Umelá inteligencia (AI) vyniká v mnohých smeroch. Jedným z nich je aj triedenie veľkého množstva dát a následné hľadanie súvislostí, prepojení, vytváranie štatistických záverov a predikcií. Z tohto dôvodu sa umelá inteligencia (AI) stáva ideálnym nástrojom na profilovanie jednotlivcov na základe ich osobných údajov.
Profilovanie osobných údajov jednotlivcov však spadá pod požiadavky Nariadenia GDPR.
Čo je to „profilovanie“?
Profilovaním sa rozumie forma automatizovaného spracúvania osobných údajov, pri ktorom dochádza k vyhodnocovaniu osobných aspektov jednotlivcov, ich charakteristík, vlastností a vzorcov správania. Cieľom profilovania je pritom zatriediť jednotlivcov do určitej kategórie alebo skupiny.
Profilovanie sa najčastejšie využíva najmä na analýzu alebo predvídanie schopností jednotlivcov, ich záujmov, správania, preferencií, výkonnosti, majetkových pomerov, zadlženia, spoľahlivosti a iných charakteristických čŕt.
Profilovanie je teda cielená činnosť na zistenie vlastností a preferencií jednotlivcov za použitia analýzy ich osobných údajov. Často pritom môže dochádzať aj k vytvoreniu nových osobných údajov alebo odvodených osobných údajov, ktoré jednotlivci ani neposkytli.
Profilovaním však v žiadnom prípade nie je jednoduché roztriedenie zákazníkov podľa ich veku, pohlavia alebo iných aspektov.
Využívanie profilovania v praxi
Profilovanie, ktoré je založené na osobných údajoch, je značne rozšírené. Umelá inteligencia (AI) pritom profilovanie podstatne urýchlila a spresnila.
V praxi sa s profilovaním stretávam najmä v oblasti marketingu, cielenia reklám, náboru zamestnancov, poskytovania pôžičiek, úverov alebo uzatvárania poistných zmlúv.
Umelá inteligencia (AI) dokáže prostredníctvom profilovania jednoduchým spôsobom vytvoriť profil jednotlivca na základe jeho osobných údajov. Profil jednotlivca potom obsahuje nielen pôvodné osobné údaje ale aj odvodené a nové osobné údaje, ktoré umelá inteligencia (AI) zistila procesom profilovania.
Tieto nové a odvodené osobné údaje sú často používané ako podklad pre rozhodovanie, napríklad, či s konkrétnym človekom uzatvoriť pracovný pomer, poskytnúť pôžičku alebo úver, uzavrieť poistnú zmluvu, prípadne za akých podmienok tak spraviť.
Príklad z praxe: HR oddelenie spoločnosti dostáva stovky životopisov na otvorené pracovné pozície. Pri takomto počte životopisov nie je úplne objektívne možné, aby bol každý jeden kandidát HR oddelením vyhodnotený. Preto HR oddelenie využije na triedenie došlých životopisov práve umelú inteligenciu (AI). Tá, okrem toho, že rozdelí došlé životopisy na vyhovujúcich a nevyhovujúcich kandidátov, kandidátov aj profiluje. Zisťuje teda ich vlastnosti, charakteristiky a iné odvodené osobné údaje, a na ich základe kandidátov roztriedi aj podľa toho, ako často menia zamestnanie, aký je ich približný príjem a pod.
Profilovanie môže a často aj je prvým krokom pri automatizovanom rozhodovaní. Je pritom úplne jedno, či k automatizovanému rozhodovaniu dochádza s ľudskou kontrolou alebo ide o výlučne automatizované rozhodovanie.
