Oprávněný zájem jako právní základ pro zpracování osobních údajů v souvislosti s vývojem a zaváděním AI modelů

V rámci tohoto článku bude blíže rozebrána problematika možného užití oprávněného zájmu pro zpracování osobních údajů při vývoji a zavádění AI modelů včetně závěrů EDPB obsažených v jeho nedávném stanovisku. Článek se věnuje zejména použití oprávněného zájmu jako právního základu v kontextu AI modelů a třístupňovému testu pro posouzení oprávněného zájmu. Cílem článku je upozornit na podmínky, které musí správce splnit, aby mohl pro vývoj či zavedení modelu AI, při němž dochází ke zpracování osobních údajů, využít právní základ oprávněného zájmu.
Zákonnost zpracování a oprávněný zájem
Při zpracování osobních údajů je třeba dodržovat pravidla stanovená pro jejich zpracování zejm. v GDPR. Výjimku z těchto pravidel netvoří ani zpracování údajů v souvislosti s vývojem či zaváděním modelů umělé inteligence (dále jen „AI“). Při jejich vývoji či zavádění je proto nezbytné respektovat zejména základní zásady zpracování osobních údajů, z nichž plyne rovněž povinnost zpracovávat osobní údaje pouze na základě některého z právních základů vymezených v čl. 6 GDPR.
Oprávněný zájem je jedním ze šesti právních základů pro zpracování osobních údajů, které GDPR v souladu se zásadou zákonnosti předpokládá ve svém čl. 6 odst. 1 písm. f). GDPR přitom nestanoví hierarchii mezi jednotlivými právními základy a nechává na správci, aby sám určil, o jaký právní základ se konkrétní zpracování osobních údajů opírá.
V rámci svého nedávného stanoviska se Evropský sbor pro ochranu osobních údajů (dále jen „EDPB“) zabýval některými aspekty ochrany údajů v souvislosti se zpracováním osobních údajů v kontextu AI modelů[1]. Jedním z těchto aspektů byla i vhodnost a možnost užití oprávněného zájmu jako právního základu ve fázích vývoje a zavádění AI modelů. V následujících částech bude tato problematika blíže rozebrána včetně závěrů EDPB obsažených v předmětném stanovisku.
Třístupňový test pro posouzení oprávněného zájmu
Aby bylo možné založit zpracování osobních údajů na právním základu oprávněného zájmu dle čl. 6 odst. 1 písm. f) GDPR, musí být kumulativně splněny následující tři podmínky: (i) musí existovat oprávněný zájem sledovaný správcem nebo třetí stranou, (ii) zpracování musí být nezbytné pro naplnění oprávněného zájmu a (iii) nad oprávněným zájmem nesmí převažovat zájmy nebo základní práva a svobody subjektů údajů (tzv. balanční test).
Před zahájením zpracování osobních údajů na základě oprávněného zájmu proto musí správce provést pečlivé posouzení splnění uvedených podmínek, které bývá v praxi označováno jako tzv. třístupňový test oprávněného zájmu. Posouzení by mělo být prováděno za účasti pověřence pro ochranu osobních údajů (pokud u daného správce působí) a správce by měl tento postup řádně zdokumentovat v souladu se zásadou odpovědnosti stanovenou v čl. 5 odst. 2 GDPR.
Identifikace oprávněného zájmu
Prvním krokem v rámci třístupňového testu pro posouzení oprávněného zájmu je samotná identifikace oprávněného zájmu. Pojem zájem definuje EDPB jako širší zájem nebo prospěch, který může mít správce nebo třetí strana z účasti na konkrétní činnosti zpracování[2]. Aby však mohl správcem sledovaný zájem odůvodňovat zpracování osobních údajů, musí se jednat o zájem tzv. oprávněný. Oprávněnost zájmu není nikde definována, avšak vodítka pro posouzení oprávněnosti lze nalézt jak v samotném GDPR, tak v judikatuře Soudního dvora EU. Podle ustáleného výkladu EDPB lze za oprávněný považovat pouze takový zájem, který je zákonný, jasně a přesně formulovaný a skutečný a aktuální, nikoliv spekulativní[3].
Správce tak může mít obecně zájem např. na propagaci svých výrobků, zpracování údajů pro účely přímého marketingu, zabezpečení IT systémů, prevenci kybernetických útoků a podvodů, efektivitě administrativních procesů, přístupu k informacím online, zabezpečení majetku apod. V souvislosti s AI modely mohou oprávněný zájem představovat např. vývoj služby konverzačního agenta, který pomáhá uživatelům, zavedení AI modelu v rámci zlepšení zákaznické podpory, vývoj AI systému pro odhalování podvodného obsahu nebo chování či zlepšení odhalování hrozeb v informačním systému apod. Před zahájením zpracování osobních údajů v rámci vývoje či zavádění AI modelů proto musí správce identifikovat, jaký zájem je sledován.
Posouzení nezbytnosti zpracování
Druhým krokem v rámci třístupňového testu pro posouzení oprávněného zájmu je určení, zda je zpracování osobních údajů nezbytné pro účely sledovaného oprávněného zájmu, tj. test nezbytnosti. V rámci tohoto kroku je třeba zkoumat (i) zda činnost zpracování umožní dosažení daného účelu a (ii) zda neexistuje méně invazivní způsob, jak tohoto účelu dosáhnout.
