Kiedy przeprowadzana jest analiza skutków dla ochrony danych osobowych dla systemów sztucznej inteligencji?

Wymagana jest DSFA, jeśli system systematycznie ocenia aspekty osobiste, przetwarza rozległe dane dotyczące wrażliwych kategorii lub monitoruje obszary publicznie dostępne. Ponadto musi istnieć wysokie ryzyko dla osób dotkniętych.

Jakie dane są przetwarzane przez systemy AI, takie jak Zoom, i w jaki sposób?

Systemy AI, takie jak Zoom, mogą wykorzystywać wszystkie dane z wideokonferencji, w tym obrazy i audio, do różnych celów, takich jak rozwój produktu, marketing i uczenie maszynowe. Dane te są przetwarzane i wykorzystywane bez ograniczeń wynikających z warunków użytkowania Zoom.

Jakie obawy powinny istnieć zgodnie z artykułem dotyczącym wykorzystania systemów AI, takich jak ChatGPT?

Artykuł ostrzega przed potencjalnym zagrożeniem związanym z tym, że systemy AI, takie jak ChatGPT, mogą dostarczać fałszywe lub nieprawdziwe wyniki, które użytkownicy przyjmują bezkrytycznie. Ponadto istnieje ryzyko niekontrolowanego wykorzystywania wrażliwych danych, takich jak patenty lub tajemnice handlowe.

Kiedy artykuł zaleca szczególnie przeprowadzenie badania oddziażania na ochronę danych osobowych (BOPD)?

DSFA jest szczególnie wskazane, gdy systemy sztucznej inteligencji przetwarzają dane osobowe, zwłaszcza jeśli nie są one zanonimizowane. Dotyczy to szczególnie systemów, które wspierają decyzje dotyczące dopasowania osoby lub przetwarzają wrażliwe dane, takie jak dane medyczne.

Jak przeprowadza się analizę ryzyka w procesie oceny skutków na ochronę danych osobowych (DSFA) dla systemów sztucznej inteligencji?

Ocena ryzyka obejmuje ocenę prawdopodobieństwa wystąpienia, prawdopodobieństwa wystąpienia i nasilenia zdarzenia. Są one mnożone, aby uzyskać wartość od 1 do 1000, która reprezentuje ryzyko.

Przy jakiej wartości należy rozważyć plany awaryjne przy ocenie ryzyka?

Wartość 200 lub 250 nazywana jest progiem, od którego rozsądnie jest formułować plany awaryjne i środki zaradcze, aby odpowiednio zarządzić ryzyko.

Jak można wpłynąć na konieczność DSFA?

Potrzeba stosowania DSFA może być zmniejszona, jeśli system AI stanowi niewielkie ryzyko oraz przepływy danych i odbiorcy danych są jasno określone. Ocena ryzyka jest również uzasadniona, nawet jeśli nie jest wymagane stosowanie DSFA.

Ocena skutków ochrony danych dla sztucznej inteligencji i innych usług cyfrowych

Ocena skutków ochrony danych (DSFA) jest w RODO wymagana dla określonych rodzajów przetwarzania danych i ma pomóc w identyfikacji i minimalizacji ryzyka. Czy dotyczy ona również systemów, które wykorzystują sztuczną inteligencję? Przegląd z rekomendacjami.

Odcinek podcastu na temat

Ocena ryzyka dla uczenia maszynowego i inteligencji artficialnej w wyniku odc. 29 podcastu "privacy Deluxe":

O podcastzie

Wprowadzenie

Artykuł 35 RODO wprowadza pojęcie oceny skutków ochrony danych i opisuje, kiedy taka ocena powinna być sporządzona. W ust. 1 jest wspomniane, że przepis ten dotyczy w szczególności nowych technologii. Inteligencja artficyal jest taką technologią. ([1])

Ryzyko powinno być zawsze szybko wyrównane jako część DSFA. Ponieważ ocena ryzyka jest zarówno warunkiem do sprawdzenia, czy jest potrzebna DSFA, jak i składową każdej DSFA, z tego powodu zawsze należy ją utworzyć.
Ocena ryzyka = Mnożenie trzech wartości, zobacz wpis.

