- FI Suomi
Konekäännökset voivat sisältää virheitä, jotka saattavat heikentää selkeyttä ja tarkkuutta. Oikeusasiamies ei vastaa mahdollisista epäjohdonmukaisuuksista. Tietojen luotettavuus ja oikeusvarmuus varmistuvat lukemalla edellä linkitetty lähdekielinen versio (englanti).
Lisätietoja on kieli- ja käännöskäytännöissämme.
Kertomus Euroopan oikeusasiamiehen ja Euroopan tietosuojavaltuutetun edustajien välisestä kokouksesta
Tarkastusraportti - Päivämäärä Torstaina | 31 maaliskuuta 2022
Kanteluasia SI/3/2021/VS - Tutkittavaksi otetut kantelut, pvm Perjantaina | 18 kesäkuuta 2021 - Päätökset, pvm Perjantaina | 17 kesäkuuta 2022 - Asiaan liittyvät toimielimet Euroopan komissio | Euroopan tietosuojavaltuutettu - Maa Ranska
Tapauksen nimi: Tekoäly ja EU:n hallinto
Päivämäärä: Torstai 10. maaliskuuta 2022
Etäkokous Brysselissä
Läsnä:
Euroopan tietosuojavaltuutettu
- Tekniikka ja yksityisyys -yksikön vt. päällikkö
Teknologia- ja turvallisuusvastaava, Teknologia ja yksityisyys
Teknologia- ja turvallisuusvastaava, Teknologia ja yksityisyys
Teknologia- ja turvallisuusvastaava, Teknologia ja yksityisyys
- Politiikka ja konsultointi
- Yksikönpäällikkö, valvonta ja täytäntöönpano
- Valvonta ja täytäntöönpano, vapauden, turvallisuuden ja oikeuden alue
Euroopan oikeusasiamies
Peter Dyrberg, tutkimus- ja prosessiasiantuntija
Valentina Stoeva, tiedusteluvastaava
Nicholas Hernanz, tiedusteluvastaava
Jennifer King, juridinen asiantuntija
- Olatz Fínez Marañón, harjoittelija, tiedustelut
JOHDANTO
Euroopan oikeusasiamiehen työryhmä selitti, että tekoälyn käyttö julkishallinnossa on ollut keskustelunaiheena Euroopan oikeusasiamiesten verkostossa (ENO). ENO:n jäsenet ovat jo käsitelleet kansallisten viranomaisten tekoälyn käytöstä tekemiä valituksia ja julkaisseet raportteja ja ohjeita. Huhtikuussa 2022 Strasbourgissa pidettävässä ENO:n vuotuisessa konferenssissa [1] keskitytään digitalisaatioon ja kansalaisten oikeuksiin.
Tätä taustaa vasten Euroopan oikeusasiamies halusi keskustella Euroopan tietosuojavaltuutetun kanssa Euroopan tietosuojavaltuutetun meneillään olevasta tekoälyyn liittyvästä työstä ja Euroopan tietosuojavaltuutetun uudesta roolista tekoälysäädöstä koskevan ehdotuksen [2] mukaisesti. Talouden toimijan tiimi selitti, että he olisivat kiinnostuneita jakamaan nämä tiedot ENO:n jäsenten kanssa. Talouden toimijan ryhmä mainitsi, että komission kanssa pidettiin syyskuussa 2021 samanlainen kokous, jossa komissio esitteli tekoälysäädöstä koskevan ehdotuksen ja vastasi kysymyksiin.
Euroopan tietosuojavaltuutetun jakamat tiedot
Tekoälyyn liittyvä meneillään oleva työ
Euroopan tietosuojavaltuutettu selitti, että se toteuttaa parhaillaan valvontatoimia, jotka koskevat useita EU:n toimielimiä, kuten Europolia ja eu-LISAa, koska jotkin toimielimet ovat alkaneet kehittää koneoppimisjärjestelmiä. Euroopan tietosuojavaltuutettu tekee tarkastuksia ja pyytää tietoja siitä, miten EU:n toimielimet kehittävät koneoppimismalleja, joissa käytetään henkilötietoja.
