GDPR וכלי AI נפגשים בנקודה קריטית עבור כל ארגון שמעבד נתונים אישיים של תושבי אירופה באמצעות מערכות בינה מלאכותית. התקנה חלה במלואה על פריסות AI, כלומר כל כלי שאוסף, מעבד או פועל על נתונים אישיים חייב לעמוד בדרישות ה-GDPR לבסיס חוקי, שקיפות וצמצום נתונים, או להסתכן בפעולת אכיפה משמעותית.
ארגונים רבים נעו במהירות לאימוץ AI מבלי לעצור ולשאול אם הכלים החדשים שלהם באמת חוקיים תחת חוק הגנת הנתונים האירופי. התשובה לא תמיד נוחה. AI מציג פעילויות עיבוד נתונים ש-GDPR לא נכתב במקור כדי לטפל בהן, אך הוא מכסה אותן לחלוטין במסגרת הקיימת שלו. פרופיילינג אוטומטי, עיבוד בקנה מידה גדול של נתונים אישיים, העברות נתונים חוצות גבולות שמעוררות על ידי תשתית AI ענן ומערכות קבלת החלטות אטומות, כולן יושבות במישרין בתוך תחום הרגולציה של GDPR. הבנה מדויקת של היכן מוטלות החובות וכיצד לבנות פריסות AI שעונות עליהן כבר אינה אופציונלית עבור עסקים הפועלים בשווקים האירופיים או מוכרים אליהם. מדריך זה מסקר מה הציות באמת דורש והיכן רוב הצוותים נוטים לטעות.
מדוע GDPR חל על כלי AI באופן רחב יותר ממה שרוב הצוותים מבינים
כל אינטראקציה של AI הכוללת נתונים אישיים היא אירוע עיבוד
GDPR מגדיר עיבוד נתונים באופן רחב. כל פעולה המבוצעת על נתונים אישיים, לרבות איסוף, אחסון, שליפה, שימוש, חשיפה ומחיקה, נכנסת לתחולת התקנה. כאשר כלי AI מקבל שם, כתובת דוא"ל, דפוס התנהגותי, הקלטת קול או כל מידע אחר הקשור לאדם שניתן לזהותו, הוא מעבד נתונים אישיים על פי הגדרת ה-GDPR מהרגע שאותם נתונים נכנסים למערכת.
זה תופס ארגונים רבים בלתי מוכנים מכיוון שהמודל המנטלי האינטואיטיבי של ציות ל-GDPR מתמקד במסדי נתונים ואחסון. אם אתם מאחסנים רשומות לקוחות, אתם מצייתים לכללי האחסון. אך עיבוד AI הוא עיבוד ללא קשר אם משהו נשמר באופן קבוע. כלי AI שמנתח תמליל שירות לקוחות כדי לסווג סנטימנט ומיד משליך את התמליל עדיין עיבד נתונים אישיים. הבסיס החוקי לכך, וחובות השקיפות שמתלוות אליו, חלים על אותה אינטראקציה.
ההשלכה המעשית היא שהערכת הציות שלכם ל-GDPR אינה יכולה להיעצר במסדי הנתונים ובמערכות ה-CRM שלכם. כל כלי AI שהארגון שלכם משתמש בו צריך להיות מוערך לגבי אילו נתונים אישיים הוא נוגע בהם, על איזה בסיס חוקי ובאילו תנאים.
בעיית הבסיס החוקי עם כלי AI
GDPR דורש שלכל פעילות עיבוד הכוללת נתונים אישיים יהיה בסיס חוקי תקף. ששת הבסיסים הזמינים הם הסכמה, ביצוע חוזה, חובה חוקית, אינטרסים חיוניים, משימה ציבורית ואינטרסים לגיטימיים. עבור רוב פריסות ה-AI המסחריות, האפשרויות הרלוונטיות הן הסכמה, ביצוע חוזה ואינטרסים לגיטימיים.
