Ο οδηγός, χωρίς νομική ορολογία

Τεχνητή νοημοσύνη και LPD/nLPD στην Ελβετία: τι σημαίνει

Μια ξεκάθαρη ανάλυση για το τι αλλάζει ο νέος Νόμος για την προστασία δεδομένων στα έργα σας τεχνητής νοημοσύνης, και πώς χτίζουμε σεβόμενοι την τοποθεσία διαμονής των δεδομένων. Σημαντικό: δεν παρέχουμε νομικές συμβουλές.

Ευρωπαϊκή φιλοξενίαΑνοιχτός κώδικαςΙχνηλάσιμο

14'137+ ιστότοποι που δημιουργήθηκαν τις τελευταίες 30 ημέρες

actif
🇪🇺 Europe
Falkenstein
Helsinki
Nürnberg

Hetzner · Europe

US cloud
Ευρωπαϊκή φιλοξενία
Ανοιχτός κώδικας
Ιχνηλάσιμο

Από την 1η Σεπτεμβρίου 2023, ο νέος νόμος για την προστασία δεδομένων (nLPD) ισχύει στην Ελβετία. Δεν αναφέρει ρητά την τεχνητή νοημοσύνη, και αυτό είναι σκόπιμο: ο νόμος είναι διατυπωμένος με τεχνολογικά ουδέτερο τρόπο. Άμεση συνέπεια: κάθε σύστημα ΤΝ που επεξεργάζεται προσωπικά δεδομένα φυσικών προσώπων υπόκειται στο nLPD, αδιάκριτα. Ο παρών οδηγός εξηγεί τι σημαίνει αυτό στην πράξη για μια ελβετική εταιρεία που αναπτύσσει ή σκοπεύει να αναπτύξει εργαλεία ΤΝ, είτε πρόκειται για εσωτερικό chatbot, αυτοματοποιημένο εργαλείο πρόσληψης, μηχανή συστάσεων ή λύση ανάλυσης πελατολογίου.

14'137+
ιστότοποι που δημιουργήθηκαν τις τελευταίες 30 ημέρες
16
γλώσσες
100%
φιλοξενία ΕΕ
0
US cloud

Τα βασικά σημεία που πρέπει να γνωρίζετε

Τα ουσιώδη, εξηγημένα απλά.

Τοποθεσία διαμονής των δεδομένων

Το πού αποθηκεύονται και επεξεργάζονται τα δεδομένα σας έχει σημασία. Χτίζουμε με ευρωπαϊκή φιλοξενία και μοντέλα ανοιχτού κώδικα.

Ελαχιστοποίηση

Να επεξεργάζεστε μόνο τα απαραίτητα δεδομένα: μια απλή αρχή που μειώνει τον κίνδυνο.

Διαφάνεια και ιχνηλασιμότητα

Να ξέρετε τι κάνει η τεχνητή νοημοσύνη με τα δεδομένα σας, με επεξεργασίες καταγεγραμμένες και ελέγξιμες.

Υπεργολάβοι

Να επιλέγετε παρόχους που δεν εκθέτουν τα δεδομένα σας σε μη ελεγχόμενα cloud τρίτων.

Το nLPD και η ΤΝ: η αρχή της τεχνολογικής ουδετερότητας

Ο Ομοσπονδιακός Επίτροπος Προστασίας Δεδομένων και Διαφάνειας (PFPDT) επιβεβαίωσε τη θέση του τον Νοέμβριο του 2023: ο ισχύων νόμος για την προστασία δεδομένων εφαρμόζεται άμεσα στην ΤΝ. Η Ελβετία δεν διαθέτει ειδικό νόμο για την τεχνητή νοημοσύνη, σε αντίθεση με την Ευρωπαϊκή Ένωση και τον AI Act της. Ο ελβετικός νομοθέτης επέλεξε σκόπιμα μια προσέγγιση βασισμένη στην τεχνολογική ουδετερότητα: οι υπάρχοντες κανόνες (nLPD, Κώδικας Υποχρεώσεων, LRFP) ισχύουν για κάθε τεχνολογία, συμπεριλαμβανομένης της ΤΝ. Αυτό σημαίνει ότι ο πάροχος CRM με δυνατότητες ΤΝ, το εργαλείο προγνωστικής ανάλυσης ή ο εσωτερικός συνομιλητής σας εμπίπτουν όλα στο πεδίο εφαρμογής του nLPD από τη στιγμή που επεξεργάζονται δεδομένα που αφορούν ένα αναγνωρίσιμο πρόσωπο.

  • Κανένας ειδικός νόμος για την ΤΝ στην Ελβετία προς το παρόν: το nLPD αποτελεί το κύριο πλαίσιο
  • Τεχνολογική ουδετερότητα: το νομικό κείμενο δεν αναφέρει την ΤΝ αλλά εφαρμόζεται πλήρως σε αυτήν
  • Ο PFPDT επιβεβαίωσε επίσημα αυτή την ερμηνεία τον Νοέμβριο του 2023
  • Η Σύμβαση-πλαίσιο του Συμβουλίου της Ευρώπης για την ΤΝ (υπογεγραμμένη από την Ελβετία στις 27 Μαρτίου 2025) θα ενισχύσει αυτό το πλαίσιο έως το 2026-2027
  • Ο AI Act της ΕΕ μπορεί να εφαρμοστεί έμμεσα σε ελβετικές εταιρείες που επεξεργάζονται δεδομένα κατοίκων της ΕΕ

Οι πέντε βασικές υποχρεώσεις για κάθε χρήση ΤΝ

Ανεξάρτητα από τη φύση του αναπτυσσόμενου συστήματος ΤΝ, πέντε αρχές του nLPD επιβάλλονται στην υπεύθυνη επεξεργασίας επιχείρηση.

