Informacijski pooblaščenec opozarja, da predvidena nacionalna platforma za generativno umetno inteligenco odpira mnoga vprašanja glede varovanja osebnih podatkov posameznikov. Pristojno ministrstvo je opozoril na bistvene elemente skladnosti z EU pravili o varstvu podatkov, ki bi jih morali komercialni ponudniki rešitev, ki so oddali ponudbe, izpolnjevati. Izpostavljena je bila vprašljiva skladnost komercialnih sistemov generativne umetne inteligence ponudnikov izven EU. Zoper največje ponudnike na ravni EU namreč potekajo različni nadzorni postopki.

Kot je razumeti, naj bi bila nacionalna platforma na voljo različnim javnostim, posameznikom in organizacijam, tudi v javnem sektorju, in sicer za različne namene, lahko tudi za obdelave osebnih podatkov. Tveganja se glede na različne namene uporabe v različnih sektorjih seveda bistveno razlikujejo - od relativno neproblematičnih uporab generativne umetne inteligence za npr. generiranje grafik, do takih, ki imajo lahko negativne posledice za posameznike, še posebej za ranljive skupine, mladostnike in otroke, kot je npr. odločanje o posameznikih in zadevah na podlagi vnosa osebnih podatkov iz konkretnih zadev, informacijskih sistemov in baz upravljavcev podatkov v sisteme komercialnih ponudnikov generativne umetne inteligence izven EU.

Zoper največje ponudnike na ravni EU potekajo različni nadzorni postopki glede skladnosti s pravili o varstvu osebnih podatkov. Kot izhaja iz poročila posebne delovne skupine Evropskega odbora za varstvo podatkov, ki se je ukvarjala s Chat GPT produktom, se največ težav kaže pri vprašanjih zakonitosti pridobivanja podatkov tako za učenje kot potem za delovanje umetne inteligence, glede izvrševanja pravic posameznikov, glede preglednosti in tveganj (ponudniki ne bi smeli prenašati tveganj glede skladnosti na končne uporabnike) ter glede zagotavljanja točnosti rezultatov oziroma odgovorov.

Informacijska pooblaščenka dr. Jelena Virant Burnik poudarja: »Treba se je zavedati, da zgolj zahteva, da se smejo podatki hraniti le v EU (kot to določa razpis) še ne pomeni skladnosti z zakonodajo o varstvu podatkov.

Če so sistemi generativne umetne inteligence uporabljeni tako, da npr. javne institucije ali podjetja vanje vpisujejo podatke svojih strank, zaposlenih, oziroma glede na to, da ponudnik sistema umetne inteligence obdeluje osebne podatke uporabnikov, je treba upoštevati vsa pravila s področja varstva osebnih podatkov. Zlasti regulirani sektorji (npr. bančni, zavarovalni, institucije v javnem sektorju, zdravstvo, šolstvo, itd.) bodo težko uporabljali rešitve, ki jih predvideva nacionalna platforma, če ne bo brez dvoma jasno, da komercialni ponudniki res ustrezno varujejo podatke. Posebej problematična je tu netočnost podatkov oziroma halucinacije in pa nezmožnost izbrisa podatkov, popravka, seznanitve z lastnimi podatki.«

Organizacija, ki bi želela uporabljati nacionalno platformo (npr. šola, javni zavod, podjetje), bi morala imeti za obdelavo podatkov ustrezno pravno podlago, obseg osebnih podatkov bi moral biti omejen, poleg tega bi morala biti obdelava osebnih podatkov pregledna. Posamezniki, katerih podatki bi se vnašali ali pridobivali iz takega sistema bi morali biti na njim razumljiv način obveščeni o tem, kaj se dogaja z njihovimi podatki, kje se hranijo in koliko časa. Poleg tega imajo posamezniki določene pravice glede obdelave njihovih osebnih podatkov, med drugim lahko od upravljavca podatkov (torej institucije, ki bi uporabljala platformo) zahtevajo izbris osebnih podatkov, ki ga trenutni komercialni modeli generativne UI ne zagotavljajo, prav tako ne zagotavljajo možnosti za seznanitev z lastnimi osebnimi podatki. Prenosi osebnih podatkov izven EU so dopustni le tedaj, kadar je tudi v tej tretji državi zagotovljen enakovreden standard varstva osebnih podatkov.

Uvajanje tovrstnih rešitev brez tehtnega premisleka o tem, kakšne posledice lahko imajo za posameznike, njihove temeljne pravice in svoboščine ter družbo kot celoto ima lahko daljnosežne posledice. Zato morajo upravljavci za tvegane oblike obdelav osebnih podatkov, na primer če gre za obsežne obdelave osebnih podatkov ali celo občutljivih podatkov, najprej pripraviti oceno učinka v zvezi z varstvom podatkom, kjer ocenijo, kakšna tveganja lahko nastanejo pri obdelavi podatkov in na kakšen način jih lahko zmanjšajo ali odpravijo. V primeru priprave državnega projekta, ki naj bi vključeval obdelavo množice osebnih podatkov posameznikov kot uporabnikov sistema UI, bi pripravo celovite ocene učinka in s tem temeljit premislek o morebitnih tveganjih za posameznike in družbo kot celoto, gotovo pričakovali.