DI ir BDAR: asmens duomenys DI įrankiuose

DI ir BDAR susikerta kiekvieną kartą, kai į dirbtinio intelekto (DI) įrankį – „ChatGPT", vertimo programą ar buhalterinės sistemos DI funkciją – patenka asmens duomenys, nes nuo tos akimirkos įmonei taikomas Bendrasis duomenų apsaugos reglamentas (BDAR). Tai reiškia, kad DI naudojimas nėra teisinė „pilkoji zona": tos pačios taisyklės, kurios galioja darbuotojų ar klientų duomenims „Excel" lentelėje, galioja ir tada, kai tuos duomenis suvedate į DI pokalbį. Mikroįmonei svarbiausia suprasti vieną dalyką – įklijuotas tekstas su žmogaus vardu, el. paštu, sutarties sąlygomis ar sveikatos informacija yra asmens duomenų tvarkymas, už kurį atsakote jūs.

Daugelis Lietuvos smulkių įmonių DI pradėjo naudoti spontaniškai: kažkas išmoko greičiau rašyti laiškus su „ChatGPT", kažkas suveda klientų sąrašus DI analizei. Problema ta, kad asmens duomenys tyliai „nuteka" į trečiųjų šalių serverius be jokio teisinio pagrindo ar darbuotojų supratimo apie riziką. Saugus DI naudojimas prasideda nuo paprasto klausimo: kokius duomenis darbuotojas iš tikrųjų kelia į įrankį?

Ar DI naudojimui taikomas BDAR?

Taip – BDAR taikomas DI naudojimui visada, kai DI įrankiu tvarkomi asmens duomenys, t. y. bet kokia informacija apie atpažįstamą fizinį asmenį. Pats DI nieko nekeičia teisiniu požiūriu: jei suvedate kliento vardą, telefoną, gyvenimo aprašymą ar darbuotojo veiklos vertinimą, tai yra duomenų tvarkymas, kuriam reikia teisinio pagrindo, tikslo ir tinkamų apsaugos priemonių.

Svarbu skirti du atvejus:

• DI naudojimas su asmens duomenimis – pavyzdžiui, įklijuojate klientų atsiliepimus su vardais, prašote DI parašyti atsakymą konkrečiam žmogui, suvedate CV į kandidatų atranką. BDAR taikomas pilna apimtimi.
• DI naudojimas be asmens duomenų – pavyzdžiui, prašote DI sugeneruoti bendrą rinkodaros tekstą, paaiškinti sąvoką ar parašyti kodą. Asmens duomenų nėra, todėl BDAR rizika minimali.

Praktinis skirtumas didžiulis. Didžiąją dalį DI naudos mikroįmonė gali gauti antruoju būdu – nesuvesdama jokių asmens duomenų. Apie tai, kaip kasdienį „ChatGPT" naudojimą padaryti saugų, plačiau rašome straipsnyje ChatGPT naudojimas įmonėje.

Kuo BDAR skiriasi nuo ES DI akto?

Mikroįmonės dažnai painioja du atskirus reguliavimus. Jie veikia kartu, bet sprendžia skirtingas problemas.

Aspektas	BDAR	ES DI aktas (angl. AI Act)
Reglamentas	(ES) 2016/679	(ES) 2024/1689
Ką saugo	Fizinių asmenų duomenis	Saugumą, pagrindines teises nuo DI rizikų
Kada aktualu	Kai tvarkomi asmens duomenys	Kai naudojamas ar kuriamas DI
Pagrindinė mikroįmonės prievolė	Teisinis pagrindas, skaidrumas, sauga	DI raštingumas (4 str.) nuo 2025-02-02
Kas prižiūri Lietuvoje	Valstybinė duomenų apsaugos inspekcija	Nacionalinė rinkos priežiūros institucija

Esmė tokia: kai naudojate DI su asmens duomenimis, jums galioja abu teisės aktai vienu metu. ES DI aktas reikalauja, kad darbuotojai turėtų pakankamą DI raštingumą (4 straipsnis taikomas nuo 2025-02-02), o BDAR – kad asmens duomenys būtų tvarkomi teisėtai. Bendrosios paskirties DI taisyklės įsigaliojo nuo 2025-08-02, dauguma likusių DI akto prievolių – nuo 2026-08-02. DI raštingumo mokymai, kuriuos reikalauja DI aktas, kaip tik ir apima taisyklę „nesuvesk asmens duomenų į neaiškų įrankį".

