Panduan, tanpa jargon hukum

AI dan LPD/nLPD di Swiss: apa implikasinya

Penjelasan yang jelas tentang apa yang diubah oleh Undang-Undang Perlindungan Data yang baru untuk proyek AI Anda, dan cara kami membangun dengan menghormati residensi data. Penting: kami tidak memberikan nasihat hukum.

Hosting EropaOpen sourceDapat dilacak

14'053+ situs dibuat dalam 30 hari terakhir

actif
🇪🇺 Europe
Falkenstein
Helsinki
Nürnberg

Hetzner · Europe

US cloud
Hosting Eropa
Open source
Dapat dilacak

Sejak 1 September 2023, undang-undang perlindungan data baru (nLPD) mulai berlaku di Swiss. Undang-undang ini tidak menyebut kecerdasan buatan secara eksplisit, dan itu memang disengaja: undang-undang ini dirumuskan secara netral dari segi teknologi. Konsekuensi langsungnya: setiap sistem AI yang memproses data pribadi orang perseorangan tunduk pada nLPD, tanpa pengecualian. Panduan ini menjelaskan apa artinya secara konkret bagi perusahaan Swiss yang menerapkan atau berencana menerapkan alat AI, baik berupa chatbot internal, alat rekrutmen otomatis, mesin rekomendasi, maupun solusi analisis pelanggan.

14'053+
situs dibuat dalam 30 hari terakhir
16
bahasa
100%
hosting UE
0
US cloud

Poin-poin penting yang perlu diketahui

Hal yang esensial, dijelaskan dengan sederhana.

Residensi data

Di mana data Anda disimpan dan diproses itu penting. Kami membangun dengan hosting Eropa dan model open source.

Minimisasi

Hanya memproses data yang diperlukan: prinsip sederhana yang mengurangi risiko.

Transparansi dan keterlacakan

Mengetahui apa yang dilakukan AI terhadap data Anda, dengan pemrosesan yang tercatat dan dapat diaudit.

Subkontraktor

Memilih penyedia yang tidak mengekspos data Anda ke cloud pihak ketiga yang tidak terkendali.

nLPD dan AI: prinsip netralitas teknologi

Komisioner Federal Perlindungan Data dan Transparansi (PFPDT) telah mengonfirmasi posisinya pada November 2023: undang-undang perlindungan data yang berlaku saat ini dapat diterapkan langsung pada AI. Swiss tidak memiliki undang-undang khusus tentang kecerdasan buatan, berbeda dengan Uni Eropa dengan AI Act-nya. Pembuat undang-undang Swiss secara sadar memilih pendekatan berbasis netralitas teknologi: aturan yang ada (nLPD, Kode Kewajiban, LRFP) berlaku untuk semua teknologi, termasuk AI. Artinya, penyedia CRM Anda yang bertenaga AI, alat analitik prediktif Anda, atau asisten percakapan internal Anda semuanya masuk dalam cakupan nLPD begitu mereka memproses data yang berkaitan dengan seseorang yang dapat diidentifikasi.

  • Tidak ada undang-undang AI khusus di Swiss saat ini: nLPD berfungsi sebagai kerangka utama
  • Netralitas teknologi: teks hukum tidak menyebut AI tetapi sepenuhnya berlaku padanya
  • PFPDT telah mengonfirmasi interpretasi ini secara resmi pada November 2023
  • Konvensi Kerangka Dewan Eropa tentang AI (ditandatangani oleh Swiss pada 27 Maret 2025) akan memperkuat kerangka ini menjelang 2026-2027
  • AI Act Eropa dapat berlaku secara tidak langsung bagi perusahaan Swiss yang memproses data penduduk UE

Lima kewajiban mendasar untuk setiap penggunaan AI

Apa pun jenis sistem AI yang diterapkan, lima prinsip nLPD mengikat perusahaan yang bertanggung jawab atas pemrosesan.

