Ove smjernice AZOP-a služe kao praktičan vodič za usklađivanje razvoja i uporabe sustava umjetne inteligencije (UI) s Općom uredbom o zaštiti podataka (GDPR). Dokument naglašava da se pravo EU-a o zaštiti podataka u potpunosti primjenjuje kroz cijeli životni ciklus UI sustava — od prikupljanja podataka i treniranja modela do njihove integracije i konačnog povlačenja iz uporabe.

Ključni aspekti teksta uključuju:

• Anonimnost i osobni podaci: UI modeli trenirani na osobnim podacima nisu automatski anonimni. Organizacije moraju dokumentirano dokazati da je vjerojatnost identifikacije pojedinca iz modela ili njegovih izlaza beznačajna, što zahtijeva testiranje otpornosti na specifične napade poput inverzije modela ili zaključivanja o članstvu.
  
  
• Određivanje uloga: Uloga sudionika (voditelj, izvršitelj ili zajednički voditelj obrade) ne određuje se prema ugovornim nazivima, već prema stvarnom utjecaju na svrhe i bitna sredstva obrade. Dobavljač UI modela obično je voditelj obrade u fazi razvoja, dok subjekt koji uvodi sustav (deployer) preuzima ulogu voditelja u fazi uporabe.
  
  
• Definiranje svrhe i pravna osnova: Svaka obrada mora imati jasno određenu i legitimnu svrhu. Za razvoj UI sustava često se razmatra legitimni interes, koji zahtijeva trodijelni test (svrhe, nužnosti i ravnoteže) kako bi se osiguralo da interesi organizacije ne nadilaze prava ispitanika. Posebno se upozorava da javna dostupnost podataka na internetu ne znači da se oni smiju slobodno koristiti (web scraping) bez pravne osnove.
  
  
• Temeljna načela i zaštita po dizajnu: Organizacije moraju primjenjivati načela smanjenja količine podataka, točnosti i ograničenja pohrane. Tehnička i integrirana zaštita podataka (data protection by design and by default) nalaže da se mjere zaštite ugrade u sustav od same faze dizajna, birajući manje invazivne metode kad god je to moguće.
  
  
• Sigurnost i specifični rizici: Uz standardnu kibernetičku sigurnost, UI sustavi zahtijevaju zaštitu od specifičnih prijetnji kao što su trovanje podataka (data poisoning), prompt injection napadi i regurgitacija (neželjeno ponavljanje) podataka za treniranje. Preporučuje se primjena tehnologija za poboljšanje privatnosti (TPP) poput federativnog učenja, diferencijalne privatnosti i sintetičkih podataka.
  
  
• Prava ispitanika i  DPIA (Data protection impact assessment): Tehnička složenost UI modela ne smije biti prepreka za ostvarivanje prava ispitanika na pristup, ispravak ili brisanje podataka. Ako obrada uključuje nove tehnologije i predstavlja visok rizik, obvezno je provesti procjenu učinka na zaštitu podataka (DPIA).

Smjernice zaključuju da usklađenost s GDPR-om nije prepreka inovacijama, već regulatorni okvir koji omogućuje razvoj etike i antropocentrične umjetne inteligencije.

Smjernice su dostupne na poveznici: https://azop.hr/wp-content/uploads/2026/05/AZOP-Smjernice-za-razvoj-AI-sustava.pdf

(azop.hr, 7.5.2026.)

Fotografija: Pixabay