Εφαρμόζεται το LPD σε εργαλεία ΤΝ όπως το ChatGPT ή το Copilot που χρησιμοποιούνται σε εταιρείες;
Ναι. Από τη στιγμή που αυτά τα εργαλεία επεξεργάζονται προσωπικά δεδομένα αναγνωρίσιμων φυσικών προσώπων (ονόματα, emails, πληροφορίες για υπαλλήλους ή πελάτες), εφαρμόζεται το nLPD. Η εταιρεία που χρησιμοποιεί αυτά τα εργαλεία είναι υπεύθυνη επεξεργασίας. Πρέπει να διασφαλίσει ότι ο σκοπός είναι τεκμηριωμένος, τα πρόσωπα ενημερωμένα και τα δεδομένα δεν επαναχρησιμοποιούνται για σκοπούς που δεν προβλέπει ο πάροχος. Η επαλήθευση των συμβατικών όρων του παρόχου είναι απαραίτητη, ιδίως ως προς την τοποθεσία των δεδομένων και την επαναχρησιμοποίηση για εκπαίδευση μοντέλων.
Πρέπει η εταιρεία μου να ορίσει υπεύθυνο προστασίας δεδομένων (DPO) για τη χρήση ΤΝ;
Το nLPD δεν καθιστά τον DPO υποχρεωτικό υπό τις ίδιες συνθήκες με το RGPD/GDPR. Ωστόσο, ο ορισμός ή η ανάθεση υπεύθυνου προστασίας δεδομένων συνιστάται ιδιαίτερα όταν η εταιρεία σας αναπτύσσει συστήματα ΤΝ που επεξεργάζονται προσωπικά δεδομένα μεγάλης κλίμακας ή ευαίσθητα δεδομένα. Αυτός ο υπεύθυνος μπορεί να είναι εσωτερικός ή εξωτερικός (νομικός σύμβουλος, εξειδικευμένος σύμβουλος). Ο ρόλος του: εποπτεία συμμόρφωσης, διεξαγωγή AIPD, διαχείριση αιτημάτων ενδιαφερόμενων προσώπων και επικοινωνία με τον PFPDT αν χρειαστεί.
Τι είναι η AIPD και σε ποιες περιπτώσεις είναι υποχρεωτική για ένα έργο ΤΝ;
Μια Εκτίμηση Αντικτύπου για την Προστασία Δεδομένων (AIPD) είναι τεκμηριωμένη αξιολόγηση των κινδύνων που μια επεξεργασία δεδομένων επιφέρει στα δικαιώματα και ελευθερίες των ενδιαφερόμενων προσώπων. Είναι υποχρεωτική βάσει nLPD όταν η επεξεργασία ενδέχεται να παρουσιάζει υψηλό κίνδυνο: επεξεργασία ευαίσθητων δεδομένων μεγάλης κλίμακας, εκτεταμένη κατάρτιση προφίλ, αυτοματοποιημένες αποφάσεις με σημαντικές συνέπειες, ή συστηματική παρακολούθηση. Για τα περισσότερα φιλόδοξα έργα ΤΝ σε εταιρείες (ΤΝ ΑΔ, βαθμολόγηση πελατών, ανάλυση συμπεριφοράς), η AIPD είναι απαραίτητη. Πρέπει να διεξαχθεί πριν από την ανάπτυξη.
Μπορεί να εκπαιδευτεί ένα μοντέλο ΤΝ με δεδομένα πελατών ή υπαλλήλων της εταιρείας;
Ναι, υπό προϋποθέσεις. Πρέπει πρώτα να υπάρχει έγκυρη νομική βάση για αυτή τη νέα επεξεργασία (η αρχική συλλογή δεδομένων δεν αρκεί αν ο σκοπός ήταν διαφορετικός). Τα ενδιαφερόμενα πρόσωπα πρέπει να ενημερωθούν για αυτή τη χρήση. Αν τα δεδομένα είναι ευαίσθητα, απαιτείται ρητή συναίνεση ή άλλη ισχυρή νομική βάση. Η τοποθεσία του μοντέλου είναι καθοριστική: ένα μοντέλο φιλοξενούμενο σε διακομιστές εκτός Ελβετίας ή εκτός ΕΟΧ συνεπάγεται διεθνή μεταφορά δεδομένων, υποκείμενη σε πρόσθετες εγγυήσεις. Η τεκμηρίωση αυτών των αποφάσεων στο μητρώο επεξεργασίας είναι απαραίτητη.
Ποιες πρακτικές ΤΝ απαγορεύονται από το nLPD;
Το nLPD δεν καταρτίζει εξαντλητικό κατάλογο αλλά ο PFPDT έχει διευκρινίσει ότι ορισμένες εφαρμογές είναι ασύμβατες με τα θεμελιώδη δικαιώματα που προστατεύει: η γενικευμένη αναγνώριση προσώπου σε πραγματικό χρόνο σε δημόσιους χώρους, τα συστήματα κοινωνικής βαθμολόγησης (social scoring) που αξιολογούν συστηματικά τις συμπεριφορές ατόμων, και κάθε συλλογή ή επεξεργασία βιομετρικών ή ευαίσθητων δεδομένων χωρίς ισχυρή νομική βάση. Ο AI Act της ΕΕ, που απαγορεύει ρητά ορισμένες από αυτές τις πρακτικές, μπορεί να εφαρμοστεί έμμεσα σε ελβετικές εταιρείες που επεξεργάζονται δεδομένα κατοίκων ΕΕ.