Muszą być dla każdego systemu uczenia maszynowego zrobione DSFA? Uczenie maszynowe można również uznać za nową technologię. Bowiem rewolucyjne podejścia takie jak Transformer lub wydajne wstępnie trenowane modele AI, ale także odrodzenie się LSTM (Long Short-Term Memory, wynalazek z Niemiec) są bez wątpienia w połączeniu albo częściowo samodzielnie nowatorskie.

Przepis prawny, o którym mowa, opiera się na rodzaju, zakresie, okolicznościach i celu przetwarzania danych osobowych. W odniesieniu do usług cyfrowych, kryterium dotyczące zakresu przetwarzania danych powinno być uznane za zrealizowane w większości przypadków.

Ponieważ ocena skutków przetwarzania danych osobowych nie jest wymagana dla wszystkich operacji przetwarzania danych, koszt prac, które również są wykonywane poza DSFA (Dokumentem o Ocenie Skutków), nie powinien być zaliczany do kosztów DSFA.
Przykłady takich prac: informacje obligatoryjne, zabezpieczenie systemów, szkolenia.

Pełna DSFA jest wymagana zgodnie z art. 35 ust. 1 RODO, jeśli przetwarzanie danych przewidziane jest na duże ryzyko dla praw i wolności osób fizycznych. Jakie działania dotyczące danych odbywają się, musi być znane w ramach obowiązkowych informacji zgodnie z art. 13 RODO lub art. 14 RODO.

Tekst źródłowy: Laut Art. 35 Abs. 2 RODO holt der Verantwortliche bei der Durchführung einer privacy-Folgenabschätzung den Rat des Datenschutzbeauftragten ein. Dieser Punkt is allerdings für die Frage nach der DSFA irrelevant, wie man alleine schon daran erkennt, dass im genannten Absatz 2 auch steht, dass der DSBs nur hinzuzuziehen is, sofern ein solcher benannt wurde (vgl. hierzu als Spezialfall den § 38 BDSG). Tłumaczenie: Laut [5]Art. 35 ust. 2[6] RODO administrator danych powinien w trakcie przeprowadzenia oceny skutków dla ochrony danych zasięgnąć porady inspektora ochrony danych. Ten punkt jest jednak dla pytania o DSFA nieistotny, jak można się domyślić, patrząc na to, że w tym ust. 2 również mówi się, że DSB powinien być dopiero włączony, jeżeli został wyznaczony (porównaj tutaj jako przypadkowy przykład § 38 BDSG).

Zgodnie z art. 35 ust. 4, nadzorujące organy sporządzają listę działań dotyczących przetwarzania danych osobowych, które są istotne dla DSFA. Lista DSK zawiera przykłady i wymienia m.in. obsługę klientów za pomocą sztucznej inteligencji.

Ocena skutków ochrony danych osobowych

Pierwotnie RODO dotyczy tylko danych osobowych. Dostęp do urządzeń końcowych, tak jak jest to uregulowane w lex specialis (§ 25 TDDDG, aż do 14.05.2024 było to TTDSG), nie stanowi zwykle głównego przedmiotu aplikacji AI i może być tutaj pominięty.

Wszystko inne niż potencjalnie dane osobowe jest więc dla DSFA nieistotne. W tym kontekście należy zauważyć, że punkt danych niezwiązany z osobą może być uznany za osobowy, jeśli znajduje się wraz z innym punktem danych osobowymi i wiedza o obu punktach jest jednocześnie dostępna dla tego samego administratora. Zobacz przykład plików cookies, które ze względu na kontakt z adresem IP są uznawane za dane osobowe.

Jak już było wspomniane, systemy AI są nowymi technologiami. Zatem zgodnie z przepisami prawa należy je dokładniej rozważyć. To również ma sens, ponieważ gdy coś nowego wprowadza się, wcześniej nie istniała potrzeba zajmowania się pytaniem, czy powinna zostać ustalona DSFA lub nie.

