Na Informacijskega pooblaščenca je bilo naslovljeno vprašanje glede skladnosti uporabe UI aplikacije za snemanje videokonferenc in samodejno pripravo povzetkov z zakonodajo o varstvu osebnih podatkov. Aplikacijo ponuja ameriško podjetje, ki ima strežnike v ZDA, zato se odpirajo vprašanja o pogodbeni ureditvi obdelave in o zakonitosti prenosa podatkov v tretjo državo.

IP pojasnjuje, da mora podjetje najprej določiti, ali nastopa kot upravljavec osebnih podatkov, medtem ko ameriško podjetje praviloma deluje kot obdelovalec. Če gre za takšno razmerje, mora biti sklenjena pogodba o obdelavi podatkov v skladu z 28. členom GDPR, oziroma morajo biti v dokumentaciji opredeljene vse zahteve po tem členu.

Obdelava osebnih podatkov mora imeti jasno določeno pravno podlago pred začetkom uporabe aplikacije. V primeru, da bi se obdelovali tudi občutljivi podatki, je potrebna ena od izjem iz 9. člena GDPR.

Ker se obdelava izvaja na strežnikih v ZDA, gre za prenos v tretjo državo. Če je ponudnik na seznamu podjetij, ki so se samocertificirala v okviru EU‑US Data Privacy Framework, se prenos šteje za dovolj zaščiten. Če pa ponudnika na seznamu ni, je prenos še vedno mogoč, vendar le ob uporabi drugih zaščitnih mehanizmov, kot so standardna pogodbena določila.

Zaradi uporabe nove tehnologije in obsežne obdelave (videoposnetki, glas, morebitni osebni podatki udeležencev) je praviloma obvezna ocena učinka na varstvo podatkov (DPIA). Ta mora zajemati opis obdelav, oceno nujnosti in sorazmernosti, oceno tveganj ter predvidene varnostne in organizacijske ukrepe.

Poleg zahtev GDPR in ZVOP‑2 je treba spremljati tudi obveznosti iz Akta o umetni inteligenci, ki se postopno uveljavljajo med letoma 2025 in 2027. Podjetje mora preveriti, ali aplikacija spada med sisteme UI po definiciji Akta, in v tem primeru upoštevati dodatne obveznosti glede varnosti, preglednosti in nadzora nad uporabo tehnologije.

Celotno mnenje je dostopno tukaj.