  • Transparansi: orang yang bersangkutan harus mengetahui bahwa sistem AI memproses data mereka, untuk tujuan apa, dan atas dasar apa. Kerahasiaan yang disengaja merupakan pelanggaran.
  • Tujuan yang ditentukan: data yang dikumpulkan untuk tujuan tertentu tidak dapat digunakan ulang secara bebas untuk melatih atau meningkatkan model AI tanpa dasar hukum yang terpisah.
  • Minimisasi: sistem AI hanya boleh memproses data yang benar-benar diperlukan untuk tujuan yang dimaksud. Mengumpulkan data untuk berjaga-jaga merupakan pelanggaran prinsip ini.
  • Keakuratan: data yang digunakan sistem AI harus selalu diperbarui. Keputusan otomatis yang didasarkan pada data yang sudah usang merupakan tanggung jawab perusahaan.
  • Keamanan dan keterlacakan: pemrosesan AI harus dicatat dalam log dan akses harus dikontrol. Jika terjadi pelanggaran data, nLPD mewajibkan pemberitahuan kepada otoritas tanpa penundaan yang tidak wajar (berbeda dengan 72 jam untuk GDPR).

Keputusan otomatis dan hak keberatan: apa yang dapat dituntut pengguna Anda

nLPD memberikan hak kepada orang yang bersangkutan untuk mengajukan keberatan terhadap keputusan yang dibuat semata-mata berdasarkan pemrosesan otomatis, apabila keputusan tersebut memiliki dampak hukum atau dampak signifikan yang setara terhadap mereka. Secara konkret: jika alat AI Anda secara otomatis menolak lamaran kerja, menetapkan tarif asuransi, atau menolak kredit tanpa campur tangan manusia, orang yang bersangkutan dapat menuntut agar seseorang meninjau ulang keputusan tersebut. PFPDT merumuskan hal ini dalam kerangka penentuan nasib sendiri secara digital yang tinggi: perusahaan harus memberi orang yang bersangkutan kemampuan untuk memahami dan, jika perlu, menantang keputusan otomatis yang mempengaruhi mereka. Hak keberatan ini tidak bersifat opsional: harus dapat dioperasikan sebelum sistem diterapkan, bukan setelahnya.

  • Hak keberatan terhadap keputusan otomatis yang memiliki dampak hukum atau signifikan
  • Kewajiban menyediakan mekanisme peninjauan ulang oleh manusia atas permintaan
  • Transparansi tentang cara kerja algoritma merupakan prasyarat untuk hak ini
  • Sektor yang paling terpapar: SDM (penyaringan lamaran), asuransi (penetapan tarif), perbankan (penilaian kredit), e-commerce (personalisasi diskriminatif)

Kapan Analisis Dampak Perlindungan Data (AIPD) diwajibkan?

nLPD memperkenalkan kewajiban untuk melakukan Analisis Dampak Perlindungan Data (AIPD, atau DPIA dalam bahasa Inggris) sebelum pemrosesan apa pun yang berpotensi menimbulkan risiko tinggi terhadap hak dan kebebasan dasar orang yang bersangkutan. Untuk sistem AI, ambang batas risiko tinggi dapat tercapai dengan cepat. AIPD diperlukan terutama ketika: pemrosesan melibatkan data sensitif dalam skala besar (kesehatan, pendapat politik, data biometrik), sistem melakukan profiling ekstensif terhadap individu, keputusan otomatis memiliki dampak hukum atau ekonomi yang signifikan, atau pemrosesan melibatkan pemantauan sistematis terhadap ruang yang dapat diakses publik. AIPD harus dilakukan sebelum peluncuran, didokumentasikan, dan diperbarui jika sistem berubah. Jika analisis mengungkapkan risiko residual tinggi yang tidak dapat dimitigasi, PFPDT dapat dikonsultasikan.

