Ključni izazov digitalnog doba: Kako istodobno zaštititi privatnost građana i potaknuti razvoj inovacija
Smanjenje obveza nadzora može dovesti do slabije zaštite građana i nereguliranih UI sustava
Europska unija nalazi se pred jednim od ključnih izazova digitalnog doba – kako istodobno zaštititi privatnost građana i potaknuti razvoj inovacija, uključujući primjenu umjetne inteligencije. Nedavne promjene u zakonodavstvu i presude Suda EU-a pokazuju da definicija osobnih podataka postaje preciznija, jer se pseudonimizirani podaci više ne smatraju osobnim za svakog primatelja, nego samo ako primatelj može razumno identificirati pojedinca.
To znači da podaci koji su anonimizirani nisu automatski podložni svim pravilima zaštite privatnosti, što olakšava njihovu uporabu u inovacijama i istraživanju. Istovremeno, Europska komisija predlaže izmjene kroz Digitalni omnibus i dopune GDPR-a kako bi pravila bila jednostavnija za tvrtke, osobito za startupove i male i srednje poduzetnike. Cilj je smanjiti administrativni teret i omogućiti im konkurenciju s globalnim igračima, ali bez kompromitiranja osnovnih prava građana.
Narušena prava
Digitalni omnibus, službeno Direktiva (EU) 2019/2161, dio je inicijative New Deal for Consumers. On modernizira pravila zaštite potrošača u digitalnom svijetu, uvodeći jasne standarde za obradu podataka i zaštitu osjetljivih informacija. Dio paketa uključuje i izmjene Akta o umjetnoj inteligenciji, koje bi trebale olakšati registraciju visokorizičnih UI sustava i odgoditi primjenu određenih zahtjeva. Međutim, kritičari upozoravaju da pojednostavljenje procedura i smanjenje obveza nadzora može dovesti do slabije zaštite građana i pojave nereguliranih UI sustava. Zbog toga novi zakonodavni okvir istovremeno predstavlja priliku i rizik - on može ubrzati digitalne inovacije i smanjiti pravnu nesigurnost, ali zahtijeva pažljivo balansiranje kako bi se osigurala privatnost i temeljna prava građana.
Prema GDPR-u, osobni podaci su sve informacije koje se odnose na prepoznatljivu osobu, čak i ako identifikacija zahtijeva razumna sredstva. Digitalni omnibus predlaže dopunu: ako treća osoba ne može praktično identificirati osobu, ti podaci za nju ne bi bili osobni. Profesorica s Pravnog fakulteta u Rijeci, Ivana Kunda, upozorava da bi takva promjena mogla značajno smanjiti kontrolu ispitanika nad vlastitim podacima.
- Primjerice, oglašivač bi mogao koristiti pseudonimizirane podatke o rutama i obrascima kretanja iz aplikacija za trčanje za analitiku ili ciljano oglašavanje, kombinirajući ih s demografskim ili vremenskim podacima, bez mogućnosti identificiranja pojedinca - navela je Kunda.
Posebno kritizira predloženi izuzetak za incidentalnu obradu osjetljivih podataka u umjetnoj inteligenciji.
- Ako se izuzetak primijeni široko, zabranjena obrada osjetljivih podataka mogla bi postati uobičajena praksa. Riječ je o najintimnijim sferama ljudskog života, koje GDPR štiti člankom 9. o osjetljivim podacima, a široka primjena izuzetka ozbiljno narušava prava ispitanika.
Elastičan koncept
Odvjetnik Stefan Martinić, član Nadzornog odbora CroAI-ja, Hrvatske udruge za umjetnu inteligenciju, ističe da bi uvođenje jasnijih presumpcija legitimnog interesa, unaprijed definirane situacije u kojima se obrada podataka smatra zakonitom uz primjenu zaštitnih mjera, moglo istovremeno ojačati pravnu sigurnost i konkurentnost europske tehnološke industrije.
- Iako GDPR formalno dopušta oslanjanje na legitimni interes, u praksi je taj koncept previše “elastičan” i ovisi o tumačenju regulatora ili sudova, što povećava pravnu nesigurnost i troškove usklađivanja. Presumpcije bi posebno koristile sektorima gdje je obrada podataka nužna za funkcioniranje digitalnih usluga, poput cybersecurity aktivnosti, detekcije incidenata, vođenja logova te sprječavanja prijevara i zlouporaba, ključnih područja za fintech, e-commerce i SaaS industriju - pojasnio je Martinić.