W Art. 35 ust. 3 RODO wymieniono przypadki, w których należy powołać DSFA. Te przypadki są następujące:

Systematyczna i wyczerpująca ocena aspektów osobistych osób fizycznych, w tym profilowanie.
Szeroko zakrojoną przetwarzanie szczególnych kategorii danych osobowych (opinie polityczne, dane zdrowotne itp.), zobacz Art. 9 ust. 1 RODO.
Szeroka i systematyczna obserwacja publicznych przestrzeni.

Dla każdego rodzaju systemu należy przeprowadzić DSFA, jeśli któryś z poniższych przypadków jest spełniony i inne warunki są spełnione, w tym ryzyko dotyczące osób zaangażowanych. Przypuśćmy przykład oprogramowania do konferencji wideo Zoom. Zoom pisze w swoich warunkach korzystania (obowiązują od 07.08.2023, stan na 10.08.2023):

Zgadzają się na to, że Zoom uzyskuje dostęp do danych generowanych przez usługę w dowolnym celu, korzysta z nich, gromadzi, tworzy, modyfikuje, rozprowadza, przetwarza, udostępnia, utrzymuje i przechowuje, jeśli jest to dozwolone na podstawie obowiązującego prawa, w tym dla celów rozwoju produktu i usługi, marketingu, analiz, kontroli jakości, uczenia maszynowego lub sztucznej inteligencji (w tym dla celów szkolenia i kalibracji algorytmów i modeli) …
Wyrysowanie z warunków korzystania z Zooma, pismo pogrubione przez mnie.

Jak wynika z warunków, wszystkie dane z konferencji wideo, które odbywają się za pomocą Zooma, mogą być przez Zoom wykorzystywane na niemal dowolny cel i w niemal dowolny sposób. W tym zakresie znajdują się również obrazy wideo uczestników konferencji, jak również ich słowa mówione lub transkrypcje tych słów. Ponadto, zgodnie z tymi warunkami, Zoom ma prawo do przekazywania i wykorzystywania transkrypcji oraz innych danych. Po naciskach ze strony opinii publicznej firma wprowadziła dodatkowe postanowienie, które sugeruje, że dane klientów będą mogły być użyte w celu szkolenia modeli maszynowego uczenia się dopiero po uzyskaniu zgody od klienta. Jednakże Zoom zastrzegł sobie prawo do wykorzystywania danych klientów na wiele innych celów, w tym marketingowych i szkolenia modeli maszynowego uczenia się bez konieczności uzyskania zgody od klienta! Zobacz także komentarze pod artykułem.

Zoom w warunkach wymienia również aplikacje z użyciem sztucznej inteligencji. Czy one są objęte tym, czy nie, tutaj prawdopodobnie nie odgrywa roli przy pytaniu o DSFA.

W przypadku tych trzech przypadków z art. 35 ust. 3 RODO, przypadki 1 i 2 są objęte. Z pewnością w konferencjach video można również ujawniać lub omawiać aspekty osobiste. Myśl tylko o planowaniu czasu i ewentualnych urlopach, opiece nad dziećmi czy problemach zdrowotnych. W ten sposób otwiera się również przypadek 2.

Obwożnie Zoom przetwarza dane bardzo ogranicznie i również systematycznie. Systematyczne przetwarzanie można prawdopodobnie założyć dla wszystkich przetworzeń cyfrowych, aż do czasu, gdy zostanie udowodnione coś innego. Aby to było możliwe, potrzebowałoby się jednak prawdopodobnie DSFA.

