Закон ЄС про ШІ і GDPR: де ці два закони перетинаються

Команди часто сприймають Закон ЄС про ШІ як новенький звід правил, що лягає на чистий стіл. Це не так. Якщо ваша система ШІ торкається персональних даних, GDPR уже був на тому столі, а Закон про ШІ накладається поверх нього.

Саме це накладання — джерело більшості плутанини. Той самий проєкт може бути винен Оцінку впливу на захист даних за одним законом і Оцінку впливу на основні права за іншим, і ніхто не хоче вести два паралельні треки відповідності, якщо вистачить однієї узгодженої програми.

Закон ЄС про ШІ і GDPR — це два регламенти ЄС, що діють разом. GDPR (Регламент 2016/679) регулює, як організації поводяться з персональними даними, тоді як Закон про ШІ (Регламент 2024/1689) регулює системи ШІ за рівнем ризику. Система ШІ високого ризику, що обробляє персональні дані, має задовольняти обидва, тож Закон про ШІ додає обовʼязки поверх GDPR, а не замінює його.

На практиці це означає, що GDPR продовжує робити свою справу. Законна підстава, мінімізація даних, обмеження мети та права субʼєктів даних усе ще застосовуються до персональних даних, які система ШІ читає чи створює. Закон про ШІ далі додає специфічні для ШІ обовʼязки, як-от управління ризиками, людський нагляд і прозорість.

Результат — два обовʼязки, що діють паралельно, а не один скасовує інший. Коли ці два перетинаються, ви задовольняєте суворішу вимогу, бо подолання вищої планки долає й нижчу.

Перетин зосереджений у кількох сферах, і більшість із них лежать усередині будь-якого проєкту, що використовує персональні дані для навчання чи запуску моделі. Найясніше це видно пліч-о-пліч.

Тема	Обовʼязок за GDPR	Обовʼязок за Законом ЄС про ШІ
Оцінка впливу	DPIA для обробки високого ризику (Стаття 35)	FRIA для окремих впроваджувачів високого ризику (Стаття 27)
Якість даних і керування ними	Принципи точності й мінімізації (Стаття 5)	Керування даними для систем високого ризику (Стаття 10)
Записи	Записи про діяльність з обробки (Стаття 30)	Технічна документація й журналювання
Прозорість	Інформування субʼєктів даних (Статті 13 і 14)	Розкриття взаємодії з ШІ та синтетичного контенту (Стаття 50)
Міжнародні передачі	Запобіжники Розділу V	Окремого режиму передач немає; дані регулює GDPR
Обовʼязок щодо інцидентів	Повідомлення про витік персональних даних (Статті 33 і 34)	Звітування про серйозні інциденти для систем високого ризику

Патерн послідовний. GDPR регулює дані всередині системи, а Закон про ШІ регулює систему, що діє на ці дані. Вправа «ШІ та захист даних» проводить медичну модель через обидва режими одночасно, щоб команди відчули, де обовʼязки сходяться.

Часто так. Оцінка впливу на захист даних за Статтею 35 GDPR розглядає ризик, який діяльність з обробки створює для прав людей на їхні дані. Оцінка впливу на основні права за Статтею 27 Закону про ШІ розглядає ширший ризик, який система ШІ високого ризику створює для основних прав, і вона застосовується до публічних органів та окремих впроваджувачів високого ризику перед першим використанням.

Вони ставлять різні запитання про ту саму систему. DPIA запитує, чи є обробка даних законною, пропорційною та захищеною. FRIA запитує, чи може розгорнута система зашкодити правам — як-от недискримінація, гідність чи доступ до послуг.

Розумний хід — провести їх як одну узгоджену вправу, а не як дві відірвані одна від одної форми. Вправа «Оцінка впливу на захист даних за GDPR» тренує половину DPIA, а вправа «Оцінка впливу на основні права» тренує половину FRIA, тож команда бачить, як одна живить іншу, замість дублювати роботу.

Воно спирається на інвентаризацію, яку ви вже маєте мати. Стаття 30 GDPR вимагає записів про діяльність з обробки — задокументовану карту того, які персональні дані ви тримаєте, навіщо й куди вони течуть. Стаття 10 Закону про ШІ далі вимагає, щоб системи високого ризику використовували навчальні та вхідні дані, що є релевантними, репрезентативними й керованими за якістю.

Ви не можете керувати даними ШІ, які ніколи не картували. Модель, навчена на наборі даних, що його ніхто не задокументував, — це модель, яку ніхто не може проаудитувати, а це провалює обидва закони одним махом. Записи, які ви ведете для GDPR, стають фундаментом, на якому стоїть реєстр ШІ.

Саме тому чесна карта даних окуповується двічі. Вправа «Картування даних і записи про обробку за GDPR» тренує дисципліну Статті 30, а вправа «Керування даними для ШІ» поширює її на навчальні набори, тож та сама карта служить і вашому відділу приватності, і власнику управління ШІ.

Так, і Закон про ШІ їх не змінює. Закон про ШІ не має окремого режиму передач, тож коли навчальні дані ШІ містять персональні дані й переміщуються за межі ЄС, переміщення регулює Розділ V GDPR. Це означає рішення про адекватність, стандартні договірні умови або інший дійсний запобіжник.

Це застає команди зненацька з моделями в хмарі. Надсилання європейських персональних даних до точки доступу моделі в іншому регіоні — це передача, навіть коли дані «лише» використовуються для донавчання чи запуску інференсу. Ярлик ШІ не звільняє дані від Розділу V.

Виправлення — ставитися до вендорів ШІ як до будь-якого іншого обробника й перевіряти, де дані насправді опиняються. Вправа «Транскордонна передача даних за GDPR» проводить команди через валідацію передачі, перш ніж персональні дані покинуть блок, а це саме та прогалина, яку рішення про закупівлю ШІ зазвичай пропускає.

Вони стоять поруч і можуть обидва спрацювати від однієї події. Статті 33 і 34 GDPR вимагають повідомити наглядовий орган, а іноді й постраждалих людей, після витоку персональних даних. Закон про ШІ додає обовʼязок звітувати про серйозні інциденти для систем високого ризику, націлений на збої та шкоду, а не на розкриття даних.

Один інцидент може запустити обидва годинники. Якщо система ШІ високого ризику дає збій і цей збій також розкриває персональні дані, ви можете бути винні повідомлення про витік за GDPR і звіт про інцидент за Законом про ШІ на термінах, що перетинаються.

Команди реагування мають знати, що обидва обовʼязки існують, до інциденту, а не під час нього. Вправа «Реагування на інциденти безпеки за GDPR» репетирує відлік повідомлення про витік під тиском, а поєднання цієї мʼязової памʼяті з обізнаністю щодо ШІ-інцидентів не дає одній події перетворитися на два пропущені дедлайни.

Так, і це більш обороноздатний вибір. Оскільки Закон про ШІ і GDPR перетинаються так сильно, окремі треки приватності та ШІ навчають тих самих звичок поводження з даними двічі, лишаючи шви між ними нетренованими. Узгоджена програма навчає спільне ядро один раз, а потім розгалужується на специфічні для закону обовʼязки.

Спільне ядро — це дисципліна роботи з даними. Знання того, які персональні дані ви тримаєте, навіщо й як вони течуть, — це передумова для DPIA, FRIA, реєстру записів і керування даними ШІ однаково. Навчіть цього один раз, і більша частина обох регламентів стає досяжною.

Розгалуження — там, де кожен закон іде своїм шляхом. Каталог приватності та відповідності містить сценарії GDPR поряд із курсом про Закон ЄС про ШІ, тож єдиний навчальний шлях може охопити права субʼєктів даних і засоби контролю ризиків ШІ, не проводячи людей через дві непов’язані навчальні програми.

RansomLeak навчає перетину як повʼязаних сценаріїв, а не як двох ізольованих курсів. Курс із Закону ЄС про ШІ й курс із GDPR мають спільний хребет керування даними, тож той, хто розуміє записи про обробку, уже має опору для керування даними ШІ, а той, хто провів DPIA, бачить, як FRIA її поширює.

