Tezę o potencjalnej sprzeczności tych dwóch regulacji postawiono w najnowszym raporcie Grupy Roboczej ds. Sztucznej Inteligencji (GRAI), działającej przy Ministerstwie Cyfryzacji. Przeanalizowano w nim, jak przepisy tzw. AI Act, czyli unijnego rozporządzenia, które ma kompleksowo uregulować kwestie dotyczące zastosowania sztucznej inteligencji, będą potencjalnie oddziaływać na inne akty prawne i ustawy.

Czytaj: Unijne rozporządzenie o sztucznej inteligencji nie wyeliminuje ryzyka nadużyć​ >>

Regulacje się uzupełnią czy wzajemnie wykluczą?

Jak wskazują autorzy raportu, zgodność projektowanego aktu z przepisami RODO jest jednym z ważniejszych zagadnień. Z zapowiedzi unijnego prawodawcy w momencie podejmowania prac nad AI Act wynikało, że oba akty mają się wzajemnie uzupełniać. Zakładano więc, że w AI Act znajdą się szczegółowe regulacje obejmujące tworzenie i stosowanie systemów wysokiego ryzyka, opartych na sztucznej inteligencji, a także wykorzystujących wrażliwe dane biometryczne. Samo rozporządzenie nie miało jednak tworzyć osobnej, samodzielnej podstawy prawnej do przetwarzania danych osobowych – unijny prawodawca zakładał, że podstawą w tym zakresie nadal będzie RODO.  

Zobacz też: Prawne aspekty sztucznej inteligencji >>

Autorzy raportu zaznaczają jednak, że przyjęty przez Parlament Europejski AI Act nie do końca odzwierciedla te intencje. Może mieć to spore konsekwencje – i doprowadzić do sprzeczności i wzajemnego wykluczania się przepisów, co w przyszłości spowoduje chaos.

- W konsekwencji brakuje doprecyzowania w art. 1 lub art. 2 AIA, że prawodawstwo Unii w zakresie ochrony danych osobowych, w szczególności RODO, ma zastosowanie do przetwarzania danych osobowych objętego również zakresem Aktu w sprawie sztucznej inteligencji, a ponadto, że AIA nie stoi na przeszkodzie zmianom RODO. Brak jest wyraźnego wskazania, że projektowane rozporządzenie nie wyłącza stosowania istniejących przepisów UE regulujących przetwarzanie danych, w tym w zakresie kompetencji właściwych organów nadzorczych – wskazano w raporcie.

Czytaj w LEX: Model systemowego przeciwdziałania dyskryminacji algorytmicznej - uwagi na tle projektu aktu w sprawie sztucznej inteligencji >

Czytaj: Coraz bliżej rewolucyjnych zmian w prawie dotyczącym sztucznej inteligencji​ >>

Mniejsza przejrzystość przepisów

Jako przykład wskazano przepis wprowadzający zakaz wykorzystywania systemów zdalnej identyfikacji biometrycznej w czasie rzeczywistym i w przestrzeni publicznej (zwłaszcza po to, by zapewnić przestrzeganie prawa). W AI Act znalazła się regulacja, która wprost tego zabrania – a jednocześnie „zazębia się” z zakazem przetwarzania danych biometrycznych służących do identyfikacji, który przewidziano w RODO. Wątpliwości dotyczyły także obowiązków w zakresie przejrzystości w odniesieniu do użytkowników systemów rozpoznawania emocji lub systemów kategoryzacji biometrycznej. AI Act rozszerza obowiązki przejrzystości wymagane przepisami RODO w przypadku przetwarzania danych biometrycznych, ponownie relacja między tymi dwoma aktami nie została jednak sprecyzowana.

Czytaj w LEX: Akt o sztucznej inteligencji [projekt UE] >

Wątpliwości ekspertów wzbudziła też kwestia nakładania kar administracyjnych przewidziana w obu regulacjach.

- Możliwy jest zbieg sankcji z art. 71 AI Act i art. 83 RODO. Należy przy tym zwrócić uwagę na istotne rozbieżności zakresowe co do okoliczności branych pod uwagę przy określaniu wysokości kary pieniężnej w obu regulacjach – wskazano w raporcie.

Czytaj w LEX: Agencja Unii Europejskiej ds. Cyberbezpieczeństwa, Dobre praktyki cyberbezpieczeństwa dla sztucznej inteligencji >

AI wymaga specyficznego podejścia

Adwokat Bartosz Łabęcki, associate w kancelarii KWKR Konieczny Wierzbicki i Partnerzy S.K.A zaznacza, że istotne jest zwrócenie uwagi na fakt, że przepisy RODO są dość ogólne. Ich stosowanie w kontekście przetwarzania danych przez sztuczną inteligencję może być trudne, bo nie bierze pod uwagę ich specyfiki.