Jeśli Zoom jest dostawcą spoza Europy, wszystkie odbiorcy danych i ich kraje muszą być ustalone. To musi się zrobić w każdym przypadku i nie jest specyficznym tematem DSFA. Dla każdego kraju należy sprawdzić, czy prawa i wolności osób tam mieszkających są zagwarantowane na mocy RODO. Także to nie jest specyficzne dla DSFA. Jeśli jednak już te informacje są dostępne i kraje nie ograniczają się tylko do Niemiec lub innych krajów europejskich, to te kraje również powinny być uwzględnione. Wydaje się, że albo jest to niewiele pracy, aby sporządzić DSFA dla poszczególnych krajów, albo dużo pracy. Mało pracy ułatwia dyskusję o DSFA, ponieważ dyskusja trwa dłużej niż pisanie. Duża praca uzasadnia natomiast sporządzenie DSFA, ponieważ gdzie są wiele niejasności, to prawdopodobnie należy przeprowadzić ocenę skutków dla ochrony danych.

Systemy sztucznej inteligencji mogą szczególnie dotknąć praw i wolności osób. Jest to związane z art. 35 ust. 1 RODO. Jak pokazuje ChatGPT, wydatki AI na pytania użytkownika mogą prowadzić do wysokiej wiarygodności. Użytkownik widzi wyniki i jest często pod wrażeniem jakości językowej i wniosków AI. To prowadzi również do tego, że nieprawidłowe lub fałszywe wyniki są traktowane jak gotówka.

Systemy generatywne AI, które przetwarzają dane osobowe i nie pseudonimizują ich, są szczególnie wrażliwe na obsługę. W takim przypadku wydaje mi się zawsze stosowanie DSFA odpowiednie. Nawet dla celów badawczych uznanych za sensowne powinno być przeprowadzone DSFA. Co by było, gdyby wyniki wskazywały, które osoby miały lub mają określoną chorobę? Jeśli zespół osób, który otrzymał wyniki jest mały i bardzo zaufany, to powinno być to napisane na piśmie, a tym miejscem jest ponownie DSFA.

Systemy, które mają wspomóc decyzję dotyczącą odpowiedniego dla danej osoby profilu, są również szczególnie do rozważenia. Ten proces profilowania wpływa bowiem na życiorysy. Nie może on odbyć się bez dalszej ochrony. Częścią tej ochrony jest DSFA. Czy takie system będzie AI czy nie, ma znaczenie tylko drugorzedne.

Zalecenia

Najlepszym rozwiązaniem jest nie potrzebować DSFA. Aby uniknąć jej wystąpienia, powinny być używane jedynie systemy przyjazne dla ochrony danych osobowych. Wtedy można szybko ustalić DSFA. Zamiast długo dyskutować nad potrzebą czegoś, można po prostu szybko je napisac.

Systemy AI w szczególności nie powinny być używane przez niewiarygodne trzecie strony, jeśli są one związane z danymi osobowymi lub innymi wrażliwymi danymi takimi jak własne patenty, tajemnice biznesowe czy inne poufne dane. Niewiarygodni mi się wydają np. OpenAI z ChatGPT. Nie wiadomo dokładnie co się tam z danymi dzieje. Tak samo Microsoft i Google nie są dla mnie wiarygodnymi trzecimi stronami, one wykorzystują wszelakie dane do własnych celów.

Przeprowadzenie oceny ryzyka może również pomóc w ocenie, czy system jest przyjazny danych lub nie.
Przyjazność danych obejmuje wszystkie rodzaje danych, które są automatycznie przetwarzane.

Jak można budować własne systemy AI w firmie, opisałem np. tutaj:

Jeśli dla dostawcy kilku wdrożonych usług należy sporządzić DSFA, może być użyta hierarchia dokumentów. To również sugeruje art. 35 ust. 1 ostatni zdanie RODO.

Dokument główny: Ogólne oceny dotyczące dostawcy i jego podwykonawców.
Dokument szczegółowy dla służby: Odwołuje się do dokumentu głównego i ocenia szczegóły dotyczące służby.

Jedna DSFA może początkowo zostać ustalona w bardzo ogólnikowy sposób, co może nie wymagać dużego nakładu pracy. Przykładowo jest poniżej wymienione. Jeśli ta Krótki DSFA wywoła dalsze badania, to więcej wysiłku będzie wymagane.

