Wraz z dynamicznym rozwojem sztucznej inteligencji pojawia się potrzeba takiego dostosowania regulacji prawnych, które będą skutecznie chroniły prawa jednostek, wspierając jednocześnie innowacje technologiczne.
W tym kontekście kluczowym wyzwaniem jest harmonizacja przepisów AI Act z istniejącymi regulacjami dotyczącymi ochrony danych osobowych, takimi jak RODO.
AI Act wychodzi temu zadaniu na przeciw.
Po pierwsze podkreślając wagę regulacji odnoszących się do szeroko pojętej ochrony prywatności. Po drugie wskazując wprost, iż celem rozporządzenia nie jest wpływanie na, obowiązujące w Unii, prawo regulujące przetwarzanie danych osobowych. AI Act nie ma również oddziaływać na zadania i uprawnienia niezależnych organów nadzoru działających w tym obszarze.
Dodatkowo, w zakresie, w jakim projektowanie, rozwój lub wykorzystywanie systemów AI wiąże się z przetwarzaniem danych osobowych, rozporządzenie nie wpływa też na, wynikające z prawa UE lub krajowego, obowiązki ochrony danych osobowych spoczywające na dostawcach i podmiotach stosujących systemy AI pełniących funkcję administratorów danych lub podmiotów przetwarzających.
W treści rozporządzenia czytamy, że osoby, których dotyczą dane, zachowują wszystkie prawa i gwarancje przyznane im na mocy prawa Unii (tj. m.in. RODO), w tym prawa związane ze zautomatyzowanym podejmowaniem decyzji w indywidualnych sprawach, w tym z profilowaniem.
Ustanowione w AI Act przepisy dotyczące wprowadzania do obrotu, oddawania do użytku i wykorzystywania systemów AI powinny ułatwiać ich skuteczne wdrażanie i umożliwiać korzystanie przez tych, których dane dotyczą, z gwarantowanych praw i innych środków ochrony prawnej obowiązującej w UE.
Polskie podejście
Także Prezes Urzędu Ochrony Danych Osobowych podkreśla, że zapewnienie zgodności między tymi regulacjami jest jednym z najważniejszych zadań polskiego ustawodawcy.
AI Act ma bowiem regulować wykorzystanie sztucznej inteligencji w sposób, który minimalizuje ryzyko dla prywatności i bezpieczeństwa danych. A jednocześnie promować rozwój nowoczesnych technologii.
Co to oznacza w praktyce?
Tandem legislacji czyli RODO + AI ACT
Po pierwsze, przepisy AI Act i RODO należy traktować jako niezależne, równorzędnie akty prawne. Dlatego często określa się je mianem „tandemu legislacji”.
Z uwagi na to, że w technologiach opartych na sztucznej inteligencji dane osobowe to często kluczowy element ich funkcjonalności, zgodność z RODO jest niezbędna do zapewnienia ich legalności.
W praktyce oznacza to, że firmy rozwijające systemy AI muszą uwzględniać ochronę danych już na etapie projektowania technologii (privacy by design) i stosować podejście oparte na minimalizacji udziału danych oraz innych zasadach ochrony danych osobowych wynikających z RODO.
Jak to zrobić?
Dotychczasowe doświadczenie pokazuje, że choć obydwie kwestie się przenikają, to z regulacyjnego punktu widzenia prawdopodobnie konieczne będzie niezależne (choć przenikające się) podejście.
Rozwijanie systemów AI będzie zatem musiało spełnić wymogi dwóch niezależnych list kontrolnych:
- Pierwszej, uwzględniającej dotychczasowe przepisy RODO
- Drugiej, dostosowanej do wymogów AI Act
Alternatywnym rozwiązaniem może być oczywiście wspólna check-lista, choć nasze dotychczasowe doświadczania wskazują na pewne trudności w tym zakresie.
RODO i AI Act – jak pogodzić różnice
Mówiąc o odrębności regulacji, warto wskazać, że niezależność tych reżimów odzwierciedla się w różnorodności ich podejść.
RODO definiuje dość szczegółowe wymagania dotyczące przetwarzania danych osobowych, nakładając obowiązki na administratorów i podmioty przetwarzające dane związane m.in. z:
- Przejrzystością
- Minimalizacją danych
- Ograniczeniem celu i prawami osób, których dotyczą dane
Przede wszystkim zaś przyznając szereg praw podmiotom danych.
