatrení, ktoré umožnili útok ransomvérom.

Útok postihol približne 13 miliónov zákazníkov a odhalil adresy, telefónne čísla, doklady totožnosti a bankové údaje.

Fínska poštová služba Posti dostala 13. novembra pokutu 2 400 000 eur za prideľovanie e-mailových účtov svojim zákazníkom bez ich výslovného súhlasu.

Zákazníkom, ktorí požadovali služby, ako je preposielanie pošty, bol automaticky pridelený e-mailový účet bez možnosti odhlásiť sa.

Taliansky úrad pre ochranu údajov (APD) prijal 27. novembra rozhodnutie týkajúce sa licenčnej zmluvy medzi OpenAI a vydavateľstvom GEDI.

APD sa stavia proti použitiu oprávneného záujmu ako právneho základu pre spracovanie osobných údajov na účely výcviku v oblasti umelej inteligencie, bez ohľadu na to, či spracovanie zahŕňa citlivé údaje alebo nie.

Podľa APD by licenčné zmluvy týkajúce sa redakčného obsahu používaného na školenia v oblasti umelej inteligencie mali v prípade absencie súhlasu zaručiť vymazanie alebo anonymizáciu všetkých použitých osobných údajov.

Toto rozhodnutie prichádza niekoľko týždňov pred stanoviskom EDPB k tejto otázke, ktoré sa očakáva koncom decembra.

Taliansky úrad pre ochranu údajov (APD) tiež udelil pokutu vo výške 5 000 000 eur spoločnosti Foodinho, ktorá sa zaoberá donáškou jedla a je dcérskou spoločnosťou skupiny Glovo, z dôvodu početných a pretrvávajúcich porušení GDPR súvisiacich so spracovaním údajov jej zamestnancov vrátane neustáleho sledovania ich geolokácie a automatizovaného prideľovania zmien.

Holandský úrad pre ochranu údajov (DPA) 11. novembra zverejnil správu, v ktorej zistil, že algoritmus používaný Výkonnou agentúrou pre vzdelávanie na boj proti podvodom je diskriminačný a nezákonný.

Agentúra použila tento algoritmus na kontrolu, či študenti nezneužívajú štipendium pre nerezidentov.

Študentom bolo priradené „skóre rizika“ s prihliadnutím na typ vzdelania, vek a vzdialenosť medzi adresou študenta a adresou jeho rodičov.

Tieto kritériá nemali žiadne objektívne opodstatnenie a minister školstva, kultúry a vedy zodpovedný za agentúru nakoniec uznal, že algoritmus bol nepriamo diskriminačný voči študentom z prisťahovaleckého prostredia.

V Poľsku uložila polícia (APD) prevádzkovateľovi údajov pokutu 353 589 PLN (82 000 EUR) za nedostatočné bezpečnostné opatrenia, ktoré umožnili útok ransomvérom.

Hackeri zašifrovali a zneprístupnili údaje približne 200 zákazníkov a zamestnancov. Subdodávateľ, ktorého sa to týkalo, dostal pokutu 9 822 PLN (2 200 EUR).

 

Koncom novembra austrálsky senát schválil návrh zákona, ktorým sa mení a dopĺňa legislatíva o ochrane súkromia a ktorý obsahuje niekoľko významných zmien:

• Zavedenie občianskoprávneho trestného činu za závažné porušenie súkromia.
• Rozšírenie právomocí v oblasti presadzovania práva a vyšetrovania, ktoré má k dispozícii APD.
• Sila na to, aby sa vyvinul online kódex ochrany súkromia pre deti.
• Nová príležitosť pre generálneho guvernéra vytvoriť „biely zoznam“ krajín ponúkajúcich primeranú ochranu údajov.
• Povinnosť, aby politiky ochrany údajov podrobne popisovali automatizované systémy rozhodovania, ktoré môžu ovplyvniť práva alebo záujmy jednotlivca.

Aj v Austrálii parlament 29. novembra schválil kontroverzný zákon, ktorý zakazuje prístup k sociálnym sieťam deťom a tínedžerom mladším ako 16 rokov.

Zákon nešpecifikuje, ako budú musieť platformy overovať vek svojich návštevníkov.

Brazílsky úrad pre ochranu údajov (APD) zverejnil správu o generatívnej umelej inteligencii a ochrane údajov.

Dokument, pôvodne vytvorený pre internú podporu tímov APD, sa zaoberá konceptmi umelej inteligencie, jej vzťahom k ochrane údajov, brazílskym kontextom a perspektívami umelej inteligencie.

Federálna obchodná komisia Spojených štátov (FTC) 3. decembra oznámila uzavretie návrhov dohôd zameraných na zákaz predaja citlivých údajov o polohe, vrátane napríklad návštev kostolov, vojenských základní, lekárskych ordinácií alebo LGBTQ barov, dvom hlavným dátovým brokerom, Mobilewalla a Gravy Analytics.

Toto opatrenie nadväzuje na kroky prijaté začiatkom tohto roka proti sprostredkovateľom údajov, ktorí sa dopúšťajú podobných praktík.

Po Poslaneckej snemovni schválil mexický Senát koncom novembra návrh ústavného zákona, ktorý zavádza zrušenie siedmich kontrolných orgánov vrátane orgánu pre ochranu údajov a prístup k administratívnym dokumentom (INAI).

Právomoci týchto orgánov by prevzali rôzne ministerstvá.

Tie z INAI by prevzalo Ministerstvo boja proti korupcii a dobrej správy vecí verejných.

Komentátori sa domnievajú, že ratifikácia návrhu zákona väčšinou zákonodarných zhromaždení mexických štátov by mala prebehnúť rýchlo, ako sa to stalo v prípade iných reformných návrhov v posledných mesiacoch.