  • Διαφάνεια: τα ενδιαφερόμενα πρόσωπα πρέπει να γνωρίζουν ότι ένα σύστημα ΤΝ επεξεργάζεται τα δεδομένα τους, για ποιον σκοπό και σε ποια βάση. Η σκόπιμη αδιαφάνεια αποτελεί παραβίαση.
  • Καθορισμένος σκοπός: τα δεδομένα που συλλέγονται για συγκεκριμένο σκοπό δεν μπορούν να επαναχρησιμοποιηθούν ελεύθερα για την εκπαίδευση ή βελτίωση ενός μοντέλου ΤΝ χωρίς ξεχωριστή νομική βάση.
  • Ελαχιστοποίηση: ένα σύστημα ΤΝ πρέπει να επεξεργάζεται μόνο τα απολύτως απαραίτητα δεδομένα για τον επιδιωκόμενο σκοπό. Η συγκέντρωση δεδομένων «για κάθε ενδεχόμενο» θα αποτελούσε παραβίαση αυτής της αρχής.
  • Ακρίβεια: τα δεδομένα που τροφοδοτούν ένα σύστημα ΤΝ πρέπει να διατηρούνται ενημερωμένα. Μια αυτοματοποιημένη απόφαση βασισμένη σε απαρχαιωμένα δεδομένα συνεπάγεται ευθύνη της εταιρείας.
  • Ασφάλεια και ιχνηλασιμότητα: οι επεξεργασίες ΤΝ πρέπει να καταγράφονται και οι προσβάσεις να ελέγχονται. Σε περίπτωση παραβίασης δεδομένων, το nLPD επιβάλλει γνωστοποίηση στις αρχές χωρίς αδικαιολόγητη καθυστέρηση (σε αντίθεση με τις 72 ώρες του RGPD/GDPR).

Αυτοματοποιημένες αποφάσεις και δικαίωμα εναντίωσης: τι μπορούν να απαιτήσουν οι χρήστες σας

Το nLPD παρέχει στα ενδιαφερόμενα πρόσωπα δικαίωμα εναντίωσης σε αποφάσεις που λαμβάνονται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, όταν αυτές οι αποφάσεις έχουν νομικές ή ανάλογα σημαντικές συνέπειες για αυτά. Συγκεκριμένα: αν το εργαλείο ΤΝ σας απορρίπτει αυτόματα μια αίτηση εργασίας, ορίζει ασφαλιστικό τιμολόγιο ή αρνείται πίστωση χωρίς ανθρώπινη παρέμβαση, το ενδιαφερόμενο πρόσωπο μπορεί να απαιτήσει από φυσικό πρόσωπο να επανεξετάσει την απόφαση. Ο PFPDT το διατυπώνει με όρους υψηλής ψηφιακής αυτοδιάθεσης: οι εταιρείες οφείλουν να παρέχουν στα ενδιαφερόμενα πρόσωπα τα μέσα κατανόησης και, εφόσον χρειαστεί, αμφισβήτησης των αυτοματοποιημένων αποφάσεων που τα επηρεάζουν. Αυτό το δικαίωμα εναντίωσης δεν είναι προαιρετικό: πρέπει να είναι λειτουργικό πριν από την ανάπτυξη του συστήματος, όχι μετά.

  • Δικαίωμα εναντίωσης σε αυτοματοποιημένες αποφάσεις με νομικές ή σημαντικές συνέπειες
  • Υποχρέωση πρόβλεψης μηχανισμού ανθρώπινης επανεξέτασης κατόπιν αιτήματος
  • Η διαφάνεια ως προς τη λειτουργία του αλγορίθμου αποτελεί προϋπόθεση αυτού του δικαιώματος
  • Ιδιαίτερα εκτεθειμένοι τομείς: ΑΔ (αξιολόγηση υποψήφιων), ασφαλίσεις (τιμολόγηση), τράπεζες (πιστωτική βαθμολόγηση), ηλεκτρονικό εμπόριο (διακριτική εξατομίκευση)

Πότε είναι υποχρεωτική η Εκτίμηση Αντικτύπου για την Προστασία Δεδομένων (AIPD);

