Role DPO v éře AI Actu: Nové odpovědnosti

Éra AI Actu: Nové výzvy pro ochranu dat a DPO

S příchodem Nařízení EU 2024/1689, známého jako AI Act, se otevírá nová kapitola v regulaci umělé inteligence v Evropské unii. Toto průlomové nařízení má za cíl zajistit, aby systémy umělé inteligence byly bezpečné, transparentní, etické a respektovaly základní práva občanů. Pro organizace, které AI systémy vyvíjejí, nasazují nebo používají, to znamená nutnost komplexní adaptace a zavedení nových procesů. V centru této transformace stojí často klíčová postava – pověřenec pro ochranu osobních údajů (DPO).

DPO, který je již důvěrně obeznámen s komplexními požadavky nařízení GDPR, se nyní ocitá na křižovatce, kde se jeho tradiční odpovědnosti protínají s novými, specifickými výzvami, které přináší AI Act. Zatímco GDPR se zaměřuje na ochranu osobních údajů, AI Act rozšiřuje tento záběr na ochranu širšího spektra základních práv před riziky spojenými s umělou inteligencí. Tato synergie, ale i rozdíly, vyžadují od DPO hluboké porozumění novým regulacím a proaktivní přístup k jejich implementaci.

Zatímco se organizace připravují na plné uplatňování AI Actu, role DPO bude nepostradatelná při navigaci skrze složité požadavky na posuzování rizik, dodržování transparentnosti a zajištění dohledu nad AI systémy. Jeho zkušenosti s budováním systémů řízení souladu a advokacie práv jednotlivců ho předurčují k tomu, aby se stal klíčovým hráčem v zajištění etického a zákonného využívání AI. V tomto článku se podíváme na to, jaké konkrétní nové odpovědnosti AI Act pro DPO přináší a zda je v budoucnu potřeba i role specializovaného AI officera.

GDPR a AI Act: Přirozená synergie a přesahy odpovědností

Na první pohled se může zdát, že GDPR a AI Act jsou dvě samostatné regulace. Ve skutečnosti však sdílejí společný základ a mnoho přesahů, zejména pokud jde o ochranu základních práv a svobod jednotlivců. GDPR se zaměřuje na ochranu osobních údajů, zatímco AI Act rozšiřuje tuto ochranu na rizika spojená s AI systémy, která se netýkají pouze dat, ale i diskriminace, bezpečnosti či transparentnosti algoritmů. DPO, který je již expertem na řízení rizik spojených s osobními údaji, je ideálním kandidátem pro převzetí části odpovědnosti spojených s AI Actem.

DPO již dnes provádí posouzení dopadů na ochranu osobních údajů (DPIA), která jsou klíčovým nástrojem pro identifikaci a minimalizaci rizik. AI Act zavádí podobné požadavky pro posouzení rizik spojených s vysoce rizikovými systémy AI (čl. 29 AI Act), které často pracují s osobními údaji. Zde se zkušenosti DPO s metodikou posuzování rizik, principy minimalizace dat, pseudonymizace a transparentnosti stávají neocenitelnými. DPO může pomoci zajistit, že AI systémy jsou navrženy tak, aby od samého počátku respektovaly soukromí a etické principy.

Mnoho ustanovení AI Actu reflektuje principy, které DPO již dobře zná z GDPR. Například požadavek na lidský dohled (čl. 15 AI Act) nad vysoce rizikovými AI systémy, zajištění transparentnosti a vysvětlitelnosti (čl. 13 AI Act) rozhodnutí AI, nebo povinnost dodržovat vysokou úroveň přesnosti a robustnosti (čl. 10 AI Act). DPO může využít své znalosti v oblasti řízení souladu a komunikace s dozorovými orgány k efektivnímu dohledu nad těmito novými požadavky, čímž se stává klíčovým mostem mezi ochranou dat a regulací AI. Více o obecných požadavcích se dozvíte v našem článku o tom, co je <a href="/ai-act/co-je-ai-act">AI Act</a>.