Dla systemu AI takiego jak ChatGPT procedura DSFA mogłaby przebiegać następująco. W skrócie, znane schematy oceny oparte na liczbach nazywają się w ten sposób. Liczby nie są tutaj wyjaśniane i mają być tylko przykładowe.

Przykład: Ocena ryzyka dla ChatGPT w zakresie wyszukiwania dokumentów

Założeniem przykładu jest wprowadzenie danych pracowników z firmy do ChatGPT w postaci dokumentu, na który skierowane są pytania, które ChatGPT powinien odpowiedzieć. Ten proces nazywa się Question Answering Task lub bardziej szczegółowo jako Ask You Document Task. Dokument jest wcześniej automatycznie pseudonimizowany.

Tekst źródłowy: Die folgende Ocena ryzyka jest częścią kompletnego DSFA. Kompletny DSFA jest wtedy niezbędny, gdy ryzyko dla osób dotkniętych nie jest niskie lub wystarczająco duże. W Wikipedia opisano treść kompletnego DSFA (poniżej skrócona i z notkami na końcu każdego punktu): Tłumaczenie: Tekst źródłowy: The following Risk Assessment is part of a complete DSFA. A complete DSFA is then necessary when the risk for affected persons is not low or high enough. In [5]Wikipedia[6] the content of a DSFA is described as follows (here slightly shortened and with notes at the end of each point): Tłumaczenie: Tekst źródłowy: The following Risk Assessment is part of a complete DSFA. A complete DSFA is then necessary when the risk for affected persons is not low or high enough. In [5]Wikipedia[6] the content of a DSFA is described as follows (here slightly shortened and with notes at the end of each point): Tłumaczenie: Tekst źródłowy: The following Risk Assessment is part of a complete DSFA. A complete DSFA is then necessary when the risk for affected persons is not low or high enough. In [5]Wikipedia[6] the content of a DSFA is described as follows (here slightly shortened and with notes at the end of each point): Tłumaczenie: Tekst źródłowy: The following Risk Assessment is part of a complete DSFA. A complete DSFA is then necessary when the risk for affected persons is not low or high enough. In [5]Wikipedia[6] the content of a DSFA is described as follows (here slightly shortened and with notes at the end of each point): Tłumaczenie: Tekst źródłowy: The following Risk Assessment is part of a complete DSFA. A complete DSFA is then necessary when the risk for affected persons is not low or high enough. In [5]Wikipedia[6] the content of a DSFA is described as follows (here slightly shortened and with notes at the end of each point): Tłumaczenie: Tekst źródłowy: The following Risk Assessment is part of a complete DSFA. A complete DSFA is then necessary when the risk for affected persons is not low or high enough. In [5]Wikipedia[6] the content of a DSFA is described as follows (here slightly shortened and with notes at the end of each point): Tłumaczenie: Tekst źródłowy: The following Risk Assessment is part of a complete DSFA. A complete DSFA is then necessary when the risk for affected persons is not low or high enough. In [5]Wikipedia[6] the content of a DSFA is described as follows (here slightly shortened and with notes at the end of each point): Tłumaczenie: Tekst źródłowy: The following Risk Assessment is part of a complete DSFA. A complete DSFA is then necessary when the risk for affected persons is not low or high enough. In [5]Wikipedia[6] the content of a DSFA is described as follows (here slightly shortened and with notes at the end of each point): Tłumaczenie:

Opis systematyczny planowanych procesów przetwarzania danych i celu ich przetwarzania. → Powinien już być znany z art. 12 RODO.
Ocena konieczności i proporcjonalności procesów przetwarzania danych w odniesieniu do celu. → W częściowo związku z omawianą tu ryzykowną analizą, a w częściowo (przymusowo) znana z Art. 12 RODO.
Ocena ryzyka dla praw i wolności osób dotkniętych. → Zobacz wymienioną ocenę ryzyka jako część pełnej DSFA.
Pomocne działania w przypadku wyższego ryzyka. → Jeśli oczyniony ryzyk nie jest niski, należy dalej prowadzić.