Kokios pagrindinės BDAR rizikos naudojant DI įrankius?

Naudojant DI įrankius asmens duomenims, kyla kelios konkrečios rizikos, kurias verta žinoti iš anksto:

1. Duomenų perdavimas už ES ribų. Daugelis populiarių DI įrankių apdoroja duomenis JAV ar kitose šalyse. Be tinkamo teisinio mechanizmo tai gali būti neteisėtas duomenų perdavimas.
2. Duomenų panaudojimas modelio mokymui. Nemokamose ar standartinėse versijose įvesti duomenys gali būti naudojami DI modelio mokymui. Tai reiškia, kad jūsų klientų duomenys gali „išplaukti" už jūsų kontrolės.
3. Teisinio pagrindo nebuvimas. Suvedate darbuotojų ar klientų duomenis, neturėdami nei sutikimo, nei kito BDAR pagrindo.
4. Skaidrumo trūkumas. Duomenų subjektai (klientai, darbuotojai) nežino, kad jų duomenys tvarkomi DI įrankiu, nors BDAR reikalauja juos informuoti.
5. Tikslumo ir automatizuotų sprendimų rizika. DI gali „prasimanyti" faktus apie žmogų. Jei tokiu pagrindu priimamas sprendimas (pvz., atmetama kandidatūra), tai gali pažeisti BDAR.
6. Saugumo spragos. Duomenų suvedimas per asmenines, neapsaugotas darbuotojų paskyras padidina nutekėjimo riziką.

Didžiausia praktinė problema mikroįmonėse yra „šešėlinis DI" – darbuotojai naudoja įrankius savavališkai, o vadovas net nežino, kokie asmens duomenys ir kur keliauja. Būtent todėl pirmas žingsnis yra inventorizacija ir aiškios taisyklės.

Kaip mikroįmonei saugiai naudoti DI ir nepažeisti BDAR?

Saugus DI naudojimas mikroįmonėje nereikalauja teisininkų komandos – pakanka kelių aiškių, kasdienių taisyklių. Štai praktinis sąrašas:

• Pirmas klausimas visada toks: ar šiame tekste yra asmens duomenų? Jei taip – sustokite ir apsvarstykite, ar tikrai būtina juos suvesti.
• Nuasmeninkite duomenis. Prieš suvesdami tekstą, pakeiskite tikrus vardus, el. paštus ir kitus identifikuojančius duomenis bendriniais („Klientas A", „Darbuotojas X"). Dažnai DI atlieka užduotį lygiai taip pat gerai.
• Naudokite verslo (ne nemokamas) DI įrankių versijas. „ChatGPT Team/Enterprise", „Microsoft Copilot" verslo planuose dažniausiai įsipareigojama nenaudoti jūsų duomenų modelio mokymui. Patikrinkite tiekėjo sąlygas.
• Sudarykite duomenų tvarkymo sutartį. Kai DI tiekėjas tvarko asmens duomenis jūsų vardu, jis yra duomenų tvarkytojas, todėl pagal BDAR 28 straipsnį reikalinga sutartis (DPA). Daugelis stambių tiekėjų ją siūlo standartiškai.
• Įjunkite duomenų kontrolės nustatymus. Daugumoje įrankių galima išjungti pokalbių saugojimą ar naudojimą mokymui.
• Niekada nesuveskite ypatingų kategorijų duomenų. Sveikatos, religijos, politinių pažiūrų ir panašūs duomenys į DI įrankius neturėtų patekti beveik niekada.

Šios taisyklės neturi likti tik vadovo galvoje – jas reikia užrašyti. Tam skirta DI naudojimo politika įmonėje, o praktines kasdienes gaires darbuotojams pateikia darbuotojų DI vadovas.

Kada DI tiekėjas tampa duomenų tvarkytoju?

DI tiekėjas tampa duomenų tvarkytoju tada, kai jis tvarko asmens duomenis jūsų (duomenų valdytojo) vardu ir pagal jūsų nurodymus. Praktiškai tai įvyksta, kai per įrankį tvarkote klientų ar darbuotojų duomenis. Tokiu atveju pagal BDAR reikia:

1. Sudaryti duomenų tvarkymo sutartį (DPA) su tiekėju.
2. Patikrinti, kur fiziškai tvarkomi duomenys ir ar yra tinkamas perdavimo už ES ribų mechanizmas.
3. Įtraukti šį tiekėją į savo duomenų tvarkymo veiklos įrašus.