Príklad z praxe: HR oddelenie spoločnosti dostáva stovky životopisov na otvorené pracovné pozície. HR oddelenie využije na triedenie došlých životopisov práve umelú inteligenciu (AI). Tá, okrem toho, že zatriedi došlé životopisy na vyhovujúcich a nevyhovujúcich kandidátov, vyberie 10 najlepších kandidátov – teda kandidátov, ktorí spĺňajú požiadavky HR oddelenia. S týmito 10 kandidátmi sa následne budú viesť pohovory. Zvyšných kandidátov si HR oddelenie ani nepozve na pracovný pohovor. To ale znamená, že umelá inteligencia (AI) sama rozhodla, že ostatní kandidáti nie sú vhodní. A presne toto príklad výlučného automatizovaného rozhodovania.
Požiadavky Nariadenia GDPR pre profilovanie dotknutých osôb
Na umelú inteligenciu (AI), ktorá vykonáva profilovanie osobných údajov, sa vzťahuje aj Nariadenie GDPR a tam uvedené pravidlá.
Kľúčovými pravidlami Nariadenia GDPR sú najmä:
- dodržiavanie zásad spracúvania osobných údajov – čl. 5 Nariadenia GDPR;
- existencia právneho základu spracúvania osobných údajov – čl. 6 Nariadenia GDPR;
- poskytnutie informácií dotknutým osobám, ktorých údaje sa spracúvajú – čl. 13 a 14 Nariadenia GDPR;
- zabezpečenie bezpečnosti spracúvania osobných údajov – čl. 32 a iné Nariadenia GDPR;
- vypracovanie kompletnej GDPR dokumentácie.
(Tento zoznam pravidiel nie je ani zďaleka vyčerpávajúci, pretože existuje ešte mnoho povinností súvisiacich so spracúvaním osobných údajov.)
Dodržiavanie zásad spracúvania osobných údajov
Každý prevádzkovateľ, ktorý používa umelú inteligenciu (AI) na spracúvanie osobných údajov, je povinný zabezpečiť, aby boli dodržané nasledovné zásady:
- zásada zákonnosti – spracúvanie osobných údajov je možné iba na základe Nariadenia GDPR a na základe právnych základov podľa tohto nariadenia. Prevádzkovateľ, ktorý používa umelú inteligenciu (AI), môže spracúvať osobné údaje len v prípade, ak má na ich spracúvania právny základ. Právny základ si pritom môžeme predstaviť ako oprávnenie pre spracúvanie osobných údajov. Právnych základov je v Nariadení GDPR uvedených niekoľko, napríklad súhlas, plnenie zmluvy, vrátane predzmluvných rokovaní, plnenie zákonnej povinnosti, oprávnený záujem, verejný záujem a iné.
- zásada obmedzenia účelu – osobné údaje získané na vopred určené, výslovne uvedené a legitímne účely sa nesmú ďalej spracúvať na iné s tým nezlučiteľné účely;
- zásada minimalizácie údajov – prevádzkovateľ umelej inteligencie (AI) ako aj samotná AI smú spracúvať iba také osobné údaje, ktoré sú nevyhnutné na daný účel. Inak povedané, prevádzkovateľ nesmie spracúvať (teda ani získavať) viac osobných údajov, ako je potrebné pre konkrétny účel.
- zásada správnosti údajov – prevádzkovateľ umelej inteligencie (AI) je povinný dbať na to, aby mal vždy správne osobné údaje;
- zásada minimalizácie uchovávania osobných údajov – osobné údaje môžu byť uchovávané iba pokým je to potrebné pre na účely, na ktoré sa spracúvajú;
- zásada bezpečnosti – spracúvanie osobných údajov musí byť bezpečné, vrátane ich ochrany pred neoprávneným spracúvaním, stratou, zničením alebo poškodením.
Právny základ spracúvania osobných údajov
Prevádzkovateľ je povinný si sám správne určiť právny základ, na základe ktorého spracúva osobné údaje prostredníctvom umelej inteligencie (AI).