  • Pemrosesan data sensitif dalam skala besar: AIPD wajib
  • Profiling ekstensif atau penilaian otomatis: AIPD wajib
  • Keputusan otomatis dengan dampak hukum atau ekonomi yang signifikan: AIPD wajib
  • Pemantauan sistematis terhadap ruang publik: AIPD wajib
  • AIPD harus dilakukan sebelum penerapan, bukan setelah insiden
  • PFPDT dapat dikonsultasikan jika risiko residual tinggi masih ada

Praktik AI yang dilarang oleh nLPD

Meskipun nLPD tidak menetapkan daftar lengkap penggunaan AI yang dilarang, beberapa praktik jelas tidak sesuai dengan hak-hak dasar yang dilindunginya, serta dengan posisi PFPDT.

  • Pengenalan wajah secara real-time dalam skala besar di ruang publik: tidak sesuai dengan nLPD dan hak-hak dasar
  • Sistem penilaian sosial (social scoring) yang secara sistematis mengevaluasi individu berdasarkan keseluruhan perilaku mereka: tidak sesuai dengan penentuan nasib sendiri secara informasional yang dilindungi oleh LPD
  • Pengumpulan dan pemrosesan data biometrik tanpa dasar hukum yang kuat dan tanpa tujuan yang sah dan terdokumentasi
  • Pelatihan model AI dengan data pribadi yang dialihkan dari tujuan awalnya, tanpa dasar hukum yang terpisah
  • Pemrosesan data sensitif (kesehatan, asal usul ras, pendapat politik) tanpa persetujuan eksplisit atau tanpa dasar hukum lain yang diakui

Melatih model AI dengan data internal Anda: apa yang dikatakan nLPD

Salah satu kasus yang paling umum di perusahaan: menggunakan data internal (email, file SDM, riwayat pelanggan, kontrak) untuk melatih atau menyempurnakan model AI. nLPD memberlakukan beberapa pengamanan. Pertama, tujuan: data yang dikumpulkan untuk mengelola kontrak pelanggan tidak dapat digunakan ulang untuk melatih model AI tanpa dasar hukum yang terpisah. Kemudian, lokasi: jika model dihosting oleh penyedia di luar Swiss atau di luar EEA, terjadi transfer data internasional yang tunduk pada jaminan yang memadai berdasarkan nLPD. Terakhir, ketidaktransparanan model: setelah dilatih, sulit untuk menjamin bahwa tidak ada data pribadi yang dapat diekstrak atau disimpulkan. Arsitektur berdaulat, dengan model yang diterapkan pada infrastruktur Eropa atau pada server Anda sendiri, adalah respons paling kuat terhadap masalah ini.

  • Verifikasi dasar hukum sebelum menggunakan ulang data internal untuk AI
  • Dokumentasikan tujuan pelatihan dan pastikan kesesuaiannya dengan pengumpulan awal
  • Identifikasi apakah terjadi transfer internasional (penyedia AS, cloud di luar EEA) dan terapkan jaminan yang memadai
  • Klasifikasikan data Anda (publik, internal, rahasia, sensitif) sebelum memutuskan mana yang dapat digunakan dalam model
  • Utamakan model open source yang diterapkan pada infrastruktur Eropa untuk menghindari ekstrateritorialitas
  • Dokumentasikan keputusan arsitektur dalam register pemrosesan

Sanksi nLPD: tanggung jawab pribadi dan jumlahnya

Satu hal yang sering diremehkan: tidak seperti GDPR yang memberikan sanksi kepada perusahaan, nLPD memberikan sanksi terutama kepada orang perseorangan. Para pemimpin, manajer TI, dan karyawan tertentu dapat dituntut dan dikenai denda pribadi. Jumlah maksimumnya adalah 250.000 CHF per pelanggaran. Pelanggaran yang paling berisiko meliputi: tidak memenuhi kewajiban informasi, gagal memberitahukan pelanggaran data kepada otoritas yang berwenang, atau melanggar kewajiban terkait keputusan individu otomatis. Sanksi tidak otomatis: pengaduan harus diajukan. Namun risiko reputasi, dalam hal prosedur publik, bisa jauh lebih besar dari denda itu sendiri.