Το nLPD εισάγει την υποχρέωση διεξαγωγής Εκτίμησης Αντικτύπου για την Προστασία Δεδομένων (AIPD, ή DPIA στα αγγλικά) πριν από κάθε επεξεργασία που ενδέχεται να παρουσιάζει υψηλό κίνδυνο για τα θεμελιώδη δικαιώματα και ελευθερίες των ενδιαφερόμενων προσώπων. Για τα συστήματα ΤΝ, το κατώφλι υψηλού κινδύνου επιτυγχάνεται ταχύτατα. Απαιτείται AIPD ιδίως όταν: η επεξεργασία αφορά ευαίσθητα δεδομένα μεγάλης κλίμακας (υγεία, πολιτικές απόψεις, βιομετρικά δεδομένα), το σύστημα πραγματοποιεί εκτεταμένη κατάρτιση προφίλ προσώπων, οι αυτοματοποιημένες αποφάσεις έχουν σημαντικές νομικές ή οικονομικές συνέπειες, ή η επεξεργασία συνεπάγεται συστηματική παρακολούθηση δημοσίως προσβάσιμου χώρου. Η AIPD πρέπει να διεξαχθεί πριν από την έναρξη, να τεκμηριωθεί και να ενημερωθεί αν το σύστημα εξελιχθεί. Αν η ανάλυση αποκαλύψει μη μετριασμένο υψηλό υπολειπόμενο κίνδυνο, ο PFPDT μπορεί να διαβουλευτεί.

  • Επεξεργασία ευαίσθητων δεδομένων μεγάλης κλίμακας: AIPD υποχρεωτική
  • Εκτεταμένη κατάρτιση προφίλ ή αυτοματοποιημένη βαθμολόγηση: AIPD υποχρεωτική
  • Αυτοματοποιημένες αποφάσεις με σημαντικές νομικές ή οικονομικές συνέπειες: AIPD υποχρεωτική
  • Συστηματική παρακολούθηση δημόσιων χώρων: AIPD υποχρεωτική
  • Η AIPD πρέπει να διεξαχθεί πριν από την ανάπτυξη, όχι μετά από κάποιο συμβάν
  • Ο PFPDT μπορεί να διαβουλευτεί αν παραμένει υψηλός υπολειπόμενος κίνδυνος

Πρακτικές ΤΝ που απαγορεύονται από το nLPD

Αν και το nLPD δεν καταρτίζει εξαντλητικό κατάλογο απαγορευμένων χρήσεων ΤΝ, ορισμένες πρακτικές είναι σαφώς ασύμβατες με τα θεμελιώδη δικαιώματα που προστατεύει, καθώς και με τις θέσεις του PFPDT.

  • Αναγνώριση προσώπου σε πραγματικό χρόνο μεγάλης κλίμακας σε δημόσιους χώρους: ασύμβατη με το nLPD και τα θεμελιώδη δικαιώματα
  • Συστήματα κοινωνικής βαθμολόγησης (social scoring) που αξιολογούν συστηματικά τα άτομα βάσει του συνόλου της συμπεριφοράς τους: ασύμβατα με την πληροφοριακή αυτοδιάθεση που προστατεύει το LPD
  • Συλλογή και επεξεργασία βιομετρικών δεδομένων χωρίς ισχυρή νομική βάση και χωρίς νόμιμο και τεκμηριωμένο σκοπό
  • Εκπαίδευση μοντέλων ΤΝ με προσωπικά δεδομένα που έχουν εκτραπεί από τον αρχικό τους σκοπό, χωρίς ξεχωριστή νομική βάση
  • Επεξεργασία ευαίσθητων δεδομένων (υγεία, φυλετική καταγωγή, πολιτικές απόψεις) χωρίς ρητή συναίνεση ή χωρίς άλλη αποδεκτή νομική βάση

Εκπαίδευση μοντέλου ΤΝ με τα εσωτερικά σας δεδομένα: τι λέει το nLPD

Μία από τις πιο συνηθισμένες περιπτώσεις σε εταιρείες: η χρήση εσωτερικών δεδομένων (emails, φακέλων ΑΔ, ιστορικών πελατών, συμβολαίων) για την εκπαίδευση ή βελτίωση ενός μοντέλου ΤΝ. Το nLPD επιβάλλει αρκετές εγγυήσεις. Πρώτον, ο σκοπός: τα δεδομένα που συλλέχθηκαν για τη διαχείριση συμβολαίων πελατών δεν μπορούν να επαναχρησιμοποιηθούν για την εκπαίδευση μοντέλου ΤΝ χωρίς ξεχωριστή νομική βάση. Έπειτα, η τοποθεσία: αν το μοντέλο φιλοξενείται από πάροχο εκτός Ελβετίας ή εκτός ΕΟΧ, πραγματοποιείται διεθνής μεταφορά δεδομένων, υποκείμενη στις κατάλληλες εγγυήσεις του nLPD. Τέλος, η αδιαφάνεια των μοντέλων: μόλις εκπαιδευτεί, είναι δύσκολο να εγγυηθεί κανείς ότι κανένα προσωπικό δεδομένο δεν μπορεί να εξαχθεί ή να συναχθεί. Μια κυρίαρχη αρχιτεκτονική, με μοντέλο αναπτυγμένο σε ευρωπαϊκή υποδομή ή στους δικούς σας διακομιστές, αποτελεί την πιο ισχυρή απάντηση σε αυτό το πρόβλημα.