Tietosuojavaltuutettu saa myös kuulemisia tekoälyjärjestelmiä kehittäviltä tai hankkivilta toimielimiltä, jotta ne voivat ottaa tietosuojan asianmukaisesti huomioon jo suunnitteluvaiheessa, tunnistaa rekisteröityjen oikeuksiin ja vapauksiin mahdollisesti kohdistuvat riskit ja lieventää niitä asianmukaisella tavalla.
Euroopan tietosuojavaltuutettu osallistuu myös tekoälyä ja kasvojentunnistusta koskeviin toimiin Euroopan tietosuojaneuvoston [3] tasolla. Euroopan tietosuojavaltuutettu osallistuu esimerkiksi Euroopan tietosuojaneuvoston raja-, matkustus- ja lainvalvonta-asioiden asiantuntijaryhmään, joka laatii ohjeita kasvojentunnistusteknologian käytöstä lainvalvontaviranomaisissa.
Euroopan tietosuojavaltuutettu toimii yhdessä Nationale de l’Informatique et des Libertés -komission (CNIL) kanssa myös maailmanlaajuisen tietosuojakokouksen tekoälytyöryhmän [4] puheenjohtajina. GPA on tietosuoja- ja yksityisyydensuojaviranomaisten organisaatio eri puolilta maailmaa. Tänä vuonna ryhmä laatii parhaillaan raporttia tekoälyn käytöstä työpaikalla. Raportti esitellään GPA-kokouksessa lokakuussa 2022. Tietosuojaviranomaisten ja ulkoisten sidosryhmien kyselytutkimusten perusteella työryhmän odotetaan laativan raportin, joka kattaa tekoälyn käytön koko työllisyyssyklin ajan (ehdokkaiden seulonta, työntekijöiden seuranta, irtisanomiset jne.). Valmisteilla on myös ehdotus yleiseksi riskinhallintakehykseksi, joka perustuu myös GPA-sopimuksen jäsenille tehtyyn kyselyyn. Kolmas meneillään oleva tuotos on raportti, jossa analysoidaan GPA-sopimuksen jäsenten valmiuksia ja asiantuntemusta käsitellä tekoälyjärjestelmiin liittyviä tietosuojakysymyksiä mahdollisten puutteiden tunnistamiseksi.
GPA-sopimuksen puitteissa Euroopan tietosuojavaltuutettu laatii parhaillaan myös yhdessä kasvojentunnistusteknologian käytön periaatteita koskevaa asiakirjaa. Lopullinen asiakirja on tarkoitus julkaista GPA-sopimuksen kokouksessa lokakuussa 2022. Nämä asiakirjat ovat peräisin GPA-sopimuksen tästä aiheesta vuonna 2020 antamasta päätöslauselmasta [5], jossa edellytetään, että GPA-sopimus laatii asiakirjan, joka sisältää periaatteet kasvojentunnistusteknologian käytöstä ja tietosuojaa koskevan oikeudellisen kehyksen noudattamisesta.
Euroopan tietosuojavaltuutettu osallistui myös Euroopan neuvoston CAHAI-komiteaan (tekoälyä käsittelevä väliaikainen komitea)[6] osana EU:n valtuuskuntaa yhdessä Euroopan komission ja EU:n perusoikeusviraston kanssa. Ne osallistuivat pääasiassa politiikan kehittämisryhmän ja oikeudellisten puitteiden työryhmän työhön. CAHAI oli Euroopan neuvoston aloite, jonka tehtävänä oli laatia asiakirjoja, jotka myöhemmin auttaisivat tekoälyä koskevan sopimuksen laatimisessa. Euroopan tietosuojavaltuutettu osallistuu myös tekoälykomiteaan (CAI), joka on CAHAI:n seuraaja ja jonka tehtävänä on aloittaa sopimuksen laatiminen. Keskustelu tästä on tarkoitus aloittaa huhtikuussa 2022.