Nariadenie GDPR pritom pozná tieto právne základy:
Súhlas dotknutej osoby [čl. 6 ods. 1 písm. a) Nariadenia GDPR]
Osobné údaje je možné spracúvať na základe súhlasu dotknutej osoby. Dotknutá osoba musí vyjadriť svoj súhlas slobodne a na konkrétny účel. Súhlas teda nemôže byť podmienkou uzatvorenia zmluvy. Súčasne je potrebné, aby bola dotknutá osoba informovaná o svojich právach, najmä práve súhlas kedykoľvek odvolať.
Súhlas dotknutej osoby nemôže prevádzkovateľ iba skryť v zmluve alebo obchodných podmienkach. Súhlas musí byť udelený jednoznačne, a to aktívnym konaním dotknutej osoby. V praxi sa na to využívajú tzv. check-boxy (či už v zmluvách alebo na webstránkach).
Plnenie zmluvy [čl. 6 ods. 1 písm. b) Nariadenia GDPR]
Prevádzkovateľ umelej inteligencie (AI) môže spracúvať osobné údaje dotknutých osôb aj z dôvodu, že to je potrebné na plnenie zmluvy medzi ním a dotknutou osobou. Každá zmluva musí totiž obsahovať aspoň identifikáciu zmluvných strán v rozsahu meno a priezvisko, bydlisko a dátum narodenia.
Na druhej strane v zásade platí, že iné osobné údaje nie sú pre plnenie zo zmluvy potrebné. Samozrejme tu existujú určité výnimku (email alebo telefónne číslo – ak je potrebné na plnenie zmluvy alebo komunikáciu s druhou zmluvnou stranou a pod.).
Právna povinnosť prevádzkovateľa [čl. 6 ods. 1 písm. c) Nariadenia GDPR]
Prevádzkovateľ umelej inteligencie (AI) je oprávnený spracúvať osobné údaje aj vtedy, ak mu ich spracúvanie prikazuje zákon alebo iný právny predpis.
Ideálnym príkladom sú údaje zamestnanca, ktoré zamestnávateľ potrebuje na jeho prihlásenie do Sociálnej poisťovne, zdravotnej poisťovne a na daňový úrad.
Tento právny základ nebude pri AI takmer vôbec využívaný.
Ochrana životne dôležitých záujmov fyzickej osoby [čl. 6 ods. 1 písm. d) Nariadenia GDPR]
Tento právny základ nie je pomerne častý, ale o to dôležitejší. Najčastejšie ho používajú zdravotnícke zariadenia a nemocnice pri ochrane pacienta v ohrození života alebo na ochranu jeho zdravia. Typické je to však práve pre urgentné situácie, kedy nie je možné spracúvať osobné údaje na základe iných právnych základov.
Oprávnený záujem prevádzkovateľa alebo tretej strany [čl. 6 ods. 1 písm. f) Nariadenia GDPR]
V mnohých prípadoch nie je možné použiť iný právny základ ako je oprávnený záujem prevádzkovateľa. Ide o najflexibilnejší právny základ spracúvania osobných údajov, ale zároveň aj ten najrizikovejší.
Jeho podstatou je oprávnený záujem prevádzkovateľa na spracúvaní určitých osobných údajov dotknutých osôb. Napríklad, firma si nainštaluje kamerový systém do skladu. Firma má totiž oprávnený záujem chrániť zdravie zamestnancov v sklade a svoj majetok, ktorý je v sklade umiestnený.
Na druhej strane tu však máme záujem dotknutých osôb (zamestnancov) na ochrane osobných údajov, svojej podobizne a svojho súkromia.
Preto sa pri použití tohto právneho základu vyžaduje vykonať test proporcionality (niekedy sa používa aj pojem balančný test). Ním prevádzkovateľ vlastne zisťuje, či jeho oprávnený záujem (mať kamerový systém) neprevyšuje nad oprávneným záujmom zamestnancov na ochranu ich osobných údajov, podobizne a svojho súkromia.