  • Sanksi maksimum: 250.000 CHF per pelanggaran (denda pribadi, bukan perusahaan)
  • Pihak yang terpapar: pemimpin, manajer TI, DPO, karyawan yang terlibat
  • Pelanggaran yang paling sering dikenai sanksi: kegagalan memberikan informasi, tidak ada pemberitahuan pelanggaran, pelanggaran aturan tentang keputusan otomatis
  • Tidak ada denda otomatis: pengaduan diperlukan (berbeda dengan GDPR)
  • Risiko reputasi berpotensi lebih tinggi dari denda itu sendiri

LPD vs GDPR: perbedaan utama untuk proyek AI

Banyak perusahaan Swiss juga memproses data penduduk Eropa dan oleh karena itu tunduk pada GDPR bersamaan dengan nLPD. Kedua kerangka ini serupa dalam hal-hal penting tetapi berbeda dalam beberapa aspek penting. Berikut adalah perbedaan paling signifikan untuk proyek AI.

  • Sanksi: GDPR menargetkan perusahaan (hingga 4% dari omzet global), nLPD menargetkan orang perseorangan (maks 250.000 CHF)
  • DPO: wajib dalam kasus tertentu di bawah GDPR, direkomendasikan tetapi tidak wajib di bawah nLPD
  • Pemberitahuan pelanggaran: 72 jam untuk GDPR, tanpa penundaan yang tidak wajar untuk nLPD (lebih fleksibel tetapi juga lebih ambigu)
  • Persetujuan: nLPD tidak mensyaratkan persetujuan eksplisit sebagai satu-satunya dasar hukum, berbeda dengan GDPR yang menjadikannya fondasi utama
  • Jangkauan ekstrateritorial: GDPR berlaku segera setelah penduduk UE terlibat, meskipun perusahaan berada di Swiss
  • AI Act UE: tidak berlaku langsung di Swiss, tetapi perusahaan Swiss yang memasarkan di UE mungkin tunduk padanya

Prospek regulasi 2025-2027: apa yang akan datang

Kerangka hukum Swiss tentang AI sedang berkembang. Beberapa perubahan perlu diantisipasi oleh perusahaan yang menerapkan sistem AI.

  • Konvensi Dewan Eropa tentang AI (CETS 225): Swiss menandatanganinya pada 27 Maret 2025. Ratifikasinya akan menciptakan kewajiban tambahan, terutama terkait sistem AI berisiko tinggi dan pengawasan oleh otoritas
  • AI Act UE yang berlaku secara bertahap hingga 2026: perusahaan Swiss yang beroperasi di pasar UE mungkin terdampak, terutama untuk sistem AI berisiko tinggi (SDM, kredit, kesehatan, infrastruktur kritis)
  • Potensi revisi nLPD: Dewan Federal mengikuti perkembangan Eropa dan adaptasi dapat dipertimbangkan sekitar 2026-2027
  • Peraturan federal tentang penggunaan AI dalam administrasi: dalam konsultasi, dapat menginspirasi standar sektoral swasta
  • Peningkatan peran PFPDT: lebih banyak posisi sektoral tentang penggunaan AI tertentu (chatbot, profiling, AI generatif)

Daftar periksa: sepuluh tindakan konkret untuk AI yang sesuai dengan nLPD

Berikut adalah titik awal operasional bagi perusahaan yang menerapkan atau berencana menerapkan alat AI. Daftar ini bukan nasihat hukum: konsultasikan dengan pengacara spesialis untuk situasi spesifik Anda.

