Już na 6 grudnia b.r. zaplanowana jest następna sesja trilogu, czyli trójstronnych negocjacji między Parlamentem, Komisją a Radą UE, w toku których powstaje ostateczna wersja unijnego rozporządzenia w sprawie sztucznej inteligencji („AI Act”).

Zgodnie z projektem AI Act, w każdym państwie członkowskim UE powinien zostać ustanowiony właściwy, bezstronny organ, którego zadaniem będzie zapewnienie stosowania i wykonania AI Act. Pojawiają się sygnały, że regulatorem stojącym na straży zgodności z AI Act może stać się w Polsce Prezes Urzędu Ochrony Danych Osobowych. Mimo tego, RODO pozostanie w pełni niezależną od AI Act regulacją w zakresie ochrony danych osobowych. Oznacza to, że firmy budujące lub wdrażające systemy oparte na AI będą musiały przestrzegać nakazów i zakazów wynikających zarówno z AI Act, jak i RODO.

Czytaj też: Nowe podejście do ryzyka związanego z AI może zmniejszyć obawy użytkowników

Przy tej okazji warto przypomnieć kilka wybranych zasad wynikających z RODO, których powinny przestrzegać firmy budujące lub wdrażające systemy oparte na AI, użytkowane przez osoby z Europejskiego Obszaru Gospodarczego, w tym Polski lub przetwarzające dane takich osób. Zasady te zostały sformułowane w oparciu o dotychczasowe wypowiedzi organów nadzorczych z innych państw Unii Europejskiej oraz wytyczne brytyjskiego organu nadzorczego (ICO). Choć odrębne nakazy i zakazy mogą wynikać z AI Act, w niniejszym artykule skupiam się na zagadnieniach RODO.

Zasada nr 1: Zgodność z ogólnymi zasadami RODO

Przetwarzanie danych przez system AI musi być zgodne z ogólnymi zasadami przetwarzania danych zapisanymi w RODO, w szczególności zasadami zgodności z prawem, rzetelności i przejrzystości, zaś dane powinny być zbierane w konkretnych celach i ograniczone do tego, co niezbędne do realizacji tych celów (tzw. minimalizacja danych). Odrębne wymagania dotyczące przejrzystości systemów AI zostały sformułowane w AI Act.

W praktyce jednak, w niektórych systemach, takich jak np. Chat GPT lub systemach klasy Generative AI, które bardzo szeroko przetwarzają dane dostępne w internecie, przestrzeganie zasady przejrzystości lub minimalizacji może być niezwykle trudne lub niemożliwe. Do rozwoju takiego systemu może być potrzebny bardzo szeroki wachlarz danych, a przed zbudowaniem modelu i zrobieniem testów trudno jest ocenić jakie dane są przydatne. Ogromnym wyzwaniem dla organizacji korzystających z systemów opartych na AI stanie się też wyjaśnianie decyzji podjętych za pomocą sztucznej inteligencji.

Zasada nr 2: Podstawa prawna przetwarzania zgodna z RODO

Przetwarzanie danych osobowych przez system oparty na AI musi opierać się na jednej z podstaw określonych w art. 6 RODO – w szczególności taką podstawą może być zgoda, umowa lub uzasadniony interes. Przykładowo, włoski organ ochrony danych dopuścił dalsze przetwarzanie danych osobowych użytkowników systemu Chat GPT dla celów szkolenia algorytmu pod warunkiem, że oparte będzie ono na zgodzie użytkownika lub prawnie uzasadnionym interesie jako podstawie prawnej przetwarzania tych danych.

Brytyjski organ nadzorczy podkreśla przy tym, że w wielu przypadkach konieczne może być ustalenie odrębnej podstawy prawnej przetwarzania danych osobowych dla fazy „szkolenia” modelu i odrębnej na etapie jego wdrażania. Dzieje się tak dlatego, że każdy z tym etapów zakłada odrębne cele przetwarzania oraz powoduje różne zagrożenia.

 

Bogdan Fischer, Adam Pązik, Marek Świerczyński

Sprawdź  
POLECAMY

Zasada nr 3: Informowanie

Firma oferująca usługi z wykorzystaniem sztucznej inteligencji musi spełnić obowiązek informacyjny wynikający z RODO zarówno wobec osób, których dane zostały zebrane i przetworzone na potrzeby uczenia algorytmów, jak i wobec osób fizycznych będących użytkownikami systemu. Niezależnie, projekt AI Act nakłada dodatkowe obowiązki informacyjne na dostawców systemów sztucznej inteligencji wysokiego ryzyka.

W sprawie dotyczącej Chatu GPT włoski organ ochrony danych nakazał spółce Open AI opublikowanie na jej stronie internetowej informacji o sposobie przetwarzania danych osobowych, logice niezbędnego przetwarzania w celu działania usługi, w tym wszystkich jej istotnych funkcjach, prawach przysługujących osobom, których dane dotyczą, oraz wszelkich innych informacji wymaganych przez RODO.