Tekoälysäädöstä koskevassa ehdotuksessa tarkoitetut Euroopan tietosuojavaltuutetun tehtävät
Tekoälysäädöstä koskevan ehdotuksen nykyisen tekstin perusteella Euroopan tietosuojavaltuutetulla olisi kolme päätehtävää:
1. Toimivaltainen valvontaviranomainen: Euroopan tietosuojavaltuutettu varmistaa, että EU:n toimielimet noudattavat tekoälysäädöstä, johon kuuluu säädöksen seuranta ja täytäntöönpano sekä testiympäristöjen järjestäminen [7]. Euroopan tietosuojavaltuutetun roolin ja tehtävien laajuutta olisi selkeytettävä edelleen.
2. Ilmoittava laitos: ainakin joissakin tapauksissa Euroopan tietosuojavaltuutettu tekee vaatimustenmukaisuuden arviointeja EU:n toimielimille, jotka kehittävät suuririskisiä tekoälyjärjestelmiä.
3. Markkinavalvontaviranomainen: Vielä ei ole selvää, mitä tämä tarkoittaa. Euroopan tietosuojavaltuutettu on ilmaissut epäilyksensä tekoälysäädöstä koskevassa Euroopan tietosuojaneuvoston ja Euroopan tietosuojavaltuutetun yhteisessä lausunnossaan ja pyytänyt komissiolta selvennyksiä siitä, mitkä ovat EU:n toimielinten, elinten ja virastojen tekoälymarkkinat , ja koskeeko sen valvonta yksinomaan EU:n toimielimiä vai myös kolmansia osapuolia ja tekoälyjärjestelmiä ja -palveluja tarjoavia yksityisiä yrityksiä.
Euroopan tietosuojavaltuutettu on myös osa uutta Euroopan tekoälyneuvostoa, joka antaa lausuntoja ja suosituksia tekoälyasioista. Yleisesti ottaen tämä edellyttää valmistelutyötä, jotta voidaan pysyä tekoälyteknologian uusimpien päivitysten tasalla ja seurata standardointiprosesseja.
Euroopan tietosuojavaltuutetun on näin ollen laadittava strategia EU:n toimielinten ja jopa ulkopuolisten kolmansien osapuolten valvomiseksi ja kehitettävä menettelyjä vaatimustenmukaisuuden arviointien suorittamiseksi jne.
Tietosuojavaltuutettu katsoo, että tekoälylainsäädäntöä on selvennettävä edelleen, jotta voidaan täsmentää niiden uusien tehtävien laajuus ja nähdä, miten tekoälysäädös vaikuttaa voimassa olevaan tietosuojalainsäädäntöön ja toimii sen kanssa vuorovaikutuksessa.[8] Tietosuojavaltuutettu mainitsi, että EU:n lainsäätäjät keskustelevat edelleen ehdotukseen tehtävistä olennaisista muutoksista, myös tekoälyn ”tarjoajan” määrittämistä koskevasta tärkeästä kysymyksestä.
MUUT KYSYMYKSET
Kysymys muista haasteista, joita Euroopan tietosuojavaltuutettu ennakoi niiden tai muiden vastaavaa tehtävää hoitavien kansallisten viranomaisten kohtaavan
On selvää, että sääntelyyn liittyy haasteita, mutta varsinkin resursseihin liittyy haasteita. Koska tekoälystä on keskusteltu ja sitä on käytetty laajalti, sekä julkinen että yksityinen sektori ovat alkaneet etsiä tekoälyalan asiantuntijoita, ja kokeneiden ammattilaisten puutteesta voi tulla haaste Euroopan tietosuojavaltuutetun tulevien toimintojen asianmukaiselle kehittämiselle.
