Врегулювання питання обробки персональних даних штучним інтелектом у загальному регламенті із захисту персональних даних (GDPR)

Актуальні питання та виклики, пов’язані з обробкою персональних даних за допомогою технологій штучного інтелекту в умовах швидкого розвитку цифрової економіки. Роль національних органів та органів із захисту даних у забезпеченні дотримання вимог GDPR.

Рубрика Программирование, компьютеры и кибернетика
Вид статья
Язык украинский
Дата добавления 15.10.2024
Размер файла 63,0 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

НН Інституту міжнародних відносин, Київський національний університет імені Тараса Шевченка

ВРЕГУЛЮВАННЯ ПИТАННЯ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ ШТУЧНИМ ІНТЕЛЕКТОМ У ЗАГАЛЬНОМУ РЕГЛАМЕНТІ ІЗ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ (GDPR)

Базалицький Віталій Ігорович

аспірант кафедри міжнародного права

м. Київ

Анотація

персональний дані штучний інтелект

У статті досліджено актуальні питання та виклики, пов'язані з обробкою персональних даних за допомогою технологій штучного інтелекту (ШІ) в умовах швидкого розвитку цифрової економіки. Автор аналізує взаємозв'язок між Загальним регламентом із захисту персональних даних (GDPR) та новим Актом ЄС про штучний інтелект (EU AI Act), а також їхній вплив на правове регулювання в Україні, яка прагне гармонізувати своє законодавство з європейськими стандартами навіть в умовах воєнного часу. Підкреслено важливість забезпечення належного захисту прав і свобод фізичних осіб у контексті обробки персональних даних системами ШІ. GDPR встановлює жорсткі вимоги щодо обробки персональних даних, підвищує рівень захисту прав суб'єктів даних та встановлює більш узгоджений режим захисту персональних даних у межах ЄС. Акт ЄС про ШІ доповнює GDPR, встановлюючи додаткові вимоги до безпечного розвитку та використання систем ШІ, зокрема щодо технічної безпеки, прозорості та відповідності правам людини. Проаналізовано роль національних компетентних органів та органів із захисту даних (DPA) у забезпеченні дотримання вимог GDPR та Акта ЄС про ШІ. На основі останніх досліджень і публікацій, у статті розглядаються приклади дій DPA щодо контролю за використанням систем ШІ, зокрема, випадки накладення штрафів на компанії Deliveroo та Clearview AI за порушення вимог GDPR. Такі заходи свідчать про зростаючу важливість інтеграції національних та міжнародних правових норм для ефективного регулювання обробки персональних даних із використанням ШІ. Основні висновки статті підкреслюють необхідність постійного оновлення регуляторних механізмів у зв'язку з швидким розвитком технологій ШІ. Використання ШІ повинно супроводжуватися впровадженням належних захисних заходів для захисту персональних даних, що дозволить забезпечити позитивний вплив цієї технології на суспільство без шкоди для прав і свобод осіб. Таким чином, ефективне регулювання обробки персональних даних із використанням ШІ є необхідним для забезпечення балансу між інноваціями та захистом конфіденційності, сприяючи створенню безпечного та справедливого цифрового середовища.

Ключові слова: Загальний регламент із захисту персональних даних (GDPR), штучний інтелект (ШІ), Акт ЄС про штучний інтелект (EU AI Act), обробка персональних даних, захист прав і свобод, національні органи захисту даних (DPA).

Abstract

Bazalytskyi Vitalii Ihorovych Postgraduate student of the Department of International Law of the Institute of International Relations of Taras Shevchenko National University of Kyiv, occupation: Ministry of energy of Ukraine. Kyiv

REGULATION OF PERSONAL DATA PROCESSING BY ARTIFICIAL INTELLIGENCE IN THE GENERAL DATA PROCESSING REGULATION (GDPR)

The article explores the current issues and challenges related to the processing of personal data using artificial intelligence (AI) technologies in the context of the rapid development of the digital economy. The author analyzes the correlation between the General Data Protection Regulation (GDPR) and the new EU AI Act, as well as their impact on legal regulation in Ukraine, which seeks to harmonize its legislation with European standards even in wartime. The author emphasizes the importance of ensuring adequate protection of the rights and freedoms of individuals in the context of personal data processing by AI systems. The GDPR sets strict requirements for personal data processing, increases the level of protection of data subjects' rights and establishes a more harmonized data protection regime within the EU. The EU AI Act adds to the GDPR by establishing additional requirements for the safe development and use of AI systems, including technical safety, transparency, and compliance with human rights. The article analyzes the role of national competent authorities and data protection authorities (DPAs) in ensuring compliance with the GDPR and the EU AI Act. Based on recent research and publications, the article examines examples of DPA actions to control the use of AI systems, in particular, cases of fines imposed on Deliveroo and Clearview AI for violating the GDPR. Such measures demonstrate the growing importance of integrating national and international legal norms for effective regulation of personal data processing using AI. The main conclusions of the article emphasize the need to constantly update regulatory mechanisms due to the rapid development of AI technologies. The use of AI should be accompanied by the introduction of appropriate protective measures to protect personal information, which will ensure the positive impact of this technology on society without harm to the rights and freedoms of individuals. Thus, effective regulation of personal data processing with the use of AI is necessary to strike a balance between innovation and privacy protection, contributing to the creation of a safe and fair digital environment.

Keywords: General Data Protection Regulation (GDPR), artificial intelligence (AI), EU AI Act, personal data processing, protection of rights and freedoms, national data protection authorities (DPA)

Постановка проблеми

Сучасні тенденції розвитку штучного інтелекту (ШІ) створюють нові виклики в обробці персональних даних, що потребує вдосконалення правових рамок для забезпечення захисту прав і свобод фізичних осіб. Загальний регламент із захисту персональних даних (GDPR) Європейського Союзу встановлює жорсткі вимоги щодо обробки персональних даних, а Акт ЄС про штучний інтелект (EU AI Act), прийнятий 13 березня 2024 року, створює додаткові вимоги до безпечного розвитку та використання систем ШІ. Україна, як кандидат в члени ЄС, повинна відповідати сучасним тенденціям та інтегрувати європейські стандарти у своє законодавство, навіть в умовах воєнного часу. Це створює необхідність для українських організацій забезпечити відповідність їх діяльності вимогам GDPR та новим стандартам, встановленим Актом ЄС про ШІ. Завдання полягає в тому, щоб організації могли успішно впроваджувати ШІ, дотримуючись вимог щодо захисту персональних даних. Важливо забезпечити прозорість, справедливість та безпеку в процесі обробки даних, особливо у високоризикових системах ШІ. Це включає належне управління даними, впровадження оцінок впливу на захист персональних даних (DPIA) та забезпечення ефективного людського нагляду за автоматизованими рішеннями. Таким чином, гармонізація українського законодавства з європейськими стандартами у сфері обробки персональних даних та використання ШІ є важливим кроком для забезпечення захисту прав і свобод громадян України в умовах швидкого розвитку цифрових технологій та викликів сучасного світу.

Аналіз останніх досліджень і публікацій

Регулювання обробки персональних даних, зокрема із використанням технологій штучного інтелекту (ШІ), є актуальною темою в сучасній правовій науці. Різні правові системи, такі як Європейський Союз, США та Бразилія, впроваджують власні регуляторні механізми для забезпечення захисту даних. Одним із перших і найвпливовіших нормативних актів є Загальний регламент із захисту персональних даних (GDPR), що встановив нові стандарти захисту даних у Європейському Союзі. Вплив GDPR помітний не лише на території ЄС, але і в інших частинах світу. Наприклад, Закон про конфіденційність споживачів Каліфорнії (CCPA) значною мірою орієнтований на принципи GDPR, адаптуючи їх до специфіки американського законодавства. Аналогічно, Бразилія прийняла Закон про загальний захист персональних даних (LGPD), що відображає ключові аспекти GDPR у бразильському контексті. Вашингтонський закон про конфіденційність також демонструє вплив європейського підходу до захисту даних. Новим етапом розвитку регулювання зазначеного питання є прийняття Акта ЄС про штучний інтелект (EU AI Act), що вводить додаткові вимоги до безпечного розвитку та використання систем ШІ. Цей акт, у поєднанні з GDPR, створює комплексну нормативну базу, спрямовану на захист прав суб'єктів даних у цифрову епоху. Основна мета Акта про ШІ полягає в забезпеченні технічної безпеки систем ШІ, а також у встановленні вимог до їх прозорості та відповідності правам людини. Важливу роль у забезпеченні дотримання цих нормативних актів відіграють національні органи захисту даних (DPA), які здійснюють нагляд за дотриманням GDPR та Акта ЄС про ШІ. Такі органи вже мають досвід у накладенні санкцій за порушення вимог щодо обробки даних, що підтверджується низкою прецедентів, таких як штрафи, встановлені компаніям Deliveroo та Clearview AI за порушення GDPR. Отже, аналіз останніх досліджень і публікацій свідчить про важливість інтеграції національних та міжнародних правових норм для ефективного регулювання обробки персональних даних, особливо з використанням ШІ. Такий підхід забезпечує належний захист прав суб'єктів даних та сприяє гармонізації правових систем у глобальному масштабі.

Метою статті є дослідження сучасних тенденцій та викликів у регулюванні обробки персональних даних із використанням технологій штучного інтелекту в контексті Загального регламенту із захисту персональних даних (GDPR). Стаття прагне висвітлити взаємозв'язок між GDPR та новим Актом ЄС про штучний інтелект (EU AI Act), аналізуючи їх вплив на правове регулювання в Україні та необхідність гармонізації національного законодавства з європейськими стандартами. Особлива увага приділяється ролі національних компетентних органів та органів захисту персональних даних у забезпеченні дотримання вимог щодо обробки персональних даних та впровадження штучного інтелекту, враховуючи сучасні виклики, зумовлені воєнним станом у країні.

Виклад основного матеріалу

Загальний регламент із захисту персональних даних (GDPR) є важливою віхою в юридичній історії захисту даних. GDPR створив нові обов'язки для організацій, що обробляють персональні дані, підвищив рівень вимог щодо захисту прав суб'єктів даних і встановив більш узгоджений режим захисту даних по всьому ЄС. Прийнятий після чотирирічних обговорень, GDPR був необхідний для модернізації законодавства з метою захисту прав і свобод осіб у контексті цифрової економіки. Він вплинув на законодавство про захист даних у всьому світі, а саме на Закон про конфіденційність споживачів Каліфорнії 2018 року (CCPA) [1], Закон про загальний захист персональних даних у Бразилії (LGPD) [2] та Вашингтонський закон про конфіденційність [3].

