Yr ail erthygl yn ein cyfres ar Ddeallusrwydd Artiffisial a’r Sector Cyhoeddus

Mae offer deallusrwydd artiffisial cynhyrchiol—fel ChatGPT, Bard, a DALL·E—yn cael eu mabwysiadu’n gynyddol ar draws y sector cyhoeddus. Gall y systemau hyn greu testun, lluniau, sain a chodau â chyflymder trawiadol, gan gynnig ffyrdd newydd i wella’r ffordd y darperir gwasanaethau a’u heffeithlonrwydd. Fodd bynnag, mae’r defnydd o ddeallusrwydd artiffisial cynhyrchiol hefyd yn codi cwestiynau difrifol am ddiogelu data o dan gyfraith y DU.

Mae’r erthygl hon yn archwilio sut y mae defnyddio deallusrwydd artiffisial cynhyrchiol yn effeithio ar gyfrifoldebau diogelu data o dan GDPR y DU a Deddf Diogelu Data 2018, ac mae’n cynnig cyngor ymarferol i sefydliadau’r sector cyhoeddus sy’n defnyddio neu sy’n ystyried defnyddio’r offer hyn.

Beth yw deallusrwydd artiffisial cynhyrchiol?

Mae deallusrwydd artiffisial cynhyrchiol yn cyfeirio at ddeallusrwydd artiffisial sy’n gallu creu cynnwys newydd yn seiliedig ar y data a ddefnyddiwyd i’w hyfforddi a’r awgrymiadau y mae’n eu derbyn: Mae’r enghreifftiau’n cynnwys:

• Ysgrifennu e-byst, adroddiadau neu lythyrau
• Creu darluniau neu ddelweddau
• Crynhoi neu drawsnewid dogfennau
• Cynorthwyo gyda datblygu codau neu ddatrys bygiau
• Creu ymatebion ar gyfer sgwrsfotiaid neu gynorthwywyr rhithwir

Mae’r galluogrwydd hwn yn gwneud deallusrwydd artiffisial yn arbennig o ddeniadol i’w ddefnyddio yn y sector cyhoeddus, o ddrafftio gohebiaeth i awtomeiddio tasgau gweinyddol. Ond nid yw’r offer hyn yn gweithredu mewn gwactod: maent yn prosesu, cynhyrchu ac weithiau’n cadw gwybodaeth a allai fod yn bersonol, sensitif neu gyfrinachol.

Pam mae’r Gyfraith Diogelu Data’n Berthnasol

O dan GDPR y DU a Deddf Diogelu Data 2018, rhaid i unrhyw sefydliad sy’n prosesu data personol wneud hynny mewn modd cyfreithlon, teg a thryloyw. Mae hyn yn cynnwys awdurdodau lleol, cyrff y GIG, darparwyr addysg, gwasanaethau’r heddlu a chyrff cyhoeddus eraill.

Os defnyddir system deallusrwydd artiffisial cynhyrchiol mewn ffordd sy’n cynnwys data personol, er enghraifft:

• Cynnwys gwybodaeth adnabyddadwy mewn sgwrsfot
• Defnyddio deallusrwydd artiffisial i grynhoi ffeiliau AD mewnol neu i sgrinio CVs ymgeiswyr am swydd
• Gofyn i’r offeryn ysgrifennu llythyr i ddinesydd a enwir

yna bydd y gyfraith diogelu data’n berthnasol. Mae’n bwysig cofio bod gwaith prosesu’n cynnwys bron i unrhyw beth a wnewch gyda data personol. Felly mae cadw data ar gyfrifiadur neu fewnbynnu data personol mewn offeryn trydydd parti, yn ffyrdd o brosesu, ac fel rheolwr y data hwnnw, chi sy’n gyfrifol o hyd am beth sy’n digwydd iddo, hyd yn oed os bydd yn cael ei brosesu gan ddarparwr deallusrwydd artiffisial allanol.