Täytäntöönpanon osalta on tärkeää pohtia, miten kansalliset viranomaiset reagoivat tähän uuteen rooliin. Tästä oli jo tullut ongelma sähköisen viestinnän tietosuojadirektiivissä, jossa hyvin erilaisilla kansallisilla viranomaisilla (esim. televiestintäalan sääntelyviranomaisilla ja tietosuojaviranomaisilla) on samat toimivaltuudet. Esimerkiksi säädöksen 63 artiklassa (Tekoälyjärjestelmien markkinavalvonta ja valvonta unionin markkinoilla) säädetään, että lainvalvontaan ja muuttoliikkeen hallintaan sekä turvapaikka- ja rajavalvontaan käytettävien tekoälyjärjestelmien osalta (liitteessä 3 oleva luettelo suuririskisistä tekoälyjärjestelmistä) markkinavalvontaviranomainen on asianomainen tietosuojaviranomainen. Jos Euroopan tietosuojaneuvoston ja Euroopan tietosuojavaltuutetun suositusta tehdä tietosuojaviranomaisista toimivaltaisia viranomaisia ei kuitenkaan noudateta, joissakin tapauksissa toimivalta voitaisiin jakaa eri kansallisten viranomaisten kesken. Jos Espanja esimerkiksi päättäisi nimetä tekoälystä vastaavaksi toimivaltaiseksi viranomaiseksi muun tahon kuin AEPD:n (Espanjan tietosuojaviranomainen), tekoälystä vastaava viranomainen olisi useimpia tekoälyasioita ja suuririskisiä tekoälyjärjestelmiä käsittelevä markkinaviranomainen, mutta samanaikaisesti Espanjan tietosuojaviranomainen olisi lainvalvonta-, muuttoliike-, turvapaikka- ja rajavalvontaviranomaisten tekoälyjärjestelmiä valvova markkinavalvontaviranomainen. Sen vuoksi näiden kahden viranomaisen olisi ilmaistava kantansa tehokkaasti, jotta ne voivat varmistaa toimivaltansa johdonmukaisen täytäntöönpanon.
Avoimuutta koskeva kysymys: Miten se vaikuttaa yksilöihin ja mitä takeita siihen pitäisi sisältyä?
Euroopan tietosuojavaltuutettu totesi, että tässä lainsäädäntöehdotuksessa ei säädetä avoimuusvelvoitteista käyttäjää kohtaan eli yleisölle tiedottamisesta siitä, milloin ja miten tekoälyjärjestelmiä käytetään. Tämä johtuu siitä, että vaikuttaa siltä, että ehdotus on laadittu tuotteen tai toimialan eikä rekisteröidyn näkökulmasta. Tämän seurauksena näyttää siltä, että eräät perusoikeuksiin liittyvät kysymykset, kuten avoimuus, on alusta alkaen asetettu päällekkäin sen sijaan, että ne olisi sisällytetty niihin. Tietosuojavaltuutettu mainitsi, että yleisessä tietosuoja-asetuksessa [9] asetetaan tiettyjä avoimuusvelvoitteita rekisterinpitäjille, jotka käsittelevät henkilötietoja tekoälyjärjestelmien kautta. Yleinen tietosuoja-asetus on kuitenkin teknologianeutraali, kun taas tekoälysäädös ei ole. Tietosuojavaltuutettu katsoo, että tekoälysäädöksessä olisi edellytettävä tekoälyyn liittyviä avoimuusvelvoitteita rekisteröityjen eduksi (esim. tekoälyjärjestelmien suorituskykytiedot).