  • Επαλήθευση της νομικής βάσης πριν από οποιαδήποτε επαναχρησιμοποίηση εσωτερικών δεδομένων για ΤΝ
  • Τεκμηρίωση του σκοπού εκπαίδευσης και διασφάλιση της συμβατότητάς του με την αρχική συλλογή
  • Εντοπισμός αν πραγματοποιείται διεθνής μεταφορά (πάροχος ΗΠΑ, cloud εκτός ΕΟΧ) και θέσπιση κατάλληλων εγγυήσεων
  • Ταξινόμηση των δεδομένων σας (δημόσια, εσωτερικά, εμπιστευτικά, ευαίσθητα) πριν αποφασίσετε ποια μπορούν να τροφοδοτήσουν ένα μοντέλο
  • Προτίμηση ανοιχτού κώδικα μοντέλων αναπτυγμένων σε ευρωπαϊκή υποδομή για αποφυγή εξωεδαφικότητας
  • Τεκμηρίωση των αποφάσεων αρχιτεκτονικής σε μητρώο επεξεργασίας

Κυρώσεις nLPD: προσωπική ευθύνη και ποσά

Ένα σημείο που συχνά υποτιμάται: σε αντίθεση με το RGPD/GDPR που κυρώνει την εταιρεία, το nLPD κυρώνει κατ' αρχάς τα φυσικά πρόσωπα. Είναι οι διευθυντές, οι υπεύθυνοι πληροφορικής και ορισμένοι συνεργάτες που μπορούν να διωχθούν και να καταδικαστούν σε προσωπικά πρόστιμα. Το μέγιστο ποσό είναι 250'000 CHF ανά παραβίαση. Οι πιο εκτεθειμένες παραβιάσεις αφορούν: τη μη τήρηση της υποχρέωσης ενημέρωσης, την έλλειψη γνωστοποίησης παραβίασης δεδομένων στην αρμόδια αρχή, ή την παραβίαση υποχρεώσεων που αφορούν αυτοματοποιημένες ατομικές αποφάσεις. Η κύρωση δεν είναι αυτόματη: απαιτείται η υποβολή καταγγελίας. Ωστόσο, ο κίνδυνος φήμης, σε περίπτωση δημόσιας διαδικασίας, μπορεί να υπερβαίνει το ίδιο το πρόστιμο.

  • Μέγιστη κύρωση: 250'000 CHF ανά παραβίαση (προσωπικό πρόστιμο, όχι εταιρικό)
  • Εκτεθειμένα πρόσωπα: διευθυντές, υπεύθυνοι ΤΠ, DPO, εμπλεκόμενοι συνεργάτες
  • Πιο συχνά κυρωνόμενες παραβιάσεις: έλλειψη ενημέρωσης, απουσία γνωστοποίησης παραβίασης, παραβίαση κανόνων για αυτοματοποιημένες αποφάσεις
  • Χωρίς αυτόματο πρόστιμο: απαιτείται καταγγελία (σε αντίθεση με το RGPD/GDPR)
  • Ο κίνδυνος φήμης είναι δυνητικά υψηλότερος από το ίδιο το πρόστιμο

LPD vs RGPD/GDPR: οι βασικές διαφορές για έργα ΤΝ

Πολλές ελβετικές εταιρείες επεξεργάζονται επίσης δεδομένα κατοίκων της Ευρώπης και υπόκεινται επομένως στο RGPD/GDPR παράλληλα με το nLPD. Τα δύο πλαίσια ομοιάζουν στα βασικά αλλά αποκλίνουν σε αρκετά σημαντικά σημεία. Παρακάτω οι πιο σημαντικές διαφορές για ένα έργο ΤΝ.

  • Κυρώσεις: το RGPD/GDPR στοχεύει εταιρείες (έως 4% του παγκόσμιου κύκλου εργασιών), το nLPD στοχεύει φυσικά πρόσωπα (μέγιστο 250'000 CHF)
  • DPO: υποχρεωτικός σε ορισμένες περιπτώσεις βάσει RGPD/GDPR, συνιστάται αλλά δεν είναι υποχρεωτικός βάσει nLPD
  • Γνωστοποίηση παραβίασης: 72 ώρες για το RGPD/GDPR, χωρίς αδικαιολόγητη καθυστέρηση για το nLPD (πιο ευέλικτο αλλά και πιο αόριστο)
  • Συναίνεση: το nLPD δεν απαιτεί ρητή συναίνεση ως μοναδική νομική βάση, σε αντίθεση με το RGPD/GDPR που την καθιστά κεντρικό θεμέλιο
  • Εξωεδαφική εμβέλεια: το RGPD/GDPR εφαρμόζεται μόλις θίγεται κάτοικος της ΕΕ, ακόμη και αν η εταιρεία βρίσκεται στην Ελβετία
  • AI Act ΕΕ: δεν εφαρμόζεται άμεσα στην Ελβετία, αλλά μια ελβετική εταιρεία που εμπορεύεται στην ΕΕ μπορεί να υπόκειται σε αυτόν

Ρυθμιστικές προοπτικές 2025-2027: τι έρχεται

Το ελβετικό νομικό πλαίσιο για την ΤΝ βρίσκεται σε κίνηση. Αρκετές εξελίξεις πρέπει να αναμένουν οι εταιρείες που αναπτύσσουν συστήματα ΤΝ.

