Sigurnost podataka i privatnost učenika – Šta nastavnici moraju znati o GDPR-u i AI

ByMarko Ilić

Sigurnost podataka i privatnost učenika – Šta nastavnici moraju znati o GDPR-u i AI

U današnjem svetu, gde tehnologija napreduje brzinom svetlosti, veštačka inteligencija (AI) je postala nezaobilazni deo mnogih aspekata našeg života, uključujući i obrazovanje. Svi pričaju o neverovatnim mogućnostima koje AI pruža – od personalizovanog učenja do automatizacije administrativnih zadataka. Međutim, u toj euforiji, često se zaboravlja na tamnu stranu medalje: gde završavaju imena vaše dece, njihovi odgovori, njihovi radovi, pa čak i njihovi glasovi i biometrijski podaci kada se koriste AI alati? To je pitanje koje muči roditelje, nastavnike i školske uprave. Na početku, zbunjenost je bila velika, ali danas su pravila, kada ih jednom razumete, zapravo jasna. Ključ leži u razumevanju GDPR-a u školama i principa sigurnosti podataka AI.

Analiza pokazuje da, dok su neke školske uprave i savesni nastavnici već prepoznali važnost ovog pitanja i počeli da implementiraju stroge protokole, mnogi su još uvek u fazi informisanja. Potreba za jasnim smernicama i edukacijom je veća nego ikada. Privatnost učenika nije samo zakonska obaveza, već i etička odgovornost koja oblikuje poverenje i bezbedno okruženje za učenje. U ovom blog postu, istražićemo kompleksan odnos između GDPR-a i veštačke inteligencije u obrazovnom kontekstu, pružajući praktične savete i smernice za nastavnike i škole.

Privatnost podataka u školi

GDPR u svetu veštačke inteligencije

Opšta uredba o zaštiti podataka (GDPR) Evropske unije, koja je stupila na snagu 2018. godine, postavila je visoke standarde za prikupljanje, obradu i skladištenje ličnih podataka. Iako je primarno namenjena regulaciji unutar EU, njen uticaj se proširio globalno, pa se njeni principi primenjuju i u zemljama van EU, uključujući Srbiju i region, kroz nacionalne zakone o zaštiti podataka koji su često harmonizovani sa GDPR-om. U kontekstu obrazovanja, GDPR znači da škole moraju da budu izuzetno pažljive sa podacima svojih učenika.

Kada govorimo o veštačkoj inteligenciji, stvari postaju složenije. AI sistemi se „hrane“ podacima, a ti podaci često uključuju lične informacije. Bilo da se radi o sistemima za personalizovano učenje koji analiziraju napredak učenika, alatima za generisanje sadržaja koji koriste unose učenika, ili čak sistemima za praćenje prisustva koji koriste prepoznavanje lica, svaki put kada se lični podaci unesu u AI sistem, aktiviraju se odredbe GDPR-a.

Ključni principi GDPR-a koji su relevantni za AI u školama uključuju:

  • Zakonitost, poštenost i transparentnost: Škole moraju jasno informisati učenike i roditelje o tome koji se podaci prikupljaju, zašto i kako će se koristiti AI alatima. Potrebna je legitimna osnova za obradu, kao što je pristanak ili legitimni interes.
  • Ograničenje svrhe: Podaci prikupljeni za jednu svrhu ne smeju se koristiti za drugu, nekompatibilnu svrhu bez dodatnog pristanka ili jasne zakonske osnove. Na primer, podaci prikupljeni za personalizovano učenje ne bi smeli da se koriste za obuku AI modela za komercijalne svrhe bez eksplicitnog odobrenja.
  • Minimizacija podataka: Treba prikupljati samo neophodne podatke. Što manje ličnih podataka AI sistem obrađuje, to je manji rizik od zloupotrebe.
  • Tačnost: Podaci moraju biti tačni i ažurni. Netačni podaci mogu dovesti do pogrešnih zaključaka AI sistema, što može imati negativne posledice po učenike.
  • Ograničenje skladištenja: Podaci se ne smeju čuvati duže nego što je neophodno za svrhu za koju su prikupljeni.
  • Integritet i poverljivost: Podaci moraju biti zaštićeni od neovlašćenog pristupa, obrade, gubitka ili uništenja. Ovo podrazumeva primenu adekvatnih tehničkih i organizacionih mera bezbednosti, kao što su enkripcija i kontrola pristupa.
  • Odgovornost: Škole su odgovorne za usklađenost sa GDPR-om i moraju biti u stanju da to dokažu. Ovo uključuje vođenje evidencije o obradi podataka i sprovođenje procena uticaja na zaštitu podataka (DPIA) za visokorizične AI alate.