Ποιες είναι οι κυρώσεις σε περίπτωση παραβίασης του nLPD στο πλαίσιο ΤΝ;
Το nLPD κυρώνει τα φυσικά πρόσωπα, όχι άμεσα την εταιρεία. Τα πρόστιμα μπορούν να φτάσουν τα 250'000 CHF ανά παραβίαση. Διευθυντές, υπεύθυνοι πληροφορικής και εμπλεκόμενοι συνεργάτες εκτίθενται προσωπικά. Οι πιο κυρωνόμενες παραβιάσεις: μη ενημέρωση ενδιαφερόμενων προσώπων, μη γνωστοποίηση παραβίασης δεδομένων, ή παραβίαση κανόνων για αυτοματοποιημένες ατομικές αποφάσεις. Πρέπει να υποβληθεί καταγγελία για να κινηθεί διαδικασία. Ο κίνδυνος φήμης είναι συχνά πιο ανησυχητικός από το ίδιο το πρόστιμο.
Εφαρμόζονται ταυτόχρονα το nLPD και το RGPD/GDPR στην ελβετική εταιρεία μου;
Εξαρτάται από τη δραστηριότητά σας. Αν επεξεργάζεστε δεδομένα κατοίκων της ΕΕ (πελάτες, συνεργάτες, υποψήφιους), το RGPD/GDPR εφαρμόζεται σε αυτές τις επεξεργασίες, ανεξάρτητα από το αν η εταιρεία σας βρίσκεται στην Ελβετία ή όχι. Το nLPD εφαρμόζεται σε όλες τις επεξεργασίες δεδομένων προσώπων στην Ελβετία. Στην πράξη, πολλές ελβετικές εταιρείες πρέπει να τηρούν και τα δύο πλαίσια. Καλά νέα: και τα δύο είναι σε μεγάλο βαθμό εναρμονισμένα και μια καλά δομημένη πολιτική συμμόρφωσης καλύπτει και τα δύο, αρκεί να λαμβάνονται υπόψη οι λίγες διαφορές (κυρώσεις, DPO, προθεσμίες γνωστοποίησης).
Αφορά ο AI Act της ΕΕ εταιρείες εγκατεστημένες στην Ελβετία;
Ο AI Act της ΕΕ δεν εφαρμόζεται άμεσα στην Ελβετία, η οποία δεν είναι μέλος της ΕΕ. Ωστόσο, αν η εταιρεία σας διαθέτει στην ευρωπαϊκή αγορά συστήματα ΤΝ, ή αν τα συστήματά σας παράγουν αποτελέσματα σε πρόσωπα εντός της ΕΕ, οι κανόνες του AI Act μπορεί να σας αφορούν. Επιπλέον, η Ελβετία υπέγραψε τη Σύμβαση του Συμβουλίου της Ευρώπης για την ΤΝ (Μάρτιος 2025), της οποίας η επικύρωση θα εισαγάγει συμπληρωματικές υποχρεώσεις, ιδίως για συστήματα ΤΝ υψηλού κινδύνου.
Πώς να επιλέξετε πάροχο ΤΝ συμμορφωμένο με το nLPD;
Τρία κύρια κριτήρια: η τοποθεσία των δεδομένων (προτίμηση διακομιστών στην Ελβετία ή στην ΕΕ/ΕΟΧ για αποφυγή μη πλαισιωμένων διεθνών μεταφορών), η πολιτική επαναχρησιμοποίησης δεδομένων (χρησιμοποιεί ο πάροχος τα δεδομένα σας για εκπαίδευση μοντέλων του; Αν ναι, με ποια νομική βάση;), και η συμβατική διαφάνεια (μπορεί ο πάροχος να σας παρέχει μητρώο υπεργολάβων, DPA, τεκμηριωμένες εγγυήσεις ασφαλείας;). Τα μοντέλα ανοιχτού κώδικα αναπτυγμένα στη δική σας υποδομή ή σε ευρωπαϊκή υποδομή προσφέρουν γενικά την καλύτερη απάντηση και στα τρία αυτά κριτήρια.
Εφαρμόζεται το nLPD σε μοντέλα ΤΝ ανοιχτού κώδικα που αναπτύσσονται εσωτερικά;
Ναι. Το nLPD εφαρμόζεται στον υπεύθυνο επεξεργασίας, δηλαδή στην εταιρεία σας, ανεξάρτητα από τη φύση του μοντέλου (ανοιχτός κώδικας ή ιδιόκτητο, εσωτερικά φιλοξενούμενο ή σε τρίτους). Αν το μοντέλο ανοιχτού κώδικα επεξεργάζεται προσωπικά δεδομένα, εφαρμόζονται όλες οι υποχρεώσεις του nLPD: ενημέρωση, ελαχιστοποίηση, ασφάλεια, AIPD αν υπάρχει υψηλός κίνδυνος, κλπ. Το πλεονέκτημα του ανοιχτού κώδικα αναπτυγμένου εσωτερικά είναι ακριβώς το ότι σας παρέχει πλήρη έλεγχο των δεδομένων και εξαλείφει τον κίνδυνο ανεπιθύμητης μεταφοράς σε τρίτους.