Закон про конфіденційність споживачів Каліфорнії 2018 року (CCPA) має багато схожих рис з GDPR, але включає додаткові вимоги, такі як право споживачів на відмову від продажу їхніх даних третім сторонам, а також обов'язок компаній надавати очевидні повідомлення щодо збирання і використання персональних даних [1]. LGPD у Бразилії, подібно до GDPR, встановлює принципи законності, прозорості та безпеки при обробці персональних даних. Однак, LGPD має свої особливості, зокрема, зосереджуючи увагу на захисті прав бразильських громадян і запроваджуючи обов'язок призначення офіційних уповноважених із захисту даних для багатьох організацій [2]. Вашингтонський закон про конфіденційність (WPA) включає положення, які базуються на принципах GDPR, але також приділяє увагу спеціальним категоріям даних, таким як дані про здоров'я та фінансові дані, та вимагає від компаній дотримання високих стандартів безпеки даних [3]. Дані нормативні акти відображають глобальний вплив GDPR та підкреслюють необхідність гармонізації законодавства про захист даних на міжнародному рівні для забезпечення належного захисту прав суб'єктів даних у цифровому просторі.

13 березня 2024 року на пленарному засіданні Європейського парламенту було формально прийнято ЄС Акт про штучний інтелект (AI Act) [4] у першому читанні. 21 травня 2024 року Європейська Комісія формально прийняла цей Акт. Очікується, що впродовж червня-липня 2024 року його буде опубліковано в Офіційному журналі Європейського Союзу, після чого від набуде чинності через 20 днів. Системи штучного інтелекту (ШІ) залежать від вхідних даних на всіх етапах свого розвитку, включаючи початковий розвиток, фазу навчання та у період фактичного використання. Враховуючи широке визначення персональних даних відповідно до європейських законів про захист даних, розвиток і використання систем ШІ часто призводить до обробки персональних даних. Основна мета Акта про AI ЄС полягає у забезпеченні безпеки технічного розвитку та використання систем ШІ. З декількома винятками, він не створює жодних прав для окремих осіб. На противагу цьому, Загальний регламент із захисту персональних даних є законом про основні права, який надає фізичним особам широкий спектр прав щодо обробки їхніх даних. Таким чином, Акт про AI ЄС та GDPR призначені для спільного використання, при цьому останній заповнює прогалини у питаннях прав осіб в ситуаціях, коли системи ШІ використовують дані, що стосуються живих осіб. Отже, оскільки ШІ стає регульованою технологією через Акт про AI ЄС, фахівці та організації повинні розуміти тісний взаємозв'язок між європейським законодавством про захист персональних даних та Актом про AI ЄС.

Загальний регламент із захисту персональних даних (GDPR) є технологічно нейтральним регламентом. Оскільки визначення «обробки» відповідно до GDPR є широким (і на практиці включає майже всі дії, що проводяться з персональними даними, включаючи їх зберігання), очевидно, що GDPR застосовується до систем ШІ, в тій мірі, в якій персональні дані присутні на будь-якому етапі життєвого циклу системи ШІ. Технічно дуже складно відокремити персональні дані від неперсональних, що збільшує ймовірність обробки персональних даних системами ШІ на певному етапі їх життєвого циклу. Хоча ШІ не згадується безпосередньо в GDPR, рамка для автоматизованого прийняття рішень (стаття 22 GDPR) [5] служить формою непрямого контролю за використанням систем ШІ, на основі того, що системи ШІ часто використовуються для автоматизованого прийняття рішень, які впливають на окремих осіб. У деяких аспектах існує напруженість між GDPR та ШІ. ШІ зазвичай вимагає збору великих обсягів даних (особливо на етапі навчання), тоді як багато систем ШІ мають широкий спектр можливих застосувань (відображаючи імітацію інтелекту, схожого на людський), що ускладнює чітке визначення «цілей обробки». Водночас, існує очевидне перетинання між багатьма принципами захисту даних та принципами і вимогами, встановленими Актом ЄС про ШІ для безпечного розвитку та використання систем ШІ. Взаємозв'язок між ШІ та захистом персональних даних чітко визнаний у тексті Акта ЄС про ШІ, де зазначається, що він не порушує положень GDPR. При розробці Акта ЄС про ШІ Європейська комісія частково спиралася на статтю 16 Договору про функціонування Європейського Союзу (TFEU), яка зобов'язує ЄС встановлювати правила, що стосуються захисту осіб у процесі обробки персональних даних [6].

До прийняття Акта ЄС про штучний інтелект (AI Act), органи захисту персональних даних ЄС (DPA) були серед перших регуляторних органів, що вживали заходів щодо використання систем ШІ. Ці заходи впроваджувалися з низки причин, зокрема через відсутність правових підстав для обробки персональних даних або спеціальних категорій персональних даних, відсутність прозорості, зловживання автоматизованим прийняттям рішень, невиконання прав суб'єктів даних та проблеми з точністю даних. Існують численні приклади дій з боку DPA. Найбільш помітними з них є тимчасова заборона накладена італійським DPA на використання ChatGPT від OpenAI, штраф, накладений італійським DPA на компанію Deliveroo за автоматизоване оцінювання продуктивності кур'єрів [7], штраф, застосований французьким DPA щодо платформи Clearview AI [8], що використовує технологію розпізнавання облич та збирає мільярди фотографій з інтернету, а також штрафування голландським DPA Податкової та митної адміністрації Нідерландів за різні порушення GDPR, пов'язані з додатком для сповіщення про шахрайство на базі ШІ [9]. Оскільки органи DPA формують свої політики контролю частково на основі громадських занепокоєнь, і оскільки громадська обізнаність та інтерес до ШІ продовжують зростати, ймовірно, що органи DPA будуть продовжувати загострювати свою увагу на ШІ (розділ 6 про органи DPA як потенційного контролюючого органу Акта ЄС про ШІ) [10].