Osim ovih principa, GDPR takođe daje pojedincima (učenicima i roditeljima) niz prava, uključujući pravo na pristup podacima, ispravku, brisanje („pravo na zaborav“), ograničenje obrade, prenosivost podataka i pravo na prigovor. Kada AI sistemi donose odluke koje značajno utiču na učenike (npr. automatsko ocenjivanje), GDPR nameće dodatne zahteve za objašnjenje i mogućnost ljudske intervencije.

Uvođenje AI u učionice otvara vrata inovacijama, ali istovremeno podiže i fundamentalna pitanja o zaštiti privatnosti učenika. Nastavnici, kao prvi kontakt sa učenicima i podacima, moraju biti svesni ovih pravila i odgovornosti kako bi osigurali bezbedno i etično korišćenje AI alata.

Google vs OpenAI: Ko čuva podatke a ko ih koristi za trening

Kada škole razmatraju implementaciju AI alata, ključno je razumeti kako različiti provajderi obrađuju podatke. Postoje značajne razlike između korporativnih giganata poput Google-a, koji nudi specifične obrazovne platforme, i kompanija poput OpenAI-ja, čiji su proizvodi, poput ChatGPT-a, postali popularni u široj javnosti.

Google i obrazovanje (Google Workspace for Education)

Google nudi Google Workspace for Education (ranije G Suite for Education), platformu dizajniranu specifično za obrazovne institucije. Ključna razlika ovde je u ugovoru o obradi podataka (DPA) koji se sklapa sa školama. Prema ovom ugovoru:

  • Podaci učenika se ne koriste za personalizovano oglašavanje: Google se obavezuje da neće skenirati podatke učenika u Gmailu, Drive-u ili Classroom-u radi prikazivanja ciljanih oglasa.
  • Podaci se retko koriste za poboljšanje proizvoda: Iako Google može koristiti anonimizovane i agregirane podatke za poboljšanje performansi svojih servisa, postoje stroga ograničenja u pogledu korišćenja ličnih podataka učenika za obuku generativnih AI modela, posebno kada se radi o Workspace for Education korisnicima.
  • Vlasništvo podataka: Škole su vlasnici podataka svojih učenika, a Google se ponaša kao obrađivač podataka, prateći uputstva škole.
  • Transparentnost: Google nudi alate za administratore koji omogućavaju transparentnost u pogledu obrade podataka i kontrolu nad pristupom.

Ukratko, Google Workspace for Education platforma je dizajnirana sa specifičnim fokusom na privatnost i usklađenost sa obrazovnim propisima, uključujući GDPR i FERPA (u SAD-u). Ovo daje školama značajnu sigurnost da se podaci njihovih učenika neće koristiti na način koji narušava njihovu privatnost ili služi za komercijalne svrhe izvan okvira ugovorene usluge.

OpenAI i generativna AI (ChatGPT)

OpenAI, poznat po svojim moćnim generativnim AI modelima poput ChatGPT-a, ima drugačiji model poslovanja i politiku korišćenja podataka, posebno za svoje opšte, javno dostupne verzije proizvoda.

  • Korišćenje podataka za obuku modela: Standardna praksa OpenAI-ja (i mnogih drugih provajdera generativne AI) je da koriste korisničke unose (promptove) i generisane izlaze za dalju obuku i poboljšanje svojih AI modela. Ovo je ključni mehanizam za iterativno unapređenje AI, ali predstavlja značajan rizik za privatnost.
  • Opt-out opcije: Iako OpenAI nudi opcije za isključivanje (opt-out) korišćenja vaših podataka za obuku modela (putem postavki korisničkog naloga ili posebnih zahteva), ova opcija možda nije uvek očigledna ili je potrebno aktivno je tražiti.
  • Enterprise verzije: Za poslovne i enterprise korisnike (uključujući i obrazovne institucije koje bi kupile takvu licencu), OpenAI nudi strože uslove gde se podaci ne koriste za obuku modela. Međutim, ovo obično podrazumeva plaćene pretplate i specifične ugovore o obradi podataka.
  • Anonimizacija: Iako provajderi AI tvrde da anonimizuju podatke pre nego što ih koriste za obuku, potpuna anonimizacija može biti izazov, pogotovo kada korisnici unose specifične, lične detalje. Rizik od de-anonimizacije (ponovnog identifikovanja pojedinca) uvek postoji.