האתגר עם כלי AI הוא שפעילויות העיבוד שהם מבצעים לעיתים קשות לתיאור בספציפיות מספקת כדי לעמוד בדרישות השקיפות של GDPR להסכמה או לאיזון אינטרסים לגיטימיים. לומר למשתמשים שהנתונים שלהם יעובדו על ידי מערכות AI לשיפור השירות אינו ספציפי מספיק. הסבר מדויק אילו נתונים זורמים דרך איזו מערכת AI ולאיזו מטרה, נשמרים לכמה זמן, משותפים עם אילו מעבדים ומשמשים לבסס אילו החלטות הוא מה שהתקנה באמת דורשת.
ארגונים שלא מיפו את זרימות נתוני ה-AI שלהם בפירוט אינם יכולים לעמוד בדרישה זו מכיוון שהם באמת לא יודעים מה הם חושפים. עבודת הציות ועבודת השקיפות הן אותה עבודה.
| בסיס חוקי | מתי חל על AI | דרישה מרכזית |
|---|---|---|
| הסכמה | עיבוד AI אינו נחוץ לשירות, אופציונלי באופן ברור | ניתנת מרצון, ספציפית, מודעת, חד-משמעית |
| ביצוע חוזה | AI נחוץ ישירות לאספקת שירות חוזי | העיבוד מוגבל למה שהחוזה דורש |
| אינטרסים לגיטימיים | קיים אינטרס עסקי שאינו גובר על זכויות הפרט | הערכת אינטרסים לגיטימיים מתועדת |
| חובה חוקית | שימוש ב-AI לעמידה בדרישה חוקית | חובה חוקית ספציפית חייבת להתקיים ולהיות מתועדת |
| משימה ציבורית | רשויות ציבוריות וארגונים עם מנדטים ציבוריים | חייב להיות מבוסס על חוק האיחוד או מדינה חברה |
יישור AI security ותיעוד הבסיס החוקי מוקדם בפריסה מונע את המצב שבו יש לכם מערכת AI מאובטחת טכנית הפועלת על בסיס משפטי לא תקין.
מה השינויים ב-GDPR אומרים ספציפית עבור AI
הפרשנות הרגולטורית המתפתחת
GDPR גובש סופית ב-2016 ונכנס לתוקף ב-2018, מקדים בכמה שנים את הדור הנוכחי של מודלי שפה גדולים. הטקסט של התקנה אינו מזכיר AI גנרטיבי, מודלי יסוד או צינורות מסקנה. מה שהוא כן מכיל הוא מסגרת מבוססת עקרונות רחבה דיה כדי לתפוס טכנולוגיות אלה, ורשויות הגנת הנתונים ברחבי מדינות האיחוד האירופי מפרסמות באופן עקבי הנחיות שמבהירות כיצד עקרונות אלה חלים.
פעולת האכיפה של רשות הגנת הנתונים האיטלקית נגד ChatGPT ב-2023 הייתה האות הברור ביותר שרגולטורים מוכנים לפעול בנוגע לדאגות GDPR ספציפיות ל-AI. הפעולה התמקדה בהיעדר בסיס חוקי ברור של OpenAI לעיבוד נתוני משתמשים איטלקים, היעדר מנגנוני אימות גיל ושקיפות לא מספקת לגבי האופן שבו נעשה שימוש בנתונים אישיים באימון המודל. הכלי הושעה זמנית באיטליה ושוחזר רק לאחר ש-OpenAI ביצעה שינויי ציות ספציפיים.
מאז, רשויות הגנת נתונים לאומיות אחרות ברחבי האיחוד האירופי פרסמו הנחיות הנוגעות לנתוני אימון AI, קבלת החלטות אוטומטית והתנאים שבהם פלטי AI מהווים עיבוד של נתונים אישיים על האנשים שנתוניהם שימשו לאימון המודל.
