Svet technológií sa v posledných dvoch rokoch otriasol v základoch pod vplyvom masívneho nástupu generatívnej umelej inteligencie. Zatiaľ čo firmy sa predbiehajú v implementácii AI nástrojov na zefektívnenie procesov, právne oddelenia dvíhajú varovný prst. V centre tohto napätia stojí GDPR – nariadenie, ktoré bolo navrhnuté v čase, keď o modeloch ako GPT-4 či Claude málokto sníval. Implementácia umelej inteligencie prináša zásadnú otázku: Kto nesie zodpovednosť, keď algoritmus spracuje údaje nezákonne, vygeneruje diskriminačný výsledok alebo vyzradí citlivé tajomstvo? Právna zodpovednosť nie je v digitálnom priestore rozložená rovnomerne a nejasnosť v tom, či za chybu zodpovedá vývojár, poskytovateľ platformy alebo koncový firemný používateľ, vytvára nebezpečné vákuum. Tento text podrobne rozoberá mechanizmy zodpovednosti a identifikuje, kto v skutočnosti „nesie kožu na trh“ v prípade miliónových sankcií, ktoré európske regulačné orgány neváhajú udeľovať.
Kto nesie zodpovednosť za porušenie GDPR pri používaní AI?
V kontexte GDPR sa zodpovednosť za porušenie ochrany osobných údajov pri používaní umelej inteligencie primárne pripisuje prevádzkovateľovi (controller), teda subjektu, ktorý určuje účel a prostriedky spracúvania údajov. Ak firma nasadí AI nástroj na analýzu správania svojich zákazníkov alebo zamestnancov, stáva sa prevádzkovateľom a nesie plnú právnu zodpovednosť za prípadné úniky alebo zneužitie dát. Vývojár AI modelu môže vystupovať ako sprostredkovateľ (processor), ak údaje spracúva len podľa pokynov firmy, no v momente, keď využíva vložené dáta na ďalší tréning vlastných algoritmov, jeho rola sa mení a preberá vlastnú časť zodpovednosti. Určenie viny teda závisí od toho, v ktorej fáze životného cyklu AI k porušeniu došlo – či pri tréningu modelu, alebo pri jeho praktickom používaní koncovým klientom.
Klasifikácia rolí v ekosystéme umelej inteligencie
Aby sme pochopili, kto zaplatí pokutu, musíme najprv definovať role podľa článku 4 GDPR. V prípade AI systémov je toto delenie často komplikované, pretože hranice medzi tým, kto dáta vlastní a kto ich technicky spracúva, sa stierajú. Prevádzkovateľ je ten, kto povie: „Chcem použiť AI na tento konkrétny účel.“ Práve tento subjekt je v prvej línii pri kontrole zo strany dozorného orgánu.
Na druhej strane stojí sprostredkovateľ, ktorým je zvyčajne poskytovateľ softvéru ako služby (SaaS). Ak firma využíva API rozhranie tretej strany, poskytovateľ tejto technológie musí zmluvne garantovať, že údaje nebudú zneužité. Ak však dôjde k porušeniu kvôli zlej konfigurácii na strane firmy, poskytovateľ je „z obliga“. Často však dochádza k situácii spoločných prevádzkovateľov, kde obe strany spoločne určujú podmienky spracúvania, čo znamená, že v prípade žaloby môžu niesť zodpovednosť spoločne a nerozdielne.
Tri kritické oblasti, kde algoritmy narážajú na zákon
Porušenie GDPR v súvislosti s AI sa najčastejšie deje v troch špecifických rovinách, ktoré majú potenciál vyústiť do astronomických sankcií:
- Nedostatočný právny základ pre tréning: Mnoho modelov bolo trénovaných na dátach zozbieraných z internetu (tzv. web scraping) bez vedomia dotknutých osôb. Ak model obsahuje osobné údaje získané bez súhlasu alebo legitímneho záujmu, samotná jeho existencia môže byť v EÚ protiprávna.
- Halucinácie a právo na opravu: GDPR zaručuje občanom právo na správnosť údajov. Ak AI vygeneruje o osobe nepravdivú informáciu (halucináciu), ktorú prevádzkovateľ nie je schopný opraviť v rámci databázy modelu, dochádza k priamemu porušeniu nariadenia.
- Netransparentné automatizované rozhodovanie: Článok 22 GDPR zakazuje rozhodnutia založené výlučne na automatizovanom spracúvaní, ktoré majú pre človeka právne účinky. Ak AI zamietne pôžičku alebo vyradí uchádzača o zamestnanie bez ľudského zásahu, zodpovednosť nesie firma, ktorá tento systém nasadila.
Zodpovednosť vývojára vs. zodpovednosť používateľa
Pri riešení otázky, kto nesie „kožu na trh“, je nevyhnutné rozlišovať medzi chybou v dizajne a chybou v používaní. Ak vývojár dodá model, ktorý je „z výroby“ nastavený tak, že neumožňuje vymazanie údajov (právo na zabudnutie), nesie zodpovednosť za nedodržanie princípu Privacy by Design. V takom prípade môžu regulačné úrady cieliť priamo na technologického giganta.
