Французский регулятор опубликовал нормативный документ о вторичном использовании ПД разработчиками ИИ-систем.
Французская Национальная комиссия по информации и гражданским свободам (La Commission Nationale de Plnformatique et des Libertes, CNIL) в январе 2022 года опубликовала нормативный документ, регламентирующий повторное использование персональных данных (ПД) компаниями, которые выполняют обработку ПД на заказ для обучения систем искусственного интеллекта (ИИ).
Вопрос о вторичном использовании ПД подрядчиком в собственных интересах последнее время привлекает повышенное внимание, поскольку подрядчики всё чаще извлекают выгоду из данных, которые принадлежат не им, а заказчику.
В своём руководстве CNIL допускает вторичное использование подрядчиком, обрабатывающим ПД по поручению заказчика, для собственных целей подрядчика только при условии соблюдения довольно жестких условий:
- заказчик, который передаёт ПД подрядчику, даёт последнему явное письменное разрешение;
- цель повторной обработки ПД, преследуемая подрядчиком, не противоречит первоначальной цели обработки, которую предусмотрел заказчик.
Это требует от подрядчика ясно сформулировать цели повторной обработки, указав, как и почему ПД будут повторно использованы, а также убедиться, что договор с заказчиком предусматривает соответствующие полномочия. Заказчики, в свою очередь, должны оценить, совместимы ли новые цели повторной обработки ПД с первоначальными целями.
Таким образом, прежде чем заказчик предоставит разрешение, он должен оценить связь между первоначальной целью обработки и новой целью, которую преследует подрядчик, а также характер ПД, возможные последствия для субъектов ПД, наличие соответствующих гарантий и другие факторы, указанные в статье 6(4) GDPR (обработка ПД в целях, отличных от тех, на которые субъект ПД дал согласие).
Источник: канал @lgltech