-  Rozwój systemów sztucznej inteligencji stanowi wyzwanie dla ochrony danych osobowych z kilku powodów. Przede wszystkim, systemy AI mają zdolność do przetwarzania ogromnych ilości danych w ekspresowym tempie, co zwiększa ryzyko naruszeń danych. Ponadto, algorytmy AI mogą odkrywać związki i tworzyć profile na podstawie tzw. danych peryferyjnych, które na pierwszy rzut oka mogą wydawać się nieistotne lub niepowiązane ze sobą, co rodzi obawy dotyczące prywatności podmiotów danych. Poza tym, decyzje podejmowane przez systemy AI mogą być trudne do zrozumienia lub wyjaśnienia, co utrudnia kontrolę nad przetwarzaniem danych osobowych. Te wyzwania wymagają specjalnego podejścia i regulacji, aby zapewnić odpowiednią ochronę danych osobowych w erze rosnącego wpływu AI – ocenia adwokat.

Zobacz nagranie szkolenia w LEX: Prawne aspekty sztucznej inteligencji >

Dr Bartosz Marcinkowski, szef zespołu ochrony danych osobowych w kancelarii Domański Zakrzewski Palinka podkreśla, że sztuczna inteligencja i przetwarzanie danych są ze sobą nierozerwalnie powiązane, a praktyka stosowania AI Act siłą rzeczy będzie krzyżować się z praktyką stosowania norm ochrony danych osobowych. I niewątpliwie podczas stosowania obu aktów ujawnią się wątpliwości interpretacyjne – zarówno na poziomie unijnym, jak i w późniejszych regulacjach krajowych.

- Przerzucenie rozstrzygania wątpliwości w całości na przedsiębiorców wydaje się groźne dla środowisk biznesowych. Wynika to m.in. z surowości sankcji przewidzianych w AI Act i RODO (sięgają one 20 mln EUR lub 4 proc. rocznego światowego obrotu), ryzyk reputacyjnych i kosztów działań naprawczych. Wciąż możliwa jest zmiana propozycji regulacji AI Act na etapie prac legislacyjnych; tak można odczytywać wnioski płynące z polskiego Raportu Grupy Roboczej ds. Sztucznej Inteligencji z sierpnia 2023 r., wspólnego stanowiska Europejskiej Rady Ochrony Danych (EROD) i Europejskiego Inspektora Ochrony Danych (EIOD) z czerwca 2021 r. czy stanowiska francuskiego organu ochrony danych (CNIL) z kwietnia 2022 r. – wyjaśnia prawnik.

Czytaj też: RODO w IT: sztuczna inteligencja a dane osobowe - czy RODO definiuje AI oraz ML? >>

Nowość

Nowość

Prawo sztucznej inteligencji i nowych technologii 2

Bogdan Fischer, Adam Pązik, Marek Świerczyński

Sprawdź  

Szansa na częściową modyfikację

Jak przypomina dr Iga Małobęcka-Szwast, radca prawny w kancelarii prawnej Wardyński i Wspólnicy, w środowisku od początku wskazywano na problem braku jasnego określenia relacji między RODO a AI Act. Dlatego najnowsza wersja AI Act, przygotowana w Parlamencie Europejskim, rozstrzyga większość wątpliwości, które pojawiały się wcześniej.

- W wersji PE w wielu miejscach dodano odniesienia do RODO i rozwiązano – w mojej ocenie – problematyczne kwestie związane z postanowieniami projektu AIA w wersji Komisji w zakresie DPIA, danych biometrycznych, czy organu nadzoru – w tym zakresie dodano wymóg niezależności – wyjaśnia prawniczka.

Czytaj też: Człowiek i sztuczna inteligencja >>

Otwarte pozostaje jednak pytanie, która z wersji zostanie przyjęta. Obecnie trwają w tym zakresie tzw. trilogi, czyli tajne negocjacje pomiędzy PE, Komisją Europejską a Radą UE.

- Czysto hipotetycznie, jeżeli jednak sprzeczności między AI Act a RODO jednak by wystąpiły, to sądy krajowe, przed którymi pojawiłby się potencjalny spór dot. interpretacji RODO i AI Act, którego nie mogłyby rozwiązać samodzielnie, musiałyby zwrócić się z pytaniem prejudycjalnym do TSUE, który rozstrzygnąłby ewentualnie o takiej sprzeczności i w razie potrzeby stwierdził nieważność określonych przepisów AI Act – podsumowuje dr Małobęcka – Szwast.