Dirbtinio intelekto integravimas versle: BDAR reikalavimai poveikio vertinimui

Dirbtinis intelektas
Duomenų apsauga
Dirbtinis intelektas (DI) tampa esmine šiuolaikinio verslo sudedamąja dalimi, leidžiančia įmonėms užduotis atlikti efektyviau, geriau analizuoti duomenis ir tobulinti klientų patirtį. Visgi įgyvendinant šiuos pažangius įrankius, būtina atkreipti dėmesį į jų poveikį asmens duomenų saugumui. Pagal Bendrojo duomenų apsaugos reglamento (BDAR) 35 straipsnį, kai gali kilti didelis pavojus fizinių asmenų teisėms bei laisvėms, įmonės privalo atlikti poveikio duomenų apsaugai vertinimą (PDAV).
1. Įvertinkite, ar jūsų įmonei yra privaloma atlikti PDAV

Vadovaudamosi BDAR nuostatomis, priežiūros institucijos sudaro duomenų tvarkymo operacijų sąrašus:

  • operacijos, kurioms taikomas reikalavimas atlikti PDAV (angl. Blacklists), ir

  • operacijos, kurios dėl mažos rizikos PDAV nereikalauja (angl. Whitelists).

Lietuvoje pagal Valstybinės duomenų apsaugos inspekcijos patvirtintą sąrašą, reikalavimas atlikti PDAV yra taikomas, pavyzdžiui, šiais atvejais:

  • asmens duomenų tvarkymas naudojant naujas technologijas arba egzistuojančias technologijas panaudojant nauju būdu,

  • asmens vaizdo ir (ar) garso duomenų tvarkymas darbo vietoje ir duomenų valdytojo patalpose ar teritorijose, kuriose dirba jo darbuotojai, asmens duomenų, susijusių su darbuotojų, komunikacijos, elgesio, vietos ar judėjimo stebėsena, tvarkymas.

Taigi, įmonėms, ketinančioms įdiegti ar naudoti DI sistemas, kaip asmeninio asistento (angl. Co-pilot) programą, darbuotojų stebėsenos sistemas, taip pat asmens vaizdo, balso duomenų tvarkymo DI įrankius, yra būtina apsvarstyti, ar joms yra privaloma atlikti PDAV.

2. Atlikite PDAV

PDAV yra skirtas nustatyti, kokios rizikos kyla tvarkant asmens duomenis ir kaip šias rizikas valdyti. Vertinimo procesas apima rizikos identifikavimą, analizę ir priemonių, kuriomis galima šias rizikas suvaldyti, išskyrimą. Atliekant DI įrankių poveikio vertinimą, yra svarbu atsižvelgti į specifines DI būdingas rizikas, įskaitant:

  • Neteisėto duomenų gavimo rizika, pavyzdžiui, kai naudojami iš interneto surinkti viešai prieinami asmens duomenys.

  • Rizika netinkamai panaudoti DI sistemos apmokymo duomenis, duomenų saugumo pažeidimo rizika.

  • Diskriminacijos rizika, kai DI sistemos algoritmai priima šališkus sprendimus tam tikrų žmonių grupių atžvilgiu.

  • DI sistemos „haliucinavimo“, tikrovės neatitinkančio turinio apie asmenis sukūrimo rizika.

  • Jautrumas specializuotoms DI sistemų atakoms, pavyzdžiui, klaidinančių ar žalingų duomenų teikimui.

  • Pavojus duomenų konfidencialumui, kad jautri informacija gali būti išgaunama iš DI sistemos dėl pačios sistemos pažeidžiamumo arba naudojant sudėtingus analizės metodus.

Identifikavus rizikas, susijusias su asmens duomenų tvarkymu, ir jų intensyvumą, PDAV turėtų būti sukurtas priemonių rinkinys, kurio tikslas – sumažinti rizikos lygius iki priimtinų ribų ir užtikrinti, kad jos išliktų kontroliuojamos.

BDAR atitikčiai užtikrinti, svarbu poveikio vertinimą atlikti pačioje pradinėje stadijoje, prieš pradedant duomenų tvarkymą. Tačiau taip pat svarbu suprasti, kad poveikio vertinimas nėra vienkartinė procedūra. Jis turėtų būti atliekamas reguliariai, ypač atsižvelgiant į technologijų pokyčius ir naujus duomenų tvarkymo būdus. Tai leidžia įmonėms ne tik atitikti teisinius reikalavimus, bet ir užtikrinti aukštą duomenų apsaugos lygį, taip pat įgyvendinti pritaikytosios duomenų apsaugos principą (angl. data protection by design).

3. Imkitės susijusių teisinę atitiktį užtikrinančių veiksmų

Be PDAV, įmonėms, tvarkančioms asmens duomenis DI technologijų pagalba, gali prireikti atnaujinti privatumo pranešimus ir klientų sutartis, taip pat užtikrinti, kad įmonės personalo valdymas atitiktų nustatytus reikalavimus. Tai apima būtinybę konsultuotis su darbuotojais ir jų atstovais dėl privatumo klausimų, tinkamai juos informuoti apie technologinius pokyčius.

Norint, kad DI įrankių naudojimas būtų sėkmingas ir atitiktų BDAR reikalavimus, būtina nuolat sekti teisines ir technologijų naujienas, suprasti jų poveikį jūsų verslui. Kviečiame pasinaudoti nemokamos pirminės konsultacijos galimybe ir pasikalbėti šia tema su Fondia teisininku. Pokalbį galite paskirti Jums patogiu laiku paspaudę Calendly nuorodą. Savo klausimą taip pat galite pateikti tiesiogiai el. paštu lithuania@fondia.com.

Jei norite daugiau sužinoti apie teisės aktų naujoves bei gauti praktinius teisininkų patarimus, kviečiame prenumeruoti mūsų naujienlaiškį!

Susiję straipsniai