Risgiau ac Ystyriaethau Cyfreithiol Allweddol

1. Diogelu data wrth gynllunio.

   Bydd Swyddfa’r Comisiynydd Gwybodaeth yn disgwyl i chi ddogfennu sut yr ydych wedi mabwysiadu diogelu data wrth gynllunio ac mewn ffordd ddiofyn yn eich diwylliant a’ch prosesau, ond mae cymhlethdodau deallusrwydd artiffisial yn gwneud hyn yn anoddach. Yn ogystal, ni allwch ddirprwyo’r materion hyn i wyddonwyr data neu dimau peirianneg. Mae eich uwch reolwyr, gan gynnwys Swyddogion Diogelu Data, yn gyfrifol am eu deall a mynd i’r afael â nhw gan fod yr atebolrwydd cyffredinol dros gydymffurfio â’r rheolau diogelu data’n gorwedd gyda’r rheolwr, h.y., eich sefydliad. Dylai cwblhau asesiad o’r effaith ar ddiogelu data eich cynorthwyo i nodi a rheoli’r risgiau hyn.

2. Sail Gyfreithlon ar gyfer Prosesu

Cyn defnyddio offer deallusrwydd artiffisial, rhaid i chi nodi sail gyfreithlon (fel y nodir yn Erthygl 6 GDPR y DU) ar gyfer pob enghraifft o brosesu data personol a weithredwch. Ar gyfer cyrff sector cyhoeddus, gall hwn fod yn dasg gyhoeddus neu’n rhwymedigaeth gyfreithiol, ond mae angen iddo gael ei ddogfennu a bod yn benodol. Ni fydd defnyddio deallusrwydd artiffisial am ei fod yn gyfleus neu’n effeithlon yn bodloni’r prawf cyfreithlondeb.

Os ydych yn prosesu data categori arbennig, yn ogystal â nodi sail gyfreithlon, rhaid i chi hefyd fodloni un o’r amodau a nodir yn Erthygl 9 GDPR y DU.

3. Lleihau’r Data a ddefnyddir a pha mor angenrheidiol ydyw

Mae Erthygl 5 GDPR y DU yn ei gwneud yn ofynnol bod faint o ddata a ddefnyddir wedi’i gyfyngu i’r hyn sy’n angenrheidiol mewn perthynas â’r diben y mae’n cael ei brosesu ar ei gyfer. Ond mae angen llawer iawn o ddata ar gyfer pob system deallusrwydd artiffisial. Felly sut mae datrys hyn? Mae’n ymwneud â bod yn ofalus wrth ddylunio systemau deallusrwydd artiffisial (neu brynu gwasanaethau deallusrwydd artiffisial gan drydydd parti) eich bod yn ystyried a oes angen yr holl ddata neu a ellir cyflawni’r un diben gyda llai o ddata. Gallai bwydo dogfennau cyfan neu setiau cyfan o ddata i system deallusrwydd artiffisial heb gael gwared ar wybodaeth adnabyddadwy dorri’r egwyddor hwn.

4. Proseswyr a Throsglwyddiadau Trydydd Parti

Darperir y rhan fwyaf o offer deallusrwydd artiffisial cynhyrchiol gan drydydd partïon, y mae nifer ohonynt wedi’u lleoli y tu allan i’r DU. Mae hynny’n golygu y gellir storio neu brosesu’r data a gynhwyswch dramor, gan gynnwys mewn gwledydd nad oes ganddynt y cyfreithiau diogelu data cyfatebol.

Rhaid i chi sicrhau bod y mesurau diogelu priodol ar waith ac osgoi defnyddio offer sy’n gyrru data y tu allan i’r DU oni bai eich bod wedi cynnal asesiad risg priodol a gweithredu’r mesurau diogelu sy’n ofynnol gan GDPR y DU mewn perthynas â throsglwyddiadau o’r fath.

5. Tryloywder a Thegwch

Os ydych yn defnyddio deallusrwydd artiffisial cynhyrchiol yn eich gwasanaethau, yn enwedig mewn rhyngweithiadau â dinasyddion, bydd angen i chi fod yn agored ynghylch hynny. Mae hyn yn cynnwys diweddaru hysbysiadau preifatrwydd a bod yn glir pan fo deallusrwydd artiffisial yn cynhyrchu gohebiaeth neu’n gwneud awgrymiadau. Rhaid bod yn rhagweithiol ynghylch hyn. Rhaid i chi ddarparu manylion y dibenion, y cyfnodau cadw a gyda phwy y byddwch yn rhannu data unigolyn cyn i chi ei ddefnyddio mewn model deallusrwydd artiffisial neu gymhwyso’r model i’r unigolion hyn os byddwch yn ei gasglu’n uniongyrchol gan yr unigolion. Os ydych yn casglu gan drydydd partïon, rhaid i chi ddarparu’r wybodaeth hon o fewn un mis.

