Vaata kõiki
Uudised
Eesti
Blogi
Tehisintellekti määrus ja andmekaitse: kaks regulatsiooni, üks riskimaastik
Otsige advokaati

Tehisintellekti määrus ja andmekaitse: kaks regulatsiooni, üks riskimaastik

Tehisintellekti määrust vaadatakse sageli eraldi – justkui uus kiht regulatsiooni, mis asetseb IKÜM-i kõrval. Praktikas see nii ei ole. Tehisintellekti määrus ja andmekaitse ei toimi paralleelselt. Need toimivad koos – ja sageli samal ajal sama tegevuse suhtes.

Miks tehisintellekti õigus ja andmekaitse on lahutamatud? 
Enamik tehisintellekti süsteeme ei eksisteeri “andmeteta”.
Kui organisatsioon:

  • kasutab chatboti,
  • töötleb e-kirju või kliendiinfot,
  • teeb otsuseid inimeste kohta,
  • arendab AI-d pärisandmetel,

siis on väga tõenäoline, et mängu tuleb isikuandmete töötlemine. Ja sealt edasi – IKÜM. See tähendab, et AI projekt ei ole kunagi ainult tehnoloogiline või ainult tehisintellekti määruse küsimus. See on alati ka andmekaitse küsimus.

Esimene kontrollküsimus: kas AI kasutab isikuandmeid?
See tundub triviaalne, aga praktikas alahinnatakse seda süsteemselt.

  • Kas sisestate andmeid AI tööriista?
  • Kas AI töötleb kliendi või töötaja infot?
  • Kas andmeid kasutatakse mudeli treenimiseks?

Kui vastus on “jah” vähemalt ühele, siis IKÜM kohaldub paralleelselt Tehisintellekti määrusega.

Teine kontrollküsimus – kas tegevusele on õiguslik alus
AI projektide puhul on praktikas samad raskuspunktid, mis olid andmekaitsega seotud projektidel 2018. aastal: alustatakse tehnoloogiast, mitte õiguslikust alusest.

Tegelikkuses aga igal etapil peab olema selge õiguslik alus ka andmete töötlemiseks:

  • arendamine
  • treenimine
  • testimine
  • kasutamine
  • tulemuste kasutamine

See võib olla leping, nõusolek või õigustatud huvi – aga see peab olemas olema. Ja mitte ainult olemas, vaid ka dokumenteeritud.

Kolmas kontrollküsimus: kas inimene on protsessis sees?
Tehisintellekti määrust ja IKÜM kohtuvad väga selgelt ühes punktis: inim-järelevalve.

IKÜM seab eraldi nõuded automaatsete  otsuste osas, kus siis teatud riski taseme juures peab olema tagatud inimese osalemine otsustusprotsessis. Tehisintellekti määrus nõuab samuti inimese järelevalvet. See tähendab, et:

  • inimene peab mõistma süsteemi toimimist;
  • ta peab suutma tulemusi hinnata;
  • ja vajadusel sekkuda või otsust muuta.

Praktikas ei piisa “inimene on kuskil protsessis”. Nõudeks on päris ja tõhus kontroll.
Neljas kontrollküsimus: kas mõjuhinnang on vajalik ja tehtud?
Andmekaitses on ettevõtetele juba juba tuttav DPIA (andmekaitse mõjuhinnang). AI maailmas ei ole see piisav.

AI puhul tuleb hinnata laiemat pilti:

  • andmete kvaliteeti ja eelarvamuslikkust;
  • mudeli läbipaistmatust;
  • otsuste õiglust;
  • potentsiaalset kahju.

Seetõttu räägitakse üha enam AI-spetsiifilistest mõjuhinnangust ehk FRIA-st (põhiõiguste mõjuhinnang). See on ka mõistetav, sest AI riskid ei ole pelgalt privaatsusriskideks – need on eetilised ja mõju riskid.

Viies kontrollküsimus: lepingud ja tarnijad
Kui kasutatakse kolmanda osapoole AI-d, ei kao vastutus ära. Sarnaselt isikuandmete kaitsega.

Tüüpilised probleemkohad:

  • Kas tarnija kasutab andmeid oma mudeli treenimiseks?
  • Kus andmeid hoitakse (EL vs kolmas riik)?
  • Kas olemas on vastavus (nt kõrge riski dokumentatsioon)?
  • Kes vastutab intsidendi korral?

Seetõttu ei piisa tavalisest andmetöötluslepingust.

AI puhul peab leping katma:

  • andmete kasutuse
  • intellektuaalomandi
  • inimese järelevalve
  • vastutuse ja riskide jaotuse

Praktiline järeldus: üks compliance, mitte kaks
Suurim strateegiline viga on käsitleda tehisintellekti määrust ja andmekaitset eraldi projektidena. See tekitab dubleerimist, kulu, vastuolusid ka ja lõpuks valesid järeldusi.
Õige lähenemine on ühine raamistik:

  • kaardistus (AI + andmed)
  • riskihinnang (AI + põhiõigused + privaatsus)
  • poliitikad ja juhtimine
  • tehnilised ja organisatsioonilised meetmed
Meie meeskond

Karmen Turk

Partner
Vandeadvokaat
Eesti
Lisateavet