Для 83% компаний ИИ является главным приоритетом в их бизнес-планах. Задумываются ли они, что вместе с внедрением ИИ нужно позаботиться о защите персональных данных и провести GDPR аудит?
Запрет на автоматизированное принятие решений – это одна из проблем, с которой столкнуться компании. IT-юристы Stalirov&Co рассказали как избежать нарушения требований GDPR и сделать использование ИИ безопасным для бизнеса и пользователей программных продуктов.
Что такое автоматизированное принятие решений?
Статья 22 GDPR запрещает принимать решение без участия человека, если такое решение приводит к юридическим значимым последствиям для пользователя. Например, суд в Нидерландах вынес решение против гигантов такси Uber и Ola и признал, что они нарушили права водителей. Платформы такси формируют рейтинги водителей и составляют профили заработка и риска. На основании такого профилирования системы Uber и Ola обвинили водителей в мошенничестве и приняли решение о деактивации учетных записей водителей.
Автоматизированное принятие решений часто используется в сфере медицины. Например, медицинский центр разработал систему алгоритмов выявления пациентов с риском для здоровья. После решения, принятого системой, медицинский работник оценивает необходимость лечения. С одной стороны, это оптимизирует работу и помогает выявить больше пациентов, которым нужна помощь. С другой стороны, для пациентов, не выбранных системой, решение будет окончательным и основано исключительно на автоматизированной обработке, что лишит их возможности получить медицинские услуги.
По данным Gartner 38% медицинских работников используют компьютерные системы в качестве помощников в диагностике. Но выполняют ли они требования GDPR?
Прежде чем внедрять ИИ в работу, нужно провести тщательный аудит GDPR и понять на каком основании будут приниматься автоматизированные решения. Регламент предусмотрел 3 основания:
- выполнение договора;
- локальное законодательство, которое разрешает принятие решении с помощью ИИ;
- согласие пользователя.
Чаще всего собственники программных продуктов используют последнее основание. Это значит, что алгоритм автоматизированного принятия решений и профилирования нужно делально описать в Политике конфиденциальности, что поможет бизнесу пройти GDPR compliance.
4 вопроса, которые помогут понять нужно ли вам выполнять требования статьи 22 GDPR
Если хотя бы на один из вопросов вы ответите отрицательно, статья 22 не распространяется на ваш случай.
- ИИ принимает решение о людях? Если ответ отрицательный, статья 22 не распространяется на ваше ПО.
- Решения основаны исключительно на автоматизированной обработке? Если в принятии решений учавствует человек, то статья 22 GDPR не применяется. Например, ИИ собирает информацию, которую человек использует вместе с другой информацией для принятия решения. Если же предварительное автоматизированное решение существенно повлияет на окончательное решение человека, придется позаботиться о выполнении требований статьи 22.
- Будет ли решение иметь юридические последствия для человека? Если решение влияет на законные права человека, статья 22 распространяется на ваш случай.
- Будет ли решение иметь значительные последствия для человека?
Значительными будут считаться решения, которые:
- влияют на финансовые обстоятельства, например, на право получить кредит;
- влияют на доступ людей к медицинским услугам;
- влияют на доступ к образованию, например, поступление в университет.
- лишают возможности получить работу или ставят человека в невыгодное положение, как в примере с Uber и Ola.
Аудит алгоритмов работы ИИ – это GDPR услуга для компаний, которые внедряют ИИ и хотят проверить выполнение требований о безопасности данных. Ожидается, что размер рынка ИИ в 2024 году вырастет как минимум на 120%. Компаниям выгодно уже сегодня задуматься о безопасности, чтобы завтра получать доходы от использования ИИ, оптимизировать работу команд и привлекать инвестиции.
Автор статьи: Валерий Сталиров, CEO компании IT-юристов Stalirov&Co