  • Σύμβαση του Συμβουλίου της Ευρώπης για την ΤΝ (CETS 225): η Ελβετία υπέγραψε στις 27 Μαρτίου 2025. Η επικύρωσή της θα δημιουργήσει πρόσθετες υποχρεώσεις, ιδίως για συστήματα ΤΝ υψηλού κινδύνου και εποπτεία από τις αρχές
  • AI Act ΕΕ σε σταδιακή ισχύ έως το 2026: ελβετικές εταιρείες που λειτουργούν στην αγορά ΕΕ μπορεί να επηρεαστούν, ιδιαίτερα για συστήματα ΤΝ υψηλού κινδύνου (ΑΔ, πίστωση, υγεία, κρίσιμες υποδομές)
  • Πιθανή αναθεώρηση του nLPD: το Ομοσπονδιακό Συμβούλιο παρακολουθεί την ευρωπαϊκή εξέλιξη και μια προσαρμογή είναι εφικτή στον ορίζοντα 2026-2027
  • Ομοσπονδιακό Διάταγμα για τη χρήση ΤΝ στη διοίκηση: σε διαβούλευση, θα μπορούσε να εμπνεύσει ιδιωτικά τομεακά πρότυπα
  • Ενίσχυση του ρόλου του PFPDT: περισσότερες τομεακές θέσεις για συγκεκριμένες χρήσεις ΤΝ (chatbots, κατάρτιση προφίλ, γεννητική ΤΝ)

Λίστα ελέγχου: δέκα συγκεκριμένες ενέργειες για ΤΝ συμμορφωμένη με το nLPD

Ορίστε ένα λειτουργικό σημείο εκκίνησης για εταιρείες που αναπτύσσουν ή σκοπεύουν να αναπτύξουν εργαλεία ΤΝ. Αυτή η λίστα δεν αποτελεί νομική γνωμοδότηση: συμβουλευτείτε εξειδικευμένο νομικό για την ειδική σας κατάσταση.

  • 1. Χαρτογράφηση: καταρτίστε κατάλογο όλων των εργαλείων ΤΝ που χρησιμοποιούνται στον οργανισμό σας και εντοπίστε ποια επεξεργάζονται προσωπικά δεδομένα
  • 2. Ταξινόμηση δεδομένων: διακρίνετε δημόσια, εσωτερικά, εμπιστευτικά και ευαίσθητα δεδομένα πριν αποφασίσετε ποια μπορούν να τροφοδοτήσουν ένα μοντέλο
  • 3. Τεκμηρίωση σκοπού: για κάθε επεξεργασία ΤΝ, τεκμηριώστε τον ακριβή σκοπό στο μητρώο δραστηριοτήτων επεξεργασίας
  • 4. Αξιολόγηση κινδύνου: προσδιορίστε αν μια επεξεργασία χρειάζεται AIPD (ευαίσθητα δεδομένα, κατάρτιση προφίλ, αυτοματοποιημένες αποφάσεις με αντίκτυπο)
  • 5. Ενημέρωση: διασφαλίστε ότι οι πληροφοριακές αναφορές (πολιτική απορρήτου, ανακοινώσεις επεξεργασίας) καλύπτουν ρητά τις χρήσεις ΤΝ
  • 6. Πρόβλεψη εναντίωσης: θεσπίστε λειτουργικό μηχανισμό ανθρώπινης προσφυγής για κάθε σημαντική αυτοματοποιημένη απόφαση
  • 7. Έλεγχος υπεργολάβων: επαληθεύστε τις εγγυήσεις που προσφέρουν οι πάροχοι ΤΝ (τοποθεσία, μεταφορές, πιστοποιήσεις)
  • 8. Εκπαίδευση ομάδων: ευαισθητοποιήστε τους συνεργάτες στις υποχρεώσεις nLPD στο πλαίσιο ΤΝ, ιδίως τις ομάδες ΑΔ, marketing και ΤΠ
  • 9. Δοκιμή και έλεγχος: προβλέψτε τακτικούς ελέγχους των συστημάτων ΤΝ για επαλήθευση συμμόρφωσης και απουσίας διακριτικών προκαταλήψεων
  • 10. Τήρηση ζωντανού μητρώου: ενημερώνετε την τεκμηρίωση σε κάθε εξέλιξη του συστήματος ΤΝ ή της νομοθεσίας

nLPD vs RGPD/GDPR: οι ουσιαστικές διαφορές για τα έργα ΤΝ σας

Οι περισσότερες ελβετικές εταιρείες πρέπει να ισορροπούν μεταξύ των δύο πλαισίων. Ορίστε οι πιο σημαντικές διαφορές που πρέπει να γνωρίζετε για τη δόμηση των έργων ΤΝ σας.

