Використання даних клієнтів для маркетингової аналітики за допомогою ШІ: що говорить європейське законодавство?

Використання ШІ для компаній — вже давно не хайп, а реальний інструмент для покращення бізнес-процесів. ШІ-інструменти виконують різноманітні функції: від допомоги в написанні листів до деталізованого аналізу маркетингових кампаній. З усім тим, широке використання ШІ тягне за собою необхідність відповідати вимогам законодавства.

У всьому світі з’являються ініціативи щодо врегулювання використання штучного інтелекту. В одних країнах це на стадії обговорень, в інших розглядаються законопроєкти, а в ЄС вже з 1 серпня 2024 року працює фреймворк під назвою AI Act. Поряд з цим в ЄС продовжує функціонувати GDPR. Разом вони — найбільш чітко врегульовані фреймворки у світі щодо використання персональних даних штучним інтелектом.

В цій статті я поділюсь інсайтами, на що варто звернути увагу компаніям під час роботи з даними за допомогою ШІ для маркетингової аналітики на прикладі вимог європейського законодавства.

GDPR для ШІ-інструментів: на які аспекти звернути увагу?

Для всіх компаній, які працюють з європейськими клієнтами, вкрай важливо знати про GDPR (Загальний регламент про захист даних) — основний закон, що регулює обробку персональних даних. В більшості випадків він застосовується до всіх компаній, які зареєстровані в ЄС або працюють на європейський ринок: таргетуються на аудиторію ЄС або здійснюють певну обробку даних від імені європейських клієнтів.

Ролі за GDPR

Якщо GDPR застосовується до вашої компанії, вам треба зрозуміти, яку роль ви маєте — контролер чи процесор:

• компанія-контролер самостійно ініціює обробку, наприклад, здійснює маркетингові розсилки своїм клієнтам в ЄС;

• компанія-процесор здійснює обробку від імені контролера, наприклад, проводить маркетингову аналітику за допомогою ШІ на прохання клієнта.

GDPR встановлює більше вимог для контролера, оскільки саме він визначає «цілі та засоби обробки», тобто вирішує, як і навіщо обробляти персональні дані. Наприклад, контролер обирає правову підставу для обробки даних, повинен надати усю необхідну інформацію особам, чиї дані обробляються і зобов’язаний реалізовувати їхні права. 

Процесор має менше обов’язків, однак вони не менш важливі. Зокрема, процесор повинен впровадити технічні та організаційні заходи, направлені на безпечність обробки, допомагати контролеру з певних питань, вести RoPA та виконувати інші зобов’язання за GDPR і договором з контролером.

Правові підстави

Один із важливих аспектів роботи за GDPR — встановлення правової підстави обробки. Щоб вона була законною, контролер повинен обрати одну з шести підстав за статтею 6 GDPR, серед яких: 

• згода; 

• легітимний інтерес; 

• виконання договору; 

• захист життєво важливих інтересів; 

• зобов’язання за законом;

• виконання завдання в інтересах суспільства. 

Розгляну два перших варіанти, як найуніверсальніші.

Згода

Найбільш виправданою та надійною правовою підставою для обробки даних у маркетинговій аналітиці за допомогою ШІ є отримання згоди від суб’єкта даних. 

Згода має бути вільно надана, конкретна, інформована та однозначна. 

Також компанія повинна забезпечити, щоб в будь-який момент суб’єкт даних мав можливість відмовитися від раніше наданої згоди. Вимоги до неї досить високі.

Легітимний інтерес

Аналітика, що проводиться лише щодо осіб, які погодились надати дані, може не відповідати реальному стану справ. Тоді компанії можуть спиратися на легітимний (законний) інтерес як правову підставу для обробки. В такому випадку згода не вимагається, але компанія повинна обґрунтувати, що зберігається баланс між своїми інтересами та клієнтськими. 

Щоб спиратися на легітимний інтерес (Legitimate Interest Assessment або LIA), бізнесу слід самостійно провести і задокументувати оцінку його наявності у формі документа, за принципом підзвітності GDPR. Цей документ складається з триступеневого тесту, який відповідає на наступні питання:

1. Чи інтереси компанії є законними?

2. Чи обробка персональних даних є необхідною?

3. Чи досягається належний баланс, тобто чи не переважають інтереси та фундаментальні права і свободи суб'єкта даних над інтересами компанії?

За результатами LIA бізнес робить висновок, чи може спиратися на законний інтерес. Навіть якщо відповідь «так», лише факту проведення і документування LIA недостатньо. Важливо, щоб на практиці бізнес дійсно вживала всіх заходів і обробка залишалася законною й безпечною, а суб’єкти даних мали можливість реалізовувати свої права.

Потрібно також враховувати, які дані обробляються. Якщо це, наприклад, дані з cookies або пікселей, може застосовуватись ePrivacy Directive, яка діє в ЄС поряд з GDPR і в більшості випадків дозволяє обробку таких даних тільки на підставі згоди.

В контексті використання даних за допомогою ШІ така обробка може містити підвищені ризики витоку даних, що є додатковим аргументом на користь вибору згоди як правової підстави.

