Kolumne

Dragan Milić

E-papir trpi sve

Neka istraživanja do kojih sam došao pokazuju da više od 90% korisnika interneta ne čita uslove korišćenja i politike privatnosti platformi i aplikacija koje koristi. Razlozi za to su različiti i često legitimni, od teško razumljivog “pravničkog” jezika do činjenice da bi čitanje takvih dokumenata često zahtevalo i do sat vremena. To je odlična podloga da kompanije kao pružaoci usluga tu napišu sve što im odgovara i da se, po pravilu, odreknu odgovornosti i gde je moguće i gde nije. Tako na tom digitalnom papiru može da piše gotovo sve, na primer, da je korisnik nekog AI modela sam odgovoran za ono što unese, a da je platforma neka vrsta posrednika i nije odgovorna za ono što AI generiše, odnosno da se određeni alat koristi na sopstvenu odgovornost i slično.

To, međutim, baš ne funkcioniše na taj način. U pozitivnom pravu postoji jasna hijerarhija normi. Ugovor može uređivati odnose između strana, ali u dispozitivnim okvirima koje mu je zakon postavio. Što znači da se ne mogu derogirati imperativne norme odnosno pravila koja zakonodavac propisuje upravo sa ciljem zaštite slabije strane ili javnog interesa, pa čak i kada ta slabija strana nije zainteresovana. Dakle, činjenica da je nešto napisano u jednom takvom elektronski prikazanom ugovoru ne znači automatski da je to pravno valjano i da proizvodi pravno dejstvo.

Možda konstrukcija o prebacivanju odgovornosti i može delovati logično iz poslovne perspektive, ali u pravnom smislu ima vrlo ograničen domet. Tako evropski pravni okvir polazi od principa da se odgovornost za funkcionisanje sistema i za rizike koji iz njega proizilaze ne može jednostavno i u celini preneti na korisnike samo zato što je to navedeno u uslovima korišćenja. Naročito u kontekstu podataka o ličnosti, koji se neminovno unose u AI modele, ili se modeli treniraju sa skupovima podataka koji sadrže takve podatke.

Ovaj stav se jasno može prepoznati u nedavnom izveštaju radne grupe Evropskog odbora za zaštitu podataka (EDPB) koja koordinira postupke nacionalnih nadzornih organa u vezi sa sistemima kao što su veliki jezički modeli (kakav je ChatGPT). Iako je reč o preliminarnim regulatornim stavovima, dovoljno su jasni da pokažu pravac u kom će se pravila kretati.

A u ovom svojevrsnom taskforce dokumentu se, između ostalog, naglašava značaj načela pravičnosti (Fairness) iz člana 5. GDPR-a. Prema tom principu, obrada podataka ne sme biti neočekivana, obmanjujuća ili neopravdano štetna za lice na koje se podaci odnose. Posebno je značajno tumačenje da pružalac usluge ne sme preneti rizike svog poslovnog modela na korisnike. Ako se određena digitalna usluga nudi široj javnosti, razumno je očekivati da će korisnici u interakciji sa sistemom ipak unositi i podatke o ličnosti. U takvoj situaciji odgovornost za usklađenost sa pravilima zaštite podataka se ne može isključiti prostom ugovornom klauzulom kojom se takvo ponašanje formalno zabranjuje. Sama zabrana unošenja podataka o ličnosti u uslovima korišćenja ne oslobađa platformu odgovornosti ako je realno očekivati da će se takvi podaci u sistemu pojaviti, već je na pružaocu usluge da obezbedi odgovarajuće tehničke i organizacione mere koje obezbeđuju usklađenost sa GDPR uredbom.

U tom kontekstu posebno je značajan još jedan stav koji proizlazi iz regulatorne prakse EU, da tehnička složenost ili tehnološka ograničenja ne mogu biti opravdanje za nepoštovanje obaveza koje nameće zakon. GDPR izričito predviđa princip zaštite podataka “kroz dizajn” (Data protection by design), što znači da sistemi koji obrađuju podatke moraju biti projektovani na način da omogućavaju ostvarivanje prava pojedinaca i poštovanje osnovnih načela obrade.

To pitanje postaje posebno relevantno u slučaju velikih jezičkih modela koji na principima “verovatnoće” generišu tekst ili druge sadržaje na osnovu obrazaca naučenih iz velikih skupova podataka. Zbog takve prirode modela generisani sadržaj može biti netačan.

S obzirom na to da tehnička ograničenja ne mogu biti izgovor, kada generisani sadržaj sadrži podatke koji se odnose na fizička lica, svakako se primenjuju pravila iz člana 5. GDPR-a, uključujući “načelo tačnosti”, koje zahteva da podaci budu tačni, ažurirani kada je to potrebno, kao i da se netačni podaci bez odlaganja isprave ili obrišu.

U tom kontekstu evropski regulatori pojašnjavaju da poštovanje “načela transparentnosti” nije dovoljno za ispunjenje obaveze “tačnosti”. Tako upozorenje da sistem može generisati netačne informacije nije dovoljno da ispuni obavezu tačnosti podataka. Drugim rečima, upozoravanje korisnika na halucinacije sistema je u redu, ali se obaveze i odgovornost njegovog kreatora ne završavaju na tome.

Sve u svemu, evropski regulatorni okvir polazi od jednostavne ideje, da se odgovornost za rizike tehnologije ne može u potpunosti preneti na korisnike samom ugovornom klauzulom. Ipak, neka odgovornost je i na korisniku, pa koliko god regulativa pokušavala da nas zaštiti, ponekad i od nas samih, u konačnici nema bolje zaštite od pojačane korisničke pažnje.

I da, uslove korišćenja i politike privatnosti ipak treba čitati. Barem ključne stvari. Malo nepažnje i čovek se lako nađe u nekošenom. Uostalom, kao što ne potpisujete ugovor na papiru, a da ga prethodno ne pregledate, nema razloga da drugačije postupate ni kada ugovor prihvatate jednim klikom.

Advokat Dragan Milić

Preuzimanje delova teksta je dozvoljeno, ali uz obavezno navođenje izvora i uz postavljanje linka ka izvornom tekstu na novaekonomija.rs

Ostavite odgovor

Vaša adresa e-pošte neće biti objavljena. Neophodna polja su označena *

Pre slanja komentara, molimo vas da se upoznate sa pravilima komentarisanja i pravilima korišćenja sajta.

Sajt je zaštićen pomocu reCaptcha i Google. Google Politika Privatnosti i Google Uslovi Korišćenja su primenjeni.

The reCAPTCHA verification period has expired. Please reload the page.