Ve vztahu k modelům AI je třeba zkoumat zejm. zda dosažení účelu je možné i prostřednictvím AI modelu, který nezahrnuje zpracování osobních údajů, např. anonymního AI modelu[4]. Pokud existuje takováto méně invazivní alternativa, pak by zpracování osobních údajů nemělo být považováno za nezbytné. Při posuzování nezbytnosti je přitom třeba přihlížet též k množství zpracovávaných údajů a přiměřenosti zpracování. K naplnění kritéria nezbytnosti mohou být rovněž zavedeny technické záruky či jiná opatření na ochranu osobních údajů. Je proto možné zavést např. opatření, která sice nedosahují anonymizace údajů, ale přesto pomohou snížit možnost identifikace subjektů údajů a zajistit tak jejich větší ochranu.
Balanční test
Třetím krokem v rámci třístupňového testu pro posouzení oprávněného zájmu je tzv. balanční test. Tento test spočívá v identifikaci a porovnání různých protichůdných práv a zájmů, kdy na jedné straně stojí zájmy, základní práva a svobody subjektů údajů a na druhé straně oprávněné zájmy správce nebo třetí strany.
Nejprve je třeba identifikovat zájmy subjektů údajů, které mohou být zpracováním dotčeny. Mezi zájmy v rámci fáze vývoje AI modelu mohou patřit např. zájem na sebeurčení a zachování kontroly nad vlastními osobními údaji, zatímco v rámci fáze zavádění AI modelu se může jednat např. o finanční zájmy, osobní prospěch nebo socioekonomické zájmy. Mezi nejčastěji dotčená práva a svobody subjektů údajů pak bude patřit právo na soukromý a rodinný život či právo na ochranu osobnosti a osobních údajů.
V rámci balančního testu je rovněž třeba zkoumat, jaký dopad bude mít zamýšlené zpracování na subjekt údajů. Negativní dopady zpracování na subjekt údajů při vývoji nebo zavádění AI modelu mohou být například ekonomické (např. diskriminace v souvislosti se zaměstnáním) nebo reputační (např. pomluva). Dopad zpracování na subjekt údajů však může být i pozitivní (např. když se AI model používá k identifikaci škodlivého obsahu online nebo usnadnění přístupu ke vzdělání apod.). Také tyto dopady zpracování na subjekty údajů je proto třeba zohlednit v rámci balančního testu.
Dalším aspektem, který je třeba v této souvislosti zkoumat je přiměřené očekávání subjektu údajů, tj. zda subjekt údajů může v době a v souvislosti se shromažďováním osobních údajů důvodně očekávat, že ke zpracování za tímto účelem může dojít. Přiměřené očekávání hraje v balančním testu v případě AI modelů klíčovou roli, a to vzhledem ke složitosti technologie používané v takových modelech a skutečnosti, že pro subjekty údajů může být obtížné porozumět různým možnostem využití modelu a souvisejícímu zpracování dat. V této souvislosti hrají klíčovou roli informace poskytnuté subjektům údajů, které lze zohlednit při posuzování toho, zda subjekty údajů mohou důvodně očekávat, že jejich osobní údaje budou zpracovávány.
Takto zjištěné zájmy, práva a svobody subjektů údajů je třeba následně porovnat s oprávněnými zájmy správce či třetí strany. Pokud se zdá, že zájmy, práva a svobody subjektů údajů převažují nad oprávněnými zájmy správce nebo třetí strany, může správce zvážit zavedení zmírňujících opatření, aby omezil dopad zpracování na subjekty údajů. Jako příklad lze uvést pseudonymizační opatření, opatření usnadňující výkon práv subjektů údajů, opatření k zajištění transparentnosti, technická opatření, která zabrání ukládání, opakovanému uchovávání nebo generování osobních údajů apod. Cílem těchto zmírňujících opatření je zajistit, že zájmy správce nebo třetí strany nebudou převáženy, neboť pouze v případě, že zájmy subjektů údajů nepřeváží nad zájmy správce či třetí strany, může správce založit zpracování osobních údajů na tomto právním základu.
Závěr
Z výše uvedeného je zřejmé, že oprávněný zájem může být využit jako právní základ pro zpracování osobních údajů v souvislosti s vývojem a zaváděním AI modelů, avšak před zahájením zpracování je třeba řádně posoudit možnost využití tohoto právního základu v rámci tzv. třístupňového testu posouzení oprávněného zájmu. Pouze v případě, že na základě provedené analýzy zájmy subjektů údajů nepřeváží nad zájmy správce či třetí strany, může správce založit zpracování na tomto právním základu. Závěrem lze pro účely plnění povinností podle GDPR a případných kontrol ze strany ÚOOÚ správcům vyvíjejícím či zavádějícím AI modely důrazně doporučit, aby nepodcenili aspekty ochrany osobních údajů a proces posouzení nejen řádně provedli, ale rovněž jej dostatečně zdokumentovali.
Mgr. Dominika Valentová,
advokátka
Doležal & Partners s.r.o., advokátní kancelář
Růžová 1416/17, 110 00, Praha 1
Koliště 1912/13, 602 00, Brno
Tel.: +420 222 544 201
e-mail: office@dolezalpartners.com
[1] Stanovisko 28/2024 k některým aspektům ochrany údajů v souvislosti se zpracováním osobních údajů v kontextu modelů umělé inteligence ze dne 17.12.2024. Dostupné >>> zde.
[2] Viz Pokyny 1/2024 ke zpracování osobních údajů na základě čl. 6 odst. 1 písm. f) GDPR ze dne 08.10.2024, odst. 14. Dostupné >>> zde.
[3] Blíže viz EDPB Pokyny 1/2024, odst. 17.
[4] K otázce, kdy lze AI model považovat za anonymní viz bod 3.2 EDPB Stanoviska 28/2024.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz