Захист персональних даних у системах ШІ.

Бер 13, 2025 | Події

 

Детальний аналіз на основі EDPB Opinion 28/2024

Документ EDPB Opinion 28/2024 аналізує ключові аспекти захисту персональних даних у контексті розробки та використання моделей штучного інтелекту (ШІ) відповідно до GDPR (Загального регламенту захисту даних ЄС).

Чим важливий цей документ для України? Україна знаходиться на шляху інтеграції з Європейським Союзом, і однією з ключових вимог для цього є приведення національного законодавства до стандартів GDPR (Загальний регламент захисту даних ЄС).

Документ EDPB дає розуміння, як захищати персональні дані в контексті нових технологій, зокрема штучного інтелекту. Це є важливим орієнтиром для українських компаній, які працюють з персональними даними громадян ЄС або мають намір це робити в майбутньому.

Для українських компаній, що працюють з даними громадян ЄС, або для тих, хто планує виходити на європейський ринок, важливо дотримуватися стандартів GDPR, включаючи питання, які розглядає EDPB в документі.
 Згідно з GDPR, навіть компанії за межами ЄС, що обробляють персональні дані громадян ЄС, повинні відповідати вимогам цього регламенту. Тому для бізнесу в Україні основні правила GDPR та рекомендації EDPB щодо обробки персональних даних у ШІ-системах є необхідними для правового супроводу їхньої діяльності.

Розглянемо основні положення детальніше.

  1. Коли ШІ-модель можна вважати анонімною?

Згідно з EDPB, ШІ-моделі, навчені на персональних даних, не завжди можуть вважатися анонімними. Тобто, навіть якщо сама модель не зберігає імена або інші ідентифікатори, з її параметрів або через запити (prompts) можна витягнути персональні дані, що означає, що такі моделі підпадають під дію GDPR.

Щоб ШІ-модель вважалася анонімною, мають виконуватися дві умови:

  1.   Неможливість витягнути персональні дані напряму (навіть імовірнісним способом).
  2.   Неможливість отримати персональні дані через запити (навіть ненавмисно).

Для оцінки анонімності використовуються такі методи:

  • Перевірка на “регургітацію” (regurgitation) – чи може ШІ повторювати дані, на яких він навчався?
  • Тестування на атаки (наприклад, membership inference attacks – спроби визначити, чи були певні дані використані для тренування).
  • Обмеження збору персональних даних на етапі навчання.

Приклад порушення

Якщо ШІ-модель випадково генерує адреси електронної пошти чи номери телефонів реальних людей – це означає, що вона не є анонімною, і GDPR поширюється на її використання.

  1. Чи можна використовувати персональні дані для тренування ШІ?

GDPR дозволяє обробку персональних даних лише за наявності законної підстави (правової основи). Контролери даних (ті, хто збирають і використовують персональні дані) мають вибрати одну з підстав, передбачених ст. 6 GDPR.

Оцінка законності базується на трьох критеріях:

  1. Чи є законний інтерес у використанні даних?

    Наприклад, покращення кібербезпеки може бути визнане законним інтересом.

  1. Чи є необхідність використовувати персональні дані для досягнення цієї мети?

    Чи можна досягти того ж результату без обробки персональних даних? Наприклад, чи можна використовувати синтетичні дані?

  1. Чи не переважають права і свободи користувачів над інтересом компанії?

– Наприклад, якщо користувачі не очікували, що їхні дані будуть використані для навчання ШІ, це може порушувати GDPR.

  1. Чи може порушення на етапі розробки вплинути на майбутнє використання ШІ?

Якщо на етапі тренування моделі були використані персональні дані з порушенням GDPR, то:

  1.   Якщо ці дані збереглися в моделі, наступні обробки також вважатимуться незаконними.
  2.   Якщо дані були анонімізовані після навчання, GDPR більше не застосовується.

Приклади ризиків:

  • Якщо компанія використала web-scraping для збору даних без дозволу користувачів, навіть якщо модель уже запущена, контролер може бути притягнутий до відповідальності.
  • Якщо суд визнає, що тренування моделі на персональних даних було незаконним, компанія може бути змушена припинити її використання.
  1. Очікування користувачів та прозорість

GDPR зобов’язує компанії пояснювати користувачам, як використовуються їхні дані.

Навіть якщо дані були зібрані з відкритих джерел (наприклад, з соцмереж), це не означає, що їх можна вільно використовувати.

Контролери повинні:

  • Надавати зрозумілу інформацію про обробку персональних даних (ст. 12-14 GDPR).
  • Забезпечити право користувача на заперечення проти обробки його даних (ст. 21 GDPR).
  • Дати можливість видалити дані на вимогу користувача (ст. 17 GDPR, право на забуття).

Приклад порушення: Якщо компанія використовує фото людей з Instagram для навчання моделі розпізнавання обличь, вона має отримати згоду користувачів або довести законність такого використання.

Як мінімізувати ризики для юристів та компаній?

Щоб відповідати GDPR, компанії, які використовують ШІ, можуть застосовувати наступні заходи:

✅ 1. Використовувати техніки мінімізації ризиків:

  • Анонімізація (якщо можливо).
  • Псевдонімізація – заміна реальних даних на умовні ідентифікатори.
  • Фільтрація персональних даних перед тренуванням ШІ.

✅ 2. Документувати всі процеси

Контролери мають зберігати записи про те:

  • Як збиралися дані?
  • Які заходи були вжиті для їх захисту?
  • Які алгоритми використовувалися для забезпечення конфіденційності?

GDPR вимагає, щоб компанії могли довести відповідність регламенту на вимогу регуляторів.

✅ 3. Виконувати оцінку впливу (DPIA)

Якщо використання ШІ може становити високий ризик для прав користувачів, необхідно провести Data Protection Impact Assessment (DPIA), яка включає:

  • Аналіз ризиків для користувачів.
  • План заходів для зменшення ризиків.
  • Чітке визначення відповідальних осіб.

✅ 4. Дотримуватись принципу “Privacy by Design”

Це означає, що захист персональних даних має бути врахований з самого початку розробки ШІ.

  Захист персональних даних у системах штучного інтелекту – це не просто вимога законодавства, а необхідна умова для забезпечення довіри користувачів та сталого розвитку технологій. Документ EDPB Opinion 28/2024 надає важливі орієнтири для компаній та юристів, які працюють із ШІ, допомагаючи дотримуватися стандартів GDPR та уникати потенційних правових ризиків.

  Якщо ви хочете глибше розібратися в правових аспектах використання ШІ, запрошуємо вас на унікальний курс «Штучний інтелект для юристів», який стартує 26 травня 2025 року. Програма курсу охоплює всі ключові аспекти взаємодії права та ШІ: від етичних викликів до судової практики та кібербезпеки.

  Цей курс допоможе вам: 

✅ Розуміти основи та тенденції розвитку ШІ
✅ Ознайомитися з законодавчим регулюванням ШІ в Україні та світі
✅ Дізнатися, як захистити персональні дані та мінімізувати юридичні ризики
✅ Отримати практичні навички роботи з сучасними ШІ-інструментами для юристів

📅 Старт курсу: 26 травня 2025 року
🕖 Формат: онлайн, вечірні заняття

👉 Реєструйтеся зараз та станьте експертом у правовому супроводі ШІ!

 

РЕЄСТРАЦІЯ

468

Pin It on Pinterest