Za nastavnike i škole, razlika je kritična. Korišćenje besplatnih, javnih verzija AI alata poput ChatGPT-a sa podacima učenika bez adekvatnog pristanka i procene rizika, predstavlja ozbiljno kršenje zakona o zaštiti podataka AI. Unos imena učenika, njihovih jedinstvenih radova, ili bilo kojih drugih identifikacionih informacija u takve sisteme može rezultirati time da ti podaci postanu deo budućih AI modela, potencijalno dostupni drugim korisnicima ili korišćeni na načine koje škola nije odobrila.

Iz tog razloga, škole moraju pažljivo proceniti politike privatnosti i uslove korišćenja svih AI alata koje nameravaju da koriste, tražeći jasne DPA-ove i garancije da se podaci učenika neće koristiti za obuku modela ili u druge svrhe koje nisu eksplicitno odobrene i u skladu sa GDPR-om.

Najbolje prakse za nastavnike i škole

Usvajanje veštačke inteligencije u obrazovnom okruženju zahteva promišljen i proaktivan pristup zaštiti podataka i privatnosti. Evo ključnih praksi koje nastavnici i školske uprave mogu primeniti:

Za Školske Uprave:

  1. Razvoj politike korišćenja AI: Izradite sveobuhvatnu politiku koja definiše dozvoljene i nedozvoljene načine korišćenja AI alata u školi. Ova politika treba da bude u skladu sa GDPR-om i lokalnim zakonima o zaštiti podataka.
  2. Procenite alate pre implementacije: Pre nego što ugovorite bilo koji AI alat, sprovedite detaljnu procenu uticaja na zaštitu podataka (DPIA). Postavljajte pitanja provajderima o njihovoj politici privatnosti, načinu obrade podataka, mestu skladištenja i bezbednosnim merama. Potražite provajdere koji nude posebne obrazovne verzije svojih proizvoda sa strogim DPA-om (Data Processing Agreement).
  3. Ugovori o obradi podataka (DPA): Insistirajte na potpisivanju ugovora o obradi podataka sa svim provajderima AI alata. Ovaj ugovor mora jasno definisati ulogu provajdera kao obrađivača podataka i obavezati ga na poštovanje GDPR-a.
  4. Edukacija osoblja: Organizujte redovne obuke za nastavnike, administratore i ostalo osoblje o rizicima privatnosti i bezbednosti podataka, kao i o pravilima korišćenja AI alata.
  5. Anonimizacija i pseudoanonimizacija: Kada god je to moguće, insistirajte na korišćenju anonimizovanih ili pseudoanonimizovanih podataka. To znači uklanjanje ili zamenu identifikacionih informacija kako bi se smanjio rizik.
  6. Kontinuirani nadzor: Redovno proveravajte usklađenost sa politikama i ugovorima. Tehnologija se menja, pa se moraju menjati i pristupi.

Za Nastavnike:

  1. Obavestite i tražite pristanak: Pre nego što koristite bilo koji AI alat koji zahteva unos ličnih podataka učenika (čak i imena ili jedinstvenih identifikatora), obavestite roditelje (ili punoletne učenike) o tome. Objasnite svrhu, prirodu prikupljenih podataka i način na koji će se podaci obrađivati. Zatražite njihov informisani pristanak, po mogućnosti u pisanoj formi.
  2. Minimalistički pristup podacima: Prikupljajte i unosite samo apsolutno neophodne podatke u AI alate. Izbegavajte unos imena, prezimena, datuma rođenja ili drugih identifikacionih informacija ukoliko to nije striktno neophodno za funkcionisanje alata. Koristite generičke identifikatore ako je to moguće.
  3. Koristite odobrene alate: Koristite samo AI alate koje je škola zvanično odobrila i za koje postoji važeći DPA. Izbegavajte korišćenje besplatnih, javnih verzija AI alata (kao što su neke verzije ChatGPT-a) sa ličnim podacima učenika, jer se ti podaci često koriste za obuku modela.
  4. Edukujte učenike: Učite učenike o konceptima digitalne pismenosti, privatnosti i etičkog korišćenja AI. Objasnite im zašto je važno čuvati svoje podatke i kako da se ponašaju online.
  5. Preispitujte rezultate AI: AI alati mogu biti korisni, ali nikada ne bi trebalo da budu jedini izvor informacija ili odluka, posebno kada se radi o ocenjivanju ili proceni učenika. Uvek preispitujte i kritički ocenjujte rezultate generisane AI-jem.
  6. Sigurni lozinke i autentifikacija: Koristite jake lozinke i dvofaktorsku autentifikaciju za sve AI platforme kojima pristupate.
  7. Svest o ‘kolačićima’ i praćenju: Budite svesni kako web stranice i aplikacije prate korisnike. Čak i ako AI alat ne koristi direktno unete podatke, web stranica može prikupljati podatke o korišćenju putem kolačića.

Implementacijom ovih praksi, škole i nastavnici mogu stvoriti sigurno okruženje za učenje koje koristi prednosti AI-a, istovremeno štiteći privatnost učenika i osiguravajući usklađenost sa AI zakonima u obrazovanju.

Šta je zakonski dozvoljeno u Srbiji i regionu

Iako je GDPR primarno evropska regulativa, njegov uticaj je duboko usađen u zakonodavstva mnogih zemalja, uključujući Srbiju i druge zemlje u regionu. Srbija je, recimo, usvojila Zakon o zaštiti podataka o ličnosti (ZZPL) 2018. godine, koji je u potpunosti usklađen sa GDPR-om. Slične zakone su usvojile i Bosna i Hercegovina, Crna Gora, Severna Makedonija i Hrvatska (kao članica EU, direktno primenjuje GDPR).

To znači da se svi gorepomenuti principi i prava iz GDPR-a, uključujući zakonitost obrade, svrhu, minimizaciju, prava subjekata podataka i obavezu odgovornosti, primenjuju i u ovim zemljama. Konkretno za obrazovanje, to povlači sledeće implikacije:

  • Lični podaci učenika su posebno osetljiva kategorija: Učenici, posebno maloletnici, spadaju u kategoriju ranjivih subjekata podataka. Stoga je za obradu njihovih podataka potrebna veća pažnja i strože garancije.
  • Pristanak roditelja/staratelja: Za obradu podataka maloletnika (obično mlađih od 15 godina u Srbiji, ali se granica može razlikovati po zemljama regiona), neophodan je pristanak roditelja ili zakonskog staratelja. Pristanak mora biti informisan, konkretan, nedvosmislen i slobodno dat.
  • Obaveza informisanja: Škole su obavezne da na jasan i razumljiv način obaveste roditelje i učenike o tome koji se podaci prikupljaju, zašto, kako se obrađuju (uključujući korišćenje AI alata), ko ima pristup podacima i koliko dugo će se čuvati.
  • Procena uticaja na zaštitu podataka (DPIA): Za svaku obradu podataka koja može predstavljati visok rizik po prava i slobode pojedinaca, kao što je masovna upotreba AI alata u nastavi ili obrada osetljivih podataka učenika (npr. zdravstvenih, biometrijskih), škola je dužna da sprovede DPIA. U Srbiji je to propisano ZZPL-om.
  • Službenik za zaštitu podataka (DPO): Škole su često obavezne da imenuju Službenika za zaštitu podataka (Data Protection Officer) koji savetuje školu o usklađenosti sa zakonom i služi kao kontakt tačka za Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti (u Srbiji) i za subjekte podataka.
  • Odgovornost Poverenika: U Srbiji, kao i u drugim zemljama regiona, postoji nezavisno nadzorno telo (Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti) koje je zaduženo za sprovođenje zakona o zaštiti podataka. U slučaju kršenja zakona, Poverenik može izreći značajne kazne.
  • Međunarodni transfer podataka: Ako se AI alat koristi i podaci se prenose izvan zemlje ili regiona, mora se obezbediti adekvatan nivo zaštite podataka u zemlji primaocu, obično kroz standardne ugovorne klauzule ili druge mehanizme predviđene GDPR-om/lokalnim zakonom.

