Dbamy o Twój biznes

Pomagamy szybko i profesjonalnie

Sztuczna inteligencja a RODO

Wkrótce na terytorium Unii Europejskiej obowiązywać będzie rozporządzenie regulujące sztuczną inteligencję (Akt w sprawie sztucznej inteligencji, potocznie AI Act). Nie jest to jednak pierwszy akt prawny na gruncie unijnego ustawodawstwa, który porusza problem sztucznej inteligencji, bowiem już w przepisach ogólnego rozporządzenia o ochronie danych (tzw. RODO) uwzględniono rosnące znaczenie tego zjawiska.

RODO nie używa pojęcia „sztuczna inteligencja” czy „AI”, natomiast posługuje się pojęciem „zautomatyzowanego przetwarzania”, które oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany, a więc bez udziału człowieka. Formą zautomatyzowanego przetwarzania jest natomiast "profilowanie", które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. Nie ulega wątpliwości, że przetwarzanie danych przez systemy oparte na AI podpada pod pojęcie zautomatyzowanego przetwarzania. Unijny ustawodawca dostrzegł zjawisko wkraczania systemów uczenia maszynowego do rozmaitych dziedzin życia ludzkiego i definiując te zjawiska postanowił zaradzić ujemnym skutkom działania tych systemów. Już w preambule rozporządzenia nr 2016/679 jako przykład takich skutków wskazano automatyczne odrzucenie elektronicznego wniosku kredytowego czy elektroniczne metody rekrutacji bez interwencji ludzkiej (motyw 71).

Pierwszym środkiem ochrony dla osoby fizycznej, której dane osobowe byłyby przetwarzane w sposób zautomatyzowany jest prawo do niepodlegania decyzji, która opiera się wyłącznie na takim przetwarzaniu (art. 22 ust. 1 RODO). Wolność od decyzji podjętej przy zastosowaniu AI warunkowana jest jednak dwoma czynnikami. Po pierwsze, decyzja musi być istotna w tym sensie, że wywołuje wobec danej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Po drugie, decyzja ta musi być oparta wyłącznie na zautomatyzowanym przetwarzaniu, jeśli więc na którymkolwiek z etapów procesu decyzyjnego udział brał człowiek, to przetwarzanie nie ma charakteru automatycznego (a jedynie półautomatyczny bądź nieautomatyczny). Jeśli więc decyzja nie jest istotna bądź oparta została na przetwarzaniu, w którym udział brał człowiek, to powyższe uprawnienie osobie fizycznej nie będzie przysługiwać.

Co więcej, prawo to nie będzie przysługiwało nawet wtedy, gdy decyzja będzie istotna oraz oparta wyłącznie na zautomatyzowanym przetwarzaniu, o ile – w myśl art. 22 ust. 2 RODO – decyzja ta:

  1. jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
  2. jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
  3. opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

Tutaj przechodzimy do drugiej grupy praw ochronnych przyznanych podmiotowi danych na mocy RODO, które mają zastosowanie, gdy podmiot ten podlega decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu.

Jeśli decyzja warunkuje zawarcie lub wykonanie umowy z administratorem bądź opiera się na wyraźnej zgodzie podmiotu danych, to administrator zobowiązany jest wdrożyć właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawo do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji. Jest to swoiste odwołanie się od decyzji podjętej w oparciu o przetwarzanie danych osobowych bez udziału człowieka, w tym przez systemy AI. Odwołanie polega na tym, że adresat decyzji (np. o odmowie przyznania kredytu) może zakwestionować decyzję i zażądać przeanalizowania jego sytuacji przez człowieka, który może dojść do innych wniosków niż algorytmy. Interwencja ludzka winna mieć charakter merytoryczny, a nie opierać się a priori na założeniu, że „algorytmy mają zawsze rację”.

Ponadto, bez względu na przesłankę stosowania decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu danych (w tym profilowaniu), decyzje te nie mogą opierać się na szczególnych kategoriach danych osobowych (tzw. danych wrażliwych). Od tej zasady przewidziano wyjątek. Otóż wydanie decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu (w tym profilowaniu) danych wrażliwych będzie dopuszczalne jeśli: (1a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach albo (1b) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą, a jednocześnie (2) istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.

Jak widać, regulacja ujęta w art. 22 RODO jest dość skomplikowana i wielopłaszczyznowa, niemniej istotna z punktu widzenia ochrony danych osobowych przetwarzanych przez sztuczną inteligencję. Oczywiście jest to też regulacja tylko wycinkowo odpowiadająca na wyzwania jakie niesie ze sobą AI, ponadto już dość leciwa biorąc pod uwagę przemiany zachodzące w tym obszarze. Nic więc dziwnego, że realną odpowiedzią UE na te wyzwania stanie się dopiero Akt w sprawie sztucznej inteligencji. Niezależnie od niego, omawiana regulacja RODO nadal będzie obowiązywać i warto o niej pamiętać.


Aktualizacja: 13 czerwca 2024 r. przyjęte zostało rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 - potocznie zwane aktem w sprawie sztucznej inteligencji albo AI Act, którego przepisy zaczną być stosowane stopniowo na przestrzeni lat 2025-27. Rozważania poczynione powyżej zachowały aktualność.


Wpisy powiązane:

Sztuczna inteligencja okiem UE

Dane w systemach AI

Wymogi dla systemu wysokiego ryzyka

Wykorzystanie AI w zatrudnieniu


🔝Prawo AI - wszystkie wpisy


Data publikacji: 12.01.2024

Data aktualizacji: 16.09.2024

Kontakt

Borek Doliński Radcowie Prawni spółka jawna

ul. Grunwaldzka 224b/9, 60-166 Poznań

office@bdrp.pl

[0048] 530 001 500 // 510 551 991

O nas

Specjalizujemy się w obsłudze prawnej biznesu, ze szczególnym uwzględnieniem branży IT.

Oferujemy najwyższą jakość świadczonego wsparcia prawnego, wysoką responsywność i osobiste zaangażowanie wspólników Kancelarii.