ΚριτήριοnLPD (Ελβετία)RGPD/GDPR (ΕΕ)
Έναρξη ισχύος1η Σεπτεμβρίου 202325 Μαΐου 2018
ΚυρώσειςΜέγιστο 250'000 CHF, προσωπικό πρόστιμοΈως 4% του παγκόσμιου κύκλου εργασιών, πρόστιμο στην εταιρεία
DPO (υπεύθυνος προστασίας δεδομένων)Συνιστάται, μη υποχρεωτικός για ΜΜΕΥποχρεωτικός σε ορισμένες περιπτώσεις
Προθεσμία γνωστοποίησης παραβίασηςΧωρίς αδικαιολόγητη καθυστέρηση (πιο ευέλικτο)Μέγιστο 72 ώρες
Συναίνεση ως νομική βάσηΜία βάση μεταξύ πολλών (πιο ευέλικτο)Κεντρική αλλά πλαισιωμένη
AIPD υποχρεωτικήΝαι, για επεξεργασίες υψηλού κινδύνουΝαι, για επεξεργασίες υψηλού κινδύνου
Εξωεδαφική εμβέλειαΕφαρμόζεται αν η εταιρεία επεξεργάζεται δεδομένα προσώπων στην ΕλβετίαΕφαρμόζεται μόλις θίγεται κάτοικος ΕΕ
Ειδικός νόμος ΤΝΚανένας (τεχνολογική ουδετερότητα)AI Act σε σταδιακή ισχύ έως το 2026

Ο ρόλος μας

Χτίζουμε σεβόμενοι τα δεδομένα σας

Δεν ασχολούμαστε με νομικά, αλλά χτίζουμε την τεχνητή νοημοσύνη με τρόπο που σέβεται την τοποθεσία διαμονής και την εμπιστευτικότητα των δεδομένων σας.

Ευρωπαϊκή φιλοξενία

Υποδομή στην Ευρώπη (Hetzner), όχι cloud των ΗΠΑ.

Ανοιχτός κώδικας

Μοντέλα ανοιχτού κώδικα στη δική μας υποδομή, τα δεδομένα σας δεν χρησιμοποιούνται για την εκπαίδευση μοντέλων.

Ιχνηλάσιμο

Επεξεργασίες καταγεγραμμένες και ελέγξιμες.

Τοπικό πλαίσιο: Ελβετία και nLPD

Η Ελβετία διαθέτει ανεξάρτητη αρμόδια αρχή: τον Ομοσπονδιακό Επίτροπο Προστασίας Δεδομένων και Διαφάνειας (PFPDT), που εδρεύει στη Βέρνη, εκδίδει συστάσεις και μπορεί να κινήσει προκαταρκτικές έρευνες.
Τα καντόνια της Vaud, Genève, Fribourg και Neuchâtel διαθέτουν τη δική τους καντονική νομοθεσία για την προστασία δεδομένων, εφαρμόσιμη στις καντονικές δημόσιες οντότητες. Για ιδιωτικές εταιρείες, υπερισχύει το ομοσπονδιακό nLPD.
Η γαλλόφωνη Ελβετία αριθμεί αρκετούς εξειδικευμένους φορείς σε συμμόρφωση nLPD και ΤΝ: εξειδικευμένα δικηγορικά γραφεία (ιδίως στη Genève και Lausanne), συμβούλους προστασίας δεδομένων και τεχνολογικούς παρόχους που ενσωματώνουν τη συμμόρφωση από τη σύλληψη.
Ο ελβετικός χρηματοοικονομικός τομέας (τράπεζες, ασφαλίσεις, διαχείριση περιουσίας) είναι ιδιαίτερα εκτεθειμένος στις υποχρεώσεις nLPD στο πλαίσιο ΤΝ, λαμβανομένης υπόψη της ευαίσθητης φύσης των επεξεργαζόμενων δεδομένων και των συχνών αυτοματοποιημένων αποφάσεων (βαθμολόγηση, ανίχνευση απάτης, αυτοματοποιημένη παροχή συμβουλών).
Η Σύμβαση-πλαίσιο του Συμβουλίου της Ευρώπης για την ΤΝ (υπογεγραμμένη από την Ελβετία στις 27 Μαρτίου 2025) είναι η πρώτη νομικά δεσμευτική διεθνής συνθήκη για την ΤΝ. Η επικύρωσή της από το Ελβετικό Κοινοβούλιο θα δημιουργήσει πρόσθετες επίσημες υποχρεώσεις.

Συχνές ερωτήσεις

Εφαρμόζεται το LPD σε εργαλεία ΤΝ όπως το ChatGPT ή το Copilot που χρησιμοποιούνται σε εταιρείες;

Ναι. Από τη στιγμή που αυτά τα εργαλεία επεξεργάζονται προσωπικά δεδομένα αναγνωρίσιμων φυσικών προσώπων (ονόματα, emails, πληροφορίες για υπαλλήλους ή πελάτες), εφαρμόζεται το nLPD. Η εταιρεία που χρησιμοποιεί αυτά τα εργαλεία είναι υπεύθυνη επεξεργασίας. Πρέπει να διασφαλίσει ότι ο σκοπός είναι τεκμηριωμένος, τα πρόσωπα ενημερωμένα και τα δεδομένα δεν επαναχρησιμοποιούνται για σκοπούς που δεν προβλέπει ο πάροχος. Η επαλήθευση των συμβατικών όρων του παρόχου είναι απαραίτητη, ιδίως ως προς την τοποθεσία των δεδομένων και την επαναχρησιμοποίηση για εκπαίδευση μοντέλων.

