Pravna ura št. 77 – november 2024. 

Umetna inteligenca kot delovno orodje: kakšen okvir je potreben?

Uporaba umetne inteligence na delovnem mestu danes eksplodira, pogosto brez predhodnega premisleka in brez da bi delodajalec natančno vedel, kako njegovi zaposleni uporabljajo nova orodja, ki so mu na voljo.

Naj gre za zdaj že klasične jezikovne modele, kot je ChatGPT, ali orodja, ki omogočajo ustvarjanje grafičnega oblikovanja (Canva), pridobivanje podatkov iz spleta (Browse AI) ali samodejno beleženje zapiskov med sestankom (Fireflies), možnosti so nešteto.

Glede na študijo IFOP za Learnthings iz decembra 2023 je skoraj vsak četrti zaposleni že uporabil orodje umetne inteligence v poklicnem kontekstu, med njimi pa jih je več kot polovica (55 %) to storila, ne da bi o tem obvestila svojega vodjo.

Vendar pa je razumevanje, kako se ta orodja uporabljajo interno, bistvenega pomena za zagotovitev skladnosti z veljavnim pravnim okvirom, zlasti z evropsko uredbo o umetni inteligenci in GDPR.

Več organov, vključno z ANSSI in CNIL, je objavilo priporočila za ozaveščanje profesionalnih uporabnikov. Glavne točke so naslednje:

Izvajanje listine o umetni inteligenci znotraj podjetja, da bi

• Naštejte dovoljena orodja;
• Preslikajte ta orodja glede na tveganja v skladu z uredbo o umetni inteligenci;
• Reguliranje sistemov z visokim tveganjem (npr. poklicno usposabljanje in zaposlovanje kadrov, kjer uporaba umetne inteligence tvega "avtomatizacijo diskriminacije").

Organizirajte socialni dialog, se posvetujte s CSE in spremenite notranja delovna pravila, da bodo ta pravila interno izvršljiva.

Zagotavljanje varnosti podatkov Posredovanje osebnih podatkov sistemu umetne inteligence (npr. podatkov o strankah ali zaposlenih) ali občutljive ali strateške dokumentacije ima lahko znatne posledice za zaupnost.

Poleg tega lahko uporaba takega sistema vpliva na integriteto informacijskega sistema, s katerim je povezan.

CNIL svetuje, da se da prednost uvedbi rešitev "na kraju samem", ki omejujejo tveganja pridobivanja podatkov od tretje osebe.

Čeprav je morda bolj ekonomično uporabljati sistem, ki gostuje v oblaku, bo potrebna pogodba o podizvajanju, ki določa različne odgovornosti in pooblaščen dostop do obdelanih podatkov. 

V tem primeru je priporočljivo omejiti posredovanje osebnih podatkov sistemu umetne inteligence.

Za usposabljanje in ozaveščanje Končni uporabniki naj upoštevajo te najboljše prakse:

• Navedite le podatke, za katere ste pooblaščeni, pri čemer načeloma izključite vse zaupne podatke;
• Preveriti točnost in kakovost podatkov, ki jih generira sistem, odsotnost plagiatorstva in tveganje diskriminacije;
• Da bi ohranili kritično perspektivo, ne reproducirajte sistemskih izhodov natančno takih, kot so.

Zagotavljanje preglednosti pri obdelavi, zlasti tiste, ki ustvarjajo avtomatizirane odločitve v zvezi z zaposlenimi in tretjimi osebami zunaj podjetja.

Vzpostavitev upravljanja : imenovati pooblaščeno osebo za varstvo podatkov, odbor ali referenta (vključno s CISO), da bi končnim uporabnikom ponudili kontaktno točko za opozarjanje na etična vprašanja ali težave in preverjanje skladnosti s pravili.

Poleg sankcij, ki jih določata GDPR in uredba o umetni inteligenci, predstavlja sprejetje jasnega okvira tudi družbeno in etično vprašanje, ki je v interesu tako ljudi zunaj kot znotraj podjetja.

 

        

CNIL objavlja akcijski načrt za podporo akterjem v srebrnem gospodarstvu, sektorju, namenjenem dejavnostim v korist starejših.

Poudarja, da bodo starejši do leta 2060 v Franciji predstavljali približno 24 milijonov ljudi in da "narava obdelanih podatkov in ciljanje na podlagi starosti sprožata pomembna vprašanja glede varstva podatkov".

Namerava posodobiti svoj paket o skladnosti (informativne liste, priporočila itd.) in predlaga nov „peskovnik“ za podporo trem inovativnim projektom v tem sektorju.

CNIL in DGCCRF sta 18. novembra napovedala podpis novega protokola o sodelovanju, ki posodablja sporazum iz leta 2011.

