Skladnost UI aplikacije s predpisi varstva osebnih podatkov

Datum

07.07.2025

Številka

07121-1/2025/846

Kategorije

Moderne tehnologije

pri Informacijskem pooblaščencu (IP) smo dne 12. 6. 2025 prejeli vaše zaprosilo za mnenje glede implementacije umetnointeligenčne (v nadaljevanju UI) aplikacije, ki bi snemala videokonferenčne sestanke v podjetju in samodejno pripravila povzetke. Aplikacijo ponuja ameriška družba, ki ima strežnike v ZDA. Zanima vas, ali je treba z družbo, ki ponuja aplikacijo skleniti pogodbo o obdelavi podatkov ali na njenem mestu zadostujejo splošni pogoji poslovanja te družbe, ter ali je sporno, da v splošnih pogojih poslovanja ni omembe podobdelovalcev. Nadalje vas zanima, kako lahko preverite, ali je družba, ki ponuja aplikacija, vključena v EU-US Data Privacy Framework in kaj konkretno morate podjetje vprašati, da pridobite to informacijo. Zaprošate tudi za morebitne smernice pri izdelavi ocene učinka ter ali je ta v vaši situaciji sploh obvezen.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Pomembno je, da opredelite, kakšno vlogo in s tem tudi odgovornosti imajo podjetja in organizacije v okviru varstva osebnih podatkov pri uporabi UI aplikacije. Splošna uredba ločuje med dvema skupinama akterjev, ki sodelujejo pri obdelavi osebnih podatkov: upravljavci so pravne ali fizične osebe, ki sami ali skupaj usmerjajo obdelavo z določanjem njenih ciljev in sredstev, lahko pa jo tudi prepustijo tretji osebi, ki v tem primeru nastopa v vlogi obdelovalca. Če ugotovite, da je eno od podjetij v vlogi upravljavca in drugo v vlogi obdelovalca, mora biti to razmerje v skladu s tretjim odstavkom 28. člena Splošne uredbe pogodbeno urejeno. Pri tem lahko uporabite standardna pogodbena določila.

EU-US Data Privacy Framework je okvir za varstvo zasebnosti podatkov, ki deluje na podlagi samocertifikacije podjetij iz ZDA. Samocertificirana podjetja morajo upoštevati določena načela, pravila in obveznosti v zvezi z obdelavo podatkov posameznikov iz EGP. Pri prenosu podatkov v samocertificirana podjetja, se tako podatki štejejo za dovolj zaščitene, da ni treba vzpostavljati dodatnih zaščitnih ukrepov ali pridobiti dovoljenj. Seznam samocertificiranih podjetij vodi ameriško ministrstvo za trgovino in je dostopen na:

https://www.dataprivacyframework.gov/list.

Upravljavci si lahko pri identifikaciji in upravljanju s tveganji, ki jih prinašajo sistemi UI, pomagajo tako, da pripravijo oceno učinka v zvezi z varstvom podatkom. V skladu s 35. členom Splošne uredbe je ocena učinkov obvezna, če bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov.

Obrazložitev

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo. Obenem IP tudi niso znane podrobnosti konkretnih tehnoloških rešitev, ki jih navajate v zaprosilu za mnenje, zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim dopisom.

Umetna inteligenca in varstvo osebnih podatkov

Splošna uredba je tehnološko nevtralna, kar pomeni, da se uporablja ne glede na uporabljeno tehnologijo, če gre za obdelavo osebnih podatkov. Vsaka obdelava osebnih podatkov, ne glede na to, ali se podatki obdelujejo v okviru UI sistemov ali pa je za njihovo obdelavo uporablja kakšno drugo, manj sofisticirano orodje, mora izpolnjevati vse zahteve iz Splošne uredbe in ZVOP-2. In nasprotno: če sistem UI ne obdeluje osebnih podatkov, se določbe Splošne uredbe in ZVOP-2 ne uporabljajo. Zato je za zagotavljanje skladnosti sistemov UI z varstvom osebnih podatkov ključno, da upravljavec pravilno presodi, ali sistem UI obdeluje osebne podatke ali ne, ob tem pa upošteva, da je definicija osebnega podatka široka in zajema vse informacije, ki so v zvezi z določenim ali določljivim posameznikom.

Če upravljavec presodi, da se v katerikoli fazi življenjskega cikla UI, na primer v fazi uvajanja sistema UI, obdelujejo osebni podatki, mora zagotoviti skladnost tovrstne obdelave z določbami Splošne uredbe. V nadaljevanju navajamo nekatere najbolj pomembne vidike, o katerih mora razmisliti upravljavec, če želi zagotoviti skladnost z varstvom osebnih podatkov. Izpostavljena področja so navedena zgolj primeroma in niso izčrpna. Za oceno skladnosti konkretne obdelave osebnih podatkov je odgovoren upravljavec, odvisna pa je od okoliščin vsakega posameznega primera.