Матеріальний обсяг GDPR охоплює обробку персональних даних повністю або частково автоматизованими засобами, або ручну обробку персональних даних, якщо ці дані є частиною відповідної системи зберігання даних (стаття 2 GDPR) [11]. Територіальний обсяг GDPR визначений у статті 3 GDPR і охоплює різні сценарії [12]. Відповідно, GDPR має екстериторіальне застосування, що означає: контролери та оператори, які зареєстровані в ЄС і здійснюють обробку в контексті цієї реєстрації, повинні дотримуватися GDPR, навіть якщо обробка персональних даних відбувається в третій країні. Контролери та оператори, які не є резидентами ЄС, також повинні дотримуватися GDPR, якщо вони орієнтуються на осіб у ЄС або здійснюють моніторинг за їхньою поведінкою. З іншого боку, матеріальний обсяг Акта ЄС про ШІ базується на його визначенні системи ШІ. Територіально, Акт ЄС про ШІ застосовується до постачальників, впроваджувачів, імпортерів, дистриб'юторів та уповноважених представників. На відміну від GDPR, Акт ЄС про ШІ має чітку категоризацію ризиків і встановлює різні обов'язки для різних категорій ризику ШІ. Більшість обов'язків згідно з Актом ЄС про ШІ застосовуються лише до систем ШІ високого ризику (розглянутих у статті 6 та Додатку III Акта ЄС про ШІ) [13]. Різні системи ШІ також підпадають під специфічні зобов'язання (такі як моделі загального призначення ШІ) та зобов'язання щодо прозорості (такі як системи емоційного категорування).

Оскільки GDPR розрізняє контролерів та операторів, Акт ЄС про ШІ також розрізняє різні категорії регульованих операторів. Найбільш значущими на практиці є провайдер (оператор, який розробляє систему ШІ або доручає її розробку) та впроваджувач (оператор, під керівництвом якого використовується система ШІ). Організації, що обробляють персональні дані у процесі розробки або використання системи ШІ, повинні враховувати ролі, які вони виконують згідно з GDPR та Актом ЄС про ШІ. Деякі приклади наведено нижче.

Таблиця 1

Приклад 1

Приклад 2

Провайдер (Акт ЄС про ШІ) та контролер (GDPR)

Впроваджувач (Акт ЄС про ШІ) та контролер (GDPR)

Компанія (A), яка

обробляє персональні дані у контексті навчання нової

системи ШІ, буде діяти як провайдер згідно з Актом ЄС про ТТТТ та як контролер згідно з GDPR. Це тому, що компанія розробляє нову систему ШІ і, в рамках цієї розробки, приймає рішення щодо обробки

персональних даних для

навчання системи ШІ.

Компанія (B), яка купує систему ШІ, описану в Прикладі 1, від компанії A і використовує її у спосіб, що включає обробку персональних даних (наприклад, як чат-бот для спілкування з клієнтами або як автоматизований інструмент для набору персоналу), буде діяти як впроваджувач згідно з Актом ЄС про ШІ та як окремий контролер згідно з GDPR щодо обробки своїх власних персональних даних (тобто, вона не є контролером для персональних даних, використаних для первинного навчання системи ШІ, але є для будьяких даних, які вона використовує у поєднанні з цією системою ШІ).

Більш складні сценарії можуть виникнути, коли компанії пропонують послуги, що включають обробку персональних даних та використання системи ШІ для обробки цих даних. Залежно від обставин, клієнти таких послуг можуть кваліфікуватися як контролери або оператори (згідно з GDPR), хоча вони зазвичай будуть впроваджувачами згідно з Актом ЄС про ШІ. Ці приклади порушують важливі питання щодо взаємозв'язку між природою ролей згідно з Актом ЄС про ШІ та їхнім відношенням до ролей згідно з GDPR, які ще мають бути вирішені на практиці. Компанії, що розробляють або впроваджують системи ШІ, повинні ретельно аналізувати свої ролі згідно з відповідними законами, бажано перед початком відповідних проектів розробки та впровадження.

Загальний регламент із захисту персональних даних (GDPR) базується на принципах захисту даних, викладених у статті 5 GDPR [14]. До цих принципів належать: законність, справедливість, прозорість, обмеження цілі, мінімізація даних, точність, обмеження зберігання, цілісність та конфіденційність.

З іншого боку, перший міжурядовий стандарт щодо штучного інтелекту, рекомендація з питань штучного інтелекту, видана Організацією економічного співробітництва та розвитку (OECD Recommendation of the Council on Artificial Intelligence, «OECD AI Principles») [15], вводить п'ять додаткових принципів для відповідального управління надійним ШІ, які тісно пов'язані з принципами GDPR: інклюзивне зростання, стійкість і добробут, цінності, орієнтовані на людину, справедливість, прозорість, пояснюваність, надійність, безпека та підзвітність.