הכיוון ברור. אכיפת GDPR נכנסת עמוק יותר לטריטוריה ספציפית של AI, וארגונים שהתייחסו לציות AI כבעיה עתידית מגלים שזה הפך להווה.
כיצד חוק ה-AI של האיחוד האירופי מתווסף על גבי GDPR
חוק ה-AI של האיחוד האירופי, שנכנס לתוקף ב-2024, מוסיף שכבת רגולציה מקבילה הפועלת לצד ה-GDPR במקום להחליפו. בעוד ש-GDPR מסדיר את מה שקורה לנתונים אישיים, חוק ה-AI מסדיר את המאפיינים וההתנהגות של מערכות AI עצמן, במיוחד אלה המסווגות כסיכון גבוה.
עבור עסקים הפורסים כלי AI שמתקשרים עם נתונים אישיים, שתי המסגרות חלות בו זמנית. מערכת AI המשמשת בסינון תעסוקה, הערכת אשראי או טריאז' בריאות כפופה לדרישות חוק ה-AI לגבי שקיפות, פיקוח אנושי ודיוק, ובו זמנית כפופה לדרישות GDPR עבור כל פיסת נתונים אישיים שהיא מעבדת.
הבנה כיצד החלטות AI architecture משפיעות על ציות תחת שתי המסגרות עוזרת לארגונים לתכנן מערכות שעונות על התמונה הרגולטורית המלאה במקום לבצע אופטימיזציה לרגולציה אחת על חשבון האחרת.
סעיף 22 וקבלת החלטות אוטומטית
מה סעיף 22 באמת אוסר
סעיף 22 ל-GDPR מעניק ליחידים את הזכות לא להיות נתונים להחלטות המבוססות אך ורק על עיבוד אוטומטי, כולל פרופיילינג, אשר מייצרות השפעות משפטיות או דומות באופן משמעותי הנוגעות להם. זוהי אחת ההוראות הרלוונטיות ביותר ל-AI בתקנה ואחת המובנות בצורה שגויה לעיתים קרובות.
האיסור אינו על שימוש ב-AI בתהליכי קבלת החלטות. הוא ספציפית על החלטות המתקבלות אך ורק על ידי מערכות אוטומטיות שבהן אף אדם אינו בודק באופן משמעותי את התוצאה לפני שהיא משפיעה על היחיד. AI לדירוג אשראי שמייצר המלצה אשר פקיד הלוואות אנושי שוקל ומאשר או דוחה אינו מפעיל את סעיף 22. מערכת שמאשרת או דוחה באופן אוטומטי בקשות הלוואה בהתבסס על פלט אלגוריתמי ללא אדם בלולאת ההחלטה כן מפעילה.
עבור כלי AI המשמשים במשאבי אנוש, פילוח לקוחות, גילוי הונאות והקשרים דומים, ניתוח סעיף 22 הוא חיוני. אם כלי ה-AI שלכם מקבל החלטות המשפיעות על גישת אנשים לשירותים, הזדמנויות תעסוקה או מוצרים פיננסיים, ואף אדם אינו בודק באמת את ההחלטות הללו לפני שהן נכנסות לתוקף, יש לכם בעיית ציות לסעיף 22.
שלושת החריגים לסעיף 22 הם הכרח חוזי, הסכמה מפורשת ואישור חוקי. כל אחד מהם דורש תנאים נוספים ספציפיים כולל הזכות לבדיקה אנושית, הזכות לערער על ההחלטה והזכות לקבל הסבר על ההיגיון המעורב.