AI Act, choć oparty na podobnych wartościach, takich jak ochrona praw człowieka i zapobieganie dyskryminacji, skupia się bardziej na ryzykach związanych z technologią AI. Niezależnie od tego, czy te ryzyka są związane z danymi osobowymi, czy z innymi czynnikami.
Oczywistym elementem tej niezależności jest fakt, że AI Act może również dotyczyć technologii, które nie przetwarzają danych osobowych, a więc nie podlegają reżimowi RODO, takich jak np. systemy AI wykorzystywane w sektorze przemysłowym do optymalizacji procesów produkcyjnych.
To pokazuje, że oba akty, choć komplementarne, mają de facto odrębne cele i pola zastosowań.
Podejście oparte na ryzyku, co to oznacza w przypadku RODO i AI Act
Odrębności pomiędzy RODO a AI Act można by mnożyć.
Choć bardzo często mówi, że obydwa akty przyjmują podejście oparte na ryzyku, to ich praktyczne zastosowanie znacznie się różni. Zarówno w kontekście procedur szacowania ryzyk, jak i jego klasyfikacji.
W centrum RODO są prawa jednostki, której dane są przetwarzane, a związane z nimi wymagania mają eliminować ryzyka związane z takim przetwarzaniem.
AI Act stosuje podejście oparte na obowiązkach, które nakłada na dostawców i podmioty stosujące systemy AI. W tym kontekście jest bardziej regulacją zakazującą, skoncentrowaną na zarządzaniu zgodnością i szeroko pojętym compliance.
Zatem, podczas gdy RODO koncentruje się na ochronie jednostek przed zagrożeniami związanymi z przetwarzaniem danych, AI Act adresuje szerokie ich spektrum, związane z użyciem sztucznej inteligencji w różnych kontekstach społecznych i ekonomicznych.
Dane – Input i output
Ciekawym ujęciem jest też kwestia samych danych.
W RODO główny nacisk położony jest na dane, zbierane przez administratora w ściśle określonym celu (i ten cel jest pojęciem bardzo istotnym). Kluczowe są zatem tzw. dane wejściowe (ang. input).
W AI Act, dane wejściowe mają również duże znaczenie, jednak w aspektach szerszych niż RODO, tj. przykładowo w kontekście ich trenowania. Nacisk natomiast kładziony jest na wyniki, tj. output, z czym w RODO, poza pewnymi wyjątkami nie będziemy mieli do czynienia. Output będzie bowiem istotny z punktu widzenia ryzyk związanych z potencjalną dyskryminacją, w kontekście praw autorskich, itp.
Największym wyzwaniem, które pojawi się na styku tych dwóch regulacji będą z pewnością systemy sztucznej inteligencji stosowane w medycynie, zatrudnieniu, biometrii, tp.., i ogólnie rzecz biorąc kwalifikujące się jako systemy wysokiego ryzyka. Tam bowiem, element związany z danymi osobowymi będzie miał kluczowe znaczenie, a podmioty wdrażające, poza szeregiem wymogów AI Act, będą musiały zapewnić, że dane przetwarzane są zgodnie z zasadami RODO, co pozwoli skutecznie chronić prywatność i zapobiegać ich nadużyciom.
Jak widać, przyszłość praktycznego stosowania regulacji dotyczących sztucznej inteligencji jest z całą pewnością nierozerwalnie związana z ochroną danych osobowych.
Harmonizacja przepisów, a de facto ich egzekwowanie jest kluczowe dla zapewnienia odpowiedzialnego, transparentnego i zgodnego z prawami jednostek rozwoju AI.
Temu wyzwaniu sprostać będą musieli zarówno przedsiębiorcy wdrażający rozwiązania oparte o AI, programiści na etapie ich programowania, prawnicy opiniujący wdrażane rozwiązania, czy w końcu organy nadzorcze, które w zależności od formuły przyjętej w danym kraju będą musiały uwzględniać AI i ochronę danych w ramach jednych kompetencji, lub harmonijnie współpracować w tym zakresie w dwóch niezależnych reżimach.
Masz pytania? Skontaktuj się z nami