A mesterséges intelligencia (továbbiakban: AI) robbanásszerű fejlődése számos iparág forradalmasításához vezetett, ugyanakkor új kihívások elé is állította a szervezeteket. Az AI-rendszerek képesek önállóan tanulni, döntéseket hozni és feladatokat végrehajtani, ami egyrészt jelentős hatékonyságnövekedést eredményez, másrészt alkalmazásuk számos új adatvédelmi és etikai kérdéseket vet fel. Ahogy az AI egyre inkább beépül az üzleti folyamatokba, úgy nő a nyomás a vállalatokon, hogy biztosítsák az AI-rendszereik törvényes és etikus működését.
Felmerül a kérdés, hogy ki a legalkalmasabb az AI rendszerek törvényes és etikus működésének biztosítására. Egyes vállalatok meglévő szerepekre, például az Adatvédelmi tisztviselőkre (továbbiakban: DPO vagy Adatvédelmi tisztviselő) támaszkodnak, míg mások új szerepek bevezetésének lehetőségét vizsgálják.
Adatvédelmi tisztviselő
Az Adatvédelmi tisztviselő fő feladata, hogy segítse a szervezeteket az Általános adatvédelmi rendelet (továbbiakban: GDPR) előírásainak való megfelelésében. Ennek érdekében információkat gyűjthet a szervezet adatkezelési tevékenységéről, ellenőrizheti a szabályoknak való megfelelést, valamint segítséget és tanácsadást nyújthat az adatkezelő vagy adatfeldolgozó részére, hogy mely területeken vagy feladatokban szükséges módosítani, változtatni. Mindezek mellett a feladatai között tartjuk nyilván az adatvédelmi hatóságokkal való együttműködést, az az adatkezelési feladatokra vonatkozó nyilvántartás vezetését, valamint a tanácsadást adatvédelmi hatásvizsgálat során.
A GDPR az Adatvédelmi tisztviselők általános feladatai mellett, több rendelkezést is tartalmaz az automatizált döntéshozatallal kapcsolatban. A mesterséges intelligencia korában ezek a rendelkezések felhatalmazzák az Adatvédelmi tisztviselőket az AI személyes adatok kezelésére gyakorolt hatásának szabályozására. A mesterséges intelligenciáról szóló uniós rendelet (továbbiakban: AI Act) értelmében számos automatizált döntéshozatali rendszer tartozik a magas kockázatú rendszerek kategóriájába. Amikor ilyen rendszerek személyes adatokat kezelnek, az Adatvédelmi tisztviselő feladata biztosítani, hogy adatvédelmi hatásvizsgálat (DPIA) elvégzésre kerüljön, továbbá, hogy megfelelő védőintézkedések kerüljenek bevezetésre az ilyen rendszerek üzembe helyezése előtt.
A GDPR mellett az Európai Bíróság (ECJ) német Schufa AG Holding („SHUFA”) hitelminősítő ügynökséggel kapcsolatban hozott ítélete is egyértelműen kiemeli a DPO szerepét az automatizált döntéshozatali folyamatokban használt személyes adatok védelmével kapcsolatban. Talán innen ered az az elképzelés, hogy a DPO vállalja az AI-felelős szerepét a szervezeteken belül.
AI-felelős
Az AI-felelős szerepe magába foglalja az AI szélesebb körű következményeinek proaktív értékelését, valamint annak biztosítását, hogy az AI fejlesztése és alkalmazása megfeleljen az etikai normáknak és társadalmi értékeknek. Az AI-felelős az AI etikai használatára és fejlesztésére összpontosít, biztosítja, hogy az AI rendszerek átláthatóak, tisztességesek és mentesek legyenek a torzítástól, valamint kezeli az AI kockázatértékeléseket és az AI-specifikus szabályozásoknak való megfelelést.
A két szerep közötti hasonlóságok
Mindkét szerepkör meglehetősen hasonló. Ez abból adódik, hogy az adatvédelem olyan elveken alapul, amelyek átfedésben vannak az AI alapvető etikai elveivel, mint például a tisztesség és az átláthatóság.
Mindkét tisztség esetében alapvető feladatként merül fel az adatfelügyelet. Míg az Adatvédelmi tisztviselő biztosítja a személyes adatok adatvédelmi törvényeknek megfelelően kezelését, addig az AI-felelős gondoskodik a személyes adatok AI rendszerben való etikus felhasználásáról. Az Adatvédelmi tisztviselő adatvédelmi hatásvizsgálatokat folytat le az adatvédelmi kockázatok azonosítása és minimalizálása érdekében, az AI-felelős pedig etikai felülvizsgálatokat végez az AI projekteken. A tisztviselők feladatai közé tartoznak új irányelvek, iránymutatások kidolgozásai. Végezetül pedig az oktatás mindkét tisztség esetében kiemelkedő fontosságú.
Vállalhatja-e mindkét szerepet az Adatvédelmi tisztviselő?
A fentiek alapján látható, hogy a DPO és az AI-felelős szerepe számos területen átfedést mutat, így felmerül a kérdés, hogy elláthatja-e mindkét szerepet az Adatvédelmi tisztviselő?
