AI – umělá inteligence v Evropě
Bezpečnost, důvěra a ochrana dat (GDPR)
Nařízení (EU) 2024/1689 – Platnost a výjimky v ČR
Nařízení Evropského parlamentu a Rady (EU) 2024/1689 ze dne 13. června 2024 o horizontálním rámci pro transparentnost umělé inteligence nabylo účinnosti 20. července 2024. Toto nařízení je součástí aktu o umělé inteligenci (AI Act).
Platnost v České republice
Jelikož se jedná o nařízení EU, je přímo závazné a použitelné ve všech členských státech včetně České republiky, bez nutnosti převodu do vnitrostátní legislativy.
Přechodná období a odklady
AI Act zavádí vícestupňové nabývání účinnosti dle článku 113 nařízení 2024/1689:
| Opatření | Účinnost od |
|---|---|
| Zákazy určitých AI systémů (např. manipulativní, sociální skórování) | 2. srpna 2024 |
| Povinnosti pro obecné AI systémy (GPAI) | 20. července 2025 |
| Plná použitelnost nařízení pro ostatní systémy | 20. července 2026 |
Shrnutí
- Platnost v ČR: od 20. července 2024
- Zákazy některých systémů: od 2. srpna 2024
- Povinnosti pro generativní AI systémy (např. GPT-4): od července 2025
- Kompletní použitelnost celého AI Actu: od července 2026
Rozvoj umělé inteligence (AI) otevírá nové možnosti pro automatizaci, efektivitu a inovace napříč všemi odvětvími. Současně však přináší i nové výzvy v oblasti ochrany osobních údajů a základních práv jednotlivců.
Právě proto je klíčové, aby organizace věnovaly pozornost vztahu mezi AI a Obecným nařízením o ochraně osobních údajů (GDPR), které tvoří základní právní rámec pro nakládání s osobními údaji v EU.
Umělá inteligence zpracovává velké množství osobních údajů. GDPR vyžaduje, aby bylo zpracování zákonné, přiměřené a transparentní.
Firmy musí dbát na to, aby jejich AI systémy:
- zpracovávaly jen nezbytné údaje (zásada minimalizace),
- měly právní základ zpracování (např. souhlas),
- byly srozumitelně vysvětleny uživatelům,
- umožnily lidský přezkum automatizovaných rozhodnutí,
- respektovaly práva subjektů údajů.
Nedodržení GDPR může vést k porušení základních práv i k vysokým sankcím.
Nařízení Evropského parlamentu a Rady o harmonizovaných pravidlech pro umělou inteligenci (tzv. AI Act) stanovuje různé sankce v závislosti na závažnosti porušení.
Pod tímto odkazem jsou uvedeny hlavní typy porušení a odpovídající sankce.
Firmy by měly přistupovat k AI systémům zodpovědně. Při nasazování AI si musí pohlídat:
- zákonnost zpracování osobních údajů (právní základ),
- vysvětlitelnost algoritmů,
- lidský dohled nad rozhodováním,
- řízení rizik a bezpečnost dat,
- dokumentaci, DPIA a transparentní informování uživatelů.
GDPR a AI Act společně tvoří rámec pro „etickou, právně udržitelnou a důvěryhodnou“ umělou inteligenci.
EVERY REGARD s.r.o.
- více než 360 implementací GDPR od roku 2018
- více než 6 000 zaměstnanců u našich klientů
- 20 firem, u kterých vykonáváme funkci Pověřence pro ochranu osobních údajů
- naše řešení Souladu zpracování osobních údajů s GDPR prošlo bez závad auditem TISAX u našeho klienta
Proč by firmy měly řešit vztah mezi umělou inteligencí a GDPR
Umělá inteligence (AI) je dnes klíčovou technologií, která proměňuje zpracování dat, automatizaci rozhodování i samotný chod firem. Současně s jejím nástupem se však zvyšují i požadavky na ochranu osobních údajů a dodržování legislativy, zejména Obecného nařízení o ochraně osobních údajů (GDPR). Proč by tedy firmy měly tuto oblast věnovat zvláštní pozornost? A jaké kroky podnikla Evropská unie?
1. Zpracování osobních údajů a riziko porušení GDPR
AI často zpracovává velké množství dat, včetně těch, které jsou osobní nebo citlivé (např. biometrické údaje, zdravotní informace, lokalizační data). GDPR ukládá přísná pravidla pro získávání, uchovávání a zpracování takových údajů. Porušení těchto pravidel může znamenat nejen vysoké sankce, ale také ztrátu důvěry zákazníků a reputační škody.
2. Automatizované rozhodování a článek 22 GDPR
AI systémy mohou generovat rozhodnutí bez lidského zásahu, která mají právní nebo obdobně závažný dopad na jednotlivce (např. zamítnutí úvěru, výběr kandidáta). Článek 22 GDPR váže těchto situací na přísná pravidla včetně nutnosti lidského přezkoumání a informování subjektu údajů. Firmy musejí zajistit, že jejich AI systémy těmito požadavky disponují.
3. Transparentnost a vysvětlitelná AI
Jedním z klíčových principů GDPR je transparentnost. V kontextu AI to znamená, že firmy musejí umět vysvětlit, jak AI rozhoduje, jaké vstupy používá a jaké dopady má na jednotlivce. To je výzvou zejména u modelů typu „černá skříňka“, ale nedodržení těchto požadavků může znamenat porušení práv subjektů údajů.
4. DPIA jako preventivní nástroj
Posouzení vlivu na ochranu osobních údajů (DPIA) je povinné, pokud AI systém pravděpodobně představuje vysoké riziko pro práva a svobody fyzických osob. DPIA umožňuje včas odhalit slabá místa v navrženém zpracování a přijmout vhodná technická a organizační opatření.
5. AI Act a jeho provázanost s GDPR
Nařízení Evropského parlamentu a Rady (EU) 2024/1689 – známé jako AI Act – představuje první komplexní právní rámec pro umělou inteligenci na světě. Stanoví pravidla založená na posouzení rizik a zavádí čtyři úrovně rizika: nepřijatelné, vysoké, omezené a minimální. Pro vysoce rizikové systémy (např. v oblasti zdraví, HR, financí, biometrie) stanovuje přísné povinnosti včetně požadavků na transparentnost a dokumentaci, lidský dohled, bezpečnost a kvalitu dat a registraci do veřejných databází.
AI Act doplňuje GDPR – oba právní předpisy je třeba chápat v souvislosti. GDPR se zaměřuje na ochranu osobních údajů, AI Act na bezpečné a důvěryhodné používání umělé inteligence.
6. Evropský úřad pro umělou inteligenci (European AI Office)
Evropský úřad pro umělou inteligenci je specializovanou institucí zřízenou v rámci Evropské komise. Zajišťuje koordinaci jednotného uplatňování AI Actu, dohled nad modely obecného použití (GPAI), vývoj standardů, metodik a kodexů praxe, mezinárodní spolupráci a monitoring vývoje AI.
Úřad rovněž poskytuje metodickou podporu členským státům a podnikům, provádí hodnocení modelů, uděluje pokyny k implementaci a má i pravomoci sankcionovat porušení nařízení.
7. Pakt AI – dobrovolná iniciativa pro firmy
Pakt o umělé inteligenci (AI Pact) vznikl jako doplňující mechanismus ke zvyšování připravenosti organizací na nové povinnosti vyplývající z AI Act. Má dva pilíře. První z nich je komunita sdílející zkušenosti, přístupy a osvědčené postupy. Druhý pilíř představují dobrovolné závazky firem, které chtějí implementovat AI Act dříve než začne být plně účinný.
Firmy se v rámci Paktu zavazují například ke zmapování svých AI systémů, zajištění transparentnosti, etickému vývoji nebo školení zaměstnanců.
8. Hlavní momenty, na které si dát pozor při zavádění AI v praxi
Při zavádění AI systémů v praxi si firmy musí dát pozor na několik klíčových oblastí. Především musí správně určit právní základ zpracování osobních údajů. V případě vysoce rizikových systémů je třeba provést posouzení dopadu na ochranu osobních údajů (DPIA). Dále je nezbytné zajistit lidský dohled nad automatizovaným rozhodováním, být transparentní vůči subjektům údajů, vést odpovídající dokumentaci o AI systému a uchovávat záznamy o jeho fungování. V neposlední řadě je důležité zohlednit jak GDPR, tak AI Act při výběru a nasazování technologií a dodavatelů.
Shrnutí
AI přináší obrovský potenciál, ale také odpovědnost. Firmy, které chtějí AI používat v souladu se zákonem a s důvěrou uživatelů, by měly vztah AI a GDPR věnovat systematickou pozornost. Evropa prostřednictvím AI Act a dalších iniciativ definuje jasná pravidla pro bezpečné, transparentní a etické využívání AI. Ignorovat je znamená nejen právní riziko, ale i strategické selhání v digitální transformaci.
Zakázané praktiky AI v EU
Manipulace pomocí podprahových technik
Jedná se o používání takových metod, které ovlivňují rozhodování jednotlivce bez jeho vědomé kontroly. AI například může využít neuromarketingové přístupy – jako jsou neviditelné vizuální nebo zvukové podněty – k tomu, aby podvědomě ovlivnila nákupní chování nebo změnila postoj osoby vůči určitému produktu, službě nebo politickému postoji.
- Příklad: Chatbot, který vkládá do odpovědí frekvenčně vnímatelné signály, které zvyšují pocity důvěry nebo strachu, aniž by si toho uživatel byl vědom.
- Právní základ: EU AI Act čl. 5(1)(a); GDPR čl. 5
Zneužívání zranitelnosti jednotlivců
Týká se využívání AI systémů k manipulaci s chováním osob, které jsou kvůli věku, zdravotnímu stavu nebo sociální situaci méně schopné se bránit. AI by například neměla navrhovat rizikové půjčky lidem ve finanční tísni nebo nabízet zboží dětem prostřednictvím her s psychologicky navrženým tlakem.
- Příklad: Mobilní aplikace pro děti, která algoritmicky navrhuje nákup herních doplňků ve chvíli, kdy dítě ztratí hru a je emocionálně oslabené.
- Právní základ: EU AI Act čl. 5(1)(b); GDPR čl. 6 a čl. 9
Sociální skórování
Zákaz se vztahuje na vytváření systémů, které posuzují důvěryhodnost nebo chování osob a podle toho určují jejich přístup k veřejným nebo soukromým službám. Tento zákaz reaguje na praktiky podobné těm, které se objevují v Číně, kde lidé získávají či ztrácí práva podle algoritmicky vyhodnoceného ‚skóre‘.
- Příklad: Systém, který monitoruje účast občana na protestech nebo jeho aktivitu na sociálních sítích a podle toho omezuje jeho možnost cestování nebo zaměstnání.
- Právní základ: EU AI Act čl. 5(1)(c); GDPR čl. 22
Prediktivní policejní algoritmy založené na osobnosti
AI systémy nesmí předpovídat pravděpodobnost spáchání trestného činu pouze na základě chování, vzhledu nebo jiných osobnostních znaků. Takový přístup by vedl k tzv. profilování a potenciálním předsudkům, diskriminaci a neopodstatněnému sledování občanů.
- Příklad: Algoritmus, který analyzuje sociální sítě a psychologické testy ke stanovení, kdo by mohl být ‚budoucím pachatelem‘.
- Právní základ: EU AI Act čl. 5(1)(d); GDPR čl. 9 a 22
Masový sběr obličejových dat
Organizace nesmí automaticky skenovat, shromažďovat a analyzovat fotografie obličejů ze sociálních sítí, kamerových záznamů nebo jiných veřejných zdrojů za účelem vytváření databází pro rozpoznávání osob.