Rozšířené odpovědnosti DPO v kontextu AI Actu

S plným uplatňováním AI Actu se spektrum úkolů a odpovědností pověřence pro ochranu osobních údajů významně rozšiřuje. DPO se bude muset aktivně zapojit do monitorování souladu AI systémů s novými požadavky. To zahrnuje dohled nad implementací systémů řízení rizik, které jsou povinné pro provozovatele vysoce rizikových AI systémů (čl. 9 AI Act). DPO musí zajistit, že tyto systémy jsou pravidelně testovány, aktualizovány a že jejich provoz splňuje technické specifikace pro robustnost, přesnost a bezpečnost dat.

Další klíčovou odpovědností bude poradenství ohledně vývoje a nasazení AI systémů, zejména těch, které spadají do kategorie vysoce rizikových. DPO bude muset posuzovat, zda jsou tyto systémy v souladu s kritérii AI Actu, včetně požadavků na kvalitu dat (čl. 10 AI Act), transparentnost (čl. 13 AI Act) a lidský dohled (čl. 15 AI Act). To znamená, že DPO bude muset úzce spolupracovat s vývojovými týmy, právními odděleními a managementem, aby zajistil, že AI systémy jsou navrženy s ohledem na etické zásady a právní požadavky od samého počátku, tedy v souladu s principem 'privacy by design' a 'AI by design'.

DPO bude také hrát důležitou roli při správě incidentů a stížností souvisejících s AI systémy. Pokud dojde k závažnému incidentu s vysoce rizikovým AI systémem, provozovatelé mají povinnost to oznámit dozorovým orgánům (čl. 68 AI Act), podobně jako při ohrožení osobních údajů dle GDPR. DPO, díky svým zkušenostem s krizovou komunikací a hlášením incidentů, bude klíčovou osobou při koordinaci těchto procesů a zajišťování rychlé a efektivní reakce. Bude muset také sledovat a vyhodnocovat stížnosti jednotlivců na rozhodnutí nebo dopady AI systémů a zajišťovat, že jsou k dispozici mechanismy pro nápravu a odškodnění. Informace o tom, jaké systémy spadají pod vysoké riziko, naleznete v našem článku o <a href="/ai-act/rizikove-kategorie">rizikových kategoriích</a>.

AI Officer: Potřeba nové role, nebo rozšíření DPO?

S nárůstem komplexnosti a specifičnosti požadavků AI Actu se objevuje otázka, zda stávající role DPO plně postačuje, nebo zda je potřeba zavést zcela novou pozici, tzv. AI Officera. Zastánci nové role argumentují, že AI Officer by měl mít hlubší technické znalosti v oblasti umělé inteligence, včetně porozumění algoritmům, strojovému učení, detekci zkreslení (bias) a metodám ověřování AI systémů. Tyto specifické dovednosti se často liší od tradičního právního a datově-ochranného profilu DPO.

AI Officer by se mohl zaměřit na hodnocení technické robustnosti, transparentnosti a vysvětlitelnosti AI systémů, což jsou klíčové aspekty AI Actu. Mohl by také hrát roli při implementaci etických směrnic pro AI a zajišťování souladu s průmyslovými standardy. Jeho úkoly by se mohly prolínat s DPO v oblastech, kde AI systémy zpracovávají osobní údaje, ale zároveň by pokrýval i širší spektrum rizik, která se týkají například bezpečnosti, diskriminace nebo dopadu na společnost jako celek.

Na druhou stranu, mnoho organizací, zejména ty menší a střední, se bude snažit maximalizovat efektivitu stávajících zdrojů. Rozšíření role DPO tak, aby zahrnovala i agendu AI Actu, může být praktičtější a ekonomičtější. V takovém případě by bylo nezbytné investovat do vzdělávání a certifikace DPO v oblasti umělé inteligence a zajistit mu přístup k potřebným technickým zdrojům a expertům. Optimálním řešením se často jeví hybridní přístup, kde DPO spolupracuje s týmem specialistů na AI, nebo je DPO sám vybaven rozšířenými znalostmi a schopnostmi v oblasti AI. Klíčové je, aby organizace jasně definovaly odpovědnosti a zajistily, že existuje jasná odpovědnost za soulad s AI Actem.