Első pillantásra logikusnak tűnhet, hogy az Adatvédelmi tisztviselő töltse be az AI-felelős szerepét is. Az Adatvédelmi tisztviselők már végeznek adatvédelmi hatásvizsgálatokat és vizsgálják az automatizált döntéseket is akkor, miért ne láthatnák el megfelelőségi kötelezettségeket az AI Act keretében?
– Először is, fennáll az érdekkonfliktus lehetősége. A GDPR előírja, hogy az Adatvédelmi tisztviselőknek meg kell őriznie függetlenségüket és kerülniük kell azokat a szerepeket, amelyek sérthetik pártatlanságukat. A GDPR 38. cikke tiltja az olyan helyzeteket, amikor ugyanaz a személy felelős mind az adatkezelési tevékenységek végrehajtásáért, mind az adatvédelmi szabályok betartásáért.
– Másodszor, az AI-megfeleléshez szükséges szakértelem túlmutat a hagyományos adatvédelem területén. Az AI-rendszerek etikai megfontolásokat, technikai komplexitásokat és működési kockázatokat hordoznak, amelyek nem feltétlenül illeszkednek egy DPO meglévő készségkészletébe.
– Harmadszor mindkét szerepkörnek megvan a saját egyedi feladatköre, ami túlterheltté válhat, ha egyetlen pozícióba egyesítik őket.
Összegzésként elmondható, hogy több szempontból is indokolt a szerepkörök elkülönítése. Ez a megoldás lehetővé teszi a teljeskörű szakértelmet mindkét területen. Az elkülönült szerepkörök révén a szervezetek hatékonyabban tudják kezelni az adatvédelem és az AI-etika összetett kihívásait, valamint biztosíthatják, hogy a technológiai fejlesztések összhangban legyenek az etikai elvekkel és a jogszabályi előírásokkal.
Mikor van szüksége egy szervezetnek AI-felelősre?
Az alábbiakban ismertetünk néhány olyan esetet, amelyek az ilyen pozíció létrehozásának indokoltságát támaszthatják alá:
– Az AI technológiákra való nagyfokú támaszkodás: Azok a szervezetek, amelyek széles körben használnak MI-t termékeikben, szolgáltatásaikban vagy működésükben.
– Magas kockázatú szektorok: Az olyan iparágak, mint az egészségügy, a pénzügy és a bűnüldözés, ahol az AI döntései jelentős következményekkel járhatnak, szigorú etikai felügyeletet igényelnek.
– Nyilvános figyelem és bizalom: Azok a vállalatok, amelyek nagy ügyfélkörrel rendelkeznek vagy közvetlen kapcsolatban állnak a nyilvánossággal, szükségét érezhetik annak, hogy elkötelezettségüket az etikus AI iránt bizonyítsák a közbizalom fenntartása érdekében.
Az AI-felelős hiányának következményei
Amennyiben egy vállalat úgy dönt, hogy nem kíván AI-felelőst kinevezni vagy a meglévő DPO-val kívánja betölteni ezt a pozíciót, az súlyos következményekkel járhat számára. Az etikai problémák, mint például a torzított döntéshozatal nemcsak jogi, hanem pénzügyi és reputációs kockázatokat is magukban hordoznak, amelyek hosszú távon hátrányosan befolyásolhatják a vállalat működését. A megfelelő etikai felügyelet biztosítása kulcsfontosságú e problémák megelőzésében. Az AI-felelős szerepe ezért elengedhetetlen a vállalatok számára, mivel e pozíció betöltésével elkerülhetőek a felmerülő kockázatok. Az AI-felelős alkalmazása lehetővé teszi a vállalatok számára, hogy kihasználják az AI technológiák által kínált előnyöket anélkül, hogy etikai elvek sérelme bekövetkezne. Az etikai tisztviselő szerepének létrehozása lehetőséget biztosít arra, hogy a vállalatok proaktívan azonosítsák és kezeljék a potenciális kockázatokat, így biztosítva a fenntartható és felelős AI alkalmazását.
Az AI Act rendelkezése az AI-felelős szerepéről
Amellett, hogy az AI-felelős kijelölése hozzájárul a jogi, pénzügyi és reputációs kockázatok elkerüléséhez, az EU AI Act ezen tisztség létrehozását kötelezővé is teszi. A rendelet 4. cikke szabályozza a vállalatok AI-jártasság (AI literacy) kapcsolatos követelményeit. E cikk szerint az AI-rendszerek szolgáltatói és alkalmazói kötelesek gondoskodni arról, hogy a mesterséges intelligencia működtetésében és használatában részt vevő személyek megfelelő AI-jártassággal rendelkezzenek, figyelembe véve szakmai ismereteiket, tapasztalataikat és képzettségüket. A mesterséges intelligencia-műveltségnek lehetővé kell tennie a szolgáltatók és üzemeltetők számára, hogy megalapozott döntéseket hozzanak a mesterséges intelligencia rendszerekről, különösen a vállalat megfelelő mesterséges intelligencia stratégiáinak kidolgozása érdekében. A mesterséges intelligencia stratégiákat a konkrét mesterséges intelligencia rendszerek és alkalmazási területeik alapján kell kidolgozni, végrehajtani, monitorozni, valamint folyamatosan frissíteni.
