Τεχνητή Νοημοσύνη και προσωπικά δεδομένα: Δημοσιεύτηκε η ελληνική έκδοση της Γνώμης 28/2024 ΕΣΠΔ

Πτυχές της προστασίας δεδομένων από την επεξεργασία προσωπικών δεδομένων στο πλαίσιο των μοντέλων ΤΝ

13/06/2025

16/06/2025

Νέες τεχνολογίες

Τεχνητή νοημοσύνη, μεταφορές & ευθύνη των μεταφορέων στο Ελληνικό Δίκαιο

Στον ιστότοπο του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων αναρτήθηκε η ελληνική μετάφραση της Γνώμης 28/2024 «σχετικά με ορισμένες πτυχές της προστασίας δεδομένων που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των μοντέλων ΤΝ».

Η Γνώμη 28/2024 του ΕΣΠΔ εκδόθηκε μετά από σχετικό αίτημα της ιρλανδικής αρχής προστασίας δεδομένων, η οποία έχει επωμιστεί και το κύριο βάρος για τον έλεγχο των υποθέσεων όπου η εκπαίδευση, ανάπτυξη και λειτουργία μοντέλων τεχνητής νοημοσύνης προϋποθέτει και περιλαμβάνει την επεξεργασία προσωπικών δεδομένων. Όπως παρατήρησε η ιρλανδική αρχή, το αίτημά της αφορά βασικά ζητήματα με μεγάλο αντίκτυπο στα υποκείμενα των δεδομένων και τους υπευθύνους επεξεργασίας, ενώ παράλληλα δεν υπάρχει εναρμονισμένη θέση των εθνικών εποπτικών αρχών.

Όπως επισημαίνεται στη σύνοψη του κειμένου:

Οι τεχνολογίες τεχνητής νοημοσύνης δημιουργούν πολλές ευκαιρίες και οφέλη σε ένα ευρύ φάσμα τομέων και κοινωνικών δραστηριοτήτων.

Προστατεύοντας το θεμελιώδες δικαίωμα στην προστασία των δεδομένων, ο ΓΚΠΔ υποστηρίζει αυτές τις ευκαιρίες και προωθεί άλλα θεμελιώδη δικαιώματα της ΕΕ, όπως το δικαίωμα στην ελευθερία της σκέψης, της έκφρασης και της πληροφόρησης, το δικαίωμα στην εκπαίδευση ή την επιχειρηματική ελευθερία. Ως εκ τούτου, ο ΓΚΠΔ είναι ένα νομικό πλαίσιο που ενθαρρύνει την υπεύθυνη καινοτομία.

Στο πλαίσιο αυτό, λαμβάνοντας υπόψη τα ζητήματα προστασίας των δεδομένων που εγείρουν οι τεχνολογίες αυτές, η ιρλανδική εποπτική αρχή ζήτησε από το ΕΣΠΔ να εκδώσει γνώμη για ζητήματα γενικής εφαρμογής σύμφωνα με το άρθρο 64 παράγραφος 2 του ΓΚΠΔ. Το αίτημα αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των φάσεων ανάπτυξης και εφαρμογής των μοντέλων τεχνητής νοημοσύνης («ΤΝ»). Πιο αναλυτικά, στο αίτημα τέθηκαν τα εξής ερωτήματα: 1) πότε και πώς ένα μοντέλο ΤΝ μπορεί να θεωρηθεί «ανώνυμο»· 2) πώς οι υπεύθυνοι επεξεργασίας μπορούν να αποδείξουν την καταλληλότητα του έννομου συμφέροντος ως νομικής βάσης στις φάσεις ανάπτυξης και 3) εφαρμογής· και 4) ποιες είναι οι συνέπειες της παράνομης επεξεργασίας δεδομένων προσωπικού χαρακτήρα κατά τη φάση ανάπτυξης ενός μοντέλου ΤΝ στην επακόλουθη επεξεργασία ή λειτουργία του μοντέλου ΤΝ.