Oba organa krepita sodelovanje in razvijata nove možnosti za izmenjavo informacij, da bi se prilagodila spremembam zakonodaje in gospodarskim izzivom digitalne dobe.

V publikaciji z dne 19. novembra CNIL ponovno poudarja načela varstva podatkov, ki veljajo za uporabo obogatenih kamer v potniškem prostoru tovornih vozil, in vztraja, da mora delodajalec pred namestitvijo sprejeti vse potrebne ukrepe za zagotovitev skladnosti takšnih kamer.

CNIL je 25. novembra objavil vrsto nasvetov za zaščito vaših podatkov pri interakciji z glasovnim asistentom.

Zaposleni, ki izvaja naročila, ki kršijo GDPR, se izpostavlja kazenski odgovornosti, tudi če deluje po navodilih delodajalca.

Na kazenskem sodišču v Nantesu je javni tožilec pravkar zahteval globo v višini 6000 evrov, od tega 3000 evrov odloženo, zoper zaposlenega v podjetju za IT-podizvajalce, ker je po ukazu svojega šefa v prostorih svojih strank namestil vohunsko napravo.

Tožilec za šefa zahteva 9-mesečno pogojno zaporno kazen in 30.000 evrov denarne kazni.

Pariško pritožbeno sodišče je v sodbi, izdani 21. novembra 2024, potrdilo sodbo, ki jo je 23. julija 2021 izdalo delovno sodišče v Meauxu: zasebnega pogovora v Messengerju, ki sprva ni bil namenjen objavi, ni mogoče šteti za kršitev pogodbenih obveznosti zaposlenega in disciplinske odpovedi na podlagi takšnih razlogov ni mogoče legitimno utemeljiti.

Sodišče se sklicuje na sodbo kasacijskega sodišča z dne 22. decembra 2023 o isti zadevi.

To sklepanje velja tudi, če delodajalec, kot v obravnavani zadevi, ni poskušal dostopati do teh informacij: med odsotnostjo zaposlene jo je prosil, naj posreduje svoje identifikatorje, da bi njeni sodelavci lahko dostopali do njenih službenih dokumentov, sporočila pa so se prikazala, ko se je pogovor samodejno odprl na zaslonu.

 

Evropske institucije in organi

Evropski odbor za varstvo podatkov (EDPB) objavlja poziv k oddaji pripomb na svoje smernice v zvezi s členom 48 GDPR.

Smernice se nanašajo na zahteve za neposredno sodelovanje med javnim organom tretje države (kot so bančni regulatorji, davčni organi, organi pregona ali nacionalne varnosti) in zasebnim subjektom Evropske unije (EU).

Pripombe lahko oddate do 27. januarja 2025.

EOVP je v začetku decembra sprejel tudi izjavo o drugem poročilu Evropske komisije o uporabi GDPR, v kateri poudarja pomen skladnosti med digitalno zakonodajo in GDPR.

Evropski odbor za varstvo podatkov bo okrepil produkcijo vsebin za nestrokovnjake, vključno z malimi in srednje velikimi podjetji, ter poudarja potrebo po dodatnih finančnih in človeških virih, ki bodo organom za varstvo podatkov pomagali pri soočanju z vse bolj kompleksnimi izzivi in dodatnimi znanji, vključno z umetnimi inteligencami.

Zmaga protievropskega opozicijskega kandidata v prvem krogu romunskih predsedniških volitev 24. novembra ima posledice na evropski ravni.

Medtem ko je ustavno sodišče države pravkar razveljavilo prvi krog volitev po razkritju dokumentov nacionalnih obveščevalnih služb, ki razkrivajo obsežno operacijo na TikToku v korist tega kandidata, je Evropska komisija 29. novembra v skladu z zakonom o digitalnih storitvah (DSA) od podjetja zahtevala uradno zahtevo za informacije.

Odbor za umetno inteligenco Sveta Evrope je 28. novembra sprejel metodologijo (HUDERIA) za ocenjevanje tveganj in vplivov sistemov umetne inteligence z vidika človekovih pravic, demokracije in pravne države.

To metodologijo lahko javni in zasebni akterji uporabljajo za pomoč pri prepoznavanju in obravnavanju teh tveganj in vplivov skozi celoten življenjski cikel sistemov umetne inteligence.

Sredi novembra je Sklad za digitalno svobodo v okviru projekta digiRISE objavil celovito podatkovno zbirko o kolektivnih pravnih sredstvih v Evropi, namenjeno spodbujanju kolektivnih ukrepov pri obrambi digitalnih pravic v skladu z Listino EU o temeljnih pravicah.

Dokument vključuje vire o tem, kako je deset držav članic EU uvedlo mehanizme kolektivnih pravnih sredstev: na voljo so nacionalna poročila, primerjalno poročilo in primerjalno orodje za odkrivanje konvergenc in razlik med preučevanimi jurisdikcijami.

