Wejście w życie rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji – tzw. AI Act – stanowi pierwszą próbę prawnej regulacji funkcjonowania systemów sztucznej inteligencji. W praktyce jednak akt prawny budzi wiele kontrowersji dotyczących m.in. prawa autorskiego, odpowiedzialności za szkody wywołane przez AI, ale także przetwarzania danych osobowych. Czy przepisy w sprawie sztucznej inteligencji zmieniają zasady przetwarzania danych osobowych?
Podstawowe informacje na temat wdrożenia RODO oraz AI do porządku prawnego
Unijny ustawodawca przyjął całkowicie odmienną strategię dla wymogów, jakie musi spełnić podmiot objęty zakresem działania rozporządzenia AI Act oraz RODO. W pierwszym przypadku wymaga się wdrożenia różnego rodzaju standardów oraz mechanizmów dotyczących m.in.:
- zarządzania ryzykiem;
- zarządzania danymi;
- dokumentacji technicznej;
- obowiązków w zakresie przejrzystości;
- oceny wpływu na prawa podstawowe.
Trzeba jednak zdawać sobie sprawę, że sam AI ACT nie przyznaje użytkownikom żadnych uprawnień (co ciekawe, robi to dyrektywa AILD, która nie została jeszcze uchwalona).
W przypadku RODO wygląda to zupełnie inaczej, ponieważ rozporządzenie nie wskazuje, co dokładnie należy zrobić, ale określa rezultat, jaki ma zostać osiągnięty. Tym rezultatem jest przede wszystkim zabezpieczenie ochrony danych oraz umożliwienie osobom, których dane są przetwarzane, realizację przysługujących im uprawnień.
Do których systemów sztucznej inteligencji odnosi się RODO, a do których AI Act?
Nowe prawo unijne obejmujące AI dotyczy zastosowania sztucznej inteligencji. Trzeba jednak pamiętać, że rozporządzenie odnosi się przede wszystkim do systemów sztucznej inteligencji wysokiego ryzyka (ang. high-risk AI). Oznacza to, że do tych systemów stosuje się równolegle akt o sztucznej inteligencji oraz RODO. Do pozostałych osiągnięć nowych technologii stosuje się wyłącznie RODO.
AI Act a ogólne rozporządzenie o ochronie danych osobowych. Jak stosować je jednocześnie?
Przede wszystkim warto zwrócić uwagę na brzmienie pkt 1.2 Preambuły AI Act. Unijny ustawodawca wskazał w nim, że regulacja AI Act nie narusza w żaden sposób rozporządzenia RODO 2016/679. Oznacza to, że oba akty prawne funkcjonują na jednej płaszczyźnie uzupełniając się wzajemnie.
Twórcy AI, a także dostawcy i operatorzy systemów podlegają dokładnie takim samym zasadom w zakresie przetwarzania danych, jak wszyscy inni uczestnicy rynku. Można powiedzieć, że zarządzanie ryzykiem przy projektowaniu oraz korzystaniu z systemów sztucznej inteligencji musi uwzględniać zarówno podstawy legalizujące przetwarzanie danych osobowych, jak i zasady zarządzania nimi.
W praktyce niektóre systemy oparte na sztucznej inteligencji muszą więc spełniać oba reżimy norm – aktu w sprawie AI oraz RODO. Część z nich będzie się pokrywała, np. ograniczenia w zakresie zautomatyzowanego przetwarzania danych osobowych i wykorzystanie modeli sztucznej inteligencji, które bazują na podprogowej ingerencji w zachowanie osób fizycznych.
Nie zawsze jednak tak musi być, dlatego wykorzystanie sztucznej inteligencji powinno być poprzedzone audytem zarówno w zakresie przepisów AI Act, jak i RODO.
W jaki sposób trenować generatywne modele sztucznej inteligencji w zgodzie z RODO?
Obecnie dużą popularnością cieszą się narzędzia bazujące na generatywnej sztucznej inteligencji. Można do niej zaliczyć m.in. Chat GPT, Dall-E, Google Bard czy Jasper. Ich wspólnym mianownikiem jest to, że do wykorzystania AI niezbędne jest jej „trenowanie”, czyli dostarczanie zasobów oraz modyfikowanie parametrów w celu uzyskania możliwie trafnych rezultatów.
Obecnie organy regulacyjne zajmujące się sektorem danych osobowych nie wypracowały jednolitego stanowiska co do tego, czy takie AI może przetwarzać dane osobowe użytkowników w celu rozwoju. Dobrym przykładem jest orzeczenie włoskiego GPDP, który uznał, że dopuszczalne jest odwołanie się przez administratora danych osobowych do przesłanki uzasadnionego interesu (art. 6 ust. 1 pkt f RODO).
Można liczyć się z tym, że w celu uniknięcia niejasności i ryzyka dotkliwej sankcji projektanci narzędzi sztucznej inteligencji w przyszłości wprowadzą możliwość wycofania zgody albo złożenia sprzeciwu przez użytkownika na wykorzystanie jego danych osobowych z zastrzeżeniem, że wpłynie to na funkcjonalność oprogramowania.
Dlaczego wdrożenie AI Act i RODO jest tak ważne?
Pomijając ryzyko wysokich kar związanych z zignorowaniem unijnych przepisów zarówno rozwiązania AI Act, jak i rozporządzenie RODO kreują zobowiązania compliance po stronie przedsiębiorców. Spełnienie wymagań wskazanych w normach prawnych gwarantuje prowadzenie działalności gospodarczej zgodnie z prawem.
W obu przypadkach warto pamiętać, że audyty compliance powinny być przeprowadzane cyklicznie i powtarzany za każdym razem, kiedy wdrożone zostaną nowe rozwiązania modyfikujące już istniejące procesy.
Kto będzie zajmował się oceną wykorzystywania sztucznej inteligencji?
Zgodność narzędzi AI oraz zasad przetwarzania danych osobowych będzie podlegała w Polsce (podobnie jak zapewne w innych krajach UE) pod ten sam organ regulacyjny. Poszerzenie kompetencji Urzędu Ochrony Danych Osobowych sprawi, że przedsiębiorcy będą mogli być kontrolowani na dwóch płaszczyznach równolegle.
Wątpliwości i prawne problemy ze sztuczną inteligencją powodują, że wzrasta ryzyko zaistnienia chilling effectu wśród producentów systemów obawiających się wysokich sankcji za niespełnienie nowych wymagań lub też nieumiejętne połączenie systemu SI z regulacjami RODO.
Odpowiedzialne zarządzanie ryzykiem i dostarczenie narzędzi, które są nie tylko efektywne, ale również działają zgodnie z RODO i AI Act wymaga wsparcia profesjonalistów. Zapraszamy do współpracy zarówno podmioty zajmujące się projektowaniem AI, jak i przedsiębiorców, którzy je wykorzystują. Nasza kancelaria specjalizuje się w prawie nowych technologii i oferuje w tym zakresie kompleksowe wsparcie.