Zarządzanie danymi za pomocą sztucznej inteligencji
Sprawdź, jak zautomatyzować ochronę danych za pomocą AI
Rozporządzenie o zarządzaniu danymi – Data Governance Act
Dokument zawiera nowe przepisy dotyczące wymiany danych w ramach UE. Rozporządzenie zostało przyjęte przez Parlament Europejski 6 kwietnia 2022 r. Ma na celu pomóc przedsiębiorcom wykorzystywać duże zasoby danych osobowych w sposób innowacyjny. Dzięki sztucznej inteligencji organizacje mogą:
– zwiększyć wydajność,
– ulepszyć produkty,
– obniżyć bariery wejścia na rynek,
– wprowadzać nowe produkty,
– obniżyć emisję zużycia energii.
Obecnie wiele firm wciąż zastanawia się nad wprowadzeniem systemów wykorzystujących uczenie maszynowe (machine learning) i uczenie głębokie (deep learning) do swoich organizacji w odpowiedniej skali. Celem wdrożenia przepisów dotyczących zarządzania danymi przy użyciu tej metody było także zbudowanie zaufania pod kątem przetwarzania informacji. Nowe przepisy umożliwiają przede wszystkim:
– lepsze wykorzystanie danych zgromadzonych w obszarach sektora publicznego,
– tworzenie wspólnych europejskich przestrzeni danych dla wielu branż,
– bezpieczne udostępnianie danych na szeroką skalę.
Wytyczne dotyczące wykorzystania i zarządzania danymi osobowymi w systemach AI – CNIL
Po wydaniu Rozporządzenia Data Governance Act – francuski organ CNIL przedstawił także główne zasady ochrony i analizy danych osobowych przy wykorzystaniu sztucznej inteligencji. Z racji tego, że stosowanie AI do przetwarzania danych osobowych często powoduje wiele kontrowersji, CNIL zaprezentował wymogi, których należy przestrzegać, aby zarządzanie danymi osobowymi było zgodne z przepisami RODO. Oto kilka z najważniejszych:
– zdefiniuj cel – system powinien być wdrożony i zaadaptowany zgodnie z celem. Musi on być określony na podstawie wcześniej ustalonego projektu oraz zgodny z misją organizacji;
– ustal podstawę prawną – system sterowany sztuczną inteligencją wykorzystujący dane osobowe może zostać wdrożony tylko wówczas, gdy odpowiada uzasadnieniu ustanowionemu w prawie. Według RODO systemy informatyczne powinny przede wszystkim zapewnić zgodność przetwarzania informacji;
– ustal okres przechowywania informacji – dane osobowe nie mogą być przechowywane długotrwale. Przepisy RODO wymuszają ustalenie okresu, po upływie którego dane powinny zostać usunięte lub odpowiednio zarchiwizowane. Okres przechowywania powinien być określony przez administratora danych;
– chroń dane przed ryzykiem związanym z modelami sztucznej inteligencji – wykorzystanie uczenia maszynowego opiera się na tworzeniu modeli. Wiele badań wykazało, że duże modele językowe zastosowane w systemach informatycznych mają tendencję do zapamiętywania pewnych elementów tekstowych. Potencjalne ataki na te modele mogą doprowadzić do wycieku danych osobowych, takich jak: imię, nazwisko, numer telefonu itp. Konieczne jest zatem wdrożenie zarówno technicznych, jak i organizacyjnych środków minimalizujących to ryzyko;
– zadbaj o przejrzystość informacji – przepisy RODO wymagają, aby wszelkie komunikaty i informacje związane z przetwarzaniem danych osobowych były zrozumiałe, przejrzyste i łatwo dostępne;
– zapewnij dostępność do danych – osoby, których dane są wykorzystywane w systemach informatycznych AI, mają pełne prawo do kontroli nad nimi. W tym przypadku osoba odpowiedzialna za dostęp do akt powinna udzielić szczegółowych informacji osobom zainteresowanym np. o formie przetwarzania ich danych osobowych;
– zautomatyzuj podejmowanie decyzji – organizacja może wprowadzić automatyzację procesów dotyczących podejmowania decyzji, jeśli osoba wyrazi na to zgodę. Zautomatyzowane podejmowanie decyzji jest dozwolone przy uwzględnieniu art. 22 RODO.
Dodatkowo CNIL pokreślił także znaczenie oceny systemów AI, publikując przewodnik dotyczący audytu systemów sztucznej inteligencji (AI). Opracowanie ma na celu umożliwić ocenę dojrzałości oprogramowań AI w odniesieniu do przepisów RODO w całym przedsiębiorstwie. Poniżej kilka z najważniejszych aspektów, które należy wziąć pod uwagę podczas oceny systemów pod kątem zgodności z RODO:
– przestrzegaj przepisów RODO podczas gromadzenia i budowania bazy danych,
– zapewnij jakość i przejrzystość systemu podczas jego użytkowania,
– analizuj ryzyko i zapobiegaj naruszeniom,
– zachowaj prawo wolności jednostek podczas przetwarzania danych,
– zadbaj o dowód zgodność systemu z różnymi normami, certyfikatami i kodeksami.