  • 1. Pemetaan: buat daftar semua alat AI yang digunakan dalam organisasi Anda dan identifikasi mana yang memproses data pribadi
  • 2. Klasifikasikan data: bedakan data publik, internal, rahasia, dan sensitif sebelum memutuskan mana yang dapat digunakan dalam model
  • 3. Dokumentasikan tujuan: untuk setiap pemrosesan AI, dokumentasikan tujuan yang tepat dalam register aktivitas pemrosesan Anda
  • 4. Evaluasi risiko: tentukan apakah pemrosesan memerlukan AIPD (data sensitif, profiling, keputusan otomatis yang berdampak)
  • 5. Informasikan: pastikan pemberitahuan informasi (kebijakan privasi, pemberitahuan pemrosesan) secara eksplisit mencakup penggunaan AI
  • 6. Sediakan jalur keberatan: terapkan mekanisme operasional untuk peninjauan oleh manusia atas setiap keputusan otomatis yang signifikan
  • 7. Kendalikan subkontraktor: verifikasi jaminan yang ditawarkan oleh penyedia AI Anda (lokasi, transfer, sertifikasi)
  • 8. Latih tim: sensitisasi karyawan terhadap kewajiban nLPD dalam konteks AI, terutama tim SDM, pemasaran, dan TI
  • 9. Uji dan audit: rencanakan audit rutin sistem AI untuk memverifikasi kepatuhan dan tidak adanya bias diskriminatif
  • 10. Pertahankan register yang hidup: perbarui dokumentasi setiap kali sistem AI atau regulasi berubah

nLPD vs GDPR: perbedaan penting untuk proyek AI Anda

Sebagian besar perusahaan Swiss harus bekerja dengan kedua kerangka tersebut. Berikut adalah perbedaan terpenting yang perlu diketahui untuk menyusun proyek AI Anda.

KriterianLPD (Swiss)GDPR (UE)
Tanggal berlaku1 September 202325 Mei 2018
SanksiMaks 250.000 CHF, denda pribadiHingga 4% omzet global, denda kepada perusahaan
DPO (delegasi perlindungan data)Direkomendasikan, tidak wajib untuk UKMWajib dalam kasus tertentu
Tenggat pemberitahuan pelanggaranTanpa penundaan yang tidak wajar (lebih fleksibel)Maksimum 72 jam
Persetujuan sebagai dasar hukumSalah satu dari beberapa dasar (lebih fleksibel)Sentral tetapi teratur
AIPD wajibYa, untuk pemrosesan berisiko tinggiYa, untuk pemrosesan berisiko tinggi
Jangkauan ekstrateritorialBerlaku jika perusahaan memproses data orang di SwissBerlaku segera setelah penduduk UE terlibat
Undang-undang AI khususTidak ada (netralitas teknologi)AI Act berlaku secara bertahap hingga 2026

Peran kami

Kami membangun dengan menghormati data Anda

Kami tidak menangani urusan hukum, tetapi kami membangun AI sedemikian rupa untuk menghormati residensi dan kerahasiaan data Anda.

Hosting Eropa

Infrastruktur di Eropa (Hetzner), bukan cloud AS.

Open source

Model open source di infrastruktur kami, data Anda tidak digunakan untuk melatih model.

Dapat dilacak

Pemrosesan yang tercatat dan dapat diaudit.

swissIa.lpdNlpdSuisse.localContextTitle

Swiss memiliki otoritas independen yang berdedikasi: Komisioner Federal Perlindungan Data dan Transparansi (PFPDT), yang berkedudukan di Bern, yang mengeluarkan rekomendasi dan dapat membuka penyelidikan awal.
Kanton Vaud, Geneve, Fribourg, dan Neuchatel memiliki undang-undang kanton masing-masing tentang perlindungan data, yang berlaku bagi entitas publik kantonal. Bagi perusahaan swasta, nLPD federal yang berlaku.
Swiss Romand memiliki beberapa pemain yang mengkhususkan diri dalam kepatuhan nLPD dan AI: firma hukum spesialis (terutama di Geneve dan Lausanne), konsultan perlindungan data, dan penyedia teknologi yang mengintegrasikan kepatuhan sejak awal perancangan.
Sektor keuangan Swiss (perbankan, asuransi, manajemen kekayaan) sangat terpapar kewajiban nLPD dalam konteks AI, mengingat sifat data yang diproses sangat sensitif dan seringnya keputusan otomatis (penilaian, deteksi penipuan, konsultasi otomatis).
Konvensi Kerangka Dewan Eropa tentang AI (ditandatangani oleh Swiss pada 27 Maret 2025) adalah perjanjian internasional yang mengikat secara hukum pertama tentang AI. Ratifikasinya oleh Parlemen Swiss akan menciptakan kewajiban formal tambahan.