Rozpoczynamy od Przypuszczeniowej Prawdopodobieństwa. Jest to prawdopodobieństwo, z jaką ktoś zauważy, że doszło do incydentu dotyczącego ochrony danych. Yes wybieram skalę od 1 do 10, gdzie 1 jest najbardziej korzystnym (większym) przypuszczeniowym prawdopodobieństwem. Jeśli pracownicy są odpowiednio szkoleni, szybko zauważą i często zgłoszą incydent (poza tym, ktoś znajduje ChatGPT naprawdę fajnie i nie chce go skrytykować). Yes wybieram więc wartość 4. W końcu nie każdy wynik chatbota można sprawdzić, czy zawiera dane osobowe. Przede wszystkim dane osobowe nie zawsze są łatwe do rozpoznania. Mogą one również powodować większy tekst, który nie jest czytany, ale kopiuje się automatycznie do publicznego raportu.

Przepływność wejściowa jest prawdopodobieństwem wystąpienia incydentu ochrony danych. Wartość 1 oznacza najlepszy wariant, czyli bardzo rzadkie lub może nigdy nie występujące incydenty ochrony danych. W przykładowym scenariuszu wydaje się, że incydent jest bardzo prawdopodobny. Po prostu mogą być przeglądane codziennie setki dokumentów. Funkcja automatycznej pseudonimizacji nie może działać idealnie. Dlatego wybieram wartość 8.

Sila zdarzenia określa, jak bardzo incydent dotyczący ochrony danych narusza prawa i wolności osób fizycznych. Zależy ona od rodzaju informacji dotyczących pracowników. Jeśli chodzi o straty czasu pracy, które często są traktowane tak samo jak dane zdrowotne, to wartość 8 nie byłaby zbyt niska. Ale także ocena wydajności pracowników również była by wystarczająca. Wiele gorsze, z punktu widzenia pracowników, być może się nie stanie.

Wielokrotnienie prawdopodobieństwa odkrycia, prawdopodobieństwa wystąpienia i ciężkości zdarzenia daje wartość między 1 a 1000. Wartość 1 byłaby wynikiem, gdy wszystkie trzy kryteria zostały ocenione każdego z najlepszymi wartościami 1. Wartość 1000 jest wynikiem 10 x 10 x 10, najgorszym możliwym scenariuszem.

Wystawienie oceny ryzyka jako część oceny skutków przetwarzania danych jest zawsze dobry pomysł. Albo jest szybko przygotowane. Albo wzbudza dodatkowe pytania. W każdym przypadku po tym stanie się jasne, czy wykorzystanie systemu cyfrowego z punktu widzenia ochrony danych lub ogólnie z punktu widzenia danych jest sensowne albo nie.

W przykładzie wynikiem jest wartość 4 x 8 x 8 = 256 w ramach oceny ryzyka. Teraz każdy odpowiedzialny musi sam sobie przypuszczać, od jakiego progu szczegółowe działania opisane powinny być podjęte, aby zdarzenie można było obsługiwać adekwatnie dobrze i szybko. Takie działanie mogłoby być co najmniej tymczasowym zakazem korzystania z ChatGPT lub jego nieograniczonego użycia.

Uwzględniam wartość 200 lub może nawet 250 jako próg, od którego należy rozważać tworzenie planów awaryjnych oraz środków zaradczych.

Ustawienie oceny ryzyka prowadzi w każdym razie do ChatGPT do uznania go za niewykonalny dla przypadku zastosowania "Przeglądanie dokumentów firmy, które mogą zawierać dane pracowników", ponieważ odbiorcy danych nie są jedynie osobami w firmie lub ewentualnie w publiczności, ale także OpenAI, Microsoft i wszystkie podwykonawców.