Ukratko, nastavnici i škole u Srbiji i regionu moraju biti svesni da se primena AI alata sa ličnim podacima učenika tretira jednako ozbiljno kao i bilo koja druga obrada ličnih podataka. Neznanje zakona ne oslobađa odgovornosti. Aktivno učenje o ovim propisima i njihova dosledna primena ključni su za bezbedno i zakonito uvođenje AI u obrazovanje, štiteći privatnost učenika u digitalnom dobu.

Kontrolna lista za bezbedno korišćenje AI

Kako biste osigurali da vaša škola ili učionica bezbedno koristi AI alate i poštuje GDPR u školama, evo kontrolne liste koju možete koristiti:

  • Provera alata pre upotrebe:

    • Da li je AI alat zvanično odobren od strane školske uprave?
    • Da li postoji potpisan Ugovor o obradi podataka (DPA) sa provajderom?
    • Da li su uslovi korišćenja i politika privatnosti alata jasni i u skladu sa GDPR-om i lokalnim zakonima?
    • Da li provajder garantuje da se podaci učenika neće koristiti za obuku modela ili komercijalne svrhe?

  • Informisani pristanak i transparentnost:

    • Da li su roditelji/staratelji (ili punoletni učenici) jasno informisani o svrsi i načinu korišćenja AI alata i prikupljanju podataka?
    • Da li je dobijen informisani pristanak za obradu ličnih podataka učenika putem AI alata? (Za maloletnike, pristanak roditelja/staratelja).
    • Da li su učenici upoznati sa tim kako se njihovi podaci koriste i koja su njihova prava?

  • Minimizacija podataka i anonimizacija:

    • Da li se u AI alat unose samo apsolutno neophodni podaci o učenicima?
    • Da li je moguće koristiti pseudoanonimizovane ili anonimizovane podatke umesto ličnih identifikatora?
    • Da li su unosi u AI alat lišeni nepotrebnih osetljivih informacija?

  • Bezbednost i integritet podataka:

    • Da li AI alat koristi enkripciju za zaštitu podataka u tranzitu i u mirovanju?
    • Da li je pristup AI alatima i podacima zaštićen jakim lozinkama i/ili dvofaktorskom autentifikacijom?
    • Da li je obezbeđen redovan backup podataka?

  • Prava subjekata podataka:

    • Da li su mehanizmi za ostvarivanje prava učenika (pristup, ispravka, brisanje podataka) jasni i dostupni?
    • Da li škola ima proceduru za odgovor na zahteve za ostvarivanje prava iz GDPR-a/ZZPL-a?

  • Ljudski nadzor i odgovornost:

    • Da li se odluke donesene od strane AI alata uvek proveravaju od strane nastavnika ili drugog ljudskog autoriteta?
    • Da li su nastavnici obučeni o etičkom i sigurnom korišćenju AI alata?
    • Da li postoji jasan put odgovornosti u slučaju incidenta sa podacima?

  • Kontinuirano praćenje i ažuriranje:

    • Da li se redovno pregledaju politike i procedure škole u vezi sa AI i privatnošću?
    • Da li se prate promene u zakonodavstvu i smernicama Poverenika za zaštitu podataka?

Ova kontrolna lista pruža okvir za proaktivno upravljanje sigurnošću podataka AI i obezbeđivanje zaštite privatnosti učenika u obrazovnom okruženju koje se brzo menja. Primena ovih koraka ne samo da štiti učenike, već i gradi poverenje u obrazovne institucije i njihovu sposobnost da se prilagode digitalnom dobu na odgovoran način. Za više informacija i smernica, posetite aiskola.org.

Ovaj članak je rezultat temeljnog istraživanja i usmeren je ka pružanju sveobuhvatnih informacija nastavnicima i školskim upravama o kritičnoj temi zaštite podataka i privatnosti učenika u kontekstu veštačke inteligencije. Usvajanje AI tehnologija donosi brojne mogućnosti, ali samo uz odgovoran pristup i striktno poštovanje propisa poput GDPR-a i lokalnih zakona o zaštiti podataka, možemo osigurati da obrazovanje ostane sigurno i etično za sve naše učenike.

Slični tekstovi

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *