Ettevõtete teadlikkus AI ja jälgimisseadmete kasutamisel jätab soovida
„Eesti ettevõtetel napib teadmisi, millised on jälgimisseadmete kasutamist reguleerivad õigusaktid või millised kohustused kaasnevad tehisintellektiga isikuandmete töötlemisel,“ rääkis TalTech Legal Lab’i tegevjuht ning tehnoloogiaõiguse ja andmekaitse ekspert Tea Kookmaa.
Vaatamata sellele, et peatselt hakkab Euroopa Liidus kehtima tehisintellekti määrus (EU AI Act) on ettevõtete huvi teema vastu pehmelt öeldes leige ja teadlikkus teemast veel väike. „Näiteks küsimusele, millised on tööstusettevõtete õigused ja kohustused tehisintellekti (AI) ja jälgimisseadmete arendamisel või kasutamisel, oskavad vähesed kohest vastuse anda,“ osutas Tea Kookmaa.
„Reegleid mittetundev ettevõte riskib kopsakate andmekaitsealaste trahvidega. Seda riski tuleks praegu eriti tõsiselt võtta, teades, et hiljuti jõustusid Eestis ka karistusseadustiku muudatused, mis lihtsustavad Andmekaitse Inspektsioonil trahvide tegemist,“ hoiatas ta.
TRINITI advokaat Maarja Lehemets juhib tähelepanu, et kuigi EL-s plaanitav tehisintellekti reguleeriv seadusandlus ei ole veel vastu võetud ja määruse tekst võib veel muutuda, on isikuandmete töötlemine sellele vaatamata reguleeritud. Samuti peavad ettevõtted isikuandmete kaitse üldmäärust ja e-privaatsuse direktiivi nõudeid ikka jälgima.
Lehemets rõhutas veel, et EL ülese statistika andmetele toetudes teevad ettevõtted isikuandmete töötlemisel kõige enam just järgnevaid vigu: töötluseks puudub sobiv alus, andmekaitse printsiipide ei jälgita (nt pole määratud säilitamise tähtaegu) või ei kohaldata korrektseid tehnilisi ja organisatoorseid meetmeid (nt ligipääsutasemed). Põhiliste vigade vältimiseks soovitab Lehemets koostada hea isikuandmete töötlemise ülevaade (nt register), koolitada töötajaid andmekaitse nõuete osas ning aegajalt teostada andmekaitse auditeid.
Uus tehisintellekti määrus ühtlustab EL kasutatava tehisintellekti õigusnorme, olles samas esimene tehisintellekti reguleeriv seadus maailmas. Määrust on ettevalmistatud juba paar viimast aastat ja selle jõustumine toob rohkem selgust seni üheselt reguleerimata teemadesse. Näiteks peavad ettevõtted kirjeldama, kuidas on tagatud, et inimene saaks riskide maandamiseks sekkuda tehisintellekti tegevusse – see eeldab vastavat tegevusplaani.
Kookmaa sõnul on ettevõtete teadlikkus teemast veel väike. „Näiteks on endiselt laialt levinud väärarusaam, et kui ma kasutan tehisintellektil põhinevat tööriista (nt ChatGPT) andmeanalüüsiks, siis andmete väärkasutuse korral vastutab lahenduse pakkuja niikuinii ise ja see ei puuduta mind,“ lausus Kookmaa. „Ettevõtted võiks rohkem teada, kuidas eristatakse tehisintellektimääruses erineva riskitasemega tehisintellektisüsteeme ja kuidas hakkab tehisintellektisüsteeme reguleerima Euroopa Liidu ning millised on isikuandmete töötlemise probleemid seoses tehisintellekti rakendamisega,“ loetles teemasid Kookmaa.