Акт ЄС про ШІ також посилається на загальні принципи, застосовні до всіх систем ШІ, а також на конкретні зобов'язання, що вимагають впровадження цих принципів певними методами. Принципи Акта ЄС про ШІ викладені в роз'ясненні 27 [16] і під впливом принципів OECD AI та семи етичних принципів для ШІ, розроблених незалежною Високорівневою експертною групою з питань ШІ (HLEG). Хоча роз'яснення не мають такого ж юридично зобов'язуючого статусу, як основні положення, що йдуть за ними, і не можуть їх переважати, вони можуть допомогти в тлумаченні.

Роз'яснення 27 Акта ЄС про ШІ [16] стосується таких принципів: людська агенція та нагляд, технічна надійність і безпека, конфіденційність і управління даними, прозорість, різноманітність, недискримінація, справедливість, соціальне та екологічне благополуччя. Деякі з цих принципів вже реалізовані через конкретні зобов'язання Акта ЄС про ШІ: стаття 10 Акта ЄС про ШІ [17] визначає практики управління даними для систем ШІ високого ризику, стаття 13 Акта ЄС про ШІ [18] стосується прозорості, статті 14 [19] і 26 Акта ЄС про ШІ [20] вводять вимоги до нагляду та моніторингу з боку людини, стаття 27 Акта ЄС про ШІ [16] запроваджує зобов'язання щодо проведення оцінки впливу на основні права для деяких систем ШІ високого ризику.

Розуміння синергій і відмінностей між принципами GDPR та принципами Акта ЄС про ШІ дозволить організаціям використовувати свої наявні знання про GDPR та їхні існуючі програми відповідності GDPR. Це, таким чином, є важливим кроком для зниження витрат на дотримання вимог. Повний практичний запис містить вичерпні таблиці, які порівнюють практичні аспекти в цьому відношенні.

Згідно зі статтею 22 GDPR, суб'єкти даних мають право не піддаватися виключно автоматизованим рішенням, які включають обробку персональних даних та призводять до юридично значущих або подібних наслідків. У випадках, коли такі рішення приймаються, вони повинні базуватися на одній з підстав, викладених у статті 22(2) GDPR. Подібно до GDPR, Акт ЄС про ШІ також стосується забезпечення того, щоб фундаментальні права та свободи були захищені шляхом надання можливості для відповідного людського контролю та втручання (так званий ефект «людина-в-циклі») [21].

Стаття 14 Акта ЄС про ШІ [19] вимагає, щоб системи ШІ високого ризику були спроектовані та розроблені таким чином (включаючи використання відповідних інструментів інтерфейсу людина-машина), щоб вони могли ефективно контролюватися фізичними особами під час використання системи ТТТТ. Іншими словами, провайдери повинні застосовувати підхід «людський нагляд за дизайном» при розробці систем ШТ.

Згідно зі статтею 26.1 Акта ЄС про ШТ, впроваджувач системи ШТ повинен вжити відповідних технічних та організаційних заходів для забезпечення використання системи ШТ відповідно до інструкцій з використання, що супроводжують систему, включаючи людський нагляд [20].

Рівень людського нагляду та втручання, здійснюваного користувачем системи ШТ, може бути вирішальним для визначення того, чи підпадає система під рамки автоматизованого прийняття рішень згідно з GDPR. Тншими словами, значуще втручання людини на ключовому етапі процесу прийняття рішень системою ШТ може бути достатнім для забезпечення того, щоб рішення більше не було повністю автоматизованим для цілей статті 22 GDPR [21]. Можливо, більш імовірно, що системи ШТ будуть використовуватися для прийняття повністю автоматизованих рішень, але ефективний людський нагляд буде діяти як захисний механізм для забезпечення справедливості процесу автоматизованого прийняття рішень та захисту прав індивідуумів, включаючи їхні права на захист даних.

Згідно з Актом ЄС про ШТ, оцінка відповідності призначена для забезпечення підзвітності провайдера за виконання кожної з вимог Акта ЄС про ШТ щодо безпечного розвитку системи ШТ високого ризику (як викладено в Розділі III, Главі 2 Акта ЄС про ШТ) [22]. Оцінки відповідності не є оцінками ризику, а скоріше демонстративними інструментами, що показують відповідність вимогам Акта ЄС про ШТ. З іншого боку, оцінка впливу на захист персональних даних (DPIA) є обов'язковим етапом, передбаченим GDPR, для діяльності з обробки персональних даних високого ризику.

Відповідно, існують значні відмінності як у цілі, так і у формі між оцінкою відповідності та DPIA. Однак, у контексті систем ШТ високого ризику, провайдер таких систем може також потребувати проведення DPIA щодо використання персональних даних у процесі розробки та навчання системи. У такому випадку технічна документація, яка складається для оцінок відповідності, може допомогти встановити фактичний контекст для DPIA. Подібним чином технічна інформація може бути корисною для впроваджувача системи ШТ, який повинен провести DPIA щодо використання системи.

Вимога щодо проведення оцінки впливу на основні права (FRIA) згідно з Актом ЄС про ШТ концептуально схожа на DPIA. Як і DPIA, метою FRIA є виявлення та зменшення ризиків для дотримання основних прав фізичних осіб, у цьому випадку, що виникають внаслідок впровадження системи ШТ. На практиці організації, як правило, вже мають механізми управління, що дозволяють залучати юридичних, ІТ та бізнес-фахівців для проведення оцінок впливу, таких як DPIA. Щодо FRIA, такі механізми можуть бути використані. Як і у випадку з DPIA, першим кроком, ймовірно, буде попередній скринінг FRIA для визначення використання системи ШІ високого ризику (враховуючи, що, як крок хорошої практики, організації можуть вибирати проведення FRIA для ширшого спектру систем ШІ, ніж це суворо вимагається Актом ЄС про ШІ).