| סוג החלטה אוטומטית | האם סעיף 22 מופעל? | מסלול ציות |
|---|---|---|
| המלצת AI הנבדקת על ידי אדם לפני פעולה | לא | חלות חובות עיבוד GDPR סטנדרטיות |
| אישור או דחייה אוטומטיים לחלוטין עם תוקף משפטי | כן | חייב להסתמך על חריג עם זכות לבדיקה אנושית |
| פרופיילינג אוטומטי לפילוח רשימות שיווק | תלוי במשמעות | הערכה האם ההשפעות משמעותיות משפטית |
| ציון תוכן שנוצר על ידי AI המשפיע על החלטת תעסוקה | כן | חריג חוזה או הסכמה בתוספת בדיקה אנושית |
| סימון הונאה הדורש חקירה אנושית לפני פעולת חשבון | לא | בדיקה אנושית שוברת את השרשרת האוטומטית בלבד |
בדיקת AI features בכלים שאתם שוקלים לפרוס עוזרת לזהות אילו משלבים נקודות ביקורת אנושיות משמעותיות ואילו מנתבים החלטות באופן אוטומטי ללא בדיקה אנושית.
סעיף 37 ודרישת קצין הגנת הנתונים
מתי פריסות AI דורשות DPO
סעיף 37 ל-GDPR דורש מארגונים מסוימים למנות קצין הגנת נתונים. הדרישה חלה על רשויות וגופים ציבוריים, ארגונים שפעילויות הליבה שלהם דורשות ניטור שיטתי בקנה מידה גדול של יחידים, וארגונים שפעילויות הליבה שלהם כוללות עיבוד בקנה מידה גדול של נתוני קטגוריה מיוחדת או נתונים הקשורים להרשעות פליליות.
כלי AI מפעילים לעיתים קרובות הערכה זו. עסק קמעונאי הפורס AI לניתוחים התנהגותיים על פני מיליוני אינטראקציות לקוחות עוסק בניטור שיטתי בקנה מידה גדול. ארגון בריאות המשתמש ב-AI כדי לעבד רשומות חולים בקנה מידה מעבד נתוני קטגוריה מיוחדת בקנה מידה גדול. שני התרחישים מצביעים על דרישת DPO חובה.
גם כשדרישת ה-DPO אינה חובה במובן המחמיר, התפקיד שהיא משרתת—פיקוח על פעילויות עיבוד נתונים, קשר עם רשויות פיקוח וייעוץ ציות עצמאי—הוא חיוני מבחינה מעשית לארגונים המפעילים מערכות AI הנוגעות לנפחים משמעותיים של נתונים אישיים. עסקים רבים שאינם חייבים טכנית למנות DPO עושים זאת מכיוון שהערך התפעולי מצדיק זאת.
יש לערב את ה-DPO בפריסות AI לפני שהן עולות לאוויר, לא להתייעץ איתו לאחר מכן כשבעיות צצות. הכנסת ה-DPO לתהליך הערכת הכלי, להערכת השפעה על הגנת נתונים ולסקירת הסכם הספק יוצרת את שובל הפיקוח המתועד שהרגולטורים מצפים לראות.
הערכות השפעה על הגנת נתונים עבור AI
סעיף 35 ל-GDPR דורש הערכת השפעה על הגנת נתונים לפני פריסת כל עיבוד שצפוי לגרום לסיכון גבוה ליחידים. מערכות AI הכוללות פרופיילינג בקנה מידה גדול, ניטור שיטתי או קבלת החלטות אוטומטית עם השפעות משמעותיות כמעט תמיד מפעילות דרישה זו.
DPIA נאות עבור כלי AI מכסה אילו נתונים אישיים המערכת מעבדת ולמה, ההכרח והפרופורציונליות של העיבוד, הסיכונים ליחידים וכיצד הם ימותנו, והאמצעים הקיימים להוכחת ציות. זה אינו מסמך חד-פעמי. כאשר כלי ה-AI משתנה, כאשר קלטי הנתונים משתנים, או כאשר ההקשר העסקי משתנה באופן מהותי, יש לחזור ול-DPIA.
