25 maja br. minie sześć lat od wdrożenia w Polsce unijnego rozporządzenia dotyczącego ochrony danych osobowych (RODO). I mimo że w tym czasie zdążyła się wykształcić praktyka stosowania przepisów, ustawa nadal jest problematyczna – o czym najlepiej świadczą wysokie kary nakładane na przedsiębiorców przez prezesa Urzędu Ochrony Danych Osobowych. Tymczasem już za moment firmy będzie czekać kolejne wyzwanie, czyli spełnienie obowiązków związanych z systemami opartymi na sztucznej inteligencji, które są coraz częściej wykorzystywane również przez przedsiębiorców. Rada Unii Europejskiej ostatecznie przyjęła bowiem kompleksową regulację w tym zakresie, czyli Akt o sztucznej inteligencji (AI Act). W Polsce również rozpoczęły się prace związane z koniecznością dostosowania przepisów krajowych do nowej regulacji. Jak wskazują eksperci, wielu przedsiębiorców, którzy będą wykorzystywać sztuczną inteligencję w ramach swojej działalności, muszą tak naprawdę dobrze opanować oba akty prawne, bo te w pewnych obszarach będą wzajemnie się uzupełniać. 

Czytaj też: Po sześciu latach RODO wciąż przysparza problemów

Relacja nie jest prosta

Dr Dominik Lubasz, radca prawny, wspólnik w kancelarii Lubasz&Wspólnicy przypomina, że zmiany zaproponowane przez Parlament Europejski, które sklaryfikowały relację RODO i AI Act zostały przyjęte podczas trójstronnych negocjacji, i ostatecznie znalazły się w przyjętej wersji Aktu o sztucznej inteligencji. Nie oznacza to jednak, że wszystkie problemy zostały rozwiązane.

- W AI Act wyraźnie zaznaczono, że przepisy w nim zawarte nie naruszają przepisów RODO. Nie jest to jednak prosta relacja oparta na zasadzie: przepis ogólny – przepis szczególny, bo oba akty prawne dotyczą tak naprawdę innych kwestii. W AI Act zawarto klasyfikację systemów opartych na sztucznej inteligencji bez względu na to, czy z ich wykorzystaniem przetwarzane są dane osobowe, czy też nie. RODO dotyczy z kolei tylko tych przypadków, w których dane osobowe są przetwarzane – wyjaśnia dr Lubasz.

Relacja AI Act i RODO jest również jednym z elementów dyskusji dotyczącej wdrożenia rozporządzenia w Polsce – i tego, jaki organ powinien odpowiadać za nadzór nad przestrzeganiem przepisów. Wśród propozycji pojawiał się m.in. Urząd Ochrony Danych Osobowych, ale zdecydowana większość uczestników prekonsultacji wskazywała na konieczność stworzenia całkowicie nowego urzędu. Przychyliło się do tego również Ministerstwo Cyfryzacji, które zapowiedziało utworzenie Komisji nadzoru nad sztuczną inteligencją.

Wszystko zależy od danych

Generalnie systemy oparte na sztucznej inteligencji są zróżnicowane, jednak – jak podkreślają prawnicy - problemy na pewno będą pojawiać się w ramach danych, które są wykorzystywane do trenowania algorytmów sztucznej inteligencji oraz danych wsadowych. Jak wyjaśnia Artur Piechocki, radca prawny, założyciel kancelarii APLAW, współzałożyciel i prezes Sądu Polubownego ds. Domen Internetowych przy Polskiej Izbie Informatyki i Telekomunikacji (PIIT), wśród takich danych mogą znaleźć się informacje na temat osób fizycznych, co oznacza, że możemy mieć do czynienia z przetwarzaniem danych osobowych. Jak zaznacza, duże znaczenie będzie mieć w tym kontekście to, o jakiego rodzaju systemie AI mówimy, największe problemy będą bowiem sprawiać te, które funkcjonują na zasadach otwartych – a więc korzystają z zasobów dostępnych w internecie.

- Wówczas trudno jest sprecyzować, jakie konkretnie dane są przetwarzane, a więc wzrasta również ryzyko potencjalnych naruszeń bezpieczeństwa ochrony danych osobowych. Inaczej będzie wyglądać sytuacja, w której algorytm AI jest „uczony” na danych dostarczanych przez firmę po to, by na przykład korzystać z systemu sztucznej inteligencji w ramach tej firmy. Dany przedsiębiorca może wówczas zidentyfikować, czy ma do czynienia z danymi osobowymi, i wyłączyć ich przetwarzanie w ramach systemu, ma nad tym kontrolę – mówi Artur Piechocki.

Polecamy też szkolenie online: Sztuczna inteligencja: zrozumieć, opanować, zastosować. Prawne aspekty funkcjonowania 

Oba rozporządzenia trzeba opanować 

A jeśli przedsiębiorca dojdzie do wniosku, że chce korzystać z danych osobowych (np. klientów czy dostawców) i przetwarzać je w ramach systemu sztucznej inteligencji? Dr Lubasz zaznacza, że wówczas, z perspektywy przedsiębiorcy, który będzie opracowywał i wdrażał system sztucznej inteligencji istotne jest to, by „wziął do ręki” oba akty prawne – bo do obu będzie się musiał stosować, jeśli opracowywany lub wdrażany system AI będzie wykorzystywał dane osobowe.