Όσον αφορά το πρώτο ερώτημα, στη γνώμη αναφέρεται ότι οι ισχυρισμοί περί ανωνυμίας ενός μοντέλου ΤΝ θα πρέπει να αξιολογούνται από τις αρμόδιες εποπτικές αρχές κατά περίπτωση, δεδομένου ότι το ΕΣΠΔ θεωρεί ότι τα μοντέλα ΤΝ που εκπαιδεύονται με δεδομένα προσωπικού χαρακτήρα δεν μπορούν, σε όλες τις περιπτώσεις, να θεωρηθούν ανώνυμα. Για να θεωρηθεί ένα μοντέλο ΤΝ ανώνυμο, τόσο 1) η πιθανότητα άμεσης (ή και πιθανολογικής) εξαγωγής δεδομένων προσωπικού χαρακτήρα που αφορούν άτομα των οποίων τα δεδομένα προσωπικού χαρακτήρα χρησιμοποιήθηκαν για την ανάπτυξη του μοντέλου, όσο και 2) η πιθανότητα λήψης, σκόπιμης ή μη, τέτοιων δεδομένων προσωπικού χαρακτήρα από ερωτήσεις, θα πρέπει να είναι αμελητέα, λαμβάνοντας υπόψη «όλα τα μέσα τα οποία είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν» από τον υπεύθυνο επεξεργασίας ή άλλο πρόσωπο.

Κατά τη διενέργεια της αξιολόγησής τους, οι εποπτικές αρχές θα πρέπει να επανεξετάζουν την τεκμηρίωση που παρέχεται από τον υπεύθυνο επεξεργασίας για να αποδειχθεί η ανωνυμία του μοντέλου. Εν προκειμένω, η γνώμη παρέχει έναν μη περιοριστικό και μη εξαντλητικό κατάλογο μεθόδων που μπορούν να χρησιμοποιηθούν από τους υπευθύνους επεξεργασίας για την απόδειξη της ανωνυμίας και μπορούν, επομένως, να ληφθούν υπόψη από τις εποπτικές αρχές κατά την αξιολόγηση του ισχυρισμού του υπευθύνου επεξεργασίας περί ανωνυμίας. Αυτό καλύπτει, για παράδειγμα, τις προσεγγίσεις που ακολουθούν οι υπεύθυνοι επεξεργασίας, κατά τη φάση της ανάπτυξης, για να αποτρέψουν ή να περιορίσουν τη συλλογή δεδομένων προσωπικού χαρακτήρα που χρησιμοποιούνται για την εκπαίδευση, να μειώσουν την αναγνωρισιμότητά τους, να αποτρέψουν την εξαγωγή τους ή να παράσχουν διαβεβαίωση σχετικά με την προηγμένη ανθεκτικότητα σε επιθέσεις.

Όσον αφορά το δεύτερο και το τρίτο ερώτημα, η γνώμη παρέχει γενικές εκτιμήσεις που πρέπει να λαμβάνουν υπόψη οι εποπτικές αρχές όταν αξιολογούν εάν οι υπεύθυνοι επεξεργασίας μπορούν να επικαλεστούν έννομο συμφέρον ως κατάλληλη νομική βάση για την επεξεργασία που διενεργείται στο πλαίσιο της ανάπτυξης και της εφαρμογής μοντέλων ΤΝ.

Η γνώμη υπενθυμίζει ότι δεν υπάρχει ιεράρχηση των νομικών βάσεων που προβλέπονται από τον ΓΚΠΔ, και ότι εναπόκειται στους υπευθύνους επεξεργασίας να προσδιορίσουν την κατάλληλη νομική βάση για τις δραστηριότητες επεξεργασίας τους. Στη συνέχεια, η γνώμη υπενθυμίζει τον έλεγχο τριών σταδίων που θα πρέπει να διενεργείται κατά την αξιολόγηση της χρήσης του έννομου συμφέροντος ως νομικής βάσης, δηλ. 1) προσδιορισμός του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτο μέρος· 2) ανάλυση της αναγκαιότητας της επεξεργασίας για τους σκοπούς των επιδιωκόμενων έννομων συμφερόντων (αναφέρεται επίσης ως «κριτήριο αναγκαιότητας»)· και 3) εκτίμηση ότι τα συμφέροντα ή τα θεμελιώδη δικαιώματα και οι ελευθερίες των υποκειμένων των δεδομένων δεν υπερισχύουν του έννομου συμφέροντος ή των έννομων συμφερόντων (αναφέρεται επίσης ως «κριτήριο εξισορρόπησης»).

