Španija: Agentska UI z vidika varstva podatkov
AEPD je objavila smernice, v katerih podrobneje opredeljuje pojem agentske umetne inteligence, pojasnjuje njeno delovanje ter analizira ključne vidike skladnosti njene uporabe z določbami GDPR.
Novica je bila objavljena 18. 2. 2026.
Dokument predstavlja uvodno, vendar sistematično analizo vprašanj varstva osebnih podatkov pri uporabi agentne umetne inteligence. Ključni poudarki zajemajo opredelitev agentov in njihove arhitekture, identifikacijo specifičnih ranljivosti, analizo vidikov skladnosti z GDPR ter nabor organizacijskih in tehničnih ukrepov za obvladovanje tveganj in izvajanje načela vgrajenega in privzetega varstva podatkov
Agentska umetna inteligenca pomeni kvalitativni preskok v avtomatizaciji obdelav osebnih podatkov. Gre za sisteme, ki temeljijo na jezikovnih modelih in so sposobni avtonomno razčleniti naloge, oblikovati verige sklepanja, dostopati do notranjih in zunanjih storitev ter izvajati dejanja v imenu uporabnika ali organizacije. Ključne značilnosti so avtonomija, zaznavanje okolja, zmožnost delovanja prek različnih orodij in storitev, načrtovanje zaporedij dejanj ter uporaba kratkoročne in dolgoročne pomnilniške strukture.
Dokument poudarja, da agent ni samostojen pravni subjekt, temveč tehnično sredstvo za izvajanje obdelave. Vendar njegova uporaba lahko spremeni naravo, obseg in tveganja konkretne obdelave. Vključitev agentne umetne inteligence zato zahteva ponovno presojo skladnosti obstoječih obdelav ali celovito zasnovo novih obdelav z vidika načel zakonitosti, omejitve namena, najmanjšega obsega podatkov, točnosti, omejitve hrambe in celovitosti.
Poseben poudarek je namenjen ranljivostim, ki so značilne za agentne sisteme.
Bistvene ranljivosti izhajajo iz njihove interakcije z okoljem, integracije več storitev, uporabe pomnilnika ter stopnje avtonomije. Agenti lahko dostopajo do obsežnih notranjih zbirk podatkov, elektronske pošte, zapisnikov ali drugih nestrukturiranih virov. Brez ustrezne segmentacije in pravil dostopa to pomeni tveganje za nesorazmerno obdelavo in kršitev načela najmanjšega obsega podatkov. Interakcija z zunanjimi storitvami pa povečuje napadalno površino in odpira vprašanja prenosa podatkov tretjim osebam ter mednarodnih prenosov.
Pomnilnik agentov predstavlja eno ključnih področij tveganja. Dokument razlikuje med delovnim pomnilnikom, ki omogoča funkcionalnost sistema, in upravljavskim pomnilnikom, ki vključuje dnevnike, zapise o pozivih, vmesnih korakih in dostopih. Neustrezno upravljanje pomnilnika lahko vodi do prekomerne hrambe, profiliranja posameznikov ali do težav pri uresničevanju pravic posameznikov, zlasti pravice do izbrisa, popravka ali omejitve obdelave.
Stopnja avtonomije agentov je zasnovana odločitev upravljavca. Dokument izpostavlja različne modele, od situacij, ko agent zgolj predlaga in človek odloča, do popolnoma avtonomnega delovanja z naknadnim nadzorom. Z vidika GDPR je ključno vprašanje, ali gre za avtomatizirano odločanje v smislu člena 22 GDPR ter ali so zagotovljeni učinkoviti mehanizmi človeškega nadzora, razložljivosti in revizijske sledljivosti.
Pri določanju vlog in odgovornosti smernice opozarjajo na kompleksnost ekosistema.
Agent lahko uporablja več zunanjih storitev, vključno z jezikovnimi modeli kot storitvijo. Glede na konkretne okoliščine so lahko ti subjekti obdelovalci ali samostojni upravljavci. Upravljavec mora zato natančno kartirati tokove podatkov, opredeliti pravne podlage, preveriti pogodbena razmerja ter zagotoviti skladnost z zahtevami glede podobelovalcev in mednarodnih prenosov.
Transparentnost do posameznikov je dodatno izpostavljena. Če uporaba agentne umetne inteligence pomeni nove prejemnike, daljše roke hrambe, dodatne namene ali avtomatizirano odločanje, je treba posameznike o tem jasno in razumljivo obvestiti. Informacije morajo omogočati razumevanje tveganj, zaščitnih ukrepov in načinov uveljavljanja pravic.
Dokument ne zagovarja niti nekritične uporabe niti apriorne zavrnitve agentne umetne inteligence. Nasprotno, poudarja njen potencial kot orodja za vgrajeno varstvo podatkov, če je zasnovana na dokazih, nadzoru in ustreznem upravljanju tveganj. Med priporočenimi ukrepi so jasno opredeljena pravila dostopa do podatkov, segmentacija pomnilnika, omejitev avtonomije glede na vrsto obdelave, beleženje in sledljivost dejanj, strogi režimi hrambe ter vključevanje pooblaščene osebe za varstvo podatkov v fazi načrtovanja.
Osrednje sporočilo dokumenta je, da agentska umetna inteligenca ne spreminja temeljnih obveznosti upravljavca, temveč povečuje njihovo kompleksnost. Skladnost z GDPR v tem kontekstu zahteva poglobljeno razumevanje tehnične arhitekture, kritično presojo dejanskih tokov podatkov in aktivno upravljanje tveganj, pri čemer mora biti varstvo pravic in svoboščin posameznikov vodilno načelo celotne zasnove sistema.
Smernice so na voljo tukaj.
Strojni prevod smernic je na voljo tukaj.
Vir: AEPD
Naslovna fotografija: Unsplash