Згідно з Актом ЄС про ШІ, кожна держава-член зобов'язана призначити один або більше національних компетентних органів для нагляду за застосуванням і впровадженням Акта ЄС про ШІ, а також для проведення ринкового нагляду. Національні компетентні органи будуть підтримані Європейською радою зі штучного інтелекту та Європейським офісом з питань ШІ. Найбільш помітним обов'язком Європейського офісу з питань ШІ є контроль і нагляд за новими правилами щодо моделей загального призначення ШІ. Призначення органів захисту даних як контролерів за виконанням Акта ЄС про ШІ зміцнить тісний взаємозв'язок між Загальним регламентом захисту даних та Актом ЄС про ШІ. Це призначення сприятиме узгодженню наглядових функцій і забезпеченню комплексного підходу до захисту даних і регулювання штучного інтелекту в межах ЄС.

Висновки

Регулювання обробки персональних даних із використанням технологій штучного інтелекту (ШІ) є критично важливим завданням у сучасному цифровому суспільстві. Як показує аналіз останніх досліджень, ШІ здатен значно вплинути на наше життя, відкриваючи нові можливості для розвитку технологій і економіки. Однак, разом із цими можливостями виникають серйозні ризики, пов'язані з конфіденційністю та захистом персональних даних. Загальний регламент із захисту персональних даних встановлює жорсткі вимоги щодо обробки персональних даних, забезпечуючи високу ступінь захисту прав суб'єктів даних. Водночас, Акт ЄС про штучний інтелект доповнює GDPR, вводячи додаткові вимоги до розробки та використання систем ШІ. Ці нормативні акти створюють комплексну правову основу, спрямовану на забезпечення безпеки та прозорості у використанні ШІ. Україна, як країна, що прагне інтеграції до європейського простору, повинна гармонізувати своє законодавство з європейськими стандартами. Це особливо актуально в умовах воєнного часу, коли зростає необхідність у забезпеченні надійного захисту даних громадян. Національні компетентні органи та органи захисту даних відіграють ключову роль у контролі за дотриманням вимог GDPR та EU AI Act. Вони здійснюють нагляд за правомірністю обробки персональних даних, запобігають порушенням і забезпечують реалізацію прав суб'єктів даних. З огляду на швидкий розвиток технологій ШІ, регуляторні механізми повинні постійно оновлюватися, щоб відповідати новим викликам. Важливо пам'ятати, що використання ШІ повинно супроводжуватися впровадженням належних захисних заходів для охорони персональної інформації. Лише відповідальне використання цієї технології може забезпечити її позитивний вплив на суспільство, без шкоди для прав і свобод осіб. Таким чином, ефективне регулювання обробки персональних даних із використанням ШІ є необхідним для забезпечення балансу між інноваціями та захистом конфіденційності, сприяючи створенню безпечного та справедливого цифрового середовища.

Література

1. California Consumer Privacy Act (CCPA). State of California - Department of Justice - Office of the Attorney General. URL: https://oag.ca.gov/privacy/ccpa (date of access: 03.06.2024).

2. LGPD Brazil - General Personal Data Protection Act. LGPD Brazil - General Personal Data Protection Act. URL: https://lgpd-brazil.info/ (date of access: 01.06.2024).

3. Washington Privacy Act (WPA) - Consumer Privacy Act. Consumer Privacy Act. URL: https://www.consumerprivacyact.com/washington/ (date of access: 01.06.2024).

4. The Act Texts | EU Artificial Intelligence Act. EU Artificial Intelligence Act | Up-todate developments and analyses of the EU AI Act. URL: https://artificialintelligenceact.eu/theact/ (date of access: 01.06.2024).

5. Art. 22 GDPR - Automated individual decision-making, including profiling - General Data Protection Regulation (GDPR). General Data Protection Regulation (GDPR). URL: https:// gdpr-info.eu/art-22-gdpr/ (date of access: 02.06.2024).

6. EUR-Lex - 12016M016 - EN - EUR-Lex. EUR-Lex - Access to European Union law - choose your language. URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:1201 6M016 (date of access: 03.06.2024).

7. Italian Garante Fines Deliveroo 2.5M Euros for Unlawful Processing of Personal Data. Hunton Andrews Kurth LLP. URL: https://www.huntonak.com/privacy-and-informationsecurity-law/italian-garante-fines-deliveroo-2-5m-euros-for-unlawful-processing-of-personal-data (date of access: 02.06.2024).

8. The French SA fines Clearview AI EUR 20 million | European Data Protection Board. EDPB | European Data Protection Board. URL: https://www.edpb.europa.eu/news/ national-news/2022/french-sa-fines-clearview-ai-eur-20-million_en (date of access: 02.06.2024).

9. Netherlands: AP fines Ministry of Finance €3.7M for GDPR violations following investigation. DataGuidance. URL: https://www.dataguidance.com/news/netherlands-ap-finesministry-finance-37m-gdpr (date of access: 02.06.2024).

10. Section 6 Position - Webkommentar. Webkommentar. URL: https://www.webkommentar.com/ en/federal-data-protection-act-bdsg/part-i-common-provisions/chapter-3-data-protection-officersofpublic-bodies/section-6-position/ (date of access: 01.06.2024).