Компанія самостійно визначає правові підстави для обробки, виходить від фактичної ситуації. Зокрема, можна передавати в інструменти ШІ тільки анонімізовані або синтетичні дані, таким чином зменшуючи потенційні ризики.

Інші вимоги GDPR

Якщо компанія виступає процесором, одним з найважливіших завдань є убезпечення обробки даних. GDPR не містить чітких вимог, однак наводить приклади у статті 32: 

• використання псевдонімізації та шифрування; 

• забезпечення конфіденційності, цілісності, доступності та стійкості систем; 

• забезпечення можливості відновити доступ до даних у випадку інциденту безпеки;

• проведення регулярних тестувань. 

Фактичні заходи безпеки, які слід застосувати компанії, залежать від конкретних обставин і повинні підбиратись case by case.

Будучи контролером, компанія повинна гарантувати, що обробка відбувається відповідно до вимог закону і не порушує права суб’єктів даних. У ролі процесора важливо допомагати контролеру і забезпечувати належні заходи безпеки. Між контролером і процесором повинен бути укладений договір про обробку персональних даних (DPA) відповідно до статті 28 GDPR.

AI Act в ЄС: як може застосовуватися до компаній

AI Act відрізняється від GDPR і базується на ризикоорієнтованому підході. Закон чітко встановлює, які практики використання ШІ заборонені, і перелічує їх в статті 5 AI Act. 

Тож перед використанням ШІ-інструмента, слід визначити, чи не підпадає така діяльність під заборонені практики за статтею 5 AI Act.

Якщо компанії використовують ШІ в маркетинговій аналітиці і зареєстровані в ЄС або в іншій країні, але результати, створені ШІ, використовуються в ЄС, вони вважаються deployers (впроваджувачами ШІ-систем) в розумінні AI Act. В такому випадку до них застосовуються всі вимоги AI Act, що стосуються deployers.

Закон також встановлює широкий перелік вимог для впроваджувачів high-risk ШІ-інструментів, наприклад, щодо вжиття належних технічних та організаційних заходів і зберігання логів.

AI Act накладає значно більше вимог на провайдерів систем ШІ. Вони переважно стосуються компаній, які використовують високоризиковані інструменти або у деяких випадках — для ШІ-систем з обмеженим або мінімальним ризиком, наприклад, для створення діпфейків.

Тож, щоб обробка штучним інтелектом була законною, компаніям слід звірятися зі статтями 5 та 50 AI Act.

Як комплаєнс з GDPR та AI Act може допомогти компанії

Щоб використання даних клієнтів для маркетингової аналітики за допомогою ШІ відбувалося відповідно до законодавства ЄС, необхідно, щоб компанія виконувала як вимоги GDPR, так і AI Act. При цьому важливо розуміти, що існують інші закони, які також можуть застосовуватися до компанії, зокрема закони конкретної країни ЄС.

Комплаєнс з вищезгаданими фреймворками — це не тільки запорука того, що компанія забезпечує себе від отримання великих штрафів, а і можливість зменшити репутаційні ризики, оскільки часто штрафи стають публічними і фігурують в ЗМІ.

На практиці, як частина vendor assessment, європейські клієнти часто запитують у своїх контрагентів інформацію щодо наявних документів та процесів всередині компанії. Через це підготовлена документація, що підтверджує комплаєнс компанії з GDPR та AI Act, може стати важливим чинником на етапі продажу послуг та під час проведення перемовин з потенційними клієнтами.

Підсумовуючи 

1. Використання ШІ для маркетингової аналітики у ЄС регулюється двома ключовими фреймворками — GDPR і AI Act, які визначають правила роботи з персональними даними та алгоритмами.

2. GDPR застосовується до всіх компаній, що працюють із європейськими користувачами, і вимагає визначити роль у процесі — контролера чи процесора, від чого залежать обов’язки й рівень відповідальності.

3. Законна обробка даних можлива лише за наявності правової підстави, серед яких найчастіше використовують згоду або легітимний інтерес, причому згода вважається більш безпечною для роботи з ШІ.

4. Для обґрунтування легітимного інтересу компанії повинні документально підтвердити його через Legitimate Interest Assessment (LIA) і забезпечити реальний баланс між інтересами бізнесу та правами користувачів.

5. Безпека даних — обов’язкова вимога: компанії мають впроваджувати технічні та організаційні заходи, шифрування, псевдонімізацію, резервне відновлення даних і регулярне тестування систем.

6. AI Act вводить ризикоорієнтований підхід: компанії мають перевіряти, чи не використовують заборонені або високоризиковані ШІ-системи, і забезпечувати обізнаність співробітників у сфері AI (AI literacy).

7. Для high-risk систем діють додаткові вимоги — зберігання логів, контроль алгоритмів і розкриття факту створення або зміни контенту, наприклад у випадку діпфейків.

8. Комплаєнс із GDPR та AI Act не лише захищає від штрафів, а й підвищує довіру клієнтів і конкурентоспроможність компанії, оскільки документовані процеси часто є вирішальними під час співпраці з європейськими партнерами.

Думка авторів гостьового поста може не збігатися з позицією редакції та фахівців агентства Netpeak.