Praktické kroky pro DPO k zajištění souladu s AI Actem

Pro DPO je klíčové začít se na požadavky AI Actu připravovat proaktivně. Prvním a zásadním krokem je hloubkové vzdělání a školení v oblasti AI Actu. To zahrnuje porozumění definicím (čl. 4 AI Act), kategoriím rizik (zejména vysoce rizikovým systémům – čl. 6 AI Act) a konkrétním povinnostem pro poskytovatele a provozovatele AI systémů. DPO by se měl seznámit s technickými aspekty AI, aby mohl efektivně komunikovat s technickými týmy a posuzovat rizika.

Dále by DPO měl iniciovat inventuru všech AI systémů, které organizace používá nebo vyvíjí. Je nezbytné identifikovat, které z těchto systémů spadají do kategorie vysoce rizikových a jaké osobní údaje zpracovávají. Na základě této inventury je potřeba aktualizovat interní politiky a postupy, aby reflektovaly nové požadavky AI Actu, včetně zásad pro správu dat, transparentnosti algoritmů a mechanismů pro lidský dohled. Zde se nabízí synergie s existujícími politikami GDPR, které lze rozšířit a adaptovat.

Nezbytná je také úzká spolupráce s ostatními odděleními – IT, právním oddělením, obchodními jednotkami a managementem. DPO by měl vést nebo se aktivně podílet na zavádění systémů řízení rizik specifických pro AI, provádět posouzení dopadů AI (AIA) a zajišťovat školení zaměstnanců o etických aspektech a požadavcích AI Actu. Vytvoření robustního interního oznamovacího systému pro incidenty a stížnosti týkající se AI bude také klíčové pro efektivní řízení souladu a minimalizaci potenciálních pokut, které mohou být podle AI Actu značné. Pro usnadnění příprav můžete využít náš <a href="/ai-act/checklist">checklist AI Actu</a>.

DPO jako klíčový pilíř etické a bezpečné AI

Role pověřence pro ochranu osobních údajů (DPO) je v éře AI Actu nezastupitelná. DPO se stává klíčovým pilířem, který zajišťuje, aby organizace nejen dodržovaly právní předpisy, ale také budovaly důvěru ve své AI systémy a respektovaly základní práva jednotlivců. Přechod od GDPR k AI Actu není jen o přidání nových povinností, ale o rozšíření etického a právního rámce, ve kterém se DPO pohybuje. Jeho expertíza v oblasti řízení souladu, posuzování rizik a advokacie práv je nyní cennější než kdy předtím.

Investice do vzdělávání a podpory DPO v oblasti umělé inteligence se organizacím mnohonásobně vrátí. Zajištění souladu s AI Actem není jen o vyhýbání se sankcím; je to o budování reputace, posilování důvěry zákazníků a zajištění udržitelného a etického rozvoje AI technologií. DPO bude hrát klíčovou roli v definování firemní kultury, která integruje etické principy a ochranu dat do samotného jádra AI inovací.

Nenechte vaši organizaci zaskočit novými požadavky AI Actu. Začněte s přípravou již dnes a využijte zkušeností vašeho DPO k navigaci tímto komplexním prostředím. Pro rychlý přehled stavu vašeho webu a potenciálních rizik AI dopadů, doporučujeme použít náš bezplatný nástroj. Získejte okamžitý přehled o vašich AI integracích a začněte svou cestu k souladu. <a href="/scan">Naskenujte svůj web zdarma na AIshield.cz/scan</a>.

Související články

• co je AI Act
• rizikových kategoriích
• checklist AI Actu