Jak vytrénovat umělou inteligenci na veřejně dostupných datech? 3. díl: Společní správci osobních údajů a sociální sítě
V předchozích dílech* našeho seriálu o trénování AI na veřejně dostupných datech jsme se věnovali problematice zpracování osobních údajů a institutu oprávněného zájmu. Nyní nastal čas zaměřit se na aplikaci těchto pravidel v praxi. Řada firem a organizací má již v dnešní době vlastní profily na sociálních sítích, jako je Facebook či Instagram. Aktuální praxe společnosti Meta, která k tréninku svého AI využívá data vložená jednotlivými uživateli, nicméně vyvolává debatu o spoluodpovědnosti provozovatelů těchto profilů. Kdo vůbec je tzv. „společný správce“? Jaké povinnosti a rizika z tohoto postavení vyplývají? A jak se vyhnout situaci, kdy běžná marketingová přítomnost na sociálních sítích přeroste v právní problém?
Na sociálních sítích Facebook a Instagram má svoje profily i řada organizací, především obchodních společností. Skutečnost, že společnost Meta aktuálně trénuje svoji AI na datech právě z těchto sociálních sítí, včetně firemních profilů, proto otevírá otázku možné spoluodpovědnosti za související zpracování osobních údajů provozovatele firemního profilu.
GDPR zná dvě hlavní osoby podílející se na zpracování osobních údajů – správce a zpracovatele. Správcem údajů je, v kostce řečeno, ten, kdo o zpracování rozhodl (určil jeho účel a prostředky) nebo komu zpracování ukládá zvláštní zákon (např. zaměstnavateli povinnost zpracovávat řadu údajů o svých zaměstnancích, finančním institucím povinnost identifikovat a kontrolovat své klienty atd.) a kdo určil i prostředky a způsob zpracování (manuální, automatizované, výběr konkrétního nástroje či postupu pro zpracování dat). Zpracovatelem je subjekt, který zpracovává osobní údaje ne pro svůj vlastní účel nebo pro splnění svojí právní povinnosti, ale kdo je zpracovává pro správce. Jinými slovy dodavatel, který pro správce například zpracovává účetnictví, zajišťuje provoz kamerového systému nebo poskytuje cloudové služby využívané pro uchování či zpracování osobních dat.
Když je více správců: princip společného správcovství
GDPR, stejně jako předchozí právní úprava ochrany osobních dat na unijní úrovni[1], ovšem zná i pojem společných správců. Jedná se o situaci, kdy o účelu a prostředcích zpracování rozhodnou dva či více odlišných subjektů, které mají společný zájem na zpracování osobních dat za stejným účelem. A za zpracování jsou také společně odpovědní. Typickým příkladem je společné zpracování osobních údajů ve skupině podniků, například za účelem jednotné obsluhy klienta či jednotné správy a administrace dat. Nebo situace, kdy více společností sídlících v jednom výrobním nebo kancelářském prostoru společně provozuje kamerový systém, aby chránily práva svá i svých zaměstnanců.
Odpovědností za využití údajů z firemních profilů na sociálních sítích a rolí zapojených subjektů se zabýval Soudní dvůr Evropské unie (SDEU). Ve známém rozsudku Wirtschaftsakademie Schleswig-Holstein GmbH[2], který byl potvrzen a rozvíjen dalšími judikáty SDEU[3], soud již v roce 2018 dospěl k závěru, že správce fanouškovské stránky na sociální síti Facebook může být společným správcem s jejím provozovatelem. Proč? Protože nastavením parametrů způsobu využití dat získaných prostřednictvím fanouškovské stránky, mimo jiné podle své cílové skupiny a cílů řízení a propagace svých činností, se podílel na určení účelu a prostředků zpracování osobních údajů návštěvníků fanouškovské stránky. Jinak řečeno, jak provozovatel sociální sítě, tak provozovatel fanouškovské stránky měli zájem na zpracování osobních údajů uživatelů dané sítě. Některé účely zpracování byly pro každého z nich unikátní, některé účely měly společné. A provozovatel fanouškovské stránky se tím, že v rámci možností stanovených provozovatelem sociální sítě Facebook účel a prostředky upřesnil a vymezil, aby mohl čerpat výstupy z daného zpracování, dostal do postavení společného správce.
Paradox Meta: sociální síť, která je správcem i provozovatelem
Jestliže tedy nyní společnost Meta oznámila, že bude svoji AI trénovat na datech ze sociálních sítí Facebook a Instagram, nehrozí, že by provozovatelé firemních profilů mohli být opět v postavení společných správců? A mohli by tedy být, spolu s Metou, odpovědní za soulad využití osobních údajů návštěvníků svých profilů za účelem tréninku AI s požadavky GDPR?
Domníváme se, že takováto aplikace rozsudku SDEU ve věci Wirtschaftsakademie Schleswig-Holstein GmbH by nebyla zcela přiléhavá, resp. neodpovídala by roli a zapojení provozovatelů fanouškovských stránek do vývoje umělé inteligence společnosti Meta. V čem spatřujeme hlavní rozdíl?
V případě řešeném v uvedeném rozsudku si provozovatel firemní stránky aktivně zvolil účel zpracování osobních údajů (příprava statistik o fungování a výkonu fanouškovské stránky) a zvolil konkrétní parametry tohoto zpracování. Rozhodl o tom, že osobní údaje návštěvníků jeho profilu budou zpracovávány za tímto účelem, a i v jeho prospěch. Právě proto byl (společným) správcem těchto údajů s provozovatelem sociální sítě.