Πρέπει η εταιρεία μου να ορίσει υπεύθυνο προστασίας δεδομένων (DPO) για τη χρήση ΤΝ;

Το nLPD δεν καθιστά τον DPO υποχρεωτικό υπό τις ίδιες συνθήκες με το RGPD/GDPR. Ωστόσο, ο ορισμός ή η ανάθεση υπεύθυνου προστασίας δεδομένων συνιστάται ιδιαίτερα όταν η εταιρεία σας αναπτύσσει συστήματα ΤΝ που επεξεργάζονται προσωπικά δεδομένα μεγάλης κλίμακας ή ευαίσθητα δεδομένα. Αυτός ο υπεύθυνος μπορεί να είναι εσωτερικός ή εξωτερικός (νομικός σύμβουλος, εξειδικευμένος σύμβουλος). Ο ρόλος του: εποπτεία συμμόρφωσης, διεξαγωγή AIPD, διαχείριση αιτημάτων ενδιαφερόμενων προσώπων και επικοινωνία με τον PFPDT αν χρειαστεί.

Τι είναι η AIPD και σε ποιες περιπτώσεις είναι υποχρεωτική για ένα έργο ΤΝ;

Μια Εκτίμηση Αντικτύπου για την Προστασία Δεδομένων (AIPD) είναι τεκμηριωμένη αξιολόγηση των κινδύνων που μια επεξεργασία δεδομένων επιφέρει στα δικαιώματα και ελευθερίες των ενδιαφερόμενων προσώπων. Είναι υποχρεωτική βάσει nLPD όταν η επεξεργασία ενδέχεται να παρουσιάζει υψηλό κίνδυνο: επεξεργασία ευαίσθητων δεδομένων μεγάλης κλίμακας, εκτεταμένη κατάρτιση προφίλ, αυτοματοποιημένες αποφάσεις με σημαντικές συνέπειες, ή συστηματική παρακολούθηση. Για τα περισσότερα φιλόδοξα έργα ΤΝ σε εταιρείες (ΤΝ ΑΔ, βαθμολόγηση πελατών, ανάλυση συμπεριφοράς), η AIPD είναι απαραίτητη. Πρέπει να διεξαχθεί πριν από την ανάπτυξη.

Μπορεί να εκπαιδευτεί ένα μοντέλο ΤΝ με δεδομένα πελατών ή υπαλλήλων της εταιρείας;

Ναι, υπό προϋποθέσεις. Πρέπει πρώτα να υπάρχει έγκυρη νομική βάση για αυτή τη νέα επεξεργασία (η αρχική συλλογή δεδομένων δεν αρκεί αν ο σκοπός ήταν διαφορετικός). Τα ενδιαφερόμενα πρόσωπα πρέπει να ενημερωθούν για αυτή τη χρήση. Αν τα δεδομένα είναι ευαίσθητα, απαιτείται ρητή συναίνεση ή άλλη ισχυρή νομική βάση. Η τοποθεσία του μοντέλου είναι καθοριστική: ένα μοντέλο φιλοξενούμενο σε διακομιστές εκτός Ελβετίας ή εκτός ΕΟΧ συνεπάγεται διεθνή μεταφορά δεδομένων, υποκείμενη σε πρόσθετες εγγυήσεις. Η τεκμηρίωση αυτών των αποφάσεων στο μητρώο επεξεργασίας είναι απαραίτητη.

Ποιες πρακτικές ΤΝ απαγορεύονται από το nLPD;

Το nLPD δεν καταρτίζει εξαντλητικό κατάλογο αλλά ο PFPDT έχει διευκρινίσει ότι ορισμένες εφαρμογές είναι ασύμβατες με τα θεμελιώδη δικαιώματα που προστατεύει: η γενικευμένη αναγνώριση προσώπου σε πραγματικό χρόνο σε δημόσιους χώρους, τα συστήματα κοινωνικής βαθμολόγησης (social scoring) που αξιολογούν συστηματικά τις συμπεριφορές ατόμων, και κάθε συλλογή ή επεξεργασία βιομετρικών ή ευαίσθητων δεδομένων χωρίς ισχυρή νομική βάση. Ο AI Act της ΕΕ, που απαγορεύει ρητά ορισμένες από αυτές τις πρακτικές, μπορεί να εφαρμοστεί έμμεσα σε ελβετικές εταιρείες που επεξεργάζονται δεδομένα κατοίκων ΕΕ.

Ποιες είναι οι κυρώσεις σε περίπτωση παραβίασης του nLPD στο πλαίσιο ΤΝ;

Το nLPD κυρώνει τα φυσικά πρόσωπα, όχι άμεσα την εταιρεία. Τα πρόστιμα μπορούν να φτάσουν τα 250'000 CHF ανά παραβίαση. Διευθυντές, υπεύθυνοι πληροφορικής και εμπλεκόμενοι συνεργάτες εκτίθενται προσωπικά. Οι πιο κυρωνόμενες παραβιάσεις: μη ενημέρωση ενδιαφερόμενων προσώπων, μη γνωστοποίηση παραβίασης δεδομένων, ή παραβίαση κανόνων για αυτοματοποιημένες ατομικές αποφάσεις. Πρέπει να υποβληθεί καταγγελία για να κινηθεί διαδικασία. Ο κίνδυνος φήμης είναι συχνά πιο ανησυχητικός από το ίδιο το πρόστιμο.

