7. godišnjica GDPR-a: u AI dob, zakonodavstvo o privatnosti je i dalje relevantno

GDPR u praksi

U godinama s obzirom na provedbu GDPR-a, premještaj iz reaktivne poštivanja proaktivnom upravljanju podacima bio je primjetan. Zaštita podataka evoluirala se iz pravne formalnosti u strateški imperativ – tema o kojoj se raspravlja ne samo u pravnim odjeljenjima, već u brodu. Visoke novčane kazne protiv tehničkih divova ojačale su ideju da privatnost podataka nije obavezna, a poštivanje nije samo potvrdni okvir.

Taj napredak treba priznati – i čak se slaviti – ali moramo biti i iskreni u kamo ostaju praznine. Prečesto GDPR se i dalje tretira kao jednokratna vježba ili prepreka za čišćenje, a ne kontinuirani, ugrađeni poslovni proces. Ovaj kratkovidan pogled ne samo izlaže organizacijama da usklade rizike, ali uzrokuje da propuste pravu priliku: regulacija kao enabler.

Kada se pravilno shvaće i primijeni, GDPR nudi više od pravnog okvira – pruža jasan, strukturiran način upravljanja podacima, poboljšati operativnu higijenu i izgraditi povjerenje sa kupcima i partnerima. Drugim riječima, snažno upravljanje podacima nije povlačenje inovacija – ono što inovacija čini održivom.

AI: Inovacija, ali s novim pitanjima u vezi s rizikom

Uđite u Ai. Preduzeća jasno prepoznaju ogromne prednosti i potencijal AI. Prema CISCO-ovom indeksu spremnosti 2024 AI, 95% preduzeća navelo je da imaju visoko definiranu AI strategiju na mestu ili su u procesu razvoja jednog, sa 50% rasporedom 10-30% svog IT budžeta prema AI-u.

Međutim, 65% IT timova kaže da ne razumiju u potpunosti implikacije privatnosti korištenja AI-ja. I samo 11% dovoljno vjeruje da se bavi radom kritičnih misija (prema Splonk-u 2025. Stanje sigurnosnog izvještaja). To nam govori nešto važno: AI može kretati naprijed Apace, ali možda i upravljanje oko nje još uvijek sustiže.

Vidimo da se pojavljuju novi rizici: na primjer, pitanje transparentnosti osjeća se posebno hitno: mislite na modele crnog kutija koji se koriste u područjima poput otkrivanja prevara ili kreditnog bodovanja – ako je donesena odluka, ne možete ga objasniti regulatoru ili ga ne možete objasniti u regulatoru ili opravdavati kupcu.

Pitanja sa usklađenosti na koju biste trebali postaviti

Kako su organizacije ugradile dublje u svoje poslovanje, vrijeme je da se postavljate teška pitanja oko kakvih podataka u kojima se hrani Ai, koji ima pristup AI izlazima, a ako postoji kršenje – koji procesi imamo brzo odgovoriti i susret sa GDPR-ovim rokovima izvještavanja.

Uprkos hitnoj, još uvijek postoji sjajni jaz organizacije koje nemaju formalnu AI politiku, što izlaže organizacije na rizik od privatnosti i usklađenosti koji bi mogli imati ozbiljne posljedice. Pogotovo kada je prevencija gubitka podataka glavni prioritet za poduzeća.

Dobre vesti? Ne moramo početi od nule. GDPR već nam daje okvir za procjenu AI alata – mislite da je minimiziranje podataka, ograničenje svrhe i principe privatnosti po dizajnu. To znači samo prikupljanje podataka koje su vam potrebne, koristeći ga za specifične, legitimne svrhe i ugraditi privatnost u svaku fazu AI razvoja. Primijenite te principe na AI, a vi ste dobili snažnu osnovu za izgradnju. To nisu samo zakonske zaštitne mjere – oni su građevinski blokovi etičkog AI-ja.

GDPR je položio osnov

Kako razmišljamo o sedmogodišnjem putovanju GDPR-a, jedno je jasno: njegova relevantnost nije umanjena. U stvari, dolazak AI je svoje principe učinio bitnijim nego ikad. Regulatorni okviri jučer su i dalje odgovaraju svrsi – ali samo ako se primjenjuju s istom okretnošću i ambicijama koje zahtijevaju nove tehnologije.

Predstojeći izazov nije jednostavno o sljedećim pravilima – radi se o demonstriranju liderstva. Budućnost upravljanja podacima neće diktirati samo regulatorima. Definisaće preduzeća dovoljno podebljana da bi se uskladili inovacije integritetom i dovoljno brzo da se poštuju u konkurentsku prednost.

GDPR je položio temelje. Sada, u starosti AI, prilika je da na vrhu izgradite nešto još jače.

James Hodge je GVP i glavni savjetnik za strategiju – EMEA u SPLUNK-u