AI Act a RODO: kluczowe zmiany i wyzwania dla firm w erze sztucznej inteligencji

Trwa wyścig związany z rewolucją AI. Zmienia to reguły gry w biznesie, bo daje dużą przewagę firmom, które wdrożyły taką nowoczesną technologię. Wprowadzanie innowacji należy jednak pogodzić z przestrzeganiem przepisów, aby uniknąć kar i budować zaufanie klientów. Ten artykuł przedstawia, jak rozporządzenie o sztucznej inteligencji (AI Act) zmieniło zakres obowiązków wynikających z RODO.

Czym jest sztuczna inteligencja

Technologie sztucznej inteligencji rozwijają się w błyskawicznym tempie. Stale zwiększa się ich wpływ na poszczególne branże gospodarki. Jesteśmy świadkami rewolucji w dziedzinie gromadzenia, przetwarzania i wykorzystywania danych. Dynamiczne zmiany niosą za sobą nowe wyzwania dotyczące poszanowania poufności, z czym wiąże się wymóg działania w sposób przejrzysty i odpowiedzialny.

AI Act wprowadził nowy termin: „system sztucznej inteligencji”. Zgodnie z definicją jest to system, który analizuje wprowadzone do niego dane w celu wytworzenia innych danych, takich jak prognozy, nowe treści, zalecenia lub nawet decyzje. Taki system może działać na różnych poziomach niezależności od człowieka, w zależności od skonfigurowanych ustawień.

Można więc powiedzieć, że system sztucznej inteligencji to narzędzie, które umożliwia analizowanie dużych ilości danych w celu pozyskania wiedzy, a następnie identyfikowania prawidłowości i wzorców, które zostaną wykorzystane do wygenerowania zaleceń lub decyzji.

Jak bezpiecznie korzystać z AI w pracy – szkolenie dla pracowników

AI to nie tylko duże modele językowe, jak Gemini czy ChatGPT (udostępniany w ramach usługi Microsoft Copilot). Sztuczna inteligencja jest wykorzystywana na przykład w usługach streamingowych, aby rekomendować użytkownikowi filmy na podstawie tego, co wcześniej już oglądał bądź co oglądali użytkownicy, którzy mają zbliżone upodobania filmowe.

AI mogą też ratować życie, są bowiem wykorzystywane w branży medycznej do analizy zdjęć rentgenowskich i obrazów z rezonansu magnetycznego. Dzięki wiedzy pozyskanej z dużych zbiorów obrazów medycznych możliwa jest identyfikacja istniejących wzorców i potencjalnych anomalii.

Możliwości systemów AI są ogromne, należy jednak zadbać, by ich działanie było zgodne z prawem.

Zasady wynikające z RODO a AI Act

Zgodność z prawem

Przepis art. 5 ust. 1 lit. a RODO wymaga, by przetwarzanie danych było zgodne z prawem. Oznacza to, że dane mogą być przetwarzane tylko wtedy, gdy ma to odpowiednią podstawę prawną, taką jak zgoda, umowa, obowiązek prawny czy uzasadniony interes (art. 6, 9 i 10 RODO). Wymóg ten muszą spełniać także systemy sztucznej inteligencji, które przetwarzają dane osobowe.

AI Act rozszerza powyższą zasadę w ten sposób, że wskazuje konkretne rodzaje systemów AI, których używanie jest zakazane (art. 5 ust. 1 AI Act). Na przykład zakazane jest korzystanie z systemu, który dokonuje tzw. oceny społecznej jednostki (social scoring), jeżeli taka ocena będzie prowadzić do krzywdzącego lub niekorzystnego traktowania niektórych osób fizycznych lub grup osób. Innym przykładem może być zakaz korzystania z systemów AI, które tworzą bazy danych przez nieukierunkowane pozyskiwanie (ang. untargeted scraping) wizerunków twarzy z internetu lub nagrań z telewizji przemysłowej.

Rzetelność

W art. 5 ust. 1 lit. a RODO wskazano również, że przetwarzanie danych musi być rzetelne. To szerokie pojęcie, przez które należy rozumieć potrzebę uwzględnienia zasad współżycia społecznego, w tym interesów i rozsądnych oczekiwań osób, których dane dotyczą.

AI Act nie precyzuje pojęcia rzetelności, niemniej wzmacnia potrzebę rzetelnego działania dzięki wprowadzeniu zakazu korzystania z systemów AI, które wykorzystują techniki podprogowe, manipulacyjne lub wprowadzające w błąd (art. 5 ust. 1 lit. a AI Act) bądź wykorzystują słabości osób lub grup osób spowodowane przez ich wiek, niepełnosprawność lub szczególną sytuację społeczną lub ekonomiczną (art. 5 ust. 1 lit. b AI Act).

Przejrzystość

Kolejną zasadą wynikającą z art. 5 ust. 1 lit. a RODO jest przejrzystość. Nakazuje ona, by przetwarzanie danych było przejrzyste dla osób, których dane dotyczą. Również AI Act wymaga podstawowego poziomu przejrzystości dla wszystkich systemów sztucznej inteligencji, które wchodzą w bezpośrednią interakcję z ludźmi. Zatem użytkownik musi być poinformowany, że kontaktuje się z AI. W tym zakresie wystarczy przekazanie komunikatu o tym, że na przykład czat nie jest prowadzony z człowiekiem. Taki komunikat będzie zbędny, jeżeli okoliczności i kontekst sytuacji wskazują, że prowadzenie rozmowy z AI jest oczywiste dla odpowiednio poinformowanej, uważnej i ostrożnej osoby (art. 50 ust. 1 AI Act).

Jeżeli systemy AI generują treść w postaci dźwięków, obrazów, wideo lub tekstu, to efekty ich działania powinny być wykrywalne jako sztucznie wygenerowane lub zmanipulowane (art. 50 ust. 2 i 4 AI Act). Stosowanie systemów rozpoznawania emocji lub kategoryzacji biometrycznej także wymaga poinformowania o tym osób, których dane dotyczą (art. 50 ust. 3 AI Act).

Wyższy poziom przejrzystości jest wymagany w przypadku systemów AI wysokiego ryzyka. Są to systemy AI, które mogą wywierać niekorzystny wpływ na bezpieczeństwo i prawa podstawowe obywateli. Dostawca systemu AI wysokiego ryzyka udostępnia podmiotowi stosującemu taki system „instrukcję obsługi”, która informuje w sposób zwięzły, kompletny, poprawny i jasny, w jaki sposób działa system AI (art. 13 AI Act). Przekazane informacje mają ułatwić zrozumienie czynników, które wpływają na wybory podejmowane przez sztuczną inteligencję, oraz metod, jakie wykorzystuje się, by łagodzić potencjalne uprzedzenia.

Ograniczenie celu przetwarzania i minimalizacja danych

RODO wprowadziło obowiązek ograniczenia celu przetwarzania (art. 5 ust. 1 lit. b RODO) oraz minimalizacji danych (art. 5 ust. 1 lit. c RODO). Pierwsza zasada oznacza, że dane osobowe powinny być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, a druga – że dane te muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do realizacji tych celów.

AI Act doprecyzował powyższe obowiązki w odniesieniu do systemów AI wysokiego ryzyka. Takie systemy powinny mieć odpowiednio zdefiniowany cel działania, który odzwierciedla dobór danych treningowych będących bazą wiedzy systemu AI (art. 10 AI Act). Cel należy odpowiednio udokumentować (art. 11 i 17 AI Act).

Prawidłowość

Zgodnie z art. 5 ust. 1 lit. d RODO przetwarzane dane powinny być prawidłowe i w razie potrzeby uaktualniane. Administrator danych jest zobowiązany podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.

