Persona strādā pie klēpjdatora, virs kura redzami mākslīgā intelekta un datu drošības simboli, kas ilustrē drošu un atbildīgu MI rīku izmantošanu personas datu apstrādē.
FacebookX / TwitterLinkedinThreads

Mākslīgā intelekta (MI) rīki var palīdzēt organizāciju darbiniekiem efektīvāk veikt ikdienas uzdevumus, tomēr tie jāizmanto pārdomāti. Pirms personas datu, īpaši sensitīvu, ievades vienmēr jāizvērtē, vai tas ir nepieciešams konkrētā uzdevuma izpildei un jāizmanto anonimizēta vai vispārīga informācija. 

DVI iepriekš ir skaidrojusi, kā aizsargāt savu privātumu, izmantojot sarunbotus  "#DVIskaidro: Kā aizsargāt savu privātumu, izmantojot sarunbotus?"  

Datu aizsardzības principi attiecas uz visu veidu MI rīkiem – ne tikai sarunbotiem (kā ChatGPT, Copilot, Google Gemini u.c.), bet arī tulkošanas, teksta apkopošanas, attēlu, audio, video un citiem ģeneratīvā MI risinājumiem.  

! Datu aizsardzības principi attiecas ne tikai uz savu personas datu, bet arī citu cilvēku (klientu, pacientu u.c.) datu apstrādi ! 

Kas organizācijai jāņem vērā? 

Sākotnēji organizācijai ir jānovērtē, kādus MI risinājumus tā plāno izmantot savā darbībā. Organizācija var izmantot gan publiski pieejamus MI risinājumus, piemēram, ChatGPT, Claude, Gemini un citus, gan arī organizācijas vajadzībām individuāli izstrādātus vai pielāgotus MI risinājumus konkrētu uzdevumu izpildei. 

Organizācijai ir nepieciešams veikt novērtējumu par to, kādu informāciju tā ir gatava uzticēt MI rīkiem abos gadījumos. Ir jāapzinās, ka dažādiem MI risinājumiem ir dažādi drošības, konfidencialitātes un datu apstrādes nosacījumi. Publiski pieejamās MI sistēmās pastāv paaugstināts risks, ka lietotāja ievadītā informācija var tikt izmantota pakalpojuma uzlabošanai vai kļūt pieejama neatļautām personām drošības ievainojamību vai citu incidentu rezultātā. Pētnieki un uzbrucēji ir demonstrējuši paņēmienus, ar kuriem noteiktos apstākļos iespējams iegūt informāciju, kas nonākusi MI sistēmā. 

Līdz ar to organizācijai jāklasificē, kāda veida uzdevumus drīkst veikt ar MI sistēmas palīdzību, bet kādus - nedrīkst. Ņemot vērā, ka daudzās organizāciju datu klasifikācijas sistēmās personas dati tiek klasificēti kā informācija ar paaugstinātām aizsardzības prasībām, to izmantošanai MI sistēmās, īpaši publiski pieejamos MI rīkos, jāpievērš īpaša uzmanība.  

Arī MI sistēmai, ko organizācija izstrādājusi konkrēta nolūka sasniegšanai organizācijas iekšienē, ir nepieciešami savi noteikumi, lai darbinieki šo rīku izmantotu tikai tam, kam tas ir paredzēts. 

Organizācijai būtu jānodrošina, ka pirms informācijas ievades MI rīkā darbinieks sev uzdod trīs jautājumus: 

  1. Vai tekstā ir personas dati? 

  2. Vai šo informāciju patiešām nepieciešams ievadīt MI rīkā? 

  3. Vai uzdevumu var izpildīt, aizstājot personas datus ar anonimizētu vai vispārīgu informāciju?  

Piemēri: 

✔ Var ievadīt: 

  • anonimizētu sapulces protokolu;  

  • klientam sagatavotu vēstuli, kurā aizstāts klienta vārds, adrese, personas kods un cita identificējoša informācija ar vispārīgiem apzīmējumiem; 

  • līgumu, pirms tam anonimizējot personu vārdus, kontaktinformāciju un citus identificējošus datus.  

✖ Nedrīkst ievadīt: 

  • darba līgumu ar darbinieku vārdiem, uzvārdiem un personas kodiem; 

  • klientu sarakstu ar kontaktinformāciju; 

  • medicīniskus dokumentus, savus un klientu veselības datus, identificējamu personu analīžu rezultātus; 

  • bērnu personas datus; 

  • pases vai personas apliecības kopijas; 

  • informāciju, kas satur komercnoslēpumu vai citu konfidenciālu informāciju. 

Atceries! Personas dati ir jebkura informācija, kas tieši vai netieši ļauj identificēt fizisku personu. 

Lai samazinātu riskus, ka personas dati tiek izpausti ļaunprātīgām trešajām personām un nodrošinātu atbildīgu MI rīku izmantošanu, Inspekcija aicina organizācijas ievērot šādus principus: 

1.Izstrādāt saprotamu kārtību vai norādījumus MI rīku izmantošanai un regulāri izvērtēt ar to izmantošanu saistītos riskus 

Darbiniekiem ir jāzina, kādi MI rīki organizācijā ir atļauti, kādiem mērķiem tos drīkst izmantot un kādu informāciju tajos nedrīkst ievadīt. 

Piemērs: 
✔ Darbinieks izmanto organizācijas apstiprinātu MI rīku, lai sagatavotu prezentāciju. 
✖ Darbinieks pēc savas iniciatīvas ievieto publiski pieejamā MI rīkā klienta sūdzību ar personas datiem, lai sagatavotu atbildi. 

2. Ievērot datu minimizēšanas principu  

Pirms personas datu ievades MI rīkā izvērtēt, vai tie konkrētā uzdevuma veikšanai vispār ir nepieciešami. Ja iespējams, izmantojiet anonimizētu vai vispārīgu informāciju. 

Atceries! Ir iespējami gadījumi, kad persona var būt identificējama arī tad, ja tās vārds vai personas kods nav minēts. 

3. Izvērtēt riskus pirms jaunu MI risinājumu ieviešanas 

Pirms MI rīka izmantošanas organizācijā izvērtēt, kādi dati tajā tiks apstrādāti, kādi ir iespējamie riski datu subjektiem un vai nepieciešams veikt datu aizsardzības ietekmes novērtējumu. 

Piemērs: Ja MI risinājumu plānots izmantot klientu iesniegumu automatizētai analīzei vai darbinieku novērtēšanai, pirms tā ieviešanas jāizvērtē iespējamā ietekme uz personu tiesībām un brīvībām. 

4. Izvēlieties uzticamus MI risinājumus 

Pirms MI rīka izmantošanas iepazīstieties ar pakalpojuma sniedzēja datu apstrādes nosacījumiem un pārliecinieties, ka izvēlētais risinājums atbilst organizācijas drošības prasībām. 

Piemērs: Izvērtējiet, vai pakalpojuma sniedzējs skaidro, kā tiek apstrādāti ievadītie dati, kādi drošības pasākumi tiek piemēroti un vai organizācijai ir pieejami iestatījumi datu aizsardzībai. 

5. Nodrošināt darbinieku MI pratību 

Darbiniekiem jāizprot ne tikai MI rīku iespējas, bet arī ar to izmantošanu saistītie riski, tostarp personas datu aizsardzības prasības. 

Piemēri:  

  • Darbinieks zina, ka MI rīkā nedrīkst ievadīt klientu personas, tostarp, veselības datus, personas kodus vai citus personas datus, ja tas nav nepieciešams un nav nodrošināti atbilstoši aizsardzības pasākumi. 

  • Personāla speciālists vēlas MI rīkā analizēt darba pretendentu CV. Šādā gadījumā tiek apstrādāti personas dati, tādēļ pārzinim jāizvērtē, vai šāda datu apstrāde ir nepieciešama, tiesiska un atbilst Datu regulas prasībām. 

  • Ārstniecības iestāde plāno izmantot MI rīku pacientu medicīnisko datu analīzei. Tā kā tiek apstrādāti veselības dati, pirms šādas sistēmas izmantošanas nepieciešams īpaši rūpīgi izvērtēt datu aizsardzības riskus un nodrošināt atbilstošus drošības pasākumus. 

Atceries! 

Personas datu aizsardzības prasības ir piemērojamas arī tad, ja personas dati tiek apstrādāti, izmantojot MI rīkus. Datu regula neierobežo mākslīgā intelekta attīstību, bet veicina tā atbildīgu izmantošanu, nosakot pienākumu ievērot tādus principus kā tiesiskums, datu minimizēšana, pārredzamība un drošība. 

Neatkarīgi no tā, vai tiek izmantots publiski pieejams vai organizācijas vajadzībām izstrādāts MI rīks, atbildība par personas datu apstrādes tiesiskumu, drošību un atbilstību normatīvo aktu prasībām ir organizācijai. 

 

Būsim pateicīgi, ja skaidrojuma kvalitātes novērtēšanas nolūkos aizpildīsiet šo aptauju  - https://www.visidati.lv/aptauja/10413182/.

Saistītas tēmas

Aktualitātes:
#dviskaidro