Όσον αφορά το πρώτο στάδιο, υπενθυμίζεται στη γνώμη ότι ένα συμφέρον μπορεί να θεωρηθεί έννομο εάν πληρούνται τα ακόλουθα τρία σωρευτικά κριτήρια: το συμφέρον 1) είναι σύννομο· 2) διατυπώνεται με σαφήνεια και ακρίβεια· και 3) είναι πραγματικό και υπαρκτό (δηλαδή δεν είναι υποθετικό). Το συμφέρον αυτό μπορεί να καλύπτει, για παράδειγμα, στην ανάπτυξη ενός μοντέλου ΤΝ –ανάπτυξη της υπηρεσίας ενός εικονικού συνομιλητή για την παροχή βοήθειας στους χρήστες– ή στην εφαρμογή του για τη βελτίωση της ανίχνευσης απειλών σε ένα πληροφοριακό σύστημα.

Όσον αφορά το δεύτερο στάδιο, η γνώμη υπενθυμίζει ότι, προκειμένου να εκτιμηθεί η αναγκαιότητα, πρέπει να εξετάζεται: 1) αν η δραστηριότητα επεξεργασίας θα επιτρέψει την επιδίωξη του έννομου συμφέροντος· και 2) αν ο τρόπος αυτός είναι ο λιγότερο παρεμβατικός για την επιδίωξη του εν λόγω συμφέροντος. Όταν αξιολογούν εάν πληρούται η προϋπόθεση της αναγκαιότητας, οι εποπτικές αρχές θα πρέπει να δίνουν ιδιαίτερη προσοχή στον όγκο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία και στο εάν είναι αναλογική η επιδίωξη του επίμαχου έννομου συμφέροντος, μεταξύ άλλων υπό το πρίσμα της αρχής της ελαχιστοποίησης των δεδομένων.

Όσον αφορά το τρίτο στάδιο, η γνώμη υπενθυμίζει ότι το κριτήριο της εξισορρόπησης θα πρέπει να ελέγχεται με συνεκτίμηση των ειδικών περιστάσεων κάθε περίπτωσης. Στη συνέχεια, παρέχει επισκόπηση των στοιχείων που μπορούν να λαμβάνουν υπόψη οι εποπτικές αρχές όταν αξιολογούν εάν το συμφέρον ενός υπευθύνου επεξεργασίας ή τρίτου μέρους παρακάμπτεται από τα συμφέροντα, τα θεμελιώδη δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.

Στο πλαίσιο του τρίτου σταδίου, η γνώμη επισημαίνει συγκεκριμένους κινδύνους για τα θεμελιώδη δικαιώματα οι οποίοι ενδέχεται να ανακύψουν είτε κατά τη φάση ανάπτυξης είτε κατά τη φάση εφαρμογής μοντέλων ΤΝ. Διευκρινίζει επίσης ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται κατά τις φάσεις ανάπτυξης και εφαρμογής των μοντέλων ΤΝ μπορεί να επηρεάσει τα υποκείμενα των δεδομένων με διάφορους τρόπους, οι οποίοι μπορεί να είναι θετικοί ή αρνητικοί. Για την αξιολόγηση του εν λόγω αντικτύπου, οι εποπτικές αρχές μπορούν να λαμβάνουν υπόψη τη φύση των δεδομένων που τίθενται σε επεξεργασία από τα μοντέλα, το πλαίσιο της επεξεργασίας και τις πιθανές περαιτέρω συνέπειες της επεξεργασίας.