Odgovornost za obdelavo osebnih podatkov

Uvajanje sistemov UI običajno vsebuje več postopkov obdelav (osebnih) podatkov, ki lahko zasledujejo različne namene, vanje pa je običajno vključenih več podjetij ali organizacij. Zato je pomembno, da opredelite, kakšno vlogo in s tem tudi odgovornosti imajo ta podjetja in organizacije v okviru varstva osebnih podatkov. Splošna uredba ločuje med dvema skupinama akterjev, ki sodelujejo pri obdelavi osebnih podatkov: upravljavci so pravne ali fizične osebe, ki sami ali skupaj (v tem primeru gre za skupne upravljavce) usmerjajo obdelavo z določanjem njenih ciljev in sredstev, lahko pa jo tudi prepustijo tretji osebi, ki v tem primeru nastopa v vlogi obdelovalca. Pri opredelitvi vlog upravljavec/skupni upravljavec/obdelovalec si lahko pomagate s Smernicami 07/2020 o pojmih upravljavec in obdelovalec iz Splošne uredbe o varstvu podatkov, ki jih je Evropski odbor za varstvo podatkov sprejel dne 7. 7. 2021 in so dostopne na: https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_sl.pdf. V skladu z načelom odgovornosti so upravljavci odgovorni za zagotavljanje skladnosti z določbami Splošne uredbe in jo morajo biti sposobni tudi dokazati. Poudarjamo, da gre pri tej ločitvi za koncepta, ki se presojata na dejanski ravni – ne glede na to, kaj bi določala morebitna pogodba med vami in drugo družbo, je od dejanske presoje odvisno, kakšen status imate in kakšno odgovornost posledično nosite.

Če ugotovite, da je eno od podjetij v vlogi upravljavca in drugo v vlogi obdelovalca, mora biti to razmerje v skladu s tretjim odstavkom 28. člena Splošne uredbe pogodbeno urejeno. Pogodba načeloma nima predpisane oblike, ima pa predpisano vsebino. Le v primeru, da bi splošni pogoji poslovanja ustrezali vsem vsebinskim zahtevam Splošne uredbe, bi lahko zadoščali za pogodbo o obdelavi podatkov. Glede na to, da v njih ni omembe podobdelovalcev, najverjetneje temu ni tako, zaradi česar vam priporočamo, da sklenete s podjetjem posebno pogodbo. Ta mora določati obveznosti obdelovalca do upravljavca, predvsem pa vsebino in trajanje obdelave, naravo in namen obdelave, vrste osebnih podatkov, kategorije posameznikov, na katere se podatki nanašajo ter obveznosti in pravice upravljavca. Svetujemo vam, da si podrobno preberete tudi obvezne sestavine pogodbe, ki jih opisuje Splošna uredba v tretjem odstavku 28. člena. Splošna uredba sicer omogoča uporabo standardnih pogodbenih določil, ki jih določi Evropska komisija ali ki jih sprejme nadzorni organ (IP) in odobri Evropski odbor za varstvo podatkov. Besedilo standardnih pogodbenih določil je dostopno na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/pogodbena-obdelava#a5 .

Opozarjamo, da se teh določil ne sme enačiti s standardnimi pogodbenimi določili v smislu točk (c) in (d) drugega odstavka 46. člena Splošne uredbe in se na ta določila ne sme zanašati kot na orodje za prenos podatkov v tretje države. Vseeno pa mora biti za zakonit prenos osebnih podatkov v tretjo državo vedno zadoščeno tudi vsem ostalim pogojem za zakonito obdelavo osebnih podatkov po Splošni uredbi (npr. prav sklenitev pogodbe o obdelavi podatkov po 28. členu Splošne uredbe). Več informacij o zakonitem prenosu podatkov v tretje države sicer najdete spodaj pod podnaslovom »Prenos v tretje države«.

Pravne podlago za obdelavo osebnih podatkov

Osebni podatki se lahko obdelujejo le, če za njihovo obdelavo obstaja pravna podlaga iz 6. člena Splošne uredbe, v primeru občutljivih podatkov pa tudi ena izmed izjem za obdelavo tovrstnih podatkov iz 9. člena Splošne uredbe. Med pravnimi podlagami ni hierarhije, vendar pa ni vsaka pravna podlaga primerna za vsak postopek obdelave oziroma za vsako razmerje med upravljavcem in posameznikom. Upravljavec mora glede na vse okoliščine konkretne obdelave osebnih podatkov izbrati najbolj ustrezno med njimi, pri tem pa mora upoštevati tudi posebnosti obdelave osebnih podatkov pri uvajanju UI sistemov. Pravno podlago mora upravljavec določiti pred začetkom obdelave osebnih podatkov in jo lahko spremeni le, če za to obstaja utemeljen razlog.