- Příklad: Startup, který bez svolení sbírá fotky z Instagramu a vytváří databázi pro identifikaci osob v obchodech nebo městských kamerách.
- Právní základ: EU AI Act čl. 5(1)(e); GDPR čl. 9
Rozpoznávání emocí na pracovišti a ve školách
Používání AI k analýze emocí na základě výrazu tváře, hlasu nebo gesta zaměstnanců a studentů je zakázáno, pokud se nejedná o výjimečné případy jako je ochrana zdraví nebo prevence nehod.
- Příklad: AI systém sledující kamery v učebně a označující ‚nepozornost‘ studentů podle výrazů obličeje.
- Právní základ: EU AI Act čl. 5(1)(f); GDPR čl. 6 a 9
Biometrická kategorizace podle citlivých charakteristik
AI nesmí klasifikovat lidi podle rasy, náboženství, sexuální orientace nebo politických názorů na základě biometrických údajů (např. skeny obličeje, chování).
- Příklad: Systém, který na základě vzhledu přiřazuje osoby k náboženským nebo etnickým skupinám.
- Právní základ: EU AI Act čl. 5(1)(g); GDPR čl. 9
Biometrická identifikace v reálném čase
Policie a veřejné instituce nesmí plošně sledovat veřejná prostranství pomocí AI pro rozpoznávání obličejů v reálném čase – výjimky platí pouze při velmi závažných událostech.
- Příklad: Použití AI kamer na letištích k automatickému sledování všech cestujících bez konkrétního důvodu.
- Právní základ: EU AI Act čl. 5(1)(h); GDPR čl. 6 odst. 1 písm. e), čl. 9
Shrnutí
Nařízení Evropské unie o umělé inteligenci (EU AI Act) definuje jasný rámec pro ochranu základních práv a svobod občanů v souvislosti s používáním systémů umělé inteligence. V rámci tohoto nařízení byly určeny praktiky, které jsou v EU zcela zakázané, protože představují nepřijatelné riziko pro lidskou důstojnost, soukromí a rovnost.
Tyto zákazy odrážejí snahu EU o etické, bezpečné a lidsky zaměřené používání AI, které nebude nástrojem diskriminace, manipulace nebo nelegitimního dohledu. Současně je zde silné propojení s pravidly ochrany osobních údajů podle GDPR, které nadále chrání integritu jednotlivců v digitálním prostoru.
AI & GDPR:
Souhra a praktické dopady
Zpracování osobních údajů v AI
AI systémy často pracují s osobními údaji. GDPR vyžaduje právní základ pro jejich zpracování (souhlas, smlouva, oprávněný zájem) a minimalizaci rozsahu datText 1.
Transparentnost a informovanost
Subjekty údajů musí být jasně informovány, jak jejich data AI používá, včetně možnosti lidského zásahu při automatizovaném rozhodování.
Automatizovaná rozhodnutí & lidský dohled
GDPR (čl. 22) zakazuje čistě automatizovaná rozhodnutí s právním účinkem bez lidského zásahu, pokud není výjimka.
Práva subjektů údajů
Práva na přístup, opravu, výmaz, přenositelnost a námitku musí být respektována i v AI prostředí.
Zajištění bezpečnosti a odpovědnosti
Povinnost implementovat technická a organizační opatření, záznamy o zpracování, privacy by design a by default.
Bez souladu s GDPR může umělá inteligence ohrozit soukromí a základní svobody, což podkopává její společenskou přijatelnost a právní udržitelnost.
EVERY REGARD s.r.o.
Zámostní 1155/27, Ostrava - Slezská Ostrava, PSČ 710 00
IČO: 05460034
Datová schránka: 8624hkb
Telefon: +420 607 888 494
Asistentka: gdpr@everyregard.one
Kontakty.
Jednatel: ing. Lubomír Urbánek
služební email: lubomir.urbanek@everyregard.one
Hlavní GDPR konzultant: Miroslav Kalinský
služební email: kalinsky@everyregard.one
webové stránky: https://www.everyregard.one