Kaip BDAR ir DI sąsają fiksuoti dokumentuose?

Norint įrodyti, kad DI naudojamas atsakingai, neužtenka geros valios – reikia dokumentų. Tipiniame mikroįmonės DI atitikties rinkinyje BDAR aspektas atsispindi keliose vietose:

• DI įrankių registre prie kiekvieno įrankio pažymima, ar jis tvarko asmens duomenis ir kokius. Tai pirmas signalas, kur kyla BDAR rizika.
• DI naudojimo politikoje įrašomos taisyklės dėl asmens duomenų – ką galima ir ko negalima suvesti.
• Darbuotojų DI vadove pateikiami praktiniai pavyzdžiai, kaip nuasmeninti duomenis.
• DI raštingumo mokymuose darbuotojai mokomi atpažinti asmens duomenis ir suprasti riziką.

DI naudojimas buhalterijoje yra ypač jautrus, nes ten tvarkomi finansiniai ir asmens duomenys vienu metu – apie tai plačiau rašome straipsnyje DI įrankiai buhalterijoje. Visus susijusius DI atitikties straipsnius rasite visų straipsnių sąraše.

Jei viso šio dokumentų rinkinio rengti rankomis nesinori, nebedirbam.lt automatiškai parengia DI naudojimo politiką, DI įrankių registrą, atitikties įrašą ir darbuotojų DI vadovą su DI raštingumo mokymais už fiksuotą €290 kainą be jokio žmogaus įsikišimo. Sužinokite daugiau pradžios puslapyje. Norintiems pirmiausia tik pasimokyti, yra ir nemokami DI raštingumo mokymai su žinių patikra ir pažymėjimu.

Dažniausios klaidos derinant DI ir BDAR

Stebint, kaip mikroįmonės pradeda naudoti DI, išryškėja kelios pasikartojančios klaidos:

• „DI nėra duomenų apsaugos klausimas." Manoma, kad jei nėra duombazės, nėra ir BDAR rizikos. Realybėje vienas įklijuotas klientų sąrašas jau yra duomenų tvarkymas.
• Nemokamų versijų naudojimas darbui. Asmeninės nemokamos paskyros dažniausiai neturi DPA ir gali naudoti duomenis modelio mokymui.
• Pasitikėjimas DI atsakymais apie žmones. DI gali „prasimanyti" faktus, todėl sprendimai apie žmones niekada neturėtų remtis vien DI.
• Darbuotojų neinformavimas. Be aiškių taisyklių darbuotojai suveda viską, ką patogu, nesuprasdami rizikos.
• Asmeninio ir darbinio DI maišymas. Tas pats įrankis vienoje vietoje tvarko privačius ir įmonės duomenis.

Vengiant šių klaidų, DI tampa saugiu produktyvumo įrankiu, o ne paslėpta BDAR rizika. Daugiau apie konkrečių įrankių saugų naudojimą skaitykite straipsnyje ChatGPT naudojimas įmonėje.

Trumpa santrauka

DI ir BDAR susikerta visada, kai į DI įrankį patenka asmens duomenys – nuo tos akimirkos taikomas Bendrasis duomenų apsaugos reglamentas, nepriklausomai nuo to, ar duomenys yra lentelėje, ar DI pokalbyje. Mikroįmonei svarbiausia: prieš suvedant ką nors paklausti, ar tai asmens duomenys; kai įmanoma – nuasmeninti; naudoti verslo versijas su duomenų tvarkymo sutartimi; ir niekada nesuvesti ypatingų kategorijų duomenų. ES DI aktas (Reglamentas (ES) 2024/1689) ir BDAR ((ES) 2016/679) galioja kartu, todėl saugus DI naudojimas reiškia abiejų laikymąsi vienu metu. Taisykles užrašykite politikoje ir darbuotojų vadove, o riziką suvaldysite jau pirmuoju žingsniu – inventorizuodami, kurie įrankiai tvarko asmens duomenis.

Oficialų ES DI akto tekstą galima rasti EUR-Lex svetainėje (Reglamentas (ES) 2024/1689), o praktines gaires – Europos Komisijos skaitmeninės strategijos puslapiuose.