Az AI Act 20. preambuluma kifejezetten kimondja, hogy a mesterséges intelligencia stratégiáknak, és így a vállalaton belül szükséges mesterséges intelligencia-műveltségnek is tartalmaznia kell:
„a technikai elemek helyes alkalmazásának megértését a mesterséges intelligencia rendszer fejlesztési fázisa során, az alkalmazás során alkalmazandó intézkedéseket, a mesterséges intelligencia rendszer kimeneteinek megfelelő értelmezésének módjait”.
Mindemellett a mesterséges intelligencia-műveltségnek a mesterséges intelligencia értékteremtési láncában szereplő összes releváns szereplőnek biztosítania kell a megfelelő megfelelés és annak helyes érvényesítése érdekében szükséges ismereteket. A mesterséges intelligencia-műveltség nem csak alapvető technikai megértést igényel, hanem a használt konkrét mesterséges intelligencia rendszerek és alkalmazások átfogó ismeretét is az értékteremtési lánc egészében, továbbá az AI Act-nek való megfelelés biztosításához szükséges jogi kompetenciát.
Ebben a folyamatban az AI-felelős kiemelt szerepet tölt be, hiszen ő biztosítja az összes érintett érdekelt fél számára a szükséges AI-jártasságot, közvetít közöttük, valamint garantálja az AI Act-nek való megfelelést a vállalaton belül. Az AI-felelős kijelölése különösen fontos, mivel az ilyen komplex és gyorsan fejlődő technológia megfelelő felügyelete kizárólag olyan személy által biztosítható, aki rendelkezik az előírt jártassággal, szakmai tapasztalattal és mélyreható ismeretekkel az AI-rendszerek működéséről. Az AI-felelős kijelölése tehát nemcsak a jogszabályi megfelelést segíti elő, hanem csökkenti az AI-rendszerek alkalmazásával járó kockázatokat, növeli azok biztonságos és etikus használatát, valamint erősíti az AI-rendszerek iránti bizalmat.
Konklúzió
Míg a DPO-k és az AI-felelősök szerepkörei között van némi átfedés, az egyesítésük nem javasolt az egyes szerepkörökhöz szükséges egyedi szakértelem miatt. Az, hogy egy vállalatnak szüksége van-e AI-felelősre, nem csupán a kockázatok mérsékléséről szól, hanem arról is, hogy előrelátó megközelítést alkalmazzon az AI használatában. Az etikai szempontok előtérbe helyezésével a szervezetek biztosíthatják, hogy az AI használata összhangban legyen értékeikkel és a társadalmi elvárásokkal, ezzel megteremtve a fenntartható és felelősségteljes AI innováció alapjait. Ezzel párhuzamosan az AI Act is előírja az AI-felelős kinevezésének szükségességét. Ahogy az AI egyre inkább formálja világunkat, az AI-felelős szerepe kétségtelenül az etikus irányítás sarokkövévé válik a digitális korban.
Amennyiben a vállalatánál mesterséges intelligencia alkalmazására kerül sor, az alábbiakban tudunk segítséget nyújtani Önnek:
– A szükséges kompetenciák azonosítása,
– Képzési programok megszervezése,
– AI-felelős bevezetésére irányuló stratégia kidolgozása,
– AI-felelős pozíciójának ellátása.
Keressen minket bizalommal!
Dr. Miklós Péter Ákos, adatvédelmi ügyvéd
Németh Anna
Felhasznált források:
– DPO vs. AI Ethics Officer: Who Do You Need to Stay AI-Compliant? (https://legalnodes.com/article/ai-ethics-officer-or-dpo)
– Is the DPO the right person to be the AI Officer? (https://cedpo.eu/wp-content/uploads/The-DPO-and-the-AI-Officer.pdf)
– AI DPO Officer: From Data Protection to AI Governance? (https://www.linkedin.com/pulse/ai-dpo-officer-from-data-protection-governance-giulio-coraggio-fyarf/)
– DPO and AI Officer: one and the same? (https://www.linkedin.com/pulse/dpo-ai-officer-one-same-hovig-yeretsian-yos1f/)
– Does Your Organisation Need an AI Ethics Officer? (https://kerryconsulting.com/insights/all-articles/does-your-organisation-need-an-ai-ethics-officer/)
– Understanding the Role of the AI Officer: A Guide to Responsible AI Leadership (https://www.aiguardianapp.com/ai-officer-responsibilities)
– Why your organization needs an AI officer? (https://www.linkedin.com/pulse/why-your-organization-needs-ai-officer-onetrust-hxh2f/)
– Do Companies Need an AI Officer for Sufficient AI Literacy? (https://haerting.de/en/insights/ai-literacy-ai-officer/)