Powyższa zasada odnosi się także do systemów AI i jest odpowiednio rozbudowana w AI Act. Zbiory danych treningowych powinny podlegać odpowiednim operacjom, takim jak dodawanie komentarzy, etykietowanie, czyszczenie, aktualizacja, wzbogacanie i agregacja (art. 10 ust. 2 lit. c AI Act). Unijny ustawodawca położył szczególny nacisk na obowiązek badania ewentualnej stronniczości systemu AI, która mogłaby prowadzić do generowania treści i wyników o charakterze dyskryminacyjnym (art. 10 ust. 2 lit. f AI Act).

Ograniczenie przechowywania

Co do zasady RODO zakazuje przechowywania danych osobowych dłużej, niż jest to niezbędne do osiągnięcia celów, dla których dane były przetwarzane (art. 5 ust. 1 lit. e RODO).

W tym zakresie AI Act nie wprowadza dodatkowych, szczególnych zasad dotyczących retencji danych. Niezbędny czas przechowywania danych należy określać indywidualnie, z uwzględnieniem generalnej zasady wynikającej z RODO oraz zasady minimalizacji niezbędnych danych stanowiących dane treningowe (art. 10 AI Act).

Zarządzanie zgodnością AI z RODO

Zasady dotyczące zautomatyzowanego podejmowania decyzji

Przepis art. 22 RODO przyznaje osobie, której dane dotyczą, prawo odmowy podlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu. Takie uprawnienie przysługuje wtedy, gdy zautomatyzowana decyzja wywołuje skutki prawne wobec osoby, której dane są przetwarzane, bądź w podobny sposób istotnie na nią wpływa. To oznacza, że osoba, która nie godzi się na to, by o ważnych dla niej kwestiach decydowała maszyna, może zażądać udziału człowieka w procesie decyzyjnym. Administrator danych powinien poinformować tę osobę o jej uprawnieniu (art. 13 ust. 2 lit. f RODO oraz art. 14 ust. 2 lit. g RODO).

Unijny ustawodawca uznał, że powyższy mechanizm nie jest wystarczający w odniesieniu do przypadków korzystania z AI. Rozwój sztucznej inteligencji stworzył niezliczone scenariusze, w których maszyna analizuje ogromną ilość danych znacznie szybciej od człowieka i w ułamkach sekundy podejmuje decyzje mogące mieć wpływ na ludzkie życie. Pozwala to zoptymalizować procesy decyzyjne w gospodarce, lecz budzi obawy dotyczące tego, czy decyzje AI będą miały „ludzki” i etyczny charakter.

W konsekwencji w AI Act zwiększono nacisk na zaangażowanie człowieka. W przypadku systemów AI wysokiego ryzyka już na etapie ich projektowania należy stworzyć odpowiednie narzędzia, które umożliwią sprawowanie proaktywnego nadzoru przez ludzi (art. 14 AI Act). Celem nadzoru jest eliminowanie lub minimalizowanie ryzyk dla zdrowia, bezpieczeństwa lub praw podstawowych. Należy uwzględnić zarówno ryzyka, które mogą wystąpić podczas korzystania z systemu AI zgodnie z jego przeznaczeniem, jak i ryzyka, które mogą ziścić się w warunkach dającego się racjonalnie przewidzieć niewłaściwego wykorzystania (art. 9 ust. 2 lit. b AI Act). Środki nadzoru powinny być współmierne do ustalonego ryzyka, poziomu autonomii i kontekstu korzystania z systemu AI. Należy przy tym poinformować użytkownika, jakie istnieją możliwości i ograniczenia systemu. Użytkownik powinien zostać ostrzeżony przed nadmiernym poleganiem na wynikach generowanych przez AI. Musi on mieć swobodę w podejmowaniu decyzji o rezygnacji z korzystania z AI w konkretnej sytuacji, a także możliwość bezpośredniej ingerencji w system AI, na przykład przez wstrzymanie jego działania w stanie bezpiecznym.