V případě využití dat ze sociálních sítí k trénování AI modelu však takováto aktivita či takovýto zájem provozovatelů fanouškovských stránek chybí. O využití dat za tímto účelem nerozhodli ani si ho aktivně nevybrali a jeho výstup nebudou bez dalšího využívat. Proto by podle našeho soudu pro tento účel zpracování osobních údajů v postavení společného správce se společností Meta být neměli. A to ani ve světle zmíněné judikatury SDEU.
Další opatření k riziku společné odpovědnosti za trénink AI
V tuto chvíli není k dispozici konkrétní, resp. kompletní popis toho, jak bude společnost Meta svoji AI trénovat a k čemu ji bude následně využívat. Ještě méně je jasné, jak budou moci AI na jejích sociálních sítích v budoucnu používat klienti, včetně správců firemních stránek. Lze důvodně předpokládat, že AI bude využita jak k interním účelům společnosti Meta, tak i pro vylepšení funkčnosti pro uživatele. Jinými slovy, správci firemních stránek, jejichž osobní údaje nyní byly pro trénink AI využity, možná budou v budoucnu čerpat výhody a služby, které na základě tohoto zpracování Meta nabídne. Otázka odpovědnosti uživatelů firemních profilů či produktů sociálních sítí za využití osobních údajů pro trénink AI tak v budoucnu může zaznít.
Co mohou provozovatelé firemních stránek udělat, aby svoji pozici v případné budoucí diskusi či sporu o společné správcovství, a tím i o odpovědnost za využití osobních údajů pro trénink AI, posílili?
- Do 27. května 2025 bylo možné vyjádřit s využitím dat pro trénink AI nesouhlas prostřednictvím formuláře na stránkách společnosti Meta. Pokud to správce firemní stránky neučinil, i tak doporučujeme tuto možnost sledovat, protože nelze vyloučit, že Meta, například pod tlakem evropských dozorových úřadů pro ochranu dat, tuto možnost v budoucnu obnoví.
- Pokud pro organizaci není přítomnost na Facebooku a Instagramu obchodně či jinak kritická, lze také zvážit zrušení firemních profilů. To sice nic nezmění na případné odpovědnosti za využití dat uživatelů do doby zrušení, ale případný problém se alespoň nebude zvyšovat a společnost bude demonstrovat snahu údaje svých uživatelů tímto poměrně radikálním krokem ochránit.
- Doporučujeme také pečlivě vyhodnotit využití AI nástrojů a služeb využívajících AI, které Meta do budoucna nabídne, a to právě i s ohledem na rozsah a způsob využití osobních údajů pro trénink modelu a možnou spoluodpovědnost za soulad tréninku AI s požadavky GDPR.
Tímto doporučením jsme se dobrali ke konci našeho seriálu o trénování AI na veřejně dostupných osobních datech. V prvním díle jsme si vyjasnili, jaký je vztah mezi GDPR, anonymní a osobními údaji a odpovědností za jejich využití. Ve druhém díle jsme se věnovali institutu oprávněného zájmu a pravidlům balančního testu, který je základem každého projektu, v jehož rámci dochází ke zpracovávání osobních údajů podle tohoto právního titulu. V této závěrečné kapitole jsme upřeli pozornost na praktické dopady – konkrétně na rizika a povinnosti spojené s postavením společného správce při provozu firemních profilů na sociálních sítích v kontextu trénování AI.
Leitmotivem celého našeho exkurzu je sdělení, že nad využitím osobních údajů je vždy potřeba přemýšlet v širším kontextu. Ten zahrnuje fáze strategického plánování, volby právního titulu i provozních rozhodnutí, které jsou činěny na denní bázi. AI znamená nové možnosti, ale zároveň přináší i nové povinnosti. Firmy, které chtějí tuto technologii využívat bezpečně a v souladu s právem, by proto měly investovat nejen do technologie samotné, ale i do správného nastavení procesů a interních školení. Právě propojení technologické inovace s právní jistotou je klíčem k tomu, aby se firmy mohly nadále rozvíjet bez toho, aby musely podstupovat nepřiměřené právní riziko.
Mgr. František Nonnemann,
vedoucí oddělení Compliance a oddělení Řízení operačního rizika ve společnosti Partners Banka
Mgr. Michal Nulíček, LL.M., FCIArb,
advokát a partner ROWAN LEGAL, odborník na ochranu osobních údajů a regulace
ROWAN LEGAL, advokátní kancelář s.r.o.
GEMINI Center
Na Pankráci 1683/127
140 00 Praha 4
Tel.: +420 224 216 212
Fax: +420 224 215 823
e-mail: praha@rowan.legal
*
Jak vytrénovat umělou inteligenci na veřejně dostupných datech? 1. díl: GDPR, anonymita a odpovědnost uživatele, dostupné na www, k dispozici >>> zde.
Jak vytrénovat umělou inteligenci na veřejně dostupných datech? 2. díl: Oprávněný zájem jako titul pro trénink AI , anonymita a odpovědnost uživatele, dostupné na www, k dispozici >>> zde.
[1] Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Tato směrnice byla do českého práva transponována již zrušeným zákonem 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. Český zákon, na rozdíl od uvedené směrnice, institut společných správců neznal. Na národní úrovni proto s tímto pojmem více pracujeme až od účinnosti GDPR v roce 2018.
[2] Rozsudek SDEU ze dne 5. června 2018 ve věci C-210/16.
[3] Např. rozsudek SDEU ze dne 29. července 2019 ve věci C-40/17 (kauza Fashion ID).
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