Η γνώμη υπογραμμίζει επιπλέον τον ρόλο των εύλογων προσδοκιών των υποκειμένων των δεδομένων στο κριτήριο εξισορρόπησης. Αυτό μπορεί να είναι σημαντικό λόγω της πολυπλοκότητας των τεχνολογιών που χρησιμοποιούνται στα μοντέλα ΤΝ και του γεγονότος ότι μπορεί να είναι δύσκολο για τα υποκείμενα των δεδομένων να κατανοήσουν την ποικιλία των πιθανών χρήσεών τους, καθώς και τις διάφορες δραστηριότητες επεξεργασίας που εκτελούνται. Στο πλαίσιο αυτό, τόσο οι πληροφορίες που παρέχονται στα υποκείμενα των δεδομένων όσο και το πλαίσιο της επεξεργασίας μπορεί να συγκαταλέγονται μεταξύ των στοιχείων που πρέπει να λαμβάνονται υπόψη για την αξιολόγηση του εάν τα υποκείμενα των δεδομένων μπορούν εύλογα να αναμένουν ότι τα δεδομένα προσωπικού χαρακτήρα τους θα υποβληθούν σε επεξεργασία. Όσον αφορά το πλαίσιο, αυτό μπορεί να περιλαμβάνει, μεταξύ άλλων, τα εξής: το εάν τα δεδομένα προσωπικού χαρακτήρα ήταν δημόσια διαθέσιμα, τη φύση της σχέσης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας (και εάν υπάρχει σύνδεση μεταξύ των δύο), τη φύση της υπηρεσίας, το πλαίσιο στο οποίο συλλέχθηκαν τα δεδομένα προσωπικού χαρακτήρα, την πηγή από την οποία συλλέχθηκαν τα δεδομένα (π.χ. τον ιστότοπο ή την υπηρεσία από όπου συλλέχθηκαν τα δεδομένα προσωπικού χαρακτήρα, και τις ρυθμίσεις απορρήτου που προσφέρουν), τις πιθανές περαιτέρω χρήσεις του μοντέλου, και το εάν τα υποκείμενα των δεδομένων γνωρίζουν ότι τα δεδομένα προσωπικού χαρακτήρα τους βρίσκονται στο διαδίκτυο.

Στη γνώμη υπενθυμίζεται επίσης ότι, όταν τα συμφέροντα, τα δικαιώματα και οι ελευθερίες των υποκειμένων των δεδομένων φαίνεται να υπερισχύουν του έννομου συμφέροντος ή των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτο μέρος, ο υπεύθυνος επεξεργασίας μπορεί να εξετάσει το ενδεχόμενο εφαρμογής μέτρων μετριασμού προκειμένου να περιοριστεί ο αντίκτυπος της επεξεργασίας στα εν λόγω υποκείμενα των δεδομένων. Τα μέτρα μετριασμού δεν θα πρέπει να συγχέονται με τα μέτρα τα οποία ο υπεύθυνος επεξεργασίας υποχρεούται εκ του νόμου να υιοθετήσει ούτως ή άλλως για να εξασφαλίσει τη συμμόρφωση με τον ΓΚΠΔ. Επιπλέον, τα μέτρα θα πρέπει να είναι προσαρμοσμένα στις περιστάσεις της περίπτωσης και στα χαρακτηριστικά του μοντέλου ΤΝ, συμπεριλαμβανομένης της σκοπούμενης χρήσης του. Εν προκειμένω, η γνώμη παρέχει μη εξαντλητικό κατάλογο παραδειγμάτων μέτρων μετριασμού σε σχέση με τη φάση ανάπτυξης (μεταξύ άλλων όσον αφορά την ιστοσυγκομιδή) και τη φάση εφαρμογής. Τα μέτρα μετριασμού μπορεί να υπόκεινται σε ταχεία εξέλιξη και θα πρέπει να είναι προσαρμοσμένα στις περιστάσεις της περίπτωσης. Ως εκ τούτου, εναπόκειται στις εποπτικές αρχές να αξιολογούν την καταλληλότητα των μέτρων μετριασμού που εφαρμόζονται κατά περίπτωση.

Όσον αφορά το τέταρτο ερώτημα, η γνώμη υπενθυμίζει γενικά ότι οι εποπτικές αρχές έχουν τη διακριτική ευχέρεια να αξιολογούν την πιθανή παράβαση (ή τις πιθανές παραβάσεις) και να επιλέγουν τα κατάλληλα, αναγκαία και αναλογικά μέτρα, λαμβάνοντας υπόψη τις περιστάσεις κάθε μεμονωμένης περίπτωσης. Στη συνέχεια, η γνώμη εξετάζει τρία σενάρια.