Prenos v tretje države

Iz vašega dopisa izhaja, da gre pri UI aplikaciji za produkt ameriškega podjetja, ki ima strežnike izključno na ozemlju ZDA. To pomeni, da gre za prenos podatkov v tretjo državo, pri čemer je treba zagotoviti skladnost s Splošno uredbo. ZDA zagotavljajo ustrezno raven varstva za tiste osebne podatke, ki se iz EU prenašajo v ameriška podjetja v skladu z novim okvirjem za varstvo zasebnosti podatkov, tj. EU-US Data Privacy Framework. Gre za mehanizem samocertificiranja podjetij iz ZDA. Podjetja, ki  so se samocertificirala v sklopu okvira za varstvo zasebnosti podatkov, morajo upoštevati njegova načela, pravila in obveznosti v zvezi z obdelavo podatkov posameznikov iz EGP. Pri prenosu podatkov v tovrstna podjetja, se podatki štejejo za dovolj zaščitene, da pri prenosu ni treba vzpostavljati dodatnih zaščitnih ukrepov ali pridobiti kakršnegakoli dovoljenja. Seznam samocertificiranih podjetij vodi ameriško ministrstvo za trgovino in je dostopen na: https://www.dataprivacyframework.gov/list.

Če podjetje ni zavedeno na seznamu samocertificiranih podjetij, to še ne pomeni nujno, da se podatki tja ne smejo prenašati. Če upravljavec še vedno želi izvesti tak prenos, mora zagotoviti ustrezne zaščitne ukrepe, prav tako pa bo to možno le pod pogojem, da imajo posamezniki, na katere se nanašajo osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva. Za več informacij glede prenosa podatkov v tretjo državo, vas napotujemo na Smernice IP o prenosu osebnih podatkov v tretje države in mednarodne organizacije po Splošni uredbi o varstvu podatkov in ZVOP-2, dostopne na: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice%20glede%20prenosa%20OP_v1.6.pdf.

Ocena učinka v zvezi z varstvom podatkov

Upravljavci si lahko pri identifikaciji in upravljanju s tveganji, ki jih prinašajo sistemi UI, pomagajo tako, da pripravijo oceno učinka v zvezi z varstvom podatkom, ki je pomembno orodje za uspešno implementacijo načela odgovornosti in vgrajenega varstva osebnih podatkov. V skladu s 35. členom Splošne uredbe je ocena učinkov obvezna, če bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov.

Ocena učinka zajema vsaj sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je to ustrezno pa tudi zakonitih interesov upravljavca, oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen, oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki in ukrepe za obravnavanje tveganj, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s Splošno uredbo, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva. Pri pripravi ocene učinka si lahko pomagate z informacijami na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/ocena-u%C4%8Dinka-v-zvezi-z-varstvom-podatkov/, kjer boste našli usmeritve v zvezi njeno vsebino, metodologijo njene priprave in druga priporočila.

Več o umetni inteligenci in obdelavi osebnih podatkov si lahko preberete na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/umetna-inteligenca-in-varstvo-osebnih-podatkov.

Obveznosti na podlagi Akta o umetni inteligenci

IP dodatno opozarja, da je 1. avgusta 2024 začela veljati Uredba (EU) 2024/1689 Evropskega parlamenta in Sveta z dne 13. junija 2024 o določitvi harmoniziranih pravil o umetni inteligenci in spremembi uredb (ES) št. 300/2008, (EU) št. 167/2013, (EU) št. 168/2013, (EU) 2018/858, (EU) 2018/1139 in (EU) 2019/2144 ter direktiv 2014/90/EU, (EU) 2016/797 in (EU) 2020/1828 (Akt o umetni inteligenci).

Akt o umetni inteligenci se ne bo začel uporabljati takoj, temveč bodo v prehodnem obdobju, ki bo trajalo do leta 2027, njegove določbe začele veljati postopoma:

2. februar 2025:

2. februar 2025:začetek uporabe Poglavja I (Splošne določbe in definicije) in II (Prepovedane prakse);

2. avgust 2025:začetek uporabe Poglavja III, oddelek 4, Poglavja V (Modeli UI za splošne namene); Poglavja VII (Upravljanje) in Poglavja XII (Kazni) ter člena 78, razen člena 101;

2. avgust 2026:začetek uporabe vseh ostalih določb, z izjemo člena 6(1);

2. avgust 2027:začetek uporabe člena 6(1) in ustreznih obveznosti v skladu s tem členom.

Prve določbe so stopile v veljavo že v začetku februarja 2025, zato vam svetujemo, da podrobno preučite tudi določbe navedenega akta in ocenite, ali orodja, ki jih nameravate uvesti v svoje procese, ustrezajo definiciji sistema UI, saj bodo morala v tem primeru izpolnjevati tudi zahteve Akta o umetni inteligenci.

V skladu definicijo sistema UI iz 3(1) člena Akta o umetni inteligenci je sistem UI sistem temelječ na napravah, ki je zasnovan za delovanje z različnimi stopnjami avtonomije in lahko po uvedbi izkaže prilagodljivost ter za eksplicitne ali implicitne cilje iz prejetih vhodnih podatkov sklepa, kako ustvariti izhodne podatke, kot so napovedi, vsebine, priporočila ali odločitve, ki lahko vplivajo na fizična ali virtualna okolja.

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.

Pripravila:Sandra Kajtazović, univ. dipl. prav.

dr. Jelena Virant Burnik

informacijska pooblaščenka