Μια νέα έκθεση της σουηδικής Αρχής Προστασίας Δεδομένων (IMY) επιχειρεί να ξεκαθαρίσει ένα από τα πιο κρίσιμα ζητήματα στη χρήση της τεχνητής νοημοσύνης: ποιος θεωρείται υπεύθυνος για την επεξεργασία προσωπικών δεδομένων όταν αναπτύσσονται ή προσαρμόζονται συστήματα AI.
Το κείμενο εστιάζει κυρίως στη διαδικασία προσαρμογής ήδη εκπαιδευμένων μοντέλων τεχνητής νοημοσύνης (fine tuning), κατά την οποία τα μοντέλα εκπαιδεύονται περαιτέρω με εξειδικευμένα δεδομένα για να καλύψουν συγκεκριμένες ανάγκες. Μέσα από παραδείγματα συνεργασίας μεταξύ προμηθευτών και πελατών, η Αρχή εξηγεί σε ποιες περιπτώσεις ο πάροχος λειτουργεί ως υπεύθυνος επεξεργασίας, ως εκτελών την επεξεργασία ή μοιράζεται την ευθύνη με τον πελάτη.
Το κριτήριο είναι ποιος λαμβάνει τις αποφάσεις
Σύμφωνα με την IMY, αυτό που καθορίζει τον ρόλο κάθε εμπλεκόμενου δεν είναι η ιδιότητά του ως παρόχου AI ή τεχνικής υποστήριξης, αλλά το ποιος αποφασίζει γιατί, πώς και με ποια δεδομένα γίνεται η επεξεργασία.
Εάν ο προμηθευτής χρησιμοποιεί προσωπικά δεδομένα για να εξελίξει τα δικά του προϊόντα τεχνητής νοημοσύνης, θεωρείται υπεύθυνος επεξεργασίας. Αντίθετα, όταν προσαρμόζει ένα μοντέλο αποκλειστικά για λογαριασμό ενός πελάτη και σύμφωνα με τις οδηγίες του, ενεργεί ως εκτελών την επεξεργασία, ενώ την κύρια ευθύνη διατηρεί ο πελάτης.
Τα βασικά σενάρια
Η έκθεση περιγράφει τέσσερις συνηθισμένες περιπτώσεις χρήσης. Όταν ένας πάροχος διαθέτει απλώς εφαρμογές τρίτων χωρίς να έχει πρόσβαση στα δεδομένα των χρηστών, συνήθως δεν αποκτά ρόλο κατά τον GDPR. Αν όμως αναπτύσσει ή βελτιώνει εφαρμογές με δική του πρωτοβουλία χρησιμοποιώντας προσωπικά δεδομένα, τότε θεωρείται υπεύθυνος επεξεργασίας.
Όταν η ανάπτυξη γίνεται αποκλειστικά για τις ανάγκες ενός συγκεκριμένου πελάτη, ο πελάτης είναι ο υπεύθυνος επεξεργασίας και ο προμηθευτής λειτουργεί ως εκτελών την επεξεργασία. Σε περιπτώσεις στενής συνεργασίας, όπου και οι δύο πλευρές λαμβάνουν από κοινού αποφάσεις για τη χρήση των δεδομένων, μπορεί να υπάρχει κοινή ευθύνη.
Η λειτουργία της εφαρμογής και οι υπηρεσίες υποστήριξης
Η IMY επισημαίνει ακόμη ότι η χρήση μιας εφαρμογής AI μετά την ανάπτυξή της πρέπει να εξετάζεται ξεχωριστά. Συνήθως ο οργανισμός που χρησιμοποιεί την εφαρμογή είναι υπεύθυνος επεξεργασίας, καθώς αποφασίζει για τον σκοπό χρήσης και τα δεδομένα που εισάγονται σε αυτή.
Αντίστοιχα, ο ρόλος του παρόχου στις υπηρεσίες φιλοξενίας, συντήρησης ή τεχνικής υποστήριξης εξαρτάται από το αν επεξεργάζεται δεδομένα αποκλειστικά για λογαριασμό του πελάτη ή για δικούς του σκοπούς.
Τέλος, η έκθεση διευκρινίζει ότι οι υποχρεώσεις που προβλέπει ο GDPR δεν ταυτίζονται με τις συμβατικές ή εμπορικές ευθύνες μεταξύ εταιρειών. Για τον λόγο αυτό, κάθε έργο τεχνητής νοημοσύνης απαιτεί σαφή κατανομή ρόλων και ευθυνών ως προς την επεξεργασία προσωπικών δεδομένων.