Mae cysylltiad agos rhwng tryloywder a thegwch. Rhaid i chi ystyried a allai’r defnydd o ddeallusrwydd artiffisial gael effaith niweidiol ar bobl na ellir ei gyfiawnhau ac, os felly, dylech osgoi defnydd o’r fath. Gallai hyn fod oherwydd bod y deallusrwydd artiffisial yn cynhyrchu allbwn sydd â thuedd neu sy’n anghywir.

6. Diogelwch a Chyfrinachedd

Yn anffodus, oherwydd eu natur gymhleth, ceir mwy o beryglon diogelwch mewn perthynas  â systemau deallusrwydd artiffisial. Yn aml, mae angen mwy o gyfuniadau trydydd parti ac ystod ehangach o bobl (pob un â’u profiadau a’u harferion eu hunain) fel rhan o’r broses o ddylunio systemau deallusrwydd artiffisial felly dyma sy’n digwydd yn sgil hynny. O gymharu, rhaid ymdrin â data’r sector cyhoeddus, yn enwedig data categori arbennig, gan ddefnyddio’r diogelwch priodol.

Gallai mewnbynnu gwybodaeth sensitif neu gyfrinachol mewn offeryn deallusrwydd artiffisial cynhyrchiol beri risgiau difrifol pe bai’r darparwr yn storio neu’n defnyddio’r data i wella ei waith modelu neu, yn waeth na hynny, ei ddefnyddio i gynhyrchu ymatebion ar gyfer unrhyw un sy’n ei ddefnyddio. Mae hyn yn golygu gwirio (a chael gwarantau) i ba raddau y gall hyn ddigwydd neu fel arall wahardd datgelu gwybodaeth sensitif neu gyfrinachol yr awdurdod mewn offeryn deallusrwydd artiffisial cyhoeddus.

Camau Ymarferol ar gyfer Sefydliadau’r Sector Cyhoeddus

• Cynnal Asesiad o’r Effaith ar Ddiogelu Data: Os ydych yn bwriadu defnyddio deallusrwydd artiffisial cynhyrchiol mewn ffordd sy’n cynnwys data personol, bydd asesiad yn eich galluogi i asesu’r peryglon sy’n codi o’r defnydd o ddata personol a mynd i’r afael â’r risgiau hynny gan ddefnyddio diogelu data fel dull dylunio.
• Adolygu contractau a pholisïau: Sicrhau eich bod yn cynnal asesiad diwydrwydd dyladwy ar ddarparwyr deallusrwydd artiffisial trydydd parti a sicrhau bod contractau â darparwyr deallusrwydd artiffisial yn cynnwys cymalau diogelu data digonol sy’n adlewyrchu canllawiau Swyddfa’r Comisiynydd Gwybodaeth.
• Diweddaru’r canllawiau i staff: Hyfforddi’r staff ar y defnydd diogel a chyfreithlon o ddeallusrwydd artiffisial, yn enwedig o ran cynnwys data personol a sensitif.
• Monitro datblygiadau: Mae technoleg a rheoleiddio deallusrwydd artiffisial yn datblygu’n gyflym—gwnewch yn siŵr eich bod yn cael yr wybodaeth ddiweddaraf ac adolygwch eich asesiadau risg yn rheolaidd.

Casgliadau

Mae deallusrwydd artiffisial cynhyrchiol yn cynnig cyfleoedd gwirioneddol ar gyfer arloesedd ac effeithlonrwydd ar draws sector cyhoeddus y DU, ond rhaid cael arferion diogelu data cryf yn sail iddo. Mae cyrff cyhoeddus yn parhau i fod yn gwbl gyfrifol am sut y defnyddir eu data personol, ni waeth pa dechnoleg sydd dan sylw.

Yn Geldards, mae ein tîm TG a Thechnoleg yn cefnogi sefydliadau sector cyhoeddus i ddefnyddio deallusrwydd artiffisial mewn modd cyfrifol a chyfreithlon. Os ydych yn archwilio’r defnydd o ddeallusrwydd artiffisial yn eich gwasanaethau, neu os oes angen cymorth arnoch i archwilio’r goblygiadau diogelu data, mae ein tîm yma i helpu.