Informačná povinnosť voči dotknutým osobám
Prevádzkovateľ AI, ktorý prostredníctvom umelej inteligencie (AI) spracúva osobné údaje, je povinný informovať o tom dotknuté osoby. Dotknuté osoby musia byť jednoducho a jasne informované, že k spracúvaniu ich osobných údajov dochádza prostredníctvom umelej inteligencie (AI). Okrem toho je prevádzkovateľ umelej inteligencie (AI) povinný informovať dotknuté osoby o tom, aké kategórie ich osobných údajov spracúva, na aké účely, ako dlho a mnoho iného.
Splnenie informačnej povinnosti je prevádzkovateľ umelej inteligencie (AI) povinný pri kontrole preukázať Úradu na ochranu osobných údajov. Nakoľko však ide o jednostranný úkon prevádzkovateľa AI, postačí, aby sa dotknutá osoba oboznámila s potrebnými informáciami v rámci webovej stránky, prípadne aplikácie, e-mailom a pod.
Bezpečnosť osobných údajov
Prevádzkovateľ AI je povinný zabezpečiť primerané technické a organizačné opatrenia s účelom zaistiť čo najvyššiu možnú mieru bezpečnosti osobných údajov.
Prevádzkovateľ AI je pritom povinný zobrať do úvahy, okrem iného, pseudonymizáciu, šifrovanie, integritu a dostupnosť osobných údajov, náklady na zavedenie týchto opatrení ako aj rozsah a kontext spracúvania osobných údajov.
S bezpečnosťou osobných údajov pri využívaní umelej inteligencie (AI) súvisí, okrem vyššie uvedených, aj kybernetická bezpečnosť – odolnosť umelej inteligencie (AI) pred útokmi zvonku alebo pred jej zneužitím.
Kompletná GDPR dokumentácia
Ochrana osobných údajov je postavená na zodpovednosti prevádzkovateľa. Prevádzkovateľ preto nesie úplnú zodpovednosť za to, že spracúvanie osobných údajov je vykonávané v súlade s požiadavkami Nariadenia GDPR.
Aby to však prevádzkovateľ vedel preukázať, musí si viesť podrobnú dokumentáciu o spracúvaní osobných údajov – tzv. GDPR dokumentáciu.
Dokumentácia k ochrane osobných údajov pozostáva minimálne z nasledovných druhov dokumentov:
- záznam o spracovateľských činnostiach – ide o zoznam každého účelu, na ktorý prevádzkovateľ spracúva osobné údaje, s uvedením kategórie osobných údajov, ktoré spracúva, akých dotknutých osôb sa to týka, aký je právny základ spracúvania, ako dlhu budú osobné údaje spracúvané a pod.
- interná smernica o ochrane osobných údajov – ktorá obsahuje základné pravidlá pre spracúvanie osobných údajov v konkrétnej firme alebo organizácii. Je to základný interný dokument, ktorý dáva odpovede na všetky podstatné otázky, ktoré sa pri spracúvaní vyskytnú.
- oboznámenia o spracúvaní osobných údajov – ide o dokumenty, ktorými si prevádzkovateľ plní svoju informačnú povinnosť voči dotknutým osobám. Každá osoba, ktorej osobné údaje prevádzkovateľ spracúva, musí byť o spracúvaní riadne a včas informovaná.
- poverenia a poučenia konateľov a zamestnancov, ktorí spracúvajú osobné údaje. Firma a ani organizácia totiž sama nemôže spracúvať osobné údaje, musí tak preto robiť prostredníctvom fyzických osôb. Poverením a poučením firma alebo organizácia poveria konateľov a príslušných zamestnancov, ktorí pracujú s osobnými údajmi, a súčasne ich aj poučia o ich povinnostiach.
- zmluvy o poverení so spracúvaním osobných údajov so sprostredkovateľmi – každý prevádzkovateľ používa na spracúvanie niektorých osobných údajov tzv. sprostredkovateľov. Teda osoby, ktoré pre prevádzkovateľa vykonávajú niektoré spracovateľské operácie namiesto neho. Ideálnym príkladom je účtovná spoločnosť, ktorá pre prevádzkovateľa spracúva mzdovú a personálnu agendu a fakturáciu. Prevádzkovateľ pritom musí mať s každým sprostredkovateľom uzavretú zmluvu.
