ШІ та захист даних

Що таке ШІ та захист даних?

Закон ЄС щодо штучного інтелекту та GDPR є незалежними, але дублюючими правовими рамками. Коли система штучного інтелекту обробляє персональні дані, організації повинні дотримуватися обох вимог одночасно. У цій вправі ви працюєте з медичною системою сортування зі штучним інтелектом, яка визначає пріоритетність призначення пацієнтів на основі аналізу симптомів. Ви керуєтеся правами статті 22 GDPR проти автоматичних рішень, мінімізацією даних суперечить вимогам постачальників щодо додаткових даних, подвійними вимогами прозорості та різницею між DPIA та FRIA. Скарга пацієнта в реальному часі перевіряє, чи працюють ваші заходи дотримання на практиці.

Що ви дізнаєтесь у ШІ та захист даних

• Зрозумійте, як Закон ЄС щодо штучного інтелекту та GDPR створюють дублюючі, але незалежні зобов’язання
• Застосовуйте права статті 22 GDPR до рішень, керованих штучним інтелектом, із значними наслідками
• Застосуйте мінімізацію даних, навіть якщо більше даних підвищить продуктивність ШІ
• Створюйте повідомлення про конфіденційність, які відповідають вимогам щодо прозорості як GDPR, так і Закону ЄС про AI
• Розрізняйте DPIA та FRIA та розумійте, коли потрібні обидва

ШІ та захист даних — Кроки навчання

1. Два фреймворки, одна система ШІ

   Закон ЄС про штучний інтелект та GDPR значно збігаються, коли системи штучного інтелекту обробляють персональні дані. Будь-яка система штучного інтелекту, яка обробляє персональні дані, має відповідати обом структурам одночасно. Правова основа GDPR – для обробки персональних даних потрібна дійсна правова підстава. Стаття 22 GDPR – особи мають право не підлягати суто автоматизованим рішенням зі значними наслідками. Вимоги DPIA – відповідно до GDPR може знадобитися оцінка впливу на захист даних. для обробки з високим ризиком. Мінімізація даних – можуть оброблятися лише дані, необхідні для конкретної мети. Це незалежні правові рамки з власними механізмами забезпечення виконання, але вони створюють часткові зобов’язання для систем ШІ, які обробляють персональні дані.

2. Огляд системи сортування AI

   Wellspring Health Services розробила систему сортування штучного інтелекту, щоб допомогти ефективніше керувати записами на прийом до пацієнтів. Аліса входить на клінічний портал і відкриває сторінку огляду системи, щоб переглянути, як вона працює, перш ніж проводити оцінку відповідності.

3. Стаття 22 GDPR: Автоматизоване прийняття рішень

   Стаття 22 GDPR надає особам право не підлягати суто автоматизованим рішенням зі значними наслідками. Стаття 14 Закону ЄС про штучний інтелект окремо вимагає людського контролю за ШІ високого ризику. Обидва вони доповнюють один одного: GDPR створює право пацієнта, Закон ЄС про штучний інтелект створює зобов’язання щодо дизайну. Обидва повинні бути задоволені незалежно.

4. Законна основа для даних про здоров’я

   Система сортування обробляє дані про стан здоров’я, що є спеціальною категорією згідно зі статтею 9 GDPR. Стандартні підстави для обробки, як-от законний інтерес, недостатні для даних про здоров’я. Правильними варіантами законної основи є: Явна згода (GDPR, ст. 9(2)(a)) – пацієнт дає чітку, інформовану згоду на обробку даних свого здоров’я системою штучного інтелекту. Необхідна для лікування чи діагностики (GDPR, ст. 9(2)(h)) – обробка необхідна для цілей охорони здоров’я та виконується медичним працівником або іншою особою. відповідно до зобов’язань щодо професійної таємниці. Легітимного інтересу ніколи не достатньо для обробки даних про здоров’я відповідно до GDPR. Організації повинні визначити дійсний виняток за статтею 9 на додаток до законної підстави за статтею 6.

5. Перевірка в середині вправи

   Перш ніж продовжити, обміркуйте те, що ви дізналися про взаємодію GDPR і Закону ЄС про штучний інтелект.

6. Мінімізація даних проти продуктивності AI

   Постачальник штучного інтелекту запросив доступ до повних медичних записів пацієнтів, стверджуючи, що ширші дані підвищать точність сортування. Однак принцип мінімізації даних GDPR (стаття 5(1)(c)) вимагає, щоб оброблялися лише дані, необхідні для конкретної мети. Для сортування на основі симптомів системі потрібні поточні описи симптомів і основні демографічні дані пацієнтів. Повна медична історія, записи про ліки та минуле лікування є зайвими для визначення пріоритету призначення. Обробка більшої кількості даних, ніж необхідно, порушує GDPR, навіть якщо це покращить продуктивність ШІ.

7. Перегляд Повідомлення про конфіденційність пацієнта

   Аліса відкриває на клінічному порталі повідомлення про конфіденційність для пацієнтів. Одне повідомлення може відповідати як GDPR, так і Закону ЄС про AI, але лише якщо воно охоплює кожне необхідне розкриття інформації.

8. DPIA проти FRIA

   Для цієї системи штучного інтелекту охорони здоров’я може знадобитися дві окремі оцінки впливу: DPIA (оцінка впливу на захист даних) – вимагається відповідно до GDPR, коли обробка може призвести до високого ризику для прав осіб. Зосереджено на ризиках захисту даних : як збираються, зберігаються, обробляються та захищаються особисті дані. FRIA (Оцінка впливу на основні права) – вимагається згідно зі статтею 27 Закону ЄС про штучний інтелект для розгортачів систем штучного інтелекту з високим рівнем ризику. Охоплює всі основні права ширше: недискримінацію, гідність, доступ до медичної допомоги, свободу та право на ефективний засіб правового захисту. Ці оцінки служать різним юридичним цілям і мають різні сфери застосування. Вони можуть проводитися разом як комбінована вправа, але кожна має відповідати вимогам відповідного положення.

9. Скарга пацієнта

   Доктор Сара Парк запитує Алісу в Telegram про пацієнта, якого не влаштовує її пріоритет, призначений ШІ. Аліса має порадити доктору Парку, як реагувати в рамках статті 22 GDPR і зобов’язань щодо нагляду з боку людини згідно з Законом ЄС про штучний інтелект.

10. Ключові висновки

    Ось що слід пам’ятати, коли системи штучного інтелекту обробляють персональні дані: Подвійна відповідність є обов’язковою: системи штучного інтелекту, які обробляють персональні дані, мають відповідати як GDPR, так і Закону ЄС про штучний інтелект. Це незалежні системи з окремим правозастосуванням. Нагляд з боку людини обслуговує обидві системи: стаття 22 GDPR і стаття 14 Закону ЄС про штучний інтелект вимагають контролю автоматизованих рішень з боку людини, але з різних юридичних причин. Вони доповнюють один одного, а не замінюють. Мінімізація даних застосовується навіть тоді, коли більше даних може допомогти: Обробка більшої кількості даних, ніж необхідно, порушує GDPR незалежно від того, чи покращує це продуктивність штучного інтелекту. Повідомлення про конфіденційність мають відповідати обом вимогам: GDPR вимагає прозорості обробки даних; Закон ЄС про AI вимагає прозорості використання системи AI. Обидва можуть бути розглянуті в одному повідомленні. Можуть знадобитися як DPIA, так і FRIA: DPIA зосереджується на ризиках захисту даних; FRIA охоплює всі основні права. Вони служать різним цілям, навіть якщо вони проводяться разом. Пацієнти мають подвійні права: Право на пояснення та перевірку персоналом існує як згідно з GDPR, так і в Законі ЄС про протидію штучному інтелекту, що надає людям додатковий захист.