11. Art. 2 GDPR - Material scope - General Data Protection Regulation (GDPR). General Data Protection Regulation (GDPR). URL: https://gdpr-info.eu/art-2-gdpr/ (date of access: 03.06.2024).

12. Art. 3 GDPR - Territorial scope - General Data Protection Regulation (GDPR). General Data Protection Regulation (GDPR). URL: https://gdpr-info.eu/art-3-gdpr/ (date of access: 03.06.2024).

13. Art. 6 Classification Rules for High-Risk AI Systems - EU AI Act. EU AI Act - EU Artificial Intelligence Act. URL: https://www.euaiact.com/article/6 (date of access: 03.06.2024).

14. Art. 5 GDPR - Principles relating to processing of personal data - General Data Protection Regulation (GDPR). General Data Protection Regulation (GDPR). URL: https://gdprinfo.eu/art-5-gdpr/ (date of access: 03.06.2024).

15. OECD AI Policy Observatory Portal. The OECD Artificial Intelligence Policy Observatory - OECD.AI. URL: https://oecd.ai/en/ai-principles (date of access: 02.06.2024).

16. Art. 27 Fundamental Rights Impact Assessment for High-Risk AI Systems - EU AI Act. EU AI Act - EU Artificial Intelligence Act. URL: https://www.euaiact.com/article/27 (date of access: 03.06.2024).

17. Art. 10 Data and Data Governance - EU AI Act. EU AI Act - EU Artificial Intelligence Act. URL: https://www.euaiact.com/article/10 (date of access: 03.06.2024).

18. Art. 13 Transparency and Provision of Information to Deployers - EU AI Act. EU AI Act - EU Artificial Intelligence Act. URL: https://www.euaiact.com/article/13 (date of access.

19. Art. 14 Human Oversight - EU AI Act. EU AI Act - EU Artificial Intelligence Act. URL: https://www.euaiact.com/article/14 (date of access: 03.06.2024).

20. Art. 26 Obligations of Deployers of High-Risk AI Systems - EU AI Act. EU AI Act - EU Artificial Intelligence Act. URL: https://www.euaiact.com/article/26 (date of access.

21. Art. 22 GDPR - Automated individual decision-making, including profiling - General Data Protection Regulation (GDPR). General Data Protection Regulation (GDPR). URL: https://gdpr-info.eu/art-22-gdpr/ (date of access: 03.06.2024).

22. Section 2: Requirements for High-Risk AI Systems - EU AI Act. EU AI Act - EU Artificial Intelligence Act. URL: https://www.euaiact.com/chapter/3-2 (date of access: 02.06.2024).

References

1. California Consumer Privacy Act (CCPA). State of California - Department of Justice - Office of the Attorney General. URL: https://oag.ca.gov/privacy/ccpa (date of access: 03.06.2024).

2. LGPD Brazil - General Personal Data Protection Act. LGPD Brazil - General Personal Data Protection Act. URL: https://lgpd-brazil.info/ (date of access: 01.06.2024).

3. Washington Privacy Act (WPA) - Consumer Privacy Act. Consumer Privacy Act. URL: https://www.consumerprivacyact.com/washington/ (date of access: 01.06.2024).

4. The Act Texts | EU Artificial Intelligence Act. EU Artificial Intelligence Act | Up-todate developments and analyses of the EU AI Act. URL: https://artificialintelligenceact.eu/theact/ (date of access: 01.06.2024).

5. Art. 22 GDPR - Automated individual decision-making, including profiling - General Data Protection Regulation (GDPR). General Data Protection Regulation (GDPR). URL: https://gdpr-info.eu/art-22-gdpr/ (date of access: 02.06.2024).

6. EUR-Lex - 12016M016 - EN - EUR-Lex. EUR-Lex - Access to European Union law - choose your language. URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:1201 6M016 (date of access: 03.06.2024).

7. Italian Garante Fines Deliveroo 2.5M Euros for Unlawful Processing of Personal Data. Hunton Andrews Kurth LLP. URL: https://www.huntonak.com/privacy-and-informationsecurity-law/italian-garante-fines-deliveroo-2-5m-euros-for-unlawful-processing-of-personaldata (date of access: 02.06.2024).

8. The French SA fines Clearview AI EUR 20 million | European Data Protection Board. EDPB | European Data Protection Board. URL: https://www.edpb.europa.eu/news/ national-news/2022/french-sa-fines-clearview-ai-eur-20-million_en (date of access: 02.06.2024).

9. Netherlands: AP fines Ministry of Finance €3.7M for GDPR violations following investigation. DataGuidance. URL: https://www.dataguidance.com/news/netherlands-ap-finesministry-finance-37m-gdpr (date of access: 02.06.2024).

10. Section 6 Position - Webkommentar. Webkommentar. URL: https://www.webkommentar.com/ en/federal-data-protection-act-bdsg/part-i-common-provisions/chapter-3-data-protection-officersofpublic-bodies/section-6-position/ (date of access: 01.06.2024).

11. Art. 2 GDPR - Material scope - General Data Protection Regulation (GDPR). General Data Protection Regulation (GDPR). URL: https://gdpr-info.eu/art-2-gdpr/ (date of access: 03.06.2024).