Czytaj też w LEX: Dane w inteligentnej fabryce - aspekty prawne >

Dr Lubasz przypomina, że w przyjętej wersji AI Act – art. 27 ust. 4 – wskazano, że na przykład przy wykonywaniu oceny skutków dla ochrony danych osobowych i oceny wpływu na prawa podstawowe (które są obowiązkiem na podstawie Aktu o sztucznej inteligencji) tych obowiązków nie trzeba będzie powtarzać, przynajmniej w tym zakresie, w jakim się pokrywają.

- Zasadniczo jednak pierwszym krokiem jest dokonanie kwalifikacji tego, kim jesteśmy - czy jesteśmy dostawcą, podmiotem stosującym, czyli wdrażającym system oparty na sztucznej inteligencji itp. Są wówczas konkretne przepisy, które będą nas dotyczyć. Nie możemy przy tym zapominać, że jeżeli w przypadku konkretnych systemów AI będziemy również kwalifikowani jako administratorami lub podmioty przetwarzające dane osobowe, to nadal będą nas także obowiązywały przepisy RODO – podkreśla prawnik.

Mec. Piechocki wskazuje też, że z perspektywy RODO warto, aby przedsiębiorca zastanowił się na przykład, czy uzyskał zgodę na przetwarzanie danych osobowych, a jeśli nie – czy może powołać się np. na uzasadniony interes. Jest też duże prawdopodobieństwo, że konieczna będzie aktualizacja obowiązku informacyjnego wobec podmiotów danych.

DEBATA ONLINE -AI w praktyce prawniczej – krok w nowoczesność czy skok w przepaść? -11 czerwca 2024 r., godz. 14:00 

LINK DO ZAPISÓW>>

Ryzyko we wszystkich kategoriach

Przypomnijmy, że jedną z istotnych zmian, które wprowadza AI Act, jest klasyfikacja systemów opartych na sztucznej inteligencji na podstawie czterech kategorii poziomów ryzyka: niedopuszczalnego, wysokiego, ograniczonego lub minimalnego (braku) ryzyka. Najbardziej restrykcyjnie mają być traktowane systemy zaliczone do pierwszej kategorii, ich użycie ma być bowiem całkowicie zakazane. Chodzi o sytuacje, w których sztuczna inteligencja jest wykorzystywana do pozyskiwania danych wyjątkowo wrażliwych, takich jak dane biometryczne. 

Polecamy też szkolenie online: Sztuczna inteligencja w HR > 

Czy to oznacza, że jeśli przedsiębiorca dojdzie do wniosku, że wykorzystywany przez niego system nie zostanie zakwalifikowany do kategorii niedopuszczalnego lub wysokiego ryzyka może uznać, że z perspektywy RODO również wszystko jest w porządku? Niekoniecznie. Jak wskazują eksperci, wbrew pozorom nawet w przypadku systemów niskiego i ograniczonego ryzyka może dojść do naruszeń w ramach przetwarzania danych osobowych.

- Dlatego, choć nie wymagają one aż tak zaawansowanych działań ze strony podmiotu, rekomendowałbym jednak przeprowadzenie analiz ryzyka – mówi mec. Piechocki.

Jako przykład ekspert podaje sklep internetowy, w którym klient może zgłosić reklamację na czacie opartym na sztucznej inteligencji. Teoretycznie nie rodzi to dużego ryzyka naruszenia danych, ale wiadomo, że taki klient będzie musiał jakoś się zidentyfikować, natomiast chatbot będzie przetwarzał jego dane osobowe.

- Cele i sposób tego przetwarzania nie tylko powinny być jasne dla podmiotu danych, ale również być zgodne z przyczynami, dla których korzysta z chatbota. W innym przypadku, gdy na przykład chcemy te dane wykorzystać do działań marketingowych, czy mierzenia skuteczności funkcjonowania chatbota, to zmianie ulega cel przetwarzania danych osobowych, a w konsekwencji również obowiązek informacyjny – wyjaśnia mec. Piechocki.

Przypomnijmy, że AI Act został w tym tygodniu ostatecznie przyjęty przez Radę Unii Europejskiej. Rozporządzenia co do zasady stosuje się bezpośrednio, w tym przypadku przepisy będą musiały być jednak częściowo implementowane w państwach członkowskich. Musi to nastąpić w ciągu dwóch lat od publikacji regulacji w Dzienniku Urzędowym UE. 

Zobacz też szkolenie online: Akt w sprawie sztucznej inteligencji (AI Act) i RODO – punkty styku, podobieństwa i róż >

Prawo sztucznej inteligencji i nowych technologii 3

Bogdan Fischer, Adam Pązik, Marek Świerczyński

Sprawdź