Dok zaposlenici svakodnevno koriste alate umjetne inteligencije za posao, hrvatske tvrtke i dalje podcjenjuju GDPR rizike. Kako zaštititi podatke u eri umjetne inteligencije i gdje hrvatske tvrtke najčešće griješe u primjeni GDPR-a, o tim su pitanjima u intervjuu 2na1 razgovarali Marko Đuričić, pravni savjetnik za zaštitu podataka i Dijana Kladar iz Vision Compliancea na konferenciji Cyber Security u organizaciji Poslovnog dnevnika.

Među brojnim domaćim kompanijama puno je zabluda o korištenju umjetne inteligencije koje su puno jasnije onima koji imaju pravno znanje i stručnost.

Poslovni i osobni podaci

“Kad gledam šire tržište, mislim da tu postoji nekoliko ključnih zabluda. Velike kompanije možda imaju vlastite implementirane sustave, ali činjenica je da nemaju sve organizacije jednake resurse ni mogućnosti za takva rješenja. Kad razmišljam o potencijalu, čini mi se da se danas previše oslanjamo na jezične modele koji u praksi najčešće služe za generiranje teksta, a pritom zanemarujemo sve ostale mogućnosti koje AI nudi za unapređenje poslovanja, posebno u kontekstu rada s podacima”, rekao je Đuričić i dodao je: “Postoji zabluda kako je implementacija umjetne inteligencije (AI) vrlo jednostavna i kako je dovoljno samo pročitati uvjete korištenja i kliknuti ‘aktiviraj pretplatu’. Implementacija AI je puno širi pojam i zahtjeva interdisciplinarni pristup.”

Kladar je kazala kako je realnost da brojni poslovni ljudi ne čitaju ugovore koji potpisuju, posebice jer je prvi imperativ profit i osiguravanje plaća zaposlenika, a tek onda pravo. Kada je kompanija na uzlaznoj putanji i kada se događa ekspanziija, prema iskustvu stručnjakinje, u tim vrhuncima mnogi poslovni ljudi nisu svjesni da u jednom trenu moraju uključiti pravnike u čitav proces.

“Incidenti koje danas možemo vidjeti na ovom polju mogu uzrokovati ogromne reputacijske štete, ali i novčane. Imam dojam da još nema dovoljno svijesti o tome, iako smo već vidjeli da se dobivaju kazne od nekoliko milijuna eura. No, i dalje ih nema u toj mjeri da bi se dovoljno osvijestiti rizik. To će doći s vremenom”, izjavila je Kladar.

Sugovornici su upozorili da brojna hrvatska poduzeća i dalje nesvjesno čine GDPR prekršaje, osobito kada zaposlenici koriste alate umjetne inteligencije poput ChatGPT-a, Copilota ili Geminija za obradu poslovnih i osobnih podataka. Đuričić je upozorio da jednom kad je upit unesen u AI, čak i ako ga potom obrišete, on nije odmah istinski obrisan.

Primjer toga je i sudski spor između OpenAI-ja i New York Timesa gdje je sudski zabranjeno da se obrišu upiti kako bi se dokazao kršenje autorskih prava. Zato Đuričić naglašava da je najgore što se može napraviti, kada govorimo o zakonskom poštovanju podataka, da se čitav tekst ugovora samo zalijepi u ChatGPT. Đuričić kaže kako ako netko ne razumije specifičnu klauzu može unijeti u ChatGPT nju, bez specifičnih detalja, tada umjetna inteligencija može pomoći.

Kladar upozorava kako je GDPR već dugo prisutan, no u mnogim firmama je često samo na razini dokumenta, kojeg često u praksi ne provode ni male ni velike kompanije.

Očuvanje vrste

Utrka s vremenom u pulskom laboratoriju: možemo li spasiti plemenitu perisku od potpunog izumiranja?

Digitalna transformacija

Nino Talian: “Najveća opasnost je ako AI “uspava” timove i ugasi kritičko razmišljanje”

Tvrtke često koriste vanjske AI alate i servise koje ne razvijaju same, nego ih “iznajmljuju” od drugih kompanija. Iako ih koriste, nemaju potpunu kontrolu nad time kako ti partneri štite podatke ili upravljaju sustavima. Zbog toga problem kod partnera može postati i problem za tvrtku koja ih koristi, pa i za njihove korisnike.

Nema više ‘nismo znali’

“Ne kontroliramo tko nam daje rješenje na koje stavljamo nekakve svoje podatke. Znači, tko su nam partneri koji nam daju razno razne alate. Imamo aktualne napade na kompanije, na hotele i bolnice. Na sve vrste ustanova. U izazovima se uvijek pojavljuju partneri koje mi zapravo ne kontroliramo, a to je ključno”, rekla je Kladar.

Stručnjaci su se složili kako u suvremenom regulatornom i sigurnosnom okruženju uprava više ne može izbjeći odgovornost za ono što zaposlenici rade na radnim računalima i u digitalnim sustavima. Argument “nismo znali” sve se teže prihvaća, jer se od organizacija očekuje da imaju uspostavljene mehanizme nadzora, interne politike i jasne tragove odgovornosti.

Direktiva NIS2 dodatno je pojačala tu svijest, posebno u dijelu koji se odnosi na kibernetičku sigurnost i upravljanje rizicima te je mnoge tvrtke prisilila da ozbiljnije pristupe edukaciji zaposlenika o GDPR-u i zaštiti podataka. Kladar je pojasnila kako više nije dovoljno imati formalne dokumente, zaposlenici moraju razumjeti što smiju, a što ne smiju raditi u svakodnevnom radu s AI alatima, osobito kada je riječ o dijeljenju informacija, korištenju alata trećih strana i rukovanju osjetljivim podacima.