AI guide מעשי על מתודולוגיית DPIA למערכות AI עוזר לצוותי ציות לבנות הערכות שעומדות בציפיות רשות הפיקוח במקום לייצר תיעוד שנראה יסודי אך מפספס את ניתוח הסיכון המהותי שהרגולטורים מחפשים.
דברים שצריך לדעת
מספר נקודות חשובות לגבי GDPR וכלי AI שנוטות לצוץ רק לאחר שכבר התרחשו בעיות:
אימון מודלי AI על נתונים אישיים דורש הערכת בסיס חוקי משלו. אם אתם מבצעים כיוונון עדין של מודל על נתוני לקוחות, נתוני עובדים או כל נתון אישי אחר שהארגון שלכם מחזיק, פעילות אימון זו היא מטרת עיבוד נפרדת הזקוקה לבסיס חוקי משלה, נפרד ממטרת האיסוף המקורית.
זכויות נושאי נתונים חלות על נתונים שעובדו על ידי AI. יחידים שומרים על הזכות לגשת, לתקן, למחוק ולנייד את הנתונים האישיים שלהם גם כאשר הם עובדו על ידי מערכת AI. אם כלי ה-AI שלכם אינו יכול לתמוך בזכויות אלה מבחינה תפעולית, זוהי פרצת ציות ללא קשר עד כמה טובים בקרי האבטחה האחרים של הכלי.
יש לתעד מעבדים ומעבדי משנה. כל ספק AI המעבד נתונים אישיים בשמכם חייב להיות רשום ברישומי פעילויות העיבוד שלכם. מעבדי המשנה שלהם, ספקי התשתית, חברות האחסון וספקים אחרים שעליהם הם מסתמכים, צריכים להיחשף בהסכמי עיבוד הנתונים שלכם איתם.
פסבדונימיזציה מפחיתה סיכון אך אינה מבטלת חובות GDPR. נתונים שעברו פסבדונימיזציה, כלומר מזהים הוחלפו בקודים, הם עדיין נתונים אישיים תחת GDPR אם זיהוי מחדש אפשרי באופן סביר. כלי AI המעבדים נתונים מפוסבדונימים עדיין מעבדים נתונים אישיים.
העברות חוצות גבולות שמעוררות על ידי תשתית AI דורשות מנגנוני העברה. אם ספק ה-AI שלכם מעבד נתונים על תשתית מחוץ לאיחוד האירופי או ל-EEA, אתם זקוקים למנגנון העברה תקף כגון Standard Contractual Clauses או הערכת השפעה של העברה. שירותי AI ענן רבים מנתבים עיבוד דרך מרכזי נתונים אמריקאיים או אסיאתיים כברירת מחדל.
יש להגדיר תקופות שמירה לנתונים שעובדו על ידי AI. GDPR דורש שלא לשמור נתונים אישיים יותר מהנדרש. מערכות AI ששומרות יומני שיחה, נתוני קלט או נתוני פלט ללא הגבלת זמן ללא לוח זמנים שמירה מתועד אינן עומדות בציות ללא קשר לאמצעי הגנה אחרים.
בניית פרקטיקת AI מוכנת ל-GDPR
ארגונים שמנווטים בהצלחה ב-GDPR וכלי AI חולקים גישה משותפת. הם מעריכים ציות לפני פריסה ולא אחריה, הם שומרים תיעוד חי של זרימות נתוני ה-AI שלהם, והם מתייחסים לציות GDPR כדיסציפלינה תפעולית מתמשכת ולא כפרויקט עם תאריך סיום.
הסביבה הרגולטורית סביב AI באירופה מתהדקת, לא מתרופפת. השילוב של אכיפת GDPR שהופכת ממוקדת יותר ב-AI וחוק ה-AI של האיחוד האירופי המוסיף מסגרת מקבילה אומר שארגונים עם יסודות ממשל AI חלשים צוברים חשיפת ציות עם כל כלי חדש שהם פורסים.
