Brak odpowiednich danych, w tym danych osobowych, które mogą służyć do szkolenia AI, brak wsparcia ze strony jednostki nadrzędnej/organizacji macierzystej i ze strony regulatorów, obawy etyczne lub reputacyjne związane ze stosowaniem AI i skomplikowane regulacje dotyczące AI - to główne wyzwania, z jakimi mierzą się podmioty publiczne i prywatne w zakresie sztucznej inteligencji i ochrony danych osobowych – wynika z badania UODO. Co więcej, aż 95,9 proc. organizacji ocenia się jako niegotowych lub niepewnych co do gotowości do stosowania przepisów RODO w kontekście wykorzystania AI.
Urząd Ochrony Danych Osobowych opublikował „Raport Strategiczny. Badanie potrzeb organizacji w zakresie wykorzystania sztucznej inteligencji i ochrony danych osobowych”. Badanie zostało zrealizowane w ramach działalności Społecznego Zespołu Ekspertów przy Prezesie UODO – Grupy roboczej ds. SI. Raport opracowali Maria Drabczyk, prezeska Fundacji Centrum Cyfrowe, ekspertka Społecznego Zespołu Ekspertów przy Prezesie UODO – Grupy roboczej ds. SI oraz dr hab. Dominik Lubasz, radca prawny, ekspert Społecznego Zespołu Ekspertów przy Prezesie UODO – Grupy roboczej ds. SI. Badanie zostało przeprowadzone, by zidentyfikować: rzeczywiste potrzeby organizacji w zakresie odpowiedzialnego i zgodnego z RODO wykorzystywania sztucznej inteligencji; obszary, w których niezbędne jest wsparcie edukacyjne, techniczne i prawne ze strony prezesa UODO; stopnień przygotowania organizacji do opracowywania i wykorzystywania systemów AI, a także poziom świadomości dotyczący przetwarzania danych osobowych w kontekście AI; największe bariery, wyzwania oraz obszary ryzyka oraz preferowane formy wsparcia i deklarowanej gotowości do współpracy z prezesem UODO.
Co ważne, badanie jest silnie zdominowane przez sektor publiczny – zarówno administrację samorządową, jak i jednostki organizacyjne, edukację, zdrowie i kulturę (89,2 proc. ogółu uczestników badania). Podmioty prywatne oraz przedstawiciele organizacji społecznych i branżowych, które również wzięły w nim udział, stanowiły istotną mniejszość (łącznie 11 proc. próby badania ilościowego).
Obecnie 42,7 proc. badanych organizacji w ogóle nie stosuje AI, a około 40 proc. znajduje się w fazie pilotażu, zainteresowania lub planowania. Jedynie w przypadku 16,7 proc. podmiotów AI jest realnie obecna w codziennych operacjach. Kolejna część badanych (16,3 proc.) jest zainteresowana wykorzystaniem sztucznej inteligencji, ale nie wie, jak zacząć.
Według autorów raportu, w przypadku sektora prywatnego badanie wskazało na różnice w podejściu i świadomości pomiędzy dużymi a małymi przedsiębiorcami oraz branżami, a także na ewolucję trendów od początkowego entuzjazmu do bardziej dojrzałego wdrożenia rozwiązań. - Część przedsiębiorców (szczególnie tych większych, posiadających zasoby, lub tych merytorycznie związanych z AI), podchodzi do AI z większą dojrzałością, m.in. opracowując polityki wewnętrzne i skupiając się na konkretnych zastosowaniach, a nie na ogólnych modelach. Równocześnie w opinii części respondentów, początkowy entuzjazm opadł, a przedsiębiorcy zaczęli dostrzegać koszty i złożoność wdrożeń. Zwrócono również uwagę na obawy dotyczące bezpieczeństwa danych i zaufania do dostawców narzędzi AI, szczególnie w kontekście narzędzi od dużych spółek technologicznych – czytamy w raporcie.
Jednocześnie raport potwierdza, że brak powszechnej dojrzałości technologicznej stwarza potencjał dla wsparcia odpowiedzialnego wdrażania AI, zwłaszcza w mniejszych podmiotach oraz tych, które dopiero rozważają adopcję rozwiązań opartych o sztuczną inteligencję.
Analiza badania doprowadziła jego autorów do wniosku, że najczęściej AI jest wykorzystywana do automatyzacji procesów administracyjnych (41,2 proc. badanych), analityki danych i prognozowania (31 proc.), personalizacji usług (11,1 proc.), a także do obsługi klienta, obywatela (chatbot’y, voicebot’y) – 28 proc. Ponadto sztuczna inteligencja stanowi wsparcie w badaniach i rozwoju (28,2 proc.), a dla urzędników jest wsparciem w procesie stanowienia prawa i podejmowania decyzji.
- Znaczna część organizacji, korzystających z systemów AI, przede wszystkim stosuje je jako wsparcie administracyjne lub komunikacyjne, usprawniające codzienne zadania – czytamy w raporcie.
Jak zauważają autorzy badania, AI jest wykorzystywana przede wszystkim jako narzędzie usprawniające procesy administracyjne i komunikacyjne, a nie jako technologia decyzyjna lub wysokiego ryzyka. Zastosowania o charakterze eksperckim i specjalistycznym rosną, ale pozostają znacząco mniej rozpowszechnione. Przewagę mają natomiast zastosowania operacyjne, wspierające codzienną pracę pracowników i urzędników, tym co wykazało badanie jakościowe mające na celu zwiększenie efektywności pracy i komunikacji wewnątrz organizacji. - Niedoszacowanie niektórych obszarów użycia zwłaszcza w kontekście prac biurowych, w tym odnoszących się do tworzenia tekstów, może wynikać ze zjawiska niekontrolowanego wykorzystywania AI przez pracowników, tj. tzw. shadow AI – zauważają autorzy badania.
Dr hab. Dominik Lubasz zwraca uwagę na jeszcze jeden aspekt ujawniony w badaniu: – Rzeczywista skala wykorzystania AI jest prawdopodobnie znacznie większa niż wynikałoby to z deklaracji badanych organizacji. Wskazuje na to zjawisko tzw. shadow AI, czyli niekontrolowanego wykorzystywania narzędzi sztucznej inteligencji przez pracowników, bez wiedzy i zgody pracodawcy. Pracownicy korzystają z ChatGPT, Copilota czy innych narzędzi generatywnych w codziennej pracy biurowej, często wprowadzając do nich dane osobowe, nie zdając sobie sprawy z konsekwencji prawnych takich działań. To potęguje problem systemowy, bo oznacza, że dane osobowe są przetwarzane z wykorzystaniem AI nawet tam, gdzie organizacja oficjalnie deklaruje, że AI nie stosuje – podkreśla współautor raportu.
Czytaj również: Pracownik może stracić pracę za wyręczanie się sztuczną inteligencją>>
41 proc. uczestników badania zapytanych o to, czy w ich organizacji opracowanie systemów AI będzie się wiązało lub wiąże się z przetwarzaniem danych osobowych, uważa, że opracowywanie AI nie wiąże się z przetwarzaniem danych osobowych lub nie potrafi ocenić tej kwestii. Dodatkowo ponad 30 proc. badanych nie ma doświadczenia z opracowaniem systemów AI.
Co ciekawe, poziom świadomości dotyczącej przetwarzania danych osobowych w kontekście AI, w sektorze prywatnym respondenci wiązali ze strukturą organizacji, wskazując na wysoką świadomość u dużych przedsiębiorców oraz istotne braki edukacyjne u mniejszych podmiotów, a także na potrzebę praktycznych szkoleń i wytycznych. – czytamy w raporcie strategicznym UODO. Respondenci wskazali, że wielu przedsiębiorców deklaruje znajomość obowiązków związanych z RODO, jednak rzeczywista zgodność jest trudna do osiągnięcia, a obawy dotyczące bezpieczeństwa danych są jednym z głównych powodów niewdrażania AI.
Największe luki świadomości występują u podmiotów, które tradycyjnie przetwarzają dużą ilość danych osobowych: samorządy, uczelnie i ośrodki edukacyjne, zdrowie, kultura, a także u mniejszych przedsiębiorców. Jeśli zaś chodzi o sektor prywatny, to - zdaniem autorów raportu - można wyciągnąć wniosek, że poziom świadomości dotyczącej przetwarzania danych osobowych w kontekście AI jest silnie zróżnicowany w zależności od wielkości i typu organizacji. Duzi przedsiębiorcy charakteryzują się wyższą świadomością i lepszą znajomością przepisów, jednak u mniejszych podmiotów wciąż występują poważne braki edukacyjne oraz potrzeba praktycznych szkoleń i jasnych wytycznych. Pomimo deklarowanej znajomości obowiązków wynikających z RODO, rzeczywiste wdrożenie zgodnych z prawem rozwiązań jest dla wielu organizacji wyzwaniem, a obawy związane z bezpieczeństwem danych stanowią istotną barierę dla wdrażania systemów AI.
Wyniki w obu sektorach wskazują, że skuteczna implementacja zgodności AI z przepisami o ochronie danych osobowych wymaga podnoszenia świadomości już na bardzo podstawowym poziomie począwszy od aspektów definicyjnych.
Dr hab. Dominik Lubasz podkreśla: – Dane, które uzyskaliśmy w badaniu, jednoznacznie wskazują, że mamy do czynienia z problemem systemowym, a nie jedynie z punktowymi brakami wiedzy. Skoro blisko 96 proc. organizacji ocenia się jako nieprzygotowane lub niepewne w zakresie stosowania RODO w kontekście AI, a jednocześnie 41 proc. nie widzi związku między opracowywaniem systemów AI a przetwarzaniem danych osobowych, to znaczy, że luka świadomości dotyczy już samych fundamentów – rozumienia, czym w ogóle jest przetwarzanie danych osobowych w kontekście sztucznej inteligencji. To nie jest kwestia niuansów prawnych, lecz najbardziej podstawowych pojęć.
Jak zaznacza dr hab. Lubasz: – Szczególnie niepokojące jest to, że największe luki świadomości występują w podmiotach, które na co dzień przetwarzają ogromne wolumeny danych osobowych – samorządach, szkołach, uczelniach, instytucjach kultury czy podmiotach leczniczych. To właśnie te organizacje powinny mieć najwyższy poziom gotowości, a tymczasem badanie pokazuje coś zupełnie odwrotnego.
Zdaniem respondentów sektora prywatnego, priorytetem powinna być analiza ryzyka. To powinien być punkt wyjścia przy wdrażaniu AI, szczególnie w kontekście ochrony danych osobowych. Opracowanie wytycznych i wzorcowej dokumentacji w tym zakresie jest kluczowe dla mniejszych organizacji.
Według autorów badania, potrzeby kompetencyjne organizacji nie ograniczają się do ogólnego, deklaratywnego rozumienia sztucznej inteligencji czy przepisów prawa. - Instytucje potrzebują przede wszystkim konkretnej, operacyjnej wiedzy techniczno-prawnej, która pozwoli im realnie działać: rozumieć, jakie dane mogą bezpiecznie przetwarzać, jak zgodnie z RODO wdrażać i testować rozwiązania AI, jak oceniać ryzyka oraz jak interpretować złożone regulacje w codziennej praktyce - czytamy. Z raportu wynika, że sektory publiczny i prywatny różnią się w kontekście tego, kto przede wszystkim powinien być adresatem działań edukacyjnych. W sektorze publicznym to kadra zarządzająca wskazywana jest jako kluczowa dla wdrożenia AI (nadaje ton działania organizacji), a w sektorze prywatnym z kolei wiedza niezbędna jest przede wszystkim na poziomie operacyjnym i eksperckim.
Co ciekawe, zdecydowanie najczęściej wskazywanymi problemami są:
- Oznacza to, że adopcja AI jest ograniczana nie przez technologię samą w sobie, lecz przez brak jasnych ram, zasobów, wsparcia i bezpiecznych warunków do jej odpowiedzialnego wykorzystania, a obawy organizacyjne i regulacyjne dominują nad barierami stricte technologicznymi, z zastrzeżeniem związanym z obawami o brak dostępności odpowiednich danych w tym danych osobowych – napisali we wnioskach autorzy raportu.
– Jednym z najważniejszych wniosków z badania jest to, że bariery wdrażania AI mają przede wszystkim charakter organizacyjny i regulacyjny, a nie technologiczny. Organizacje nie mówią: „nie mamy technologii”. Mówią: „nie mamy jasnych zasad, wsparcia i poczucia bezpieczeństwa prawnego”. Brak wsparcia ze strony regulatorów znalazł się na trzecim miejscu wśród najczęściej wskazywanych barier – ze wskazaniem aż 417 organizacji. To jest jasny mandat dla Prezesa UODO, by przejąć aktywną rolę nie tylko nadzorczą, lecz przede wszystkim edukacyjną i wspierającą – zaznacza dr hab. Lubasz.
Współautor raportu dodaje: – Badanie jakościowe, które przeprowadziliśmy wśród organizacji parasolowych sektora prywatnego, potwierdziło te tendencje. Respondenci wprost wskazywali na potrzebę zmiany narracji – aby Prezes UODO był postrzegany nie tylko jako organ nakładający kary, ale przede wszystkim jako instytucja edukująca i wspierająca rynek. Budowanie zaufania, a nie strach przed sankcjami, jest wskazywanym motorem napędowym zgodności z przepisami o ochronie danych osobowych w kontekście AI.
Zdaniem dr. hab. Dominika Lubasza kluczowe znaczenie raportu wykracza daleko poza samą diagnozę stanu faktycznego. – Ten raport to przede wszystkim fundament i punkt wyjścia dla dalszych działań Prezesa UODO. Badanie zostało przeprowadzone nie po to, żeby opisać problem i odłożyć go na półkę, lecz po to, żeby uruchomić konkretny program wsparcia. Kolejnym etapem powinna być teraz ocena przez Prezesa UODO rekomendacji sformułowanych w raporcie i po ich akceptacji – przystąpienie do ich realizacji. To jest właściwy moment, w którym diagnoza musi przejść w działanie – podkreśla współautor raportu.
Dr hab. Dominik Lubasz wskazuje, że absolutnie kluczowe na etapie wdrażania rekomendacji będzie ich praktyczny i sektorowy charakter. – Z badania jednoznacznie wynika, że organizacje nie potrzebują kolejnych ogólnych deklaracji ani abstrakcyjnych wytycznych. Respondenci ocenili praktyczne wytyczne najwyżej spośród wszystkich form wsparcia – na 4,57 w skali pięciostopniowej. To wyraźny sygnał: rynek oczekuje konkretnych, operacyjnych narzędzi, które będzie można wdrożyć „tu i teraz” – wyjaśnia.
– Dlatego tak istotne jest, by narzędzia i wytyczne, które Prezes UODO opracuje w następstwie tego raportu, były zindywidualizowane sektorowo i bardzo praktyczne. Sytuacja samorządu wdrażającego chatbota do obsługi interesantów jest zupełnie inna niż szpitala wykorzystującego AI do wsparcia diagnostycznego, a ta z kolei inna niż sytuacja MŚP, które dopiero rozważa adopcję narzędzi generatywnych. Każdy z tych podmiotów potrzebuje odrębnej ścieżki wsparcia – dedykowanych checklist, wzorcowych DPIA, procedur i analiz ryzyka dopasowanych do specyfiki danego sektora. Uniwersalne, ogólne rekomendacje po prostu nie zadziałają wobec tak zróżnicowanego rynku – podkreśla dr hab. Lubasz.
– Raport jest elementem programu AIDA – AI i Dane Osobowe – Aktywne Wsparcie, co samo w sobie pokazuje, że Prezes UODO traktuje tę kwestię kompleksowo i programowo, a nie incydentalnie. Badanie objęło 492 organizacje w komponencie ilościowym i siedem organizacji parasolowych w badaniu jakościowym – to pierwszy w Polsce przekrojowy obraz gotowości instytucji publicznych i prywatnych do odpowiedzialnego wdrażania AI zgodnie z RODO i AI Act – przypomina dr hab. Lubasz.
– Teraz najważniejsze jest, żeby rekomendacje nie pozostały na papierze. Pakiet „AI Compliance Starter”, sektorowe ścieżki wsparcia, wzorcowe DPIA, mapy decyzyjne, repozytorium zagrożeń i dobrych praktyk, program edukacyjny – to wszystko powinno powstać w najbliższych miesiącach i dotrzeć do organizacji w formie, która pozwoli im realnie działać. Rynek czeka na te narzędzia, a badanie jasno to potwierdza. Z perspektywy współautora raportu mogę powiedzieć, że mamy solidną bazę diagnostyczną. Teraz czas na realizację – podsumowuje dr hab. Dominik Lubasz.