Pertanyaan yang sering diajukan

Apakah LPD berlaku untuk alat AI seperti ChatGPT atau Copilot yang digunakan di perusahaan?

Ya. Segera setelah alat-alat ini memproses data pribadi orang perseorangan yang dapat diidentifikasi (nama, email, informasi tentang karyawan atau pelanggan), nLPD berlaku. Perusahaan yang menggunakan alat-alat ini bertanggung jawab atas pemrosesan. Perusahaan harus memastikan bahwa tujuannya terdokumentasi, bahwa orang-orang diberitahu, dan bahwa data tidak digunakan ulang untuk tujuan yang tidak direncanakan oleh penyedia. Verifikasi syarat kontraktual penyedia sangat penting, terutama terkait lokasi data dan penggunaan ulang untuk pelatihan model.

Apakah perusahaan saya harus menunjuk delegasi perlindungan data (DPO) untuk menggunakan AI?

nLPD tidak mewajibkan DPO dalam kondisi yang sama seperti GDPR. Namun, menunjuk atau menugaskan penanggung jawab perlindungan data sangat direkomendasikan ketika perusahaan Anda menerapkan sistem AI yang memproses data pribadi dalam skala besar atau data sensitif. Penanggung jawab ini bisa internal atau eksternal (penasihat hukum, konsultan spesialis). Perannya: mengawasi kepatuhan, melakukan AIPD, menangani permintaan dari orang yang bersangkutan, dan menjadi penghubung dengan PFPDT jika perlu.

Apa itu AIPD dan dalam kasus apa AIPD diwajibkan untuk proyek AI?

Analisis Dampak Perlindungan Data (AIPD) adalah evaluasi risiko yang terdokumentasi dari pemrosesan data terhadap hak dan kebebasan orang yang bersangkutan. AIPD diwajibkan di bawah nLPD ketika pemrosesan berpotensi menimbulkan risiko tinggi: pemrosesan data sensitif dalam skala besar, profiling ekstensif, keputusan otomatis dengan dampak signifikan, atau pemantauan sistematis. Untuk sebagian besar proyek AI ambisius di perusahaan (AI SDM, penilaian pelanggan, analisis perilaku), AIPD diperlukan. AIPD harus dilakukan sebelum penerapan.

Dapatkah model AI dilatih dengan data pelanggan atau karyawan perusahaan?

Ya, dengan syarat. Pertama, harus ada dasar hukum yang valid untuk pemrosesan baru ini (pengumpulan data awal tidak cukup jika tujuannya berbeda). Orang yang bersangkutan harus diberitahu tentang penggunaan ini. Jika data bersifat sensitif, diperlukan persetujuan eksplisit atau dasar hukum yang kuat lainnya. Lokasi model sangat menentukan: model yang dihosting di server di luar Swiss atau di luar EEA mengakibatkan transfer data internasional yang tunduk pada jaminan tambahan. Mendokumentasikan keputusan-keputusan ini dalam register pemrosesan Anda sangat diperlukan.

Praktik AI apa yang dilarang oleh nLPD?

nLPD tidak menetapkan daftar yang lengkap, tetapi PFPDT telah mengklarifikasi bahwa beberapa aplikasi tidak sesuai dengan hak-hak dasar yang dilindunginya: pengenalan wajah secara umum dan real-time di ruang publik, sistem penilaian sosial (social scoring) yang secara sistematis mengevaluasi perilaku individu, dan pengumpulan atau pemrosesan data biometrik atau sensitif apa pun tanpa dasar hukum yang kuat. AI Act UE, yang secara eksplisit melarang beberapa praktik ini, dapat berlaku secara tidak langsung bagi perusahaan Swiss yang memproses data penduduk UE.

