GDPR & AI — Zrozumienie ochrony danych
AI przetwarza ogromne ilości danych — często dotyczących osób, które o tym nie wiedzą. GDPR daje ci jako osobie, której dane dotyczą, prawa. Jako operator masz obowiązki. Znajomość obu jest podstawowym warunkiem odpowiedzialnego wykorzystania AI.
Rozumiesz 6 zasad GDPR, znasz swoje prawa jako osoby, której dane dotyczą, i wiesz, jakie obowiązki w zakresie ochrony danych powstają przy zastosowaniu AI.
GDPR i AI — podstawy
~15 MinDSGVO i AI — podstawy
Co jest danymi osobowymi?
Dane osobowe = wszelkie informacje dotyczące możliwej do zidentyfikowania osoby.
Nie tylko imię i e-mail. Również: adres IP, dane lokalizacyjne, zachowania zakupowe, wzorce klikania, identyfikatory urządzeń — i wszelkie kombinacje, które mogą prowadzić do identyfikacji.
Systemy AI prawie zawsze przetwarzają dane osobowe. DSGVO ma zastosowanie.
6 zasad — w skrócie
| Zasada | Wymagania | Znaczenie dla AI |
|---|---|---|
| Zgodność z prawem | Podstawa prawna dla każdego przetwarzania | Wyraźne określenie zgody, umowy lub uzasadnionego interesu |
| Celowość | Tylko dla określonego celu | Szkolenie AI ≠ prawo do użycia w innych celach |
| Minimalizacja danych | Minimum danych | Feature-Engineering: tylko istotne zmienne |
| Dokładność | Aktualność danych | Przestarzałe dane szkoleniowe → przestarzała dyskryminacja |
| Ograniczenie przechowywania | Nie dłużej niż to konieczne | Polityka retencji dla danych szkoleniowych |
| Integralność i poufność | Ochrona przed nadużyciem | Kontrole dostępu, szyfrowanie |
Twoje prawa jako osoby, której dane dotyczą
| Prawo | Art. | Czego możesz żądać |
|---|---|---|
| Dostęp | 15 | Jakie dane? W jakim celu? Jak długo? |
| Sprostowanie | 16 | Korekta błędnych danych |
| Usunięcie | 17 | „Prawo do bycia zapomnianym" |
| Ograniczenie | 18 | Tymczasowe wstrzymanie przetwarzania |
| Sprzeciw | 21 | Sprzeciw wobec przetwarzania |
| Brak pełnej automatyzacji | 22 | Ludzka weryfikacja przy istotnych decyzjach |
Art. 22 jest szczególnie istotny dla AI: Zautomatyzowane decyzje o istotnym wpływie na osoby (odmowa kredytu, odmowa pracy, cena ubezpieczenia) muszą być możliwe do zakwestionowania.
Szczególne kategorie danych — zwiększona ochrona
Te dane zasadniczo nie mogą być przetwarzane — chyba że za wyraźną zgodą:
- Dane zdrowotne
- Pochodzenie etniczne
- Poglądy polityczne
- Przekonania religijne
- Przynależność do związków zawodowych
- Dane biometryczne
- Orientacja seksualna
Dla deweloperów AI: Jeśli dane szkoleniowe nawet pośrednio umożliwiają wnioskowanie o tych kategoriach — zwiększone ryzyko.
Dalej: Obowiązki dla operatorów →
Krótka kontrola
1. Która zasada GDPR wymaga, aby zbierane były tylko niezbędne dane?
2. Co oznacza GDPR Art. 22?
GDPR w skrócie
- 6 Grundsätze: Rechtmäßigkeit, Zweckbindung, Sparsamkeit, Richtigkeit, Begrenzung, Sicherheit
- Art. 15: Du kannst fragen welche Daten gespeichert sind
- Art. 16: Du kannst falsche Daten korrigieren lassen
- Art. 17: Du kannst Löschung beantragen
- Art. 22: Automatische Entscheidungen können angefochten werden
GDPR w zastosowaniach AI — Obowiązki dla operatorów
~15 MinObowiązki wynikające z DSGVO przy zastosowaniu AI
Przed rozpoczęciem: Trzy obowiązki
1. Ustalenie podstawy prawnej
Brak przetwarzania danych bez podstawy. Najważniejsze dla AI:
| Podstawa | Kiedy odpowiednia | Ostrożność |
|---|---|---|
| Zgoda (Art. 6 ust. 1 a) | Wyraźnie dobrowolna, specyficzna | Musi być możliwa do wycofania w każdej chwili |
| Umowa (Art. 6 ust. 1 b) | AI potrzebna do wykonania umowy | Tylko gdy naprawdę konieczne |
| Uzasadniony interes (Art. 6 ust. 1 f) | Wewnętrzna optymalizacja | Dokumentowanie wyważenia interesów |
Uwaga: „Chcemy poprawić AI" to nie jest automatycznie uzasadniony interes. Wymaga to udokumentowanego wyważenia interesów.
2. Sprawdzenie DPIA — kiedy jest obowiązkowa?
Ocena skutków dla ochrony danych (DPIA) jest obowiązkowa zgodnie z Art. 35 DSGVO w przypadku:
- Systematycznego profilowania osób
- Przetwarzania szczególnych kategorii danych (→ Moduł 1)
- Zautomatyzowanych decyzji o znaczącym wpływie
- Monitorowania pracowników wspieranego przez AI
Jak obszerna? DPIA dokumentuje: Co jest przetwarzane? Dlaczego? Jakie ryzyka powstają? Jakie środki ochrony są stosowane?
3. Informowanie osób, których dane dotyczą
Przed przetwarzaniem osoby, których dane dotyczą, muszą wiedzieć:
- Kto przetwarza dane (nazwa, kontakt)
- Dlaczego (cel i podstawa prawna)
- Jak długo
- Komu są przekazywane
- Czy mają miejsce zautomatyzowane decyzje (Art. 13 ust. 2 f)
W trakcie działania: Dwa krytyczne obowiązki
Zgłaszanie naruszeń danych (Art. 33)
W przypadku utraty danych, kradzieży lub nieuprawnionego dostępu:
- 72 godziny na zgłoszenie do organu nadzorczego ds. ochrony danych
- W przypadku wysokiego ryzyka dla osób, których dane dotyczą: również bezpośrednie poinformowanie tych osób (Art. 34)
Brak wyjątku dla systemów AI. Wycieki danych z systemu AI wywołują te same obowiązki.
Przestrzeganie polityk retencji
Dane treningowe AI podlegają tym samym obowiązkom usuwania jak wszystkie inne dane osobowe. „Potrzebujemy danych do ponownego treningu" nie jest nieograniczonym powodem przechowywania.
Przypadek praktyczny: Uczący się chatbot
Chatbot obsługi klienta rejestruje wszystkie rozmowy „aby się poprawić". W rozmowach czasami wspominane są dane zdrowotne.
Naruszenia DSGVO:
- Brak zgody na dane zdrowotne (Art. 9 — szczególna kategoria)
- Naruszenie celowości: rozmowa w celu obsługi klienta ≠ zgoda na trening AI
- Osoby, których dane dotyczą, nie zostały poinformowane o wykorzystaniu AI
Co należy zrobić:
- Natychmiast usunąć dane zdrowotne z danych treningowych
- Poinformować organ ds. ochrony danych (w przypadku znaczącego ryzyka)
- Dostosować proces: uzyskać zgodę przed wykorzystaniem do treningu
Podsumowanie: Lista kontrolna DSGVO dla AI
Przed zastosowaniem:
☐ Podstawa prawna udokumentowana
☐ DPIA sprawdzona (i ewentualnie przeprowadzona)
☐ Osoby, których dane dotyczą, poinformowane
☐ Kategorie danych sprawdzone (szczególne kategorie?)
W trakcie działania:
☐ Polityka retencji zdefiniowana i wdrożona
☐ Kontrole dostępu aktywne
☐ Proces na wypadek naruszeń danych istnieje (termin 72h!)
☐ Proces praw osób, których dane dotyczą, zdefiniowany
Powrót: Podstawy DSGVO | Rozpocznij ocenę →
Przypadek praktyczny: Chatbot i dane wrażliwe
Chatbot obsługi klienta zbiera przebiegi rozmów, aby "stać się lepszym". Użytkownik skarży się, że chatbot zna jego dane zdrowotne z wcześniejszej rozmowy — mimo że nigdy nie wyraził wyraźnej zgody na ich przechowywanie.
Lösung anzeigen
Co najmniej dwa naruszenia GDPR:
- Brak podstawy prawnej (Art. 6): Dla danych zdrowotnych (Art. 9 — szczególna kategoria) wymagana jest wyraźna zgoda. "Zbieranie danych treningowych" nie jest wystarczającą podstawą.
- Naruszenie zasady ograniczenia celu (Art. 5): Dane z rozmowy nie mogą być bezpośrednio wykorzystywane do treningu.
Co firma musi zrobić:
- Natychmiast: Usunąć dane zdrowotne z danych treningowych
- Poinformować osoby, których dane dotyczą (Art. 34, jeśli wysokie ryzyko)
- Zgłosić naruszenie do organu ochrony danych, jeśli jest znaczące (Art. 33, termin 72h)
- Dostosować proces: Uzyskać zgodę przed wykorzystaniem do treningu
Twoje dane
Przy których usługach cyfrowych masz wrażenie, że wiedzą o tobie więcej, niż powinny?
- Werbung die zu gut zu meinen Gesprächen passt
- Empfehlungen die zeigen dass mein Verhalten beobachtet wird
- Systeme die mich 'kennen' ohne dass ich mich erinnere Daten gegeben zu haben
To zabierasz ze sobą
- Als Betreiber: Rechtsgrundlage vor Datenverarbeitung klären
- Zweckbindung: Daten nur für den angegebenen Zweck nutzen
- DPIA: Bei Hochrisiko-Verarbeitung Datenschutz-Folgenabschätzung Pflicht
- ⏰ Panne: 72 Stunden Zeit um Datenschutzbehörde zu informieren