Němec úvod rámuje známým citátem Francise Bacona „vědění je moc“. Posunuje ho do dnešní reality: informace o lidech znamenají moc nad nimi a o každém z nás v internetu kolují obrovská množství dat, často bez vědomí dotyčného. Tato data se podle něho zneužívají nejen v dramatických scénářích typu krádeže identity, ale především nenápadnými cestami – cíleným marketingem, profilováním a postupným ovlivňováním rozhodování v ekonomickém zájmu jiných. Nástup umělé inteligence tento posun urychluje.

Při ohlédnutí na dobu vlastního působení připomíná Němec, že podceňování ochrany osobních údajů ze strany státních orgánů bylo dlouhodobým jevem. Nemalé pokuty směřovaly právě do státní sféry – vůbec nejvyšší souhrnnou pokutou tehdy úřad sankcionoval Státní ústav kontroly léčiv, citelné částky uložil i ministerstvu vnitra a financí. Vzpomíná také na kauzu Ryneš, která se nakonec dostala až k Soudnímu dvoru Evropské unie a vedla k upřesnění výkladu výjimky pro výhradně osobní činnost. Ta se ukázala jako významný precedens pro výklad GDPR i v dalších členských státech.

Pro současné správce osobních údajů a kontrolory je nejzajímavější část věnovaná budoucnosti. Němec očekává, že „AI se nám postupně přesune z něčeho netypického do roviny všednosti“. Za pár let podle něho přestaneme používat klasické vyhledávače a budeme komunikovat s AI – a v tom okamžiku jí budeme svěřovat podstatně víc osobních údajů než dnes. Problém je v tom, že modely fungují jako black box. Provozovatel pak nemusí být schopen lidsky vysvětlit, proč model došel k danému závěru, ani jak naložil s konkrétními osobními údaji. Otázka, koho a za co volat k odpovědnosti, dostává nový rozměr.

Závažnost problému zvyšuje fakt, že AI se neomezí na rozhodování typu „vyber mi dovolenou“. Zasáhne medicínu, osobní finance, případně rozhodování o sociálních dávkách. Tedy oblasti, kde se pracuje s citlivými údaji ve smyslu zvláštní kategorie podle čl. 9 GDPR. Odsud je už jen krok k otázce, jak nadále vykládat zákaz čistě automatizovaného rozhodování podle čl. 22 GDPR. Pokud bude AI dostatečně sofistikovaná, jak vůbec poznáme, jestli rozhodoval člověk, nebo schopný model? A pokud bude rozhodnutí AI „de facto na úrovni člověka“, budeme ho stále považovat za automatizované – a kdo a jak to bude prokazovat?

Pro DPO a compliance týmy plyne z tohoto rámování několik praktických bodů. Audit zpracování přestane být jen revizí seznamů činností a smluvních doložek a bude muset zahrnovat dokumentaci o tom, co model používá ke vstupům, čím rozhoduje a jak je zajištěna možnost lidského zásahu. Posuzování vlivu na ochranu osobních údajů u AI systémů se posune blíž k posouzení vlivu na základní práva, které do procesu zařadí AI Act. Pro správu žádostí subjektů údajů – zejména práva na vysvětlení automatizovaného rozhodnutí – bude potřeba prosadit po dodavatelích AI dostupnost auditních záznamů.

Pro vrcholové vedení, vlastníky kritické infrastruktury a manažery digitalizace ve veřejné správě je v rozhovoru důležitá Němcova zpráva: ochrana osobních údajů je prostředek k udržení integrity soukromí ve světě, kde je o nás dostupné téměř všechno. Ten kdo dnes investuje do governance AI a do schopnosti vysvětlit rozhodnutí modelu, řeší zároveň povinnosti podle GDPR i podle AI Act. ÚOOÚ tím, že rozhovor publikuje, naznačuje, že tahle perspektiva pro něj není ojedinělý hlas, ale součást toho, jak chce úřad uchopit dohled v dalších letech. Závěrem Němec přeje svým nástupcům, aby se jim dařilo pružně reagovat na technologický vývoj a najít hranici mezi právem na soukromí a legitimními potřebami společnosti, státu i byznysu.

ÚOOÚ