Zasada nr 4: Realizacja praw jednostki

Osobom, których dane zostały wykorzystane w celu uczenia algorytmów, jak i użytkownikom usługi należy zapewnić możliwość skorzystania z tzw. praw jednostki przewidzianych w RODO, w szczególności prawo do żądania dostępu do danych, sprostowania danych oraz wniesienia sprzeciwu wobec przetwarzania danych. Przykładowo, użytkownik sieci społecznościowej powinien mieć prawo zaprotestować przeciwko wykorzystywaniu jego danych z Facebook’a do uczenia algorytmów albo wiedzieć w jakich celach te dane są wykorzystywane. Z kolei, w sprawie dotyczącej Chatu GPT włoski organ ochrony danych nakazał spółce Open AI udostępnienie narzędzia pozwalającego użytkownikom wniesienia sprzeciwu wobec przetwarzania ich danych osobowych pozyskanych w trakcie korzystania z usługi na potrzeby „trenowania” sztucznej inteligencji.

Zasada nr 5: Ocena skutków dla ochrony danych (DPIA)

W trakcie projektowania oraz przy wdrożeniu systemu opartego na AI, może powstać konieczność przeprowadzenia tzw. oceny skutków dla ochrony danych (DPIA). Ma to na celu identyfikację i minimalizację ryzyk związanych z potencjalnym naruszeniem ochrony danych (incydentem). Z projektu AI Act wprost wynika, że przeprowadzenia DPIA będą wymagały wszystkie systemy wysokiego ryzyka wymienione w Załączniku III do AI Act, np. systemy umożliwiające identyfikację i kategoryzację za pomocą biometrii czy przeznaczone do rekrutacji lub zarządzania pracownikami (np. w celu podejmowania decyzji o awansie i rozwiązaniu stosunku pracy).

Zasada nr 6: Eliminowanie ryzyka stronniczości 

Zaleca się, by twórcy systemów AI dążyli do eliminowania ryzyka stronniczości (tzw. bias) i dyskryminacji na wczesnym etapie rozwoju tych systemów. Przykładowo, bank tworzy system oparty na AI do obliczania ryzyka kredytowego potencjalnych klientów oraz do zatwierdzania i odrzucania wniosków kredytowych. System jest szkolony na dużym zbiorze danych zawierającym szereg informacji o poprzednich pożyczkobiorcach. Jednocześnie, w przeszłości, wnioski kredytowe składane przez kobiety były częściej odrzucane niż wnioski składane przez mężczyzn ze względu na niższe zarobki kobiet. W rezultacie, system sztucznej inteligencji może stawiać w gorszej sytuacji członków określonej grupy (kobiety).

Zdaniem brytyjskiego regulatora, sposobem na uniknięcie tych zagrożeń może być:

  1. przeprowadzenie oceny, czy gromadzone dane są dokładne, reprezentatywne, wiarygodne, istotne i aktualne w odniesieniu do populacji lub różnych grup osób, wobec których system będzie stosowany;
  2. zaprojektowanie prawdopodobnych skutków i konsekwencji decyzji podjętych przez system sztucznej inteligencji dla różnych osób.

Co istotne, projekt AI Act ustanawia nowa podstawę prawną przetwarzania danych szczególnych kategorii, czyli tzw. danych osobowych wrażliwych, np. dotyczących pochodzenia etnicznego czy orientacji seksualnej (art. 9 ust. 1 RODO). Mianowicie, dane te będą mogły być przetwarzane w zakresie, w jakim jest to bezwzględnie konieczne do celów zapewnienia wykrywania i korygowania negatywnych stronniczości w odniesieniu do systemów AI wysokiego ryzyka.

Zasada nr 7: Zapewnienie możliwości weryfikacji decyzji AI przez człowieka

RODO, co do zasady, zakazuje podejmowania decyzji, które opierają się wyłącznie na automatycznym przetwarzaniu danych i wywołują skutki prawne dla osoby, której dane dotyczą. Od tej zasady istnieją wyjątki. Niemniej jednak, zgodnie z RODO, gdy możliwość podejmowania całkowicie zautomatyzowanych decyzji przez system nie wynika z przepisów prawa, należy zapewnić użytkownikom możliwość weryfikacji podjętych decyzji przez człowieka.

Projekt AI Act rozszerza ochronę osób fizycznych przed automatycznymi decyzjami systemów wysokiego ryzyka opartych na sztucznej inteligencji. W przypadku tego typu systemów, dostawcy będą musieli wdrożyć szereg środków zapewniających możliwość nadzoru człowieka nad ich działaniem. Co więcej, obecny projekt AI Act zakłada, że w przypadku systemów sztucznej inteligencji przeznaczonych do stosowania w celu zdalnej identyfikacji biometrycznej osób fizycznych, konieczna będzie weryfikacja decyzji przez co najmniej 2 osoby fizyczne.

Agnieszka Zwierzyńska, adwokat, senior associate w kancelarii Łaszczuk i Wspólnicy