Εφαρμόζονται ταυτόχρονα το nLPD και το RGPD/GDPR στην ελβετική εταιρεία μου;

Εξαρτάται από τη δραστηριότητά σας. Αν επεξεργάζεστε δεδομένα κατοίκων της ΕΕ (πελάτες, συνεργάτες, υποψήφιους), το RGPD/GDPR εφαρμόζεται σε αυτές τις επεξεργασίες, ανεξάρτητα από το αν η εταιρεία σας βρίσκεται στην Ελβετία ή όχι. Το nLPD εφαρμόζεται σε όλες τις επεξεργασίες δεδομένων προσώπων στην Ελβετία. Στην πράξη, πολλές ελβετικές εταιρείες πρέπει να τηρούν και τα δύο πλαίσια. Καλά νέα: και τα δύο είναι σε μεγάλο βαθμό εναρμονισμένα και μια καλά δομημένη πολιτική συμμόρφωσης καλύπτει και τα δύο, αρκεί να λαμβάνονται υπόψη οι λίγες διαφορές (κυρώσεις, DPO, προθεσμίες γνωστοποίησης).

Αφορά ο AI Act της ΕΕ εταιρείες εγκατεστημένες στην Ελβετία;

Ο AI Act της ΕΕ δεν εφαρμόζεται άμεσα στην Ελβετία, η οποία δεν είναι μέλος της ΕΕ. Ωστόσο, αν η εταιρεία σας διαθέτει στην ευρωπαϊκή αγορά συστήματα ΤΝ, ή αν τα συστήματά σας παράγουν αποτελέσματα σε πρόσωπα εντός της ΕΕ, οι κανόνες του AI Act μπορεί να σας αφορούν. Επιπλέον, η Ελβετία υπέγραψε τη Σύμβαση του Συμβουλίου της Ευρώπης για την ΤΝ (Μάρτιος 2025), της οποίας η επικύρωση θα εισαγάγει συμπληρωματικές υποχρεώσεις, ιδίως για συστήματα ΤΝ υψηλού κινδύνου.

Πώς να επιλέξετε πάροχο ΤΝ συμμορφωμένο με το nLPD;

Τρία κύρια κριτήρια: η τοποθεσία των δεδομένων (προτίμηση διακομιστών στην Ελβετία ή στην ΕΕ/ΕΟΧ για αποφυγή μη πλαισιωμένων διεθνών μεταφορών), η πολιτική επαναχρησιμοποίησης δεδομένων (χρησιμοποιεί ο πάροχος τα δεδομένα σας για εκπαίδευση μοντέλων του; Αν ναι, με ποια νομική βάση;), και η συμβατική διαφάνεια (μπορεί ο πάροχος να σας παρέχει μητρώο υπεργολάβων, DPA, τεκμηριωμένες εγγυήσεις ασφαλείας;). Τα μοντέλα ανοιχτού κώδικα αναπτυγμένα στη δική σας υποδομή ή σε ευρωπαϊκή υποδομή προσφέρουν γενικά την καλύτερη απάντηση και στα τρία αυτά κριτήρια.

Εφαρμόζεται το nLPD σε μοντέλα ΤΝ ανοιχτού κώδικα που αναπτύσσονται εσωτερικά;

Ναι. Το nLPD εφαρμόζεται στον υπεύθυνο επεξεργασίας, δηλαδή στην εταιρεία σας, ανεξάρτητα από τη φύση του μοντέλου (ανοιχτός κώδικας ή ιδιόκτητο, εσωτερικά φιλοξενούμενο ή σε τρίτους). Αν το μοντέλο ανοιχτού κώδικα επεξεργάζεται προσωπικά δεδομένα, εφαρμόζονται όλες οι υποχρεώσεις του nLPD: ενημέρωση, ελαχιστοποίηση, ασφάλεια, AIPD αν υπάρχει υψηλός κίνδυνος, κλπ. Το πλεονέκτημα του ανοιχτού κώδικα αναπτυγμένου εσωτερικά είναι ακριβώς το ότι σας παρέχει πλήρη έλεγχο των δεδομένων και εξαλείφει τον κίνδυνο ανεπιθύμητης μεταφοράς σε τρίτους.

Ένα έργο τεχνητής νοημοσύνης που σέβεται τα δεδομένα σας;

Ας μιλήσουμε για την περίπτωσή σας. Χτίζουμε σεβόμενοι την τοποθεσία διαμονής των δεδομένων.

Αιτηση για Προσαρμοσμενη Επιδειξη

Πειτε μας για την ομαδα σας και θα επικοινωνησουμε εντος 24 ωρων.

Δεν θα μοιραστουμε ποτε τις πληροφοριες σας. Αναμενετε απαντηση εντος 24 ωρων.

Τεχνητή νοημοσύνη και LPD/nLPD στην Ελβετία | Τι σημαίνει (οδηγός)