בניית היסוד הזה אינה מורכבת כפי שהיא נשמעת. מפו את זרימות הנתונים שלכם. הקימו בסיסים חוקיים. תעדו את העיבוד שלכם. הערכו את הפריסות בסיכון גבוה שלכם. סדרו את הסכמי הספקים שלכם. אלה הן פרקטיקות ציות מבוססות המיושמות על קטגוריה חדשה של טכנולוגיה. הארגונים שניגשים אליה באופן שיטתי מגלים שציות ואימוץ AI אפקטיבי אינם במתח. כשהדבר נעשה נכון, הם מחזקים זה את זה.
שאלות נפוצות
האם כלי AI כפופים ל-GDPR?
כן, כלי AI כפופים במלואם ל-GDPR בכל פעם שהם מעבדים נתונים אישיים הנוגעים ליחידים באיחוד האירופי, ללא קשר היכן ממוקמת חברת ה-AI או היכן ממוקמים שרתיה. התקנה חלה על בסיס מיקום נושאי הנתונים, לא ספק הטכנולוגיה, מה שאומר שכל כלי AI המשמש לנתוני לקוחות או עובדים אירופים חייב לציית.
מהו כלל ה-30% עבור AI?
כלל ה-30% עבור AI הוא הנחיה מעשית המציעה שאוטומציית AI צריכה לכסות בערך 30% מתהליך עבודה בעוד ששיפוט ופיקוח אנושיים מטפלים ב-70% הנותרים. בהקשרי GDPR מסגרת זו שימושית במיוחד לציות לסעיף 22, ועוזרת לארגונים לתכנן פריסות AI שבהן בני אדם נשארים מעורבים באמת בהחלטות במקום רק לאשר באופן פורמלי פלטים אוטומטיים.
מהם השינויים ב-GDPR עבור AI?
ה-GDPR עצמו לא תוקן רשמית עבור AI, אך רשויות הגנת נתונים ברחבי האיחוד האירופי פרסמו הנחיות ספציפיות יותר ויותר המיישמות את עקרונות ה-GDPR הקיימים על מערכות AI, במיוחד סביב בסיסים חוקיים לנתוני אימון, קבלת החלטות אוטומטית ודרישות שקיפות לפלטי AI. חוק ה-AI של האיחוד האירופי, הפועל לצד GDPR במקום להחליפו, מוסיף חובות נוספות עבור מערכות AI בסיכון גבוה המעבדות נתונים אישיים.
מהו סעיף 22 של ה-GDPR ו-AI?
סעיף 22 ל-GDPR מעניק ליחידים את הזכות לא להיות נתונים להחלטות המתקבלות אך ורק על ידי עיבוד אוטומטי המייצרות השפעות משפטיות או דומות באופן משמעותי, מה שחל ישירות על מערכות AI המקבלות החלטות בעלות השלכות על אנשים ללא בדיקה אנושית משמעותית. ארגונים המשתמשים ב-AI לדירוג אשראי, סינון תעסוקה או גישה לשירותים צריכים לוודא שאדם בודק באמת פלטי AI לפני שההחלטות נכנסות לתוקף, או שאחד משלושת החריגים החוקיים חל עם כל אמצעי ההגנה הנוספים הנדרשים.
מהו סעיף 37 של ה-GDPR?
סעיף 37 ל-GDPR קובע את הדרישה שארגונים מסוימים ימנו קצין הגנת נתונים, תפקיד שהופך חיוני מבחינה מעשית עבור כל עסק המפעיל מערכות AI המעבדות נפחים גדולים של נתונים אישיים או עוסקות בניטור התנהגותי שיטתי. ארגונים שפעילויות הליבה שלהם ב-AI כוללות פרופיילינג בקנה מידה גדול, עיבוד נתוני קטגוריה מיוחדת או ניטור פרטני שיטתי צפויים להפעיל את דרישת מינוי ה-DPO החובה תחת סעיף זה.