Väčšina incidentov však vzniká na strane implementácie. Ak zamestnanec firmy vloží citlivé zmluvy alebo osobné údaje klientov do verejne dostupného AI chatu, ktorý tieto dáta ukladá na ďalšie učenie, dochádza k bezpečnostnému incidentu na strane zamestnávateľa. V tomto scenári firma nemôže viniť vývojára AI, pretože porušila vlastné bezpečnostné protokoly a povinnosť poučiť zamestnancov. Zodpovednosť je teda v drvivej väčšine prípadov na strane subjektu, ktorý má s dotknutou osobou priamy vzťah.
Dopad nového aktu o umelej inteligencii (AI Act) na sankcie
Okrem GDPR vstupuje do hry aj nový Akt o umelej inteligencii (AI Act), ktorý dopĺňa režim zodpovednosti. Tento právny predpis rozdeľuje AI systémy podľa miery rizika. Pri vysokorizikových systémoch (napr. v zdravotníctve alebo školstve) sú kladené extrémne nároky na dokumentáciu a kvalitu dát. Ak firma nasadí vysokorizikovú AI bez posúdenia vplyvu na ochranu údajov (DPIA), riskuje pokuty, ktoré môžu byť dokonca vyššie ako tie podľa GDPR – až do výšky 35 miliónov eur alebo 7 % celosvetového obratu.
Tento dualizmus zákonov znamená, že prevádzkovatelia musia sledovať nielen to, ako s dátami nakladajú, ale aj to, akú technológiu používajú. Právna zodpovednosť sa stáva viacvrstvovou. Už nejde len o to, či dáta unikli, ale aj o to, či bol samotný algoritmus dostatočne robustný, transparentný a vysvetliteľný pre koncového používateľa a dozorný orgán.
6 krokov k minimalizácii rizika miliónovej pokuty
Aby firmy eliminovali riziko, že sa stanú obeťou prísnych regulácií, musia prijať proaktívnu stratégiu riadenia AI rizík. Nie je možné čakať na prvý incident, pretože v digitálnom svete sú následky okamžité a nezvratné.
- 1. Vykonanie DPIA: Posúdenie vplyvu na ochranu údajov je pri nasadzovaní AI nevyhnutnosťou, nie voľbou.
- 2. Uzatvorenie striktných DPA zmlúv: So všetkými dodávateľmi AI riešení musia byť podpísané zmluvy o spracúvaní údajov (Data Processing Agreements).
- 3. Implementácia technických opatrení: Používanie anonymizácie, pseudonymizácie a techník „data masking“ pred odoslaním dát do AI modelu.
- 4. Interná politika používania AI: Jasné pravidlá pre zamestnancov, ktoré nástroje môžu používať a aké typy dát do nich môžu vkladať.
- 5. Pravidelný audit algoritmov: Testovanie AI výstupov na prítomnosť predpojatosti (bias) a nepresností.
- 6. Transparentnosť voči klientom: Informovanie dotknutých osôb o tom, že ich údaje spracúva umelá inteligencia, v súlade s článkami 13 a 14 GDPR.
Problematika zodpovednosti za chyby umelej inteligencie v kontexte GDPR ukazuje, že technológia predbehla legislatívnu pripravenosť mnohých podnikov, no nie prísnosť regulačných orgánov. Hoci sa diskusia často točí okolo „inteligentných algoritmov“, z právneho hľadiska algoritmus nemá právnu subjektivitu a nemôže niesť vinu. Zodpovednosť vždy končí u človeka alebo právnickej osoby, ktorá sa rozhodla tento nástroj využiť na dosiahnutie svojich cieľov. Či už ide o neúmyselný únik dát cez prompt v ChatGPT, alebo o diskriminačné rozhodnutie pri nábore zamestnancov, kožu na trh nesie v prvom rade prevádzkovateľ, teda firma, ktorá AI integrovala do svojej štruktúry.
Je nevyhnutné si uvedomiť, že delegovanie úloh na stroj neznamená delegovanie právnej zodpovednosti. Vývojári nesú časť bremena, najmä v oblasti technickej bezpečnosti a dizajnu, ale konečný súhlas s rizikom dáva používateľ systému. V ére miliónových pokút a sprísňujúcej sa legislatívy pod hlavičkou AI Actu sa „nevedomosť“ stáva najdrahším rizikom. Úspešné firmy budú tie, ktoré dokážu vybalansovať inovačný potenciál umelej inteligencie s rigoróznym prístupom k ochrane súkromia. Transparentnosť, dokumentácia a neustály dohľad nad tým, čo algoritmy s našimi údajmi robia, sú jedinou cestou, ako využívať výhody AI a zároveň sa vyhnúť likvidačným sankciám, ktoré môžu zničiť reputáciu budovanú desiatky rokov.