DSFA powinna więc przynajmniej na poziomie mnożenia trzech liczb zostać wykonana jako ocena ryzyka. Jeśli zostanie przekroczony próg, należy rozważyć dalsze badania. Zły wynik często jednak również przemawia za tym, by nie stosować systemu. To czyni DSFA bezwartościową, która dla podejmowania decyzji wykazała się dobrą służbą.

Ryzyko można ocenić schematycznie. Dla wielu usług część tej oceny może być podobna lub taka sama, z możliwymi innymi wartościami kryteriów ryzyka. Zakładam, że koszt tego jest zazwyczaj niski lub nawet bardzo niski.

Wynik

Jaki obszar dotyczy DSFA zależy od stopnia ryzyka, jakie system stwarza dla osób dotkniętych nim. W przypadku systemów AI trzecich uważam za konieczne uwzględnienie ryzyka w ramach DSFA. Dla własnych systemów AI można szybko ustalić, czy rozważenia należy poszerzyć lub nie, poprzez mnożenie trzech liczb. W praktyce większość systemów AI firmowych jest bezpieczna, jeśli nie służą ocenie pracowników, danych zdrowotnych itp. Uwagi prawne poza DSFA nie są zawsze konieczne. Przedmiotem rozważań powinny być: pochodzenie i rodzaj danych wejściowych oraz podstawy prawa do ich przetwarzania.

Czy DSFA jest przeprowadzana przez inspektora ochrony danych lub administratora, to drugorzędne, chociaż w praktyce ma znaczenie głównie dla DSBs.

Pełnowartościowa DSFA wymaga jako dodatkową pracę „tylko” wyobrażenia sobie planów naprawczych i planów awaryjnych. Wszystkie pozostałe niezbędne treści są już dostarczone przez Art. 12 RODO oraz zawsze sensowną, często szybko wykonaną ocenę ryzyka

Pytanie o ocenę wpływu na ochronę danych staje się mniej istotne, gdy własne lub przyjazne systemy innych osób są stosowane i ryzyko szybko może być uznane za niskie. W przypadku własnych systemów, zwłaszcza w przypadku systemów AI należących do przedsiębiorstwa, nie staje się pytanie o przepływy danych i ich odbiorców. Są one znane i mogą być bezproblemowo ograniczone.

Przy usługach trzecich podejrzanych firm, takich jak Microsoft, Google czy Zoom, można użyć jednej DSFA na każdego dostawcę, która może być ewentualnie uzupełniona szczegółami dotyczącymi konkretnego usługi lub pluginu.

Jedna DSFA zmniejsza ryzyko, ale nie wyklucza możliwości otrzymania skargi, upomnienia lub pozwu za nieprawidłowe korzystanie z usług lub pluginów. Z systemami chroniącymi dane można oszczędzić dużo pracy i znacznie poprawić bezpieczeństwo prawne. Czasem wystarczy tylko chęci. Alternatywy istnieją dla wielu przypadków użycia.

Ostatecznie, kilka istotnych aspektów zebrane w jednym miejscu:

Ocena ryzyka jest zawsze uzasadniona i często konieczna.
Informacje obligatoryjne z Art. 12 RODO muszą być dostępne w każdym razie. Czy zostały one przygotowane dla DSFA lub na mocy praw Betroffenen, jest drugorzędne. Koszt przygotowania informacji obligatoryjnych nie może więc być przypisany DSFA.
Wszelakie gwarancje, które zobowiązują odpowiedzialnych do Art. 5 RODO, powinny być niezależne od DSFA. Powinny one zostać wykonane w każdym przypadku dla wszystkich możliwych przetwarzania danych. Przykład: Bezpieczne hasło dla dostępu do ChatGPT. Ogólna polityka haseł powinna być dostępna w firmie w każdym razie.
Specyficzne gwarancje na usługi są również ogólne i nie mają nic wspólnego z DSFA. Argumentacja: Usługi o mniejszym ryzyku nie wymagają DSFA. Jednak dla nich powinna istnieć gwarancja, np. dotycząca bezpieczeństwa przetwarzania danych.