Posebno je važno, dodao je, uvođenje presumpcije legitimnog interesa za obrade usmjerene na poboljšanje funkcionalnosti i performansi UI sustava, uključujući testiranje, evaluaciju modela i otkrivanje grešaka, uz jasna pravila poput minimalnog korištenja podataka, pseudonimizacije i ograničenog razdoblja zadržavanja. Trenutno se takve aktivnosti često nalaze u pravnoj “sivoj zoni”, što europske tvrtke primorava na konzervativniji pristup u odnosu na globalne konkurente.
Martinić je naglasio da bi presumpcija legitimnog interesa olakšala i legitimne aktivnosti poput analize korištenja proizvoda, poboljšanja korisničkog iskustva i vođenja evidencija radi regulatorne usklađenosti, uključujući zahtjeve UI Acta. Time bi se, naveo je, očuvao visok standard zaštite podataka prema GDPR-u, uz smanjenje pravne neizvjesnosti i administrativnog opterećenja za europske inovacijske tvrtke.
- Prijedlog iznimke za incidentalnu i rezidualnu obradu posebnih kategorija podataka u razvoju UI sustava je pragmatično rješenje tehničkih izazova, osobito kod velikih jezičnih modela koji uče iz otvorenih izvora, gdje se osjetljivi podaci pojavljuju uzgredno. Takva iznimka mora biti strogo ograničena na slučajeve slučajne pojave podataka, dok je namjerno prikupljanje osjetljivih kategorija neprihvatljivo - naglasio je Martinić.
Digitalni omnibus predložen je kao uredba EU-a koja mijenja postojeće definicije i predviđa ovlast Komisiji za donošenje provedbenih akata. Komisija bi utvrdila načine i kriterije za procjenu hoće li podaci dobiveni pseudonimizacijom i dalje biti osobni za određene subjekte, postavljajući metode za procjenu rizika od reidentifikacije i mjere za njegovo smanjenje. Takve smjernice imale bi praktičnu vrijednost za one koji obrađuju pseudonimizirane podatke, pružajući zaštitu u slučaju nadzora ili pravnog spora.
Smanjenje birokracije
- Omnibus može pojačati sigurnost ako kriteriji primjene budu precizni, praktični i dosljedno primijenjeni u cijeloj EU. Poduzetnici bi tada točno znali koje tehnike primijeniti kako bi podaci prestali biti osobni i time izbjegli obveze GDPR-a. Slabom provedbom može doći do normativne fragmentacije, koju ublažavaju mehanizmi poput Europskog odbora za zaštitu podataka i Suda EU-a - istaknula je Kunda.
Kako bi se smanjenje prava ostvarilo diskretno, Komisija ne mijenja izravno GDPR, već predlaže uredbu koja posredno prilagođava pravila za potrebe podatkovne industrije i AI-a. Kunda ističe da EU time nastoji potaknuti inovacije i konkurentnost, ali riskira da prava građana budu umanjena bez jasne kontrole nad informacijama.
- Digitalnim omnibusom žele se uspostaviti novi odnosi snaga između suprotstavljenih interesa. Kao i brojni drugi, i ovaj propis Europske unije reflektira postglobalne i ubrzano dehumanizirane društvene promjene, koje zazivaju preraspodjelu dobara, a time i prava i obveza - upozorila je pravnica.
Pojam “nerazmjeran napor” u kontekstu umjetne inteligencije treba jasno definirati kroz tehničke kriterije i praktične smjernice, smatra Martinić, a EDPB bi trebao pružiti konkretne primjere i pragove, te kompenzacijske mjere poput izlaznih filtera, smanjenja memoriranja osjetljivih podataka, red teaming testiranja i dokumentiranja utjecaja na temeljna prava, s posebnom pažnjom na ranjive skupine.
Opseg administrativnog tereta prema GDPR-u ovisi o tome obrađuje li sustav osobne podatke, dodao je Martinić.
- Digitalni omnibus pokušava smanjiti birokraciju i potaknuti inovacije, ali pravna nesigurnost ostaje problem zbog različitih tumačenja među državama članicama. Pseudonimizacija omogućuje razvoj i testiranje UI sustava uz smanjen rizik za privatnost, no tehnički nije isto što i anonimnost – rizik reidentifikacije ostaje. Jasni standardi, pragovi rizika, enkripcija i stroga kontrola pristupa mogu povećati pravnu sigurnost. U visokorizičnim područjima, zdravstvu, obrazovanju, kreditiranju i javnoj sigurnosti prava građana moraju imati prioritet, dok kod niskorizičnih primjena pretjerana administracija guši inovacije i konkurentnost - zaključio je.