Kysymys esimerkeistä mahdollisista valituksista tekoälyyn liittyvistä hallinnollisista epäkohdista
Euroopan oikeusasiamiehen tiimi esitti kysymyksen keskusteltavaksi siitä, mitä voitaisiin odottaa kanteluilta, joita Euroopan oikeusasiamiehelle tai kansallisille oikeusasiamiehille voitaisiin tehdä tekoälyjärjestelmien käytöstä. Euroopan oikeusasiamiehen ryhmä mainitsi olevansa tietoinen siitä, että tekoälyä käytetään, kehitetään tai harkitaan joissakin EU:n toimielimissä (esim. EPSO, Frontex, EASO). Euroopan tietosuojavaltuutettu vahvisti olevansa tietoinen Euroopan oikeusasiamiehen ryhmän mainitsemista hankkeista ja viittasi yhteiseen biometriseen tunnistusjärjestelmään, jonka eu-LISA on perustamassa monille järjestelmilleen, kuten viisumitietojärjestelmälle, rajanylitystietojärjestelmälle tai Eurodac . -järjestelmälle. Mahdollisten päällekkäisten toimivaltuuksien osalta Euroopan oikeusasiamiehen ja Euroopan tietosuojavaltuutetun kohtuullisena lähtökohtana olisi yhteisymmärryspöytäkirja, joka kuvastaa tapaa, jolla nämä kaksi toimielintä tekevät tällä hetkellä yhteistyötä ja käsittelevät asiaankuuluvia kysymyksiä.
Päätelmä
Valvojan edustajat kiittivät Euroopan tietosuojavaltuutetun edustajia näiden saatavuudesta ja jaetuista tiedoista. Tietosuojavaltuutetun edustajat kiittivät myös Euroopan oikeusasiamiehen tiimiä kokouksesta ja jakoivat tietoa tietosuojavaltuutetun tulevasta konferenssista tietosuojan tehokkaasta täytäntöönpanosta digitaalisessa maailmassa [10], joka järjestetään kesäkuussa 2022.
Bryssel 10. maaliskuuta 2022
Peter Dyrberg Valentina Stoeva
Tiedustelut ja prosessiasiantuntija Tiedusteluvastaava
[1] Euroopan oikeusasiamiesten verkoston (ENO) konferenssi 2022 – Julkishallintojen digitalisointi: yhdenvertaisen saatavuuden varmistaminen pandemian jälkeen (17. huhtikuuta 2022): https://www.ombudsman.europa.eu/en/event/en/1438
[2] Ehdotus Euroopan parlamentin ja neuvoston asetukseksi tekoälyä koskevista yhdenmukaistetuista säännöistä (tekoälysäädös) https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52021PC0206
[3] https://edpb.europa.eu/edpb_en
[4] www.globalprivacyassembly.org
[5] https://edps.europa.eu/sites/edp/files/publication/final_gpa_resolution_on_facial_recognition_technology_en.pdf
[6] https://www.coe.int/en/web/artificial-intelligence/cahai
[7] Tekoälysäädöstä koskevassa ehdotuksessa ei määritellä tekoälyn testiympäristöä, mutta sen 53 artiklassa todetaan, että tekoälyn sääntelyn testiympäristöt ”– – on tarjottava valvottu ympäristö, joka helpottaa innovatiivisten tekoälyjärjestelmien kehittämistä, testausta ja validointia rajoitetun ajan ennen niiden saattamista markkinoille tai käyttöönottoa erityisen suunnitelman mukaisesti. Tämän on tapahduttava toimivaltaisten viranomaisten suorassa valvonnassa ja ohjauksessa, jotta voidaan varmistaa tämän asetuksen vaatimusten ja tarvittaessa testiympäristössä valvottavan muun unionin ja jäsenvaltioiden lainsäädännön noudattaminen.”
[8] Ks. Euroopan tietosuojavaltuutetun ja Euroopan tietosuojavaltuutetun yhteinen lausunto ehdotuksesta tekoälysäädökseksi: https://edps.europa.eu/node/7140_en
[9] Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) https://eur-lex.europa.eu/eli/reg/2016/679/oj