Požiadavky Nariadenia o AI
Tak ako profilovanie, aj automatizované rozhodovanie, ktoré vykonáva umelá inteligencia (AI), spadá nielen pod Nariadenie GDPR ale aj pod Nariadenie o AI.
Umelá inteligencia (AI), ktorá profiluje jednotlivcov alebo o nich automatizovane rozhoduje, môže spadať pod tzv. vysokorizikovú umelú inteligenciu (AI). Je tomu tak vtedy, ak je použitá vo:
- vzdelávaní – prístup do vzdelávacích inštitúcií ako sú školy, kurzy, na vyhodnotenie výstupov žiakov a študentov, monitorovanie zakázaného správania v školách a iných vzdelávacích inštitúciách;
- zamestnaní – nábor alebo výber nových zamestnancov, napríklad triedenie životopisov, rozhodovanie o pracovných podmienkach, pracovnom postupe v kariére, ukončení zamestnania;
- prístupe k základným službám – posúdenie úverovej bonity, kreditného rizika, určenie konečnej ceny tovaru alebo služby;
- prístupe k základným verejným službám – oprávnenosť sociálnej dávky, verejnej dávky, verejnej pomoci, zdravotnej starostlivosti.
Požiadavky Nariadenia o AI o vysokorizikovej umelej inteligencii (AI) budú síce účinné až od 02. augusta 2026, je však potrebné sa na ne už dopredu pripraviť. Nielen pri vývoji ale aj pri nasadení umelej inteligencie (AI) do firmy.
Pri vysokorizikovej umelej inteligencii (AI) sa treba pripraviť, okrem iného, aj nasledovné požiadavky:
- posúdenie zhody vysokorizikovej umelej inteligencie (AI) s Nariadením o AI, vrátane vyhlásenia o zhode;
- systém riadenia rizík, ktorý zahŕňa pravidelnú a systematickú analýzu a identifikáciu známych rizík, predpokladaných rizík a prijatie vhodných a cielených opatrení na minimalizáciu týchto rizík;
- údaje na trénovanie, validáciu a testovanie musia byť kvalitné, relevantné a reprezentatívne;
- vypracovanie technickej dokumentácie a vedenie záznamov o fungovaní vysokorizikovej umelej inteligencie (AI);
- transparentnú prevádzku, ktorá umožní používateľom správne interpretovať výstupy umelej inteligencie (AI);
- zabezpečiť účinný ľudský dohľad, ktorý zabezpečí prevenciu alebo predvídanie rizík, ich minimalizáciu;
- zabezpečiť presnosť, spoľahlivosť a kybernetickú bezpečnosť umelej inteligencie (AI);
- zabezpečiť systém riadenia kvality.
Sumár:
Profilovanie osobných údajov najčastejšie vykonávajú stroje, a v dnešnej dobe čím ďalej, tým viac práve umelá inteligencia (AI).
Pri profilovaní osobných údajov za pomoci umelej inteligencie (AI) však často pôjde o vysokorizikovú umelú inteligenciu (AI). Vysokoriziková umelá inteligencia (AI) pritom musí spĺňať aj požiadavky Nariadenia o AI.
Okrem Nariadenia o AI, sa na profilovanie osobných údajov vzťahujú aj požiadavky Nariadenia GDPR.
Ustanovenia o vysokorizikovej umelej inteligencii (AI) nadobúdajú účinnosť až 02. augusta 2026, čo dáva povinným osobám (poskytovateľ AI, nasadzujúci subjekt) dostatočný časový priestor na splnenie požiadaviek Nariadenia o AI.
Používate vo firme umelú inteligenciu? Kontaktujte nás a dohodnite si úvodnú bezplatnú konzultáciu, aby ste zisitli, aké požiadavky Nariadenia GDPR ale aj Nariadenia o AI musíte splniť.
