EDPB izjava o vlogi nadzornih organov za varstvo podatkov v okviru Akta o AI & še kaj

Na svojem zadnjem plenarnem zasedanju je EDPB sprejel izjavo o vlogi organov za varstvo podatkov (DPA) v okviru Akta o umetni inteligenci (AI Act).

Po mnenju EDPB imajo organi za varstvo podatkov že izkušnje in strokovno znanje pri obravnavanju vpliva umetne inteligence na temeljne pravice, zlasti pravico do varstva osebnih podatkov, zato bi jih bilo treba v številnih primerih imenovati za organe za nadzor trga (MSA). To bi zagotovilo boljše usklajevanje med različnimi regulativnimi organi, povečalo pravno gotovost za vse deležnike in okrepilo nadzor in izvajanje tako Akta o umetni inteligenci kot tudi zakonodaje EU o varstvu podatkov.

V skladu z Aktom o umetni inteligenci morajo države članice imenovati organe za nadzor trga na nacionalni ravni do 2. avgusta 2025 za namen nadzora nad izvajanjem in uresničevanjem Akta o umetni inteligenci.

V svoji izjavi EDPB priporoča:

• Kot je že navedeno v Aktu o umetni inteligenci, bi bilo treba organe za varstvo podatkov imenovati za organe za nadzor trga za visoko tvegane sisteme umetne inteligence, ki se uporabljajo za izvrševanje zakonov, upravljanje mej, upravljanje pravosodja in demokratične procese;
• Države članice bi morale razmisliti o imenovanju organov za varstvo podatkov kot organe za nadzor trga tudi za druge visoko tvegane sisteme umetne inteligence, upoštevajoč mnenja nacionalnih organov za varstvo podatkov, zlasti tam, kjer ti visoko tvegani sistemi umetne inteligence delujejo v sektorjih, ki verjetno vplivajo na pravice in svoboščine posameznikov glede obdelave osebnih podatkov;
• Organi za varstvo podatkov, kjer so imenovani kot organi za nadzor trga, bi morali biti določeni kot enotne kontaktne točke za javnost in nasprotnike na ravni držav članic in EU;
• Jasni postopki bi morali biti vzpostavljeni za sodelovanje med organi za nadzor trga in drugimi regulativnimi organi, ki so zadolženi za nadzor nad sistemi umetne inteligence, vključno z organi za varstvo podatkov. Poleg tega bi bilo treba vzpostaviti ustrezno sodelovanje med uradom EU za umetno inteligenco in organi za varstvo podatkov/EDPB.

Namestnica predsednika EDPB Irene Loizidou Nicolaidou je dejala: “Organi za varstvo podatkov bi morali imeti pomembno vlogo pri izvajanju Akta o umetni inteligenci, saj večina sistemov umetne inteligence vključuje obdelavo osebnih podatkov. Trdno verjamem, da so organi za varstvo podatkov primerni za to vlogo zaradi njihove popolne neodvisnosti in globokega razumevanja tveganj umetne inteligence za temeljne pravice, temelječe na njihovih obstoječih izkušnjah.”

Nato je odbor sprejel dva dokumenta s pogostimi vprašanji (FAQ) v zvezi z okvirom za zasebnost podatkov med EU in ZDA (DPF), katerih namen je zagotoviti več pojasnil o delovanju DPF.

Pogosta vprašanja za posameznike vsebujejo informacije o delovanju DPF: kako izkoristiti njegove prednosti, kako vložiti pritožbo in kako bo ta pritožba obravnavana.

Prav tako pogosta vprašanja za podjetja pojasnjujejo, katera ameriška podjetja so upravičena do pridružitve DPF: kaj storiti pred prenosom osebnih podatkov v podjetje v ZDA, ki je certificirano po DPF, in kje najti dodatna navodila.

Na koncu je EDPB sprejel mnenje, ki odobrava Katalog meril EuroPriSe za certificiranje obdelovalnih dejavnosti s strani obdelovalcev, kar ima za posledico evropski pečat za varstvo podatkov. Evropski pečati za varstvo podatkov služijo kot pomembna orodja, ki prispevajo k skladnosti z GDPR.

Septembra 2022 je EDPB sprejel mnenje o merilih za certificiranje EuroPriSe, kar omogoča njihovo priznanje v Nemčiji kot merila za certificiranje obdelovalnih dejavnosti s strani obdelovalcev. Po posodobitvi sheme to novo mnenje odobrava merila kot veljavna za celotno EU/EGP in kot evropski pečat za varstvo podatkov.

Certificiranje po GDPR prispeva k dokazovanju prizadevanj za skladnost in k povečani preglednosti in zaupanju. Omogoča boljšo oceno stopnje zaščite, ki jo nudijo proizvodi, storitve, procesi ali sistemi, ki jih uporabljajo organizacije, ki obdelujejo osebne podatke.

Evropski pečat za varstvo podatkov EuroPrise bo dodan v register certificirnih mehanizmov in pečatov za varstvo podatkov v skladu s členom 42(8) GDPR.