Checklista zgodności AI z RODO

Czy Organizacja określiła podstawę prawną? Jaka podstawa prawna może mieć zastosowanie?W zależności od narzędzia i jego zastosowań. Przykładowo, profilowanie pracowników w celu zarządzania nimi może być oparte jedynie na prawnie uzasadnionym interesie.

Zob. art. 13 i 14 RODO.

Na gruncie RODO Organizacja może być administratorem, procesorem, współadministratorem. Przykładowo, nasza Organizacja, która wdraża narzędzie dostarczane przez dostawcę, będzie co do zasady administratorem. Warto opisać tę rolę. Organizacja może być odpowiedzialna za cały cykl życia modelu i narzędzia (zbieranie danych, trening, wdrażanie, utrzymanie), może też być tylko użytkownikiem końcowym gotowego produktu. Ta checklista nie uwzględnia sytuacji, kiedy nasza Organizacja jest deweloperem (dostawcą) modelu i narzędzia.

Checklista nie jest kierowana do Organizacji, które są dostawcami systemów ogólnego zastosowania (np. opartych na dużych modelach językowych). Jeśli narzędzie nie jest tworzone w konkretnym celu, może być trudno ustalić taki cel. W razie wątpliwości warto spisać rodzaj AI i typ narzędzia, a przede wszystkim funkcje i możliwości narzędzia.

W szczególności dane szczególnych kategorii, dane wysoce osobiste.

W szczególności osoby wymagające szczególnej opieki. Na gruncie RODO do tej kategorii zalicza się także pracowników.

Zasadą będzie zgoda osoby, której dane dotyczą. Innymi podstawami mogą być: przetwarzanie danych oczywiście upublicznionych, istotny interes publiczny, badania naukowe.

Przykładowo, dokumentacja może wskazywać, że dostawca ma prawo korzystać z naszych danych w związku z moderacją, weryfikacją jakości, dalszym uczeniem modelu. W takich wypadkach jest to zmiana celu i konieczny jest test kompatybilności i zgoda administratora na przetwarzanie w nowym celu. W tym celu można wykorzystać nasz test kompatybilności oraz wytyczne CNIL : w artykule:Ponowne wykorzystanie danych osobowych przez podmiot przetwarzający (procesora)

Przykładowo, dokumentacja może wskazywać, że dostawca ma prawo korzystać z naszych danych w związku z moderacją, weryfikacją jakości, dalszym uczeniem modelu. W takich wypadkach jest to zmiana celu i konieczny jest test kompatybilności i zgoda administratora na przetwarzanie w nowym celu. W tym celu można wykorzystać nasz test kompatybilności oraz wytyczne CNIL : w artykule:Ponowne wykorzystanie danych osobowych przez podmiot przetwarzający (procesora)

Przykładowo, dokumentacja może wskazywać, że dostawca ma prawo korzystać z naszych danych w związku z moderacją, weryfikacją jakości, dalszym uczeniem modelu. W takich wypadkach jest to zmiana celu i konieczny jest test kompatybilności i zgoda administratora na przetwarzanie w nowym celu. W tym celu można wykorzystać nasz test kompatybilności oraz wytyczne CNIL : w artykule:Ponowne wykorzystanie danych osobowych przez podmiot przetwarzający (procesora)

Sprawdź, czy jest umowa powierzenia z dostawcą. W przypadku transferów danych nieobjętych decyzją Komisji, sprawdź też, czy są zawarte standardowe klauzule umowne.

Zgodnie z art. 28 ust. 1 RODO, administrator weryfikuje, czy dostawca zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Ponadto dostawca musi podejmować wszelkie środki wymagane na mocy art. 32 RODO. Taka weryfikacja może się odbyć co najmniej poprzez przesłanie ankiety bezpieczeństwa lub analizy przedstawionej przez dostawcę dokumentacji.

Wielu dostawców ma siedzibę w USA i nie jest na liście DPF. W takich przypadkach konieczne jest podjęcie dalszych kroków na gruncie art. 46 RODO.

Organizacja powinna sobie odpowiedzieć, jaki jest wpływ pracy AI na decyzje pracowników. Jeśli jest to niezobowiązująca sugestia, to nie dojdzie do automatycznego podejmowania decyzji (APD); jeśli pracownik musi zastosować się do wyniku, to warunki APD są spełnione.

Czy dostawca, samo narzędzie lub dokumentacja pozwala nam wskazać takie informacje jak:

• kategorie danych osobowych i dlaczego są one istotne dla utworzenia profilu lub podjęcia decyzji;
• w jaki sposób profil jest tworzony w sposób zautomatyzowany, ze szczególnym uwzględnieniem zastosowanej metody statystycznej;
• dlaczego profil jest istotny dla decyzji;
• w jaki sposób profil jest faktycznie wykorzystywany w kontekście danej decyzji.

Grupa Robocza art. 29 wskazuje, że „w ramach oceny skutków dla ochrony danych administrator powinien określić i udokumentować stopień interwencji ludzkiej w proces podejmowania decyzji oraz etap, na którym zachodzi taka interwencja ludzka”.

Czy jesteśmy w stanie wyjaśnić zasady podjęcia konkretnej decyzji? Czy istnieje kanał i procedura zgłaszania odwołań?

Przykłady: zob. str. 37 – 38 Wytycznych w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE, WP251rev.01.

Wynik pracy AI może być nieprawidłowy lub „skrzywiony” (uprzedzony, stronniczy). Generatywna AI może konfabulować (halucynować). Organizacja powinna zapewnić procedury weryfikacji prawidłowości wyników. Organizacja może mieć próg akceptowalności wyników. Z punktu widzenia RODO próg powinien przede wszystkim być zależny od ustalonego celu przetwarzania (np. zastosowania medyczne, czy wobec pracowników powinny mieć bardzo wysoki próg).

Przykładowo, Organizacja powinna odpowiedzieć sobie na pytanie, czy dostawca wymaga adekwatną ilość kategorii danych, czy wynik pracy AI nie generuje nadmiarowych wniosków o osobie.

Czy ustalono okresy przechowywania danych w narzędziu? Jeśli tak, to czy okres jest odpowiedni ze względu na cel przetwarzania?

Ogólne pytania o bezpieczeństwo przetwarzania. Checklista ma zastosowanie do sytuacji, kiedy korzystamy z procesora.

Ogólne pytania o bezpieczeństwo przetwarzania. Checklista ma zastosowanie do sytuacji, kiedy korzystamy z procesora.

Ogólne pytania o bezpieczeństwo przetwarzania. Checklista ma zastosowanie do sytuacji, kiedy korzystamy z procesora.

Ogólne pytania o bezpieczeństwo przetwarzania. Checklista ma zastosowanie do sytuacji, kiedy korzystamy z procesora.

Istnienie logów pomoże spełnić wymogi rozliczalności i bezpieczeństwa. W szczególności, logi pozwalają nam sprawdzić, kto i w jakich okolicznościach miał dostęp do danych lub wygenerował jakąś treść. Pozwalają także prześledzić parametry wnioskowania związane z podejmowaniem decyzji.

W wykazie Prezesa Urzędu Ochrony Danych Osobowych z 17 czerwca 2019 r. (M.P. 2019 poz. 666) wskazano automatyczne podejmowanie decyzji i innowacyjne technologie. Jeśli spełnione są dwa punkty z wykazu, trzeba przeprowadzić DPIA. Czasami jednak administrator może uznać, że nawet spełnienie jednego punktu wymaga przeprowadzenia takiej oceny.

W Wytycznych dotyczących oceny skutków dla ochrony danych (WP 248 rev.01) GR29 opisała dziewięć kryteriów. Jeśli spełnione są dwa z nich, operacja przetwarzania będzie uznana za powodującą wysokie ryzyko, zgodnie z art. 35 ust. 1 RODO. Mogą to być takie kryteria jak:

• automatyczne podejmowanie decyzji/profilowanie (kryterium 2);
• systematyczny monitoring (kryterium 3);
• wrażliwa kategoria osób (kryterium 7);
• wykorzystanie nowych technologii (kryterium 8).

Administratorzy powinni dokumentować i inwentaryzować czynności przetwarzania. Rejestr czynności przetwarzania jest dobrym miejscem, aby inwentaryzować wykorzystywane narzędzia, np. jako odbiorców danych osobowych oraz transfery danych. Dobrą praktyką jest prowadzenie szczegółowego rejestru narzędzi i czynności opartych na AI.

Organizacja powinna zapewnić, aby inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.IOD powinien mieć możliwość wykonywania swoich zadań: informowania o obowiązkach wynikających z RODO, monitorowania zgodności z RODO i doradzania w zakresie DPIA. Dobrą praktyką jest uwzględnienie IOD w zespole roboczym odpowiedzialnym za wdrożenie narzędzia

Organizacja może mieć zasady korzystania z narzędzi, dopuszczalne lub zakazane zastosowania, dopuszczalne lub zakazane dane wprowadzane do narzędzia itd.