Σύμφωνα με το σενάριο 1, τα δεδομένα προσωπικού χαρακτήρα διατηρούνται στο μοντέλο ΤΝ (υπό την έννοια ότι το μοντέλο δεν μπορεί να θεωρηθεί ανώνυμο, όπως περιγράφεται λεπτομερώς στο πρώτο ερώτημα) και στη συνέχεια υποβάλλονται σε επεξεργασία από τον ίδιο υπεύθυνο επεξεργασίας (για παράδειγμα, στο πλαίσιο της εφαρμογής του μοντέλου). Η γνώμη αναφέρει ότι θα πρέπει να αξιολογείται, κατά περίπτωση, ανάλογα με το εκάστοτε πλαίσιο, εάν οι φάσεις ανάπτυξης και εφαρμογής αφορούν χωριστούς σκοπούς (και άρα συνιστούν χωριστές δραστηριότητες επεξεργασίας) και σε ποιον βαθμό η έλλειψη νομικής βάσης για την αρχική δραστηριότητα επεξεργασίας επηρεάζει τη νομιμότητα της επακόλουθης επεξεργασίας.

Σύμφωνα με το σενάριο 2, τα δεδομένα προσωπικού χαρακτήρα διατηρούνται στο μοντέλο και υποβάλλονται σε επεξεργασία από άλλον υπεύθυνο επεξεργασίας στο πλαίσιο της εφαρμογής του μοντέλου. Εν προκειμένω, η γνώμη αναφέρει ότι οι εποπτικές αρχές θα πρέπει να λαμβάνουν υπόψη εάν ο υπεύθυνος επεξεργασίας που εφαρμόζει το μοντέλο διενήργησε κατάλληλη αξιολόγηση, στο πλαίσιο των υποχρεώσεων λογοδοσίας του για απόδειξη της συμμόρφωσης με το άρθρο 5 παράγραφος 1 στοιχείο α) και το άρθρο 6 του ΓΚΠΔ, προκειμένου να εξακριβώσει ότι το μοντέλο ΤΝ δεν αναπτύχθηκε με παράνομη επεξεργασία δεδομένων προσωπικού χαρακτήρα. Η αξιολόγηση αυτή θα πρέπει να λαμβάνει υπόψη, για παράδειγμα, την πηγή των δεδομένων προσωπικού χαρακτήρα και εάν κατά την επεξεργασία στη φάση της ανάπτυξης διαπιστώθηκε παράβαση, ιδίως από εποπτική αρχή ή δικαστήριο, και θα πρέπει να είναι λιγότερο ή περισσότερο λεπτομερής ανάλογα με τους κινδύνους που ενέχει η επεξεργασία στη φάση της εφαρμογής.

Σύμφωνα με το σενάριο 3, ένας υπεύθυνος επεξεργασίας επεξεργάζεται παρανόμως δεδομένα προσωπικού χαρακτήρα για την ανάπτυξη του μοντέλου ΤΝ και στη συνέχεια εξασφαλίζει την ανωνυμοποίησή τους, πριν ο ίδιος ή άλλος υπεύθυνος επεξεργασίας ξεκινήσει άλλη επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της εφαρμογής. Εν προκειμένω, η γνώμη αναφέρει ότι, εάν μπορεί να αποδειχθεί ότι η μετέπειτα λειτουργία του μοντέλου ΤΝ δεν συνεπάγεται την επεξεργασία δεδομένων προσωπικού χαρακτήρα, το ΕΣΠΔ θεωρεί ότι δεν θα έχει εφαρμογή ο ΓΚΠΔ. Ως εκ τούτου, ο παράνομος χαρακτήρας της αρχικής επεξεργασίας δεν θα πρέπει να επηρεάζει τη μεταγενέστερη λειτουργία του μοντέλου. Επιπλέον, το ΕΣΠΔ θεωρεί ότι, όταν οι υπεύθυνοι επεξεργασίας επεξεργάζονται ακολούθως δεδομένα προσωπικού χαρακτήρα που συλλέγονται κατά τη διάρκεια της φάσης εφαρμογής, μετά την ανωνυμοποίηση του μοντέλου, ο ΓΚΠΔ θα έχει εφαρμογή σε σχέση με τις εν λόγω πράξεις επεξεργασίας. Σε αυτές τις περιπτώσεις, η γνώμη θεωρεί ότι, όσον αφορά τον ΓΚΠΔ, η νομιμότητα της επεξεργασίας που πραγματοποιείται κατά τη φάση της εφαρμογής δεν θα πρέπει να επηρεάζεται από τον παράνομο χαρακτήρα της αρχικής επεξεργασίας.

Το ελληνικό κείμενο της Γνώμης 28/2024 ΕΣΠΔ είναι διαθέσιμο εδώ.