Konkludując, o ile RODO wymagało interwencji człowieka „na żądanie”, o tyle nowe rozporządzenie o sztucznej inteligencji wymaga wdrożenia stałego nadzoru ludzkiego nad systemami AI wysokiego ryzyka na wszystkich etapach ich rozwoju, wdrażania i użytkowania.

W jaki sposób dbać o bezpieczeństwo

W kwestiach bezpieczeństwa RODO jest neutralne technologicznie z uwagi na swój ogólny charakter. Oznacza to, że RODO nie wskazuje konkretnych zabezpieczeń, które muszą być wdrożone. Administrator danych powinien stosować takie środki techniczne i organizacyjne, które są odpowiednie w świetle stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania, z uwzględnieniem ryzyka naruszenia praw lub wolności osób fizycznych (art. 32 RODO). W konsekwencji na gruncie RODO administrator powinien przeprowadzić analizę ryzyka w celu z zidentyfikowania potencjalnych zagrożeń charakterystycznych dla jego działalności, a następnie – dobrać odpowiednie środki bezpieczeństwa.

AI Act jest ukierunkowany na usuwanie bardziej konkretnych zagrożeń, takich jak stronniczość systemu, która może negatywnie wpływać na ludzi. Aby zniwelować ryzyko stronniczości, należy badać pod tym kątem już dane treningowe, które są wykorzystywane do budowy systemu AI (art. 10 ust. 2 lit. f AI Act). Jeżeli wdrożony system nadal się uczy, należy go zabezpieczyć przed przyszłym wpływem potencjalnie stronniczych wyników jego pracy (art. 15 ust. 4 AI Act). Jeżeli jest to niezbędne do usuwania stronniczości systemu, dozwolone jest przetwarzanie danych osobowych szczególnej kategorii na podstawie konkretnego upoważnienia wynikającego z art. 10 ust. 5 AI Act.

Wstępna identyfikacja zagrożeń, podobnie jak w RODO, powinna rozpocząć się na etapie planowania (art. 9 AI Act). Jest to proces zbliżony do analizy ryzyka na gruncie RODO, ale ma charakter ciągły i powtarzalny w całym cyklu życia systemu AI.

W art. 72 AI Act wskazano, że po wdrożeniu system AI wysokiego ryzyka powinien być monitorowany przez dostawcę pod kątem zgodności z wymogami ustanowionymi w art. 8–15 AI Act. Podmiot stosujący taki system powinien monitorować jego działanie zgodnie z instrukcją obsługi, a w stosownych przypadkach informować dostawcę o nieprawidłowościach w jego działaniu (art. 26 ust. 5 AI Act).

Dodatkowym zabezpieczeniem jest wspomniany już nadzór ze strony człowieka nad systemami AI wysokiego ryzyka. Podmiot wykorzystujący taki system powinien powierzyć nadzór osobie, która ma niezbędne kompetencje, przeszkolenie i uprawnienia, a także wsparcie (art. 26 ust. 2 AI Act). Dostawca powinien zapewnić takiej osobie odpowiednie narzędzia, które uczynią nadzór możliwym do sprawowania (art. 14 AI Act).

RODO.
Wsparcie się przydaje

Sam ustal zakres wspracia, aby zapewnić organizacji pełną zgodność z RODO przy optymalnych kosztach.
ZAMÓW OFERTĘ
Dostawca systemu AI wysokiego ryzyka powinien także zadbać o przygotowanie dokumentacji technicznej oraz dokumentacji systemu zarządzania jakością (art. 11, 17 i 18 AI Act). System zarządzania jakością ma zapewnić zgodność z postanowieniami rozporządzenia o sztucznej inteligencji.