Apa sanksi jika melanggar nLPD dalam konteks AI?

nLPD memberikan sanksi kepada orang perseorangan, bukan langsung kepada perusahaan. Denda dapat mencapai 250.000 CHF per pelanggaran. Para pemimpin, manajer TI, dan karyawan yang terlibat secara pribadi terpapar. Pelanggaran yang paling dapat dikenai sanksi: tidak menginformasikan orang yang bersangkutan, tidak memberitahukan pelanggaran data, atau melanggar aturan tentang keputusan individu otomatis. Pengaduan harus diajukan untuk memulai prosedur. Risiko reputasi sering kali lebih mengkhawatirkan daripada denda itu sendiri.

Apakah nLPD dan GDPR berlaku secara bersamaan untuk perusahaan Swiss saya?

Itu tergantung pada aktivitas Anda. Jika Anda memproses data penduduk UE (pelanggan, mitra, prospek), GDPR berlaku untuk pemrosesan tersebut, baik perusahaan Anda berada di Swiss maupun tidak. nLPD berlaku untuk semua pemrosesan data orang-orang di Swiss. Dalam praktiknya, banyak perusahaan Swiss harus mematuhi kedua kerangka tersebut. Kabar baiknya: keduanya sebagian besar selaras dan kebijakan kepatuhan yang dirancang dengan baik mencakup keduanya, asalkan mempertimbangkan beberapa perbedaan (sanksi, DPO, tenggat pemberitahuan).

Apakah AI Act Eropa berlaku bagi perusahaan yang berdomisili di Swiss?

AI Act UE tidak berlaku langsung di Swiss, yang bukan anggota UE. Namun, jika perusahaan Anda memasarkan sistem AI ke pasar Eropa, atau jika sistem Anda menghasilkan dampak pada orang-orang di UE, aturan AI Act dapat berlaku bagi Anda. Selain itu, Swiss telah menandatangani Konvensi Dewan Eropa tentang AI (Maret 2025), yang ratifikasinya akan memperkenalkan kewajiban tambahan, khususnya untuk sistem AI berisiko tinggi.

Bagaimana cara memilih penyedia AI yang sesuai dengan nLPD?

Tiga kriteria utama: lokasi data (lebih memilih server di Swiss atau di UE/EEA untuk menghindari transfer internasional yang tidak teratur), kebijakan penggunaan ulang data (apakah penyedia menggunakan data Anda untuk melatih modelnya? Jika ya, dengan dasar hukum apa?), dan transparansi kontraktual (dapatkah penyedia memberikan register subkontraktor, DPA, jaminan keamanan yang terdokumentasi?). Model open source yang diterapkan pada infrastruktur Anda atau pada infrastruktur Eropa umumnya memberikan jawaban terbaik untuk ketiga kriteria ini.

Apakah nLPD berlaku untuk model AI open source yang diterapkan secara internal?

Ya. nLPD berlaku bagi pengontrol data, yaitu perusahaan Anda, terlepas dari jenis modelnya (open source atau proprietary, dihosting secara internal atau oleh pihak ketiga). Jika model open source Anda memproses data pribadi, semua kewajiban nLPD berlaku: informasi, minimisasi, keamanan, AIPD jika berisiko tinggi, dan sebagainya. Keunggulan open source yang diterapkan secara internal justru memberi Anda kendali penuh atas data dan menghilangkan risiko transfer yang tidak diinginkan kepada pihak ketiga.

Proyek AI yang menghormati data Anda?

Mari bicarakan kasus Anda. Kami membangun dengan menghormati residensi data.

Minta Demo Kustom

Ceritakan tentang tim Anda dan kami akan menghubungi dalam 24 jam.

Kami tidak akan pernah membagikan informasi Anda. Harapkan respons dalam 24 jam.

AI dan LPD/nLPD di Swiss | Apa implikasinya (panduan)