Ochrana osobných údajov sa stala každodennou súčasťou korporátneho života. Napriek tomu, že ochrana osobných údajov je v spoločnostiach zavedená a stala sa štandardom, ide o proces, ktorý sa neustále vyvíja. Jednou z najnovších výziev je zabezpečenie osobných údajov v súvislosti s používaním umelej inteligencie. Je to samozrejmý vývoj, pretože AI šetrí čas a zvyšuje efektivitu. Napríklad môže automatizovať náborové procesy alebo analyzovať výkonnosť zamestnancov. Ako každý iný nástroj, aj umelá inteligencia prináša popri pozitívach aj svoje riziká. Z hľadiska právnej úpravy, GDPR platí ako pri automatizovaných procesoch, tak aj pri manuálnych. Základnými zásadami ostávajú zákonnosť, transparentnosť, obmedzenie poskytnutých údajov čo do účelu spracovania, minimalizácia a zabezpečenie primeranej úrovne ochrany údajov.
Jedným z najčastejšie používaných a podporovaných AI nástrojov v korporátnom prostredí je Copilot, ktorý je súčasťou balíka Microsoft 365. Ak spoločnosti potrebujú pri práci spracúvať do AI osobné údaje, mali by používať príslušnú korporátnu verziu licencie Copilot alebo iného AI modelu (ChatGPT, Gemini a pod.), aby bola zabezpečená dostatočná úroveň ochrany osobných údajov. Pri používaní súkromných verzií, vzniká riziko sprístupnenia údajom tretím stranám ako aj trénovanie AI modelov.
Ak zamestnávateľ umožní svojim zamestnancom prístup k Microsoft 365 Copilot, zostáva zamestnávateľ prevádzkovateľom osobných údajov, zatiaľ čo spoločnosť Microsoft vystupuje v pozícii spracovateľa. Tento vzťah je založený v zmluvnom rámci Microsoft Data Protection Addendum, ktorý spĺňa požiadavky článku 28 GDPR. V praxi to znamená, že zamestnávateľ zodpovedá za konfiguráciu nástroja, nastavenie interných kontrol a za to, že Copilot spracúva len také údaje, ktoré možno oprávnene spracúvať v súlade s GDPR.
Z pohľadu ochrany údajov je dôležité tiež nastaviť efektívne technické a organizačné opatrenia. V prostredí, kde sa spracúvajú osobné a citlivé údaje, by mali spoločnosti aktívne využívať mechanizmy ochrany pred stratou dát (DLP - Data Loss Prevention), ktoré dokážu rozpoznať a zablokovať spracúvanie informácií, ktoré sú obzvlášť citlivé. Môže ísť napríklad údaje o zdraví, členstve v odboroch, politických názoroch alebo náboženskej viere. Užitočným nástrojom sú aj tzv. označenia citlivosti (Sensitivity Labels), ktoré umožňujú klasifikovať dokumenty podľa úrovne dôvernosti a umožňujú obmedziť prístup len oprávneným osobám. Úroveň preventívnych opatrení závisí od typu licencie, pričom platí, že do bežnej užívateľskej verzie Copilot, ChatGPT a podobných voľne dostupných verzií (free version) sa neodporúča zadávať žiadne osobné údaje z dôvodu ich slabej ochrany.
Jednou z najčastejších otázok, ktoré by sme si mali položiť je, kam sa dáta z Copilota dostávajú a kto ich vidí. Pri správnom nastavení sa prompty, odpovede a kontext z prostredia Microsoft 365 spracúvajú výlučne v rámci vybranej cloudovej infraštruktúry Microsoft. Copilot ako taký nevytvára trvalé kópie dokumentov ani e-mailov mimo prostredia organizácie. Údaje o interakciách, teda pokyny a odpovede, sa aktuálne uchovávajú po dobu 30 dní, na účely zabezpečenia kvality a diagnostiky a následne sa automaticky vymazávajú.
Použité dáta sa nepoužívajú na tréning veľkých jazykových modelov LLM (Large Language Models). Ak sa používa správne licencia, Copilot má prístup k tomu, k čomu má prístup ten, kto s ním pracuje. Pre zamestnávateľa je z tohto hľadiska dôležité, aby mal správne nastavené prístupové práva a pravidelne ich kontroloval. V Európskej únii je možné aktivovať režim Advanced Data Residency, v ktorom sa dáta spracúvajú a ukladajú v rámci Európskej únie. Tieto záruky vyplývajú z dokumentov Microsoft Product Terms a Data Protection Addendum, ktoré upravujú aj špecifické požiadavky podľa GDPR.
Aj napriek týmto mechanizmom však zostáva zodpovednosť za správne používanie na strane zamestnávateľa. Jeho úlohou je nastaviť technické opatrenia, zabezpečiť priebežné školenie zamestnancov, ktorí s nástrojom pracujú. Táto povinnosť vyplýva ako najmä GDPR a dopĺňa ju aj regulácia podľa AI Act, prípadne zákon o kybernetickej bezpečnosti alebo nariadenie DORA pre finančné inštitúcie. Prehľad o ochrane zadávaných údajov a o ich spracúvaní poskytovateľom AI nástroja ako ChatGPT, Gemini a pod je potrebné nastaviť tak, aby zabezpečovali ochranu údajov. Dôležité je uvedomiť si, že ide o nástroje, ktoré sú priebežne aktualizované a AI spoločnosti neustále upravujú podmienky používania AI nástroja. To znamená, že nestačí iba nastaviť spôsob používania AI nástroja, ale je potrebné neustále sledovať úroveň ochrany údajov podľa zakúpenej licencie, aby z dôvodu aktualizácie obchodných podmienok sa spoločnosť nedostala do situácie, že údaje zadávané do AI nástroja sa budú používať napríklad na tréning LLM. Pre zodpovedné spracúvanie osobných údajov je teda potrebné dôsledne nastavenie interných procesov, technických opatrení a priebežný dohľad nad používaním AI nástrojov.
Kinstellar je popredná európska advokátska kancelária s viac ako 480 odborníkmi v Nemecku, Európe a USA. Našou hlavnou činnosťou je poskytovanie vynikajúceho, integrovaného právneho a daňového poradenstva, ktoré je odborne podložené, inovatívne a orientované na výsledok. Spolu so spoločnosťami v skupine Kinstellar vyvíjame taktiež udržateľné riešenia pre financovanie a management. Nami poskytované poradenstvo využívajú skupiny a stredné podniky, ako aj finančné inštitúcie a investori.
V dialógu s našimi mandantmi nachádzame odpovede na všetky právne aspekty ekonomického života. Náš odborný profil tak zahŕňa právo obchodných spoločností vrátane fúzii a akvizícií, súťažné, kartelové ako aj bankové právo vrátane práva kapitálového trhu a podnikového financovania. Špecializujeme sa na právo duševného vlastníctva, právo informačných technológii a telekomunikácií, právne otázky spojené s distribúciou tovaru, právne vzťahy k nehnuteľnostiam, pracovné právo, konkurzné právo, právo životného prostredia. Klientov zastupujeme pred riadnymi aj rozhodcovskými súdmi. Okrem toho ponúkame rozsiahle poradenstvo pri štruktúrovaní a financovaní investičných zámerov.