12. Art. 3 GDPR - Territorial scope - General Data Protection Regulation(GDPR). General Data Protection Regulation (GDPR). URL: https://gdpr-info.eu/art-3-gdpr/ (date of access: 03.06.2024).

13. Art. 6 Classification Rules for High-Risk AI Systems - EU AI Act. EU AI Act - EU Artificial Intelligence Act. URL: https://www.euaiact.com/article/6 (date of access: 03.06.2024).

14. Art. 5 GDPR - Principles relating to processing of personal data - General Data Protection Regulation (GDPR). General Data Protection Regulation (GDPR). URL: https://gdprinfo.eu/art-5-gdpr/ (date of access: 03.06.2024).

15. OECD AI Policy Observatory Portal. The OECD Artificial Intelligence Policy Observatory - OECD.AI. URL: https://oecd.ai/en/ai-principles (date of access: 02.06.2024).

16. Art. 27 Fundamental Rights Impact Assessment for High-Risk AI Systems - EU AI Act. EU AI Act - EU Artificial Intelligence Act. URL: https://www.euaiact.com/article/27 (date of access: 03.06.2024).

17. Art. 10 Data and Data Governance - EU AI Act. EU AI Act - EU Artificial Intelligence Act. URL: https://www.euaiact.com/article/10 (date of access: 03.06.2024).

18. Art. 13 Transparency and Provision of Information to Deployers - EU AI Act. EU AI Act - EU Artificial Intelligence Act. URL: https://www.euaiact.com/article/13 (date of access: .

19. Art. 14 Human Oversight - EU AI Act. EU AI Act - EU Artificial Intelligence Act. URL: https://www.euaiact.com/article/14 (date of access: 03.06.2024).

20. Art. 26 Obligations of Deployers of High-Risk AI Systems - EU AI Act. EU AI Act - EU Artificial Intelligence Act. URL: https://www.euaiact.com/article/26 (date of access: 03.06.2024).

21. Art. 22 GDPR - Automated individual decision-making, including profiling - General Data Protection Regulation (GDPR). General Data Protection Regulation (GDPR). URL: https://gdpr-info.eu/art-22-gdpr/ (date of access: 03.06.2024).

22. Section 2: Requirements for High-Risk AI Systems - EU AI Act. EU AI Act - EU Artificial Intelligence Act. URL: https://www.euaiact.com/chapter/3-2 (date of access: 02.06.2024).

Размещено на Allbest.ru


Подобные документы

  • Побудова інформаційної системи, що буде слугувати для автоматизації процесу захисту персональних даних клієнтів банку. Вибір методу проектування архітектури та моделі функціонування системи. Перелік масивів, використовуваних під час розв’язання задачі.

    дипломная работа [1,8 M], добавлен 02.06.2017

  • Використання засобів обчислювальної техніки в автоматичних або автоматизованих інформаційних системах. Сутність централізованих систем управління файлами. Історія виникнення персональних комп'ютерів. Перспективи розвитку систем управління базами даних.

    реферат [26,8 K], добавлен 23.10.2009

  • Специфікація вимог для кожного з двох користувачів. Концептуальне та логічне проектування баз даних. Історія досліджень баз даних (програмного забезпечення). Система упрваління базами даних. Фази проектування баз даних: концептуальна, логічна, фізична.

    дипломная работа [105,8 K], добавлен 20.02.2010

  • Проектування інформаційної системи для супроводу баз даних. Моделі запиту даних співробітником автоінспекції та обробки запиту про машини та їх власників. База даних за допомогою SQL-сервер. Реалізація запитів, процедур, тригерів і представлення.

    курсовая работа [1,7 M], добавлен 18.06.2012

  • Основи безпеки даних в комп'ютерних системах. Розробка програми для забезпечення захисту інформації від несанкціонованого доступу: шифрування та дешифрування даних за допомогою криптографічних алгоритмів RSA та DES. Проблеми і перспективи криптографії.

    дипломная работа [823,1 K], добавлен 11.01.2011

  • Специфікація вимог для кожного з двох користувачів. Концептуальне проектування бази даних. Визначення типів сутностей та зв’язків, доменів. Перетворення концептуальної моделі даних у логічну, визначення набору відношень, підтримки цілісності даних.

    курсовая работа [55,1 K], добавлен 15.03.2015

  • Розробка бази даних для обробки інформації про діяльність туристичного агентства. Визначення предметної області, вхідних та вихідних даних, їх організації. Генерація схеми бази даних. Реалізація функціональних вимог. Інструкція з експлуатації системи.

    курсовая работа [5,3 M], добавлен 12.05.2015

  • Систематизація знань як основна функція бази даних. Логічне та фізичне проектування бази даних. Створення таблиць у базі даних, визначення основних зв'язків. Інструментальні засоби проектування та створення програмного забезпечення для обробки даних.

    курсовая работа [1,4 M], добавлен 29.04.2010

  • Етапи проектування баз даних. Декларація вимог до проектованої системи баз даних, до інформаційного, математичного, програмного, технічного, організаційного забезпечення. Опис заходів, необхідних для контролю даних у базі даних, їх резервного копіювання.

    курсовая работа [65,1 K], добавлен 09.12.2012

  • Поняття бази даних та основне призначення системи управління. Access як справжня реляційна модель баз даних. Можливості DDE і OLE. Модулі: Visual Basic for Applications програмування баз даних. Система управління базами даних Microsoft SQL Server 2000.

    реферат [41,2 K], добавлен 17.04.2010

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.