Tudi na področju kolektivnih tožb nevladna organizacija NOyB navaja, da je zdaj odobrena kot "usposobljen subjekt" za vlaganje kolektivnih tožb pred sodišči EU.

Takšen ukrep v skladu z Direktivo (EU) 2020/1828 je lahko „prepoved“ ali „korektivni“ ukrep.

Ti zakoni omogočajo tisočim uporabnikom, da so zastopani in da na primer zahtevajo odškodnino za nepremoženjsko škodo, če so bili njihovi osebni podatki obdelani nezakonito.

Za razliko od ameriških skupinskih tožb evropska zakonodaja zahteva, da se te tožbe vložijo v neprofitne namene.

Meta ponovno spreminja svoje načrte za distribucijo personaliziranih oglasov v Evropski uniji.

Ta sprememba izhaja iz stališča regulatorjev EU, ki so menili, da oglaševalski sistem »soglasja ali plačila«, ki je na voljo evropskim uporabnikom Facebooka in Instagrama, krši GDPR in uredbo o digitalnih trgih (DMA).

Nova ponudba vključuje naročnino brez oglasov po znižani ceni in uvaja tudi brezplačen model, za katerega je značilno prikazovanje »manj prilagojenih oglasov« s soglasjem.

Max Schrems, ki je sprožil več ukrepov proti Meti, je izjavil, da »je to na splošno videti kot še en poskus ignoriranja evropske zakonodaje (...) uporabniki morajo imeti resnično izbiro med oglasi, ki uporabljajo njihove osebne podatke, in tistimi, ki jih ne uporabljajo.«

 

Novice iz držav članic Evropske unije.

V Nemčiji je Zvezno sodišče (Bundesgerichtshof, BGH) delno razveljavilo odločitev višjega deželnega sodišča v Kölnu, ki je tožbeni zahtevek za odškodnino za moralno škodo ocenilo kot nezadostno utemeljen.

Primer je vključeval kršitev varnosti podatkov: aprila 2021 so bili na internetu javno objavljeni podatki približno 533 milijonov uporabnikov Facebooka.

BGH je poudaril, da lahko v skladu s sodno prakso Sodišča EU že enkratna in začasna izguba nadzora nad podatki pomeni nepremoženjsko škodo v skladu s členom 82(1) GDPR.

Zadevna oseba ni dolžna dokazati konkretne zlorabe svojih osebnih podatkov.

Avstrijsko sodišče je razsodilo, da lahko odvetnik za ločitve upraviči pošiljanje videoposnetka, ki prikazuje zunajzakonsko razmerje osebe, odvetniku nasprotne stranke po elektronski pošti na podlagi legitimnega interesa v skladu s členom 6(1)(f) in 9(2)(f) GDPR.

Drugo sodišče pa je menilo, da interes enega zakonca, da se ne snema med zakonskimi spori na njunem domu, prevlada nad interesom drugega zakonca, da se ti posnetki uporabijo v postopku razveze.

V Belgiji je APD 28. novembra odobril uporabo osebnih izkaznic kot kartic zvestobe: ugotovil je, da je podjetje Freedelity, specializirano za zbiranje podatkov prek elektronskih osebnih izkaznic (eID), kršilo več členov GDPR glede veljavnosti privolitve, zmanjšanja zbiranja in trajanja hrambe podatkov.

Freedelity zbira podatke o elektronski identifikaciji, zlasti prek terminalov, nameščenih v partnerskih trgovinah.

Ti podatki se nato v primeru posodobitve delijo in sinhronizirajo s trgovinami, ki uporabljajo njihove storitve.

V Španiji je policija APD družbi The Phone House SL naložila globo v višini 6.500.000 evrov zaradi neustreznih varnostnih ukrepov, ki so omogočili napad z izsiljevalsko programsko opremo.

Napad je prizadel približno 13 milijonov strank, pri čemer je razkril naslove, telefonske številke, osebne dokumente in bančne podatke.

Finska poštna služba Posti je bila 13. novembra kaznovana z 2.400.000 evri, ker je svojim strankam dodelila e-poštne račune brez njihovega izrecnega soglasja.

Strankam, ki so zahtevale storitve, kot je posredovanje pošte, je bil samodejno dodeljen e-poštni račun brez možnosti odjave.

Italijanski organ za varstvo podatkov (APD) je 27. novembra sprejel odločitev o licenčni pogodbi med OpenAI in založniško hišo GEDI.

Direktiva o azilnih postopkih (APD) nasprotuje uporabi legitimnega interesa kot pravne podlage za obdelavo osebnih podatkov za namene usposabljanja za umetno inteligenco, ne glede na to, ali obdelava vključuje občutljive podatke ali ne.

