Na sjednici Europskog odbora za zaštitu podataka održanoj 9. travnja 2025. godine, na kojoj je sudjelovao ravnatelj Agencije za zaštitu osobnih podataka i potpredsjednik Europskog odbora Zdravko Vukić sa suradnicima, Marko Trošelj, voditelj Službe za pravno savjetovanje, suradnju i projekte, izabran je za koordinatora radne skupine Compliance, e-Government and Health pri Europskom odboru za zaštitu podataka.
Načelnica Sektora za međunarodnu suradnju, EU i pravne poslove, Anamarija Mladinić, predstavila je sveobuhvatnu metodologiju za upravljanje rizicima u velikim jezičnim modelima, koju je izradila Isabel Barbera, vanjska suradnica Europskog odbora za zaštitu podataka. Dokument pod nazivom “Rizici u velikim jezičnim modelima i mjere za njihovo ublažavanje” dostupan je na poveznici: https://www.edpb.europa.eu/our-work-tools/our-documents/support-pool-experts-projects/ai-privacy-risks-mitigations-large_en.
Metodologija upravljanja rizicima opisana u ovom dokumentu osmišljena je kako bi pomogla onima koji izrađuju velike jezične modele i onima koji ih koriste da sustavno identificiraju, procjenjuju i ublažavaju rizike rizike za zaštitu osobnih podataka i privatnost, podržavajući odgovoran razvoj i primjenu velikih jezičnih modela.
Ove smjernice također podržavaju zahtjeve iz članka 25. Opće uredbe o zaštiti podataka (privacy by design and by default) te članka 32. – Sigurnost obrade, nudeći tehničke i organizacijske mjere koje pomažu u osiguravanju odgovarajuće razine sigurnosti i zaštite podataka.
Međutim, ove smjernice nisu namijenjene kao zamjena za procjenu učinka na zaštitu podataka (DPIA) propisanu člankom 35. GDPR-a. Umjesto toga, one dopunjuju postupak procjene učinka na zaštitu podataka adresirajući rizike po privatnost specifične za velike jezične modele (LLM), čime se povećava sveobuhvatnost i učinkovitost takvih procjena.
Dokument je strukturiran tako da vodi čitatelje kroz ključne tehnološke pojmove, proces upravljanja rizicima, glavne rizike i mjere ublažavanja te praktične primjere. Cilj mu je podržati organizacije u odgovornom uvođenju sustava temeljenih na velikim jezičnim modelima (LLM), istovremeno identificirajući i ublažavajući rizike za privatnost i zaštitu podataka pojedinaca.
U nastavku slijedi pregled strukture dokumenta i tema koje se obrađuju u svakom poglavlju:
- Uvod
U ovom poglavlju objašnjeno je kako funkcioniraju veliki jezični modeli i koja su njihova uobičajena područja primjene.
- Tijek podataka i povezani rizici za privatnost u LLM sustavima
U ovom poglavlju se istražuje kako se rizici za privatnost pojavljuju u različitim modelima pružanja LLM usluga, s naglaskom na važnost razumijevanja toka podataka kroz cijeli životni ciklus umjetne inteligencije. Poglavlje također identificira rizike i mjere ublažavanja te razmatra uloge i odgovornosti prema Aktu o umjetnoj inteligenciji i Općoj uredbi o zaštiti podataka.
- Procjena rizika za zaštitu podataka i privatnost: Identifikacija rizika
Ovo poglavlje daje kriterije za identifikaciju rizika i primjere rizika specifičnih za LLM sustave. Programeri i korisnici velikih jezičnih modela mogu ovo poglavlje koristiti kao polazište za identifikaciju rizika u vlastitim sustavima.
- Procjena rizika za zaštitu podataka i privatnost: Procjena i vrednovanje rizika
U ovom se poglavlju daje smjernice za analizu, klasifikaciju i procjenu rizika za privatnost, uz kriterije za procjenu vjerojatnosti i ozbiljnosti rizika. Objašnjava se kako izvesti konačnu procjenu rizika radi učinkovite prioritizacije mjera ublažavanja.
- Upravljanje rizicima za zaštitu podataka i privatnost
Poglavlje opisuje strategije tretiranja rizika te nudi praktične mjere ublažavanja za uobičajene rizike privatnosti u LLM sustavima. Također se raspravlja o prihvaćanju preostalih rizika i iterativnoj prirodi upravljanja rizicima u AI sustavima.
- Procjena preostalih rizika
Procjena preostalih rizika nakon primjene mjera ublažavanja ključna je kako bi se osiguralo da su rizici unutar prihvatljivih granica i da nisu potrebne dodatne mjere. Ovo poglavlje objašnjava kako se procjenjuju preostali rizici kako bi se odredilo jesu li potrebne dodatne mjere ili je sustav spreman za primjenu.
- Pregled i nadzor
Poglavlje se bavi važnosti pregleda aktivnosti upravljanja rizicima i vođenja registra rizika. Također se naglašava važnost kontinuiranog nadzora radi otkrivanja novih rizika, procjene utjecaja u stvarnom svijetu i poboljšanja strategija ublažavanja.
- Primjeri procjene rizika LLM sustava
Tri detaljna primjera iz prakse prikazuju primjenu okvira za upravljanje rizicima u stvarnim scenarijima. Ti primjeri ilustriraju kako se rizici mogu identificirati, procijeniti i ublažiti u različitim kontekstima.
- Alati, metodologije, mjerila i smjernice
Završno poglavlje okuplja alate, metrike za procjenu, mjerila, metodologije i standarde koji mogu pomoći programerima i korisnicima u upravljanju rizicima te u procjeni učinkovitosti LLM sustava.
Agencija će u nadolazećem razdoblju provesti niz edukativnih aktivnosti s ciljem pružanja potpore organizacijama u procjeni rizika i određivanju odgovarajućih zaštitnih mjera u sustavima temeljenima na velikim jezičnim modelima.
Sve ove aktivnosti dio su višegodišnjih nastojanja Agencije za zaštitu osobnih podataka usmjerenih na podizanje razine svijesti i znanja o zaštiti osobnih podataka među svim dionicima te na jačanje temeljnih prava građana Europske unije – prava na zaštitu osobnih podataka i prava na privatnost.
