Merlin Liis-Toomela ja Hegle Pärna: tehinsintellekti määrus ja andmed

Ellex Raidla Advokaadibüroo jurist Hegle Pärna ja vandeadvokaat Merlin Liis-Toomela avavad tehisintellekti määruse artiklite sarjas määruse erinevaid nüansse, võtavad selle kompleksse õigusakti tükkideks ning selgitavad selle sisu. Antud artikkel on sarja teine osa, sissejuhatavat osa saad lugeda siit.

Andmete ja tehistaibu võidujooks

Tänases ühiskonnas on andmed kahtlemata kõrgelt hinnatud. Erinevate kõne- ja keelemudelite arendamise ja kasutamisega seondub paratamatult küsimus ka andmete turvalisusest. Mitmed nõuded tulenevad mudelite arendajatele aastaid tagasi vastu võetud isikuandmete kaitse üldmäärusest. Missugust rolli hakkab andmete turvalisuse tagamisel kandma tehisintellekti määrus ning milliseid kohustusi mõlemad õigusaktid andmete turvalisuse jaoks seavad?

Andmed kui kütus tehistaibule

Andmeid peetakse justkui mudelite kütuseks. Ilma nendeta on keeruline või suisa võimatu mistahes tehistaipu arendada. Tehisaru mudelid vajavad massilistes kogustes andmeid, et mõista maailma ja õppida täitma mudeli kasutajate poolt neile osutatavaid ülesandeid.

Tehisintellekti üks peamisi probleeme on seotud mudelisse internetist kogutud või isikute enda poolt lisatud andmete privaatsusega. Mudelisse võivad jõuda nii tavalised isikuandmed – kontaktandmed, isikukood jms – kui ka tundlikumad isikuandmed. Eristada tuleb ka andmeid, mis on saadud avalikest andmekogudest ning neid, mida on kasutaja ise mudelisse sisestanud. Seetõttu tuleb ka andmete seaduspärasel kasutamisel arvestada paratamatult sellega, kust andmed pärinevad.

Turvalisus ja läbipaistvus

Juba isikuandmete kaitse üldmäärusest tulenevad mitmed turvalisust puudutavad kohustused andmete töötlejale, mille järgi peavad töötlejad kasutama erinevaid meetmeid (nt andmete pseudonümiseerimine, krüpteerimine jms) selleks, et oleks tagatud isikuandmete privaatsus ja turvalisus. Kavandatavas tehisintellekti määruses on ka välja toodud mitmed piirangud andmete kogumisele ja kasutamisele.

Tehisintellekti määrus aitab samuti sellele kaasa, et vähendada andmekaitsealaseid riske. Üheks võtmesõnaks on mudelite arendamisel ka läbipaistvus, mis peaks aitama aru saada, kas ja kuidas inimeste andmeid on mudelite arendamisel kasutatud.

Tehisintellekti määrus seab mudelite arendajatele ja kasutajatele lisaks veel mitmeid kohustusi andmete turvalisuse tagamiseks. Tehisintellekti määrusest tulenev peamine koorem lasub mudelite arendajatel, seda eriti kõrge riskiga tehisintellekti süsteemide puhul. Samas aga ei loo tehisintellekti määrus uusi võimalusi isikuandmete õiguspäraseks töötlemiseks. See tähendab, et mudeli arendaja peab tagama ka isikuandmete töötlemise kooskõla isikuandmete kaitse üldmäärusega.

Mõjude hindamine

Isikuandmete kaitse üldmääruse järgi peavad andmetöötlejad läbi viima teatavat tüüpi isikuandmete töötlemisega kaasnevate mõjude hindamise. Üldmäärus nõuab, et andmetöötlejad koostaksid andmekaitse mõjuhinnangud, kui töötlemine võib kujutada ohtu isikute õigustele ja vabadustele. Ka tehisintellekti määrus viitab selgesõnaliselt andmekaitsealase mõjuhinnangu teostamise vajadusele.

Tehisintellekti määruse järgi on vajalik just kõrge riskiga tehisaru süsteemide puhul kaardistada võimalikud riskid, mis võiksid riivata füüsiliste isikute õigust muuhulgas privaatsusele. Seetõttu peavad mudeli arendajad koostama turvalisuse tagamiseks mõjuhinnangu, et maandada võimalikke andmeturbe riske.

Samas ei pruugi aga mudelite algsed arendajad suuta alati täielikult hinnata oma süsteemi võimalikke hilisemaid kasutusviise. Mudelite arendajate esialgne hinnang, mis liigitab algse tehisaru vähese riskiga süsteemiks, ei pruugi välistada teistsugust hilisemat kasutust. Seda eelkõige olukorras, kus mudeli kasutaja liidestab arendaja loodud mudeli oma süsteemiga. Ühele ja samale tehistaibule võivad eelnevast järelduvalt kehtida erinevad nõuded.

Tehisintellekti määrus ja isikuandmete kaitse üldmäärus ühtse tandemina

Nii tehisintellekti määrusel kui ka isikuandmete kaitse üldmäärusel on mõlemal kanda oluline roll isikuandmete kaitses, s.o andmete turvalisuse tagamisel. Nende erisus peitub muuhulgas selles, et seadusega vastuolus oleva tehisaru vastu võitleb krati määrus, kuid füüsilised isikud saavad isikuandmete kaitsega seonduvaid õigusi teostada isikuandmete kaitse üldmääruse kohaselt. Seega täiendavad üldmäärus ja tehisaru määrus teatud määral teineteist, mistõttu võivad ka kohustused tuleneda mõlemast määrusest.

Artikkel ilmus 12.05.2024 Ärilehes.