Кожен модуль експортується у SCORM для LMS, яку перевірятиме аудитор, а це важить, коли потрібно показати, що люди, які оперують ШІ на персональних даних, справді пройшли навчання за обома режимами. Для розбору регламентів від початку до кінця наш посібник із навчання за Законом ЄС про ШІ і посібник із навчання GDPR накладають кожен обовʼязок на конкретну вправу.

Глибший контекст живе у двох супутніх статтях. Наш посібник із категорій ризику Закону ЄС про ШІ пояснює чотирирівневу модель, що вирішує, які обовʼязки щодо ШІ застосовуються, а посібник із графіка відповідності Закону ЄС про ШІ викладає поетапні дати. На боці приватності надійна програма навчання працівників за GDPR і базові принципи захисту даних GDPR охоплюють роботу з даними, від якої залежить ШІ високого ризику.

Якщо хочете єдиний узгоджений шлях через обидва закони, перегляньте наші програми навчання з відповідності або замовте демонстрацію з нашою командою.

Ні. Закон ЄС про ШІ лягає поверх GDPR і додає специфічні для ШІ обовʼязки, як-от управління ризиками, людський нагляд і прозорість. GDPR і далі регулює кожну частину персональних даних, які ваша система ШІ читає чи створює, тож ці два діють одночасно, а не один витісняє інший.

DPIA за Статтею 35 GDPR оцінює ризик, який діяльність з обробки створює для прав людей на захист даних. FRIA за Статтею 27 Закону про ШІ оцінює ширший ризик, який система ШІ високого ризику створює для основних прав, і вона застосовується до публічних органів та окремих впроваджувачів високого ризику перед першим використанням. Багатьом проєктам ШІ високого ризику потрібні обидві.

Так, щоразу, коли навчальні дані містять персональні дані. Законна підстава, мінімізація даних і права субʼєктів даних усе ще застосовуються до цих даних, а переміщення їх за межі ЄС однаково запускає запобіжники передачі за Розділом V GDPR. Закон про ШІ додає обовʼязки щодо керування даними поверх, але не вимикає GDPR.

Жоден не переважає інший. Там, де їхні вимоги перетинаються, ви задовольняєте суворішу, бо подолання вищої планки долає й нижчу. Закон про ШІ прямо зберігає чинність права про захист даних, тож безпечне прочитання — вважати обидва набори обовʼязків живими водночас.

Так. Якщо система ШІ високого ризику дає збій і цей збій також розкриває персональні дані, ви можете бути винні повідомлення про витік за Статтями 33 і 34 GDPR та звіт про серйозний інцидент за Законом про ШІ. Ці два обовʼязки діють на термінах, що перетинаються, тож команди реагування мають планувати обидва ще до того, як інцидент станеться.

GDPR масштабує деякі обовʼязки за ризиком і обсягом, а Закон про ШІ встановлює межі штрафів, що беруть менше з двох значень для SME. Та суттєві обовʼязки все ж застосовуються. Мала компанія, що запускає систему ШІ високого ризику на персональних даних, винна ті самі базові засоби контролю, що й велика, лише з пропорційною штрафною експозицією.

Закон ЄС про ШІ і GDPR — не конкурентні зводи правил. GDPR регулює персональні дані, Закон про ШІ регулює систему, що діє на них, а проєкт високого ризику, що торкається персональних даних, має подолати обидва водночас.

Ставлення до них як до однієї узгодженої програми — ефективний і обороноздатний шлях. Побудуйте карту даних один раз, розгалужтеся на DPIA і FRIA, записи й керування даними ШІ, обовʼязки щодо витоку та інциденту, і навчіть людей, які оперують ШІ, за обома режимами, а не за одним.

Якщо хочете навчання на основі сценаріїв, що охоплює Закон про ШІ і GDPR разом, перегляньте каталог приватності та відповідності або поспілкуйтеся з нашою командою.

• Regulation (EU) 2024/1689 (AI Act) - Official Journal
• Regulation (EU) 2016/679 (GDPR) - Official Journal
• European Commission: AI Act regulatory framework
• European Data Protection Board
• EU AI Office