V skladu z APD bi morali licenčni sporazumi o uredniških vsebinah, ki se uporabljajo za usposabljanje o umetni inteligenci, zagotavljati, da se v primeru odsotnosti soglasja izbrišejo ali anonimizirajo vsi uporabljeni osebni podatki.

Ta odločitev prihaja nekaj tednov pred mnenjem Evropskega odbora za varstvo podatkov o tej zadevi, ki se pričakuje konec decembra.

Italijanski organ za varstvo podatkov (APD) je podjetju za dostavo hrane Foodinho, hčerinski družbi skupine Glovo, naložil tudi globo v višini 5.000.000 evrov zaradi številnih in nenehnih kršitev GDPR v zvezi z obdelavo podatkov zaposlenih, vključno z nenehnim sledenjem njihove geolokacije in avtomatiziranim dodeljevanjem izmen.

Nizozemski organ za varstvo podatkov (DPA) je 11. novembra objavil poročilo, v katerem je ugotovil, da je algoritem, ki ga Izvajalska agencija za izobraževanje uporablja za boj proti goljufijam, diskriminatoren in nezakonit.

Agencija je s tem algoritmom preverila, ali študenti zlorabljajo štipendijo za nerezidente.

Študentom je bila dodeljena "ocena tveganja" ob upoštevanju vrste izobrazbe, starosti in razdalje med naslovom študenta in naslovom njihovih staršev.

Ta merila niso imela objektivne utemeljitve in minister za izobraževanje, kulturo in znanost, pristojen za agencijo, je na koncu priznal, da je algoritem posredno diskriminatoren do študentov iz priseljenskega okolja.

Na Poljskem je APD upravljavcu podatkov naložil globo v višini 353.589 PLN (82.000 EUR) zaradi nezadostnih varnostnih ukrepov, ki so omogočili napad z izsiljevalsko programsko opremo.

Hekerji so šifrirali in onemogočili dostop do podatkov približno 200 strank in zaposlenih. Vpleteni podizvajalec je bil kaznovan z 9.822 PLN (2.200 EUR).

 

Konec novembra je avstralski senat sprejel zakon o spremembi zakonodaje o zasebnosti, ki vsebuje več pomembnih sprememb:

• Uvedba civilnega prekrška za hude kršitve zasebnosti.
• Razširitev izvršilnih in preiskovalnih pooblastil, ki so na voljo APD.
• Moč za to, da razvije kodeks spletne zasebnosti za otroke.
• Nova priložnost za generalnega guvernerja, da vzpostavi "beli seznam" držav, ki ponujajo ustrezno varstvo podatkov.
• Obveznost, da politike varstva podatkov podrobno opisujejo sisteme za avtomatizirano sprejemanje odločitev, ki lahko vplivajo na pravice ali interese posameznika.

Tudi v Avstraliji je parlament 29. novembra sprejel kontroverzen zakon, ki prepoveduje dostop do družbenih omrežij otrokom in najstnikom, mlajšim od 16 let.

Zakon ne določa, kako bodo morale platforme preverjati starost svojih obiskovalcev.

Brazilska agencija za varstvo podatkov (APD) je objavila poročilo o generativni umetni inteligenci in varstvu podatkov.

Dokument, ki je bil prvotno razvit za notranjo podporo ekip APD, obravnava koncepte umetne inteligence, njen odnos do varstva podatkov, brazilski kontekst in možnosti za umetno inteligenco.

Zvezna komisija za trgovino Združenih držav (FTC) je 3. decembra napovedala sklenitev osnutkov sporazumov, katerih cilj je prepovedati dvema glavnima posrednikoma podatkov, Mobilewalla in Gravy Analytics, prodajo občutljivih podatkov o lokaciji, vključno z na primer obiskovanjem cerkva, vojaških oporišč, zdravniških ordinacij ali barov LGBTQ.

Ta ukrep sledi ukrepom, sprejetim v začetku letošnjega leta proti posrednikom podatkov, ki se ukvarjajo s podobnimi praksami.

Mehiški senat je po poslanski zbornici konec novembra odobril osnutek ustavnega zakona, ki predvideva odpravo sedmih nadzornih organov, vključno z organom za varstvo podatkov in dostop do upravnih dokumentov (INAI).

Pooblastila teh organov bi prevzela različna ministrstva.

Tiste iz INAI bi prevzelo ministrstvo za boj proti korupciji in dobro upravljanje.

Komentatorji menijo, da bi morala ratifikacija zakona s strani večine zakonodajnih skupščin mehiških zveznih držav potekati hitro, tako kot se je to zgodilo z drugimi predlogi reform v zadnjih mesecih.