Prawa osób, których dotyczą dane

RODO zapewnia osobom, których dotyczą dane, szeroki zakres uprawnień:

  • dostępu do danych (art. 15 RODO),
  • sprostowania danych (art. 16 RODO),
  • usunięcia danych (art. 17 RODO),
  • ograniczenia przetwarzania (art. 18 RODO),
  • przenoszenia danych (art. 20 RODO),
  • sprzeciwu (art. 21 RODO),
  • odmowy podlegania decyzjom opartym na zautomatyzowanym przetwarzaniu (art. 22 RODO).

Ponadto administrator danych musi udostępnić tym osobom informacje, o których mowa w art. 13 i 14 RODO.

AI Act nie ogranicza wskazanych uprawnień w przypadku korzystania z systemów AI. Jak już wspomniano, rozszerzony został zakres obowiązków informacyjnych, które należy realizować, by działać przejrzyście.

Odpowiedzialność za naruszenia ochrony danych

Naruszenia ochrony danych na gruncie RODO są zagrożone karą administracyjną w wysokości do 10–20 mln euro lub 2–4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (w zależności od tego, która z tych kwot jest wyższa).

Administracyjne kary finansowe przewidziane w AI Act są równie wysokie. Wynoszą:

  • 35 mln euro lub 7% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (w zależności od tego, która z tych kwot jest wyższa) – za naruszenie zabronionych praktyk lub brak zgodności z wymogami dotyczącymi danych,
  • do 15 mln euro lub 3% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego – za brak zgodności z jakimikolwiek innymi wymogami lub zobowiązaniami wynikającymi z AI Act, w tym za naruszenie przepisów dotyczących modeli AI ogólnego przeznaczenia,
  • do 7,5 mln euro lub 1% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego – za udzielenie jednostkom notyfikowanym i właściwym organom krajowym nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji w odpowiedzi na zapytanie.

Dla każdej kategorii naruszenia przewidziane są dwie maksymalne wysokości kar pieniężnych. Niższa – dla małych i średnich przedsiębiorstw (MŚP), wyższa – dla innych przedsiębiorców.

Podsumowanie

Technologia AI rozwija się bardzo szybko. Wciąż pojawiają się wiadomości medialne o rewolucyjnych postępach i nowych zastosowaniach AI, które diametralnie zmieniają sposób, w jaki można prowadzić działalność gospodarczą. Potencjał AI jest ogromny – może ona znacznie przyspieszać pracę i optymalizować koszty. Przedsiębiorcy, którzy jako pierwsi dostrzegą i wykorzystają nowe możliwości, pozostawią swoich rywali daleko w tyle na konkurencyjnym rynku. Wyścig już trwa, a niezdecydowani, którzy nadal czekają na odpowiedni moment, by do niego dołączyć, mogą obudzić się za późno.

Przedsiębiorca prowadzący biznes w Europie musi przy tym pamiętać, że funkcjonuje na rynku, który jest w dużym stopniu uregulowany przez Unię. A Unia dba o poszanowanie istniejącego porządku prawnego i podstawowych praw obywateli. To oznacza, że korzystanie z nowoczesnych technologii musi być legalne i zgodne z obowiązującymi zasadami. Każdy, kto decyduje o kierunkach rozwoju firmy, powinien być przygotowany zarówno na konieczność szybkiego rozwoju, jak i na zapewnienie bezpieczeństwa prawnego, dzięki któremu wyścig technologiczny nie zakończy się katastrofą. Połączenie wizji odważnego menadżera i wiedzy specjalistów w dziedzinie ochrony danych pozwala na realizację obu wskazanych celów.

quiz

Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!

Czy chatbot AI udostępniony klientom powinien wprost informować, że rozmowa nie jest prowadzona z człowiekiem?

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia

„Nie potrzebujemy dokumentacji IT, wiemy jak mamy działać”

Jesteś tego pewien?

Zamów
audyt IT

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz "Oznacz jako wiadomość pożądaną").
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>