Artykuły eksperckie

W dobie intensywnego rozwoju algorytmów sztucznej inteligencji bezpieczeństwo i integralność wielu rodzajów informacji może być zagrożona. Unijny ustawodawca w rozporządzeniu RODO określa zasady zgodnego z prawem przetwarzania danych osobowych, podczas gdy AI Act zostało poświęcone tworzeniu i wykorzystaniu modeli AI. Jak łączyć ze sobą te akty prawne, aby dynamicznie i jednocześnie bezpiecznie rozwijać biznes?

Czego dowiesz się z tego artykułu:

• RODO i AI Act to dwa odmienne, ale komplementarne reżimy prawne.
• W zależności od konfiguracji podmiot może być zobowiązany do stosowania RODO, AI Act albo obu tych aktów prawnych.
• Między RODO i AI Act w wielu miejscach występuje efekt synergii, którą można wykorzystać.

Zadania RODO i AI Act – takie same, czy odmienne?

Celem rozporządzenia RODO jest przede wszystkim ochrona danych osobowych przed niewłaściwym wykorzystaniem. Z kolei AI Act ma za zadanie zapobiegać nadużyciom wynikającym ze stosowania systemów AI. W praktyce może się więc okazać, że w zależności od tego, czym zajmuje się dany podmiot, będzie miał on obowiązek stosowania jednego z wymienionych rozporządzeń albo obu.

Jako przykład konieczności łącznego stosowania RODO i AI Act można wskazać dostawcę systemu AI przeznaczonego do wsparcia działania zespołu HR, który jednocześnie świadczy usługę SaaS, przechowując na swoich serwerach dane osobowe pracowników.

Sprawdź również: AI Act – kogo dotyczy akt o sztucznej inteligencji?

Czy AI Act modyfikuje zasady RODO?

Przede wszystkim należy wskazać, że zarówno RODO, jak i AI Act to akty prawne rangi rozporządzenia, które powinny być stosowane równolegle i są ze sobą równorzędne. W motywie nr 10 AI Act możemy przeczytać, że celem rozporządzenia nie jest wpływanie na stosowanie obowiązującego prawa Unii regulującego przetwarzanie danych osobowych. W zakresie, w jakim projektowanie, rozwój lub wykorzystywanie systemów AI wiąże się z przetwarzaniem danych osobowych, niniejsze rozporządzenie nie wpływa też na wynikające z prawa Unii lub prawa krajowego obowiązki w dziedzinie ochrony danych osobowych spoczywające na dostawcach i podmiotach stosujących systemy AI, którzy pełnią funkcję administratorów danych lub podmiotów przetwarzających. Co dla administratorów i procesorów oznacza takie zastrzeżenie?

Przede wszystkim muszą oni dalej realizować swoje obowiązki wynikające z rozporządzenia RODO. W szczególności oznacza to konieczność dochowania wszystkich zasad, w tym:

• zgodności z prawem, rzetelności i przejrzystości,
• ograniczenia celu,
• minimalizacji przetwarzania danych osobowych,
• prawidłowości,
• ograniczenia przechowywania danych osobowych,
• integralności i poufności.

Realizacja tych zasadniczych filarów przetwarzania danych osobowych pozwala administratorowi lub procesorowi na wykazanie zasady rozliczalności. Ma to elementarne znaczenie na wypadek kontroli organu nadzoru i pozwala zwolnić się od odpowiedzialności.

Jednocześnie osoby, których dane są przetwarzane, zachowują swoje prawa wynikające z rozporządzenia RODO. Oznacza to, że mogą żądać usunięcia swoich danych, zaprzestania ich dalszego przetwarzania lub korekty.

Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?

Zakres RODO i AI Act

Rozporządzenie RODO reguluje wyłącznie kwestie związane z przetwarzaniem danych osobowych, czyli informacji, na podstawie których można zidentyfikować (choćby potencjalnie) osobę fizyczną. Z kolei AI Act został poświęcony przede wszystkim systemom sztucznej inteligencji wysokiego ryzyka. Jeśli chodzi o pozostałe typy sztucznej inteligencji, to:

• systemy stwarzające ryzyko niedopuszczalne są całkowicie zakazane,
• systemy ograniczonego ryzyka muszą spełnić wymagania dotyczące transparentności,
• systemy niskiego ryzyka całkowicie wymykają się regulacji.

Jakie obowiązki spoczywają na dostawcach systemów AI wysokiego ryzyka?

Podmioty dostarczające tzw. high-risk AI muszą zadbać o odpowiednio kompleksowy compliance, który zapewni zgodność z obowiązującymi przepisami.

Wśród najważniejszych wymagań należy wymienić:

• stworzenie systemu zarządzania ryzykiem, czyli ciągłego i iteracyjnego audytu pozwalającego na identyfikację, analizę i łagodzenie ryzyka w całym cyklu życia AI. Można go porównać do analizy ryzyka RODO,
• zapewnienie ładu danych, czyli dbałość o to, aby system AI otrzymywał zbiory danych wysokiej jakości, transparentności i relewantności. Dotyczy to zarówno trenowania, walidacji, jak i testowania wyników,
• stworzenie systemu rejestrowania zdarzeń, którego zadaniem jest zapisywanie informacji o działaniach podejmowanych przez system AI,
• konieczność dostarczenia szczegółowych instrukcji, troubleshootingu, Q&A i innych materiałów zapewniających prawidłowe działanie aplikacji i pozwalających na zrozumienie wnioskowania algorytmu,
• konieczność zapewnienia nadzoru ludzkiego nad działaniami AI w taki sposób, aby umożliwiały skuteczny nadzór ludzki przez osoby fizyczne w okresie ich użytkowania, mając na celu zapobieganie lub minimalizowanie ryzyka dla zdrowia, bezpieczeństwa lub praw podstawowych.

Do tego wszystkiego dostawca systemu AI powinien zadbać o mechanizmy zwiększające cyberbezpieczeństwo, solidność i dokładność. Wewnętrzne procedury powinny być cyklicznie poddawane ocenie, a system AI musi zostać poddany ocenie zgodności.

Sprawdź również: Systemy AI wysokiego ryzyka – klauzule umowne w zamówieniach publicznych

RODO i AI Act – jak je połączyć?

RODO i AI Act nie wykluczają się wzajemnie, ale wręcz przeciwnie, działają komplementarnie. Część z obowiązków może się powielać w obu reżimach, ale nie oznacza to, że przedsiębiorca może zrezygnować z ich realizacji, wskazując, że zrealizował obowiązki wynikające z drugiego reżimu. Nic jednak nie stoi na przeszkodzie, aby informacje pozyskane np. na etapie oceny ryzyka RODO wykorzystać następnie na potrzeby dokumentacji AI.

Do obowiązków, które niejako ulegają zdublowaniu, można zaliczyć przejrzystość, rzetelność, prawidłowość danych i rozliczalność. Wskażmy jednak, na które obszary trzeba w szczególności uważać.
Przede wszystkim każdy system AI, który przetwarza dane osobowe, powinien być automatycznie poddany procedurze RODO. Konieczne jest przeprowadzenie rzetelnego DPIA oraz ocena anonimowości systemu. Zgodnie z opinią EROD za anonimowy można uznać AI, jeżeli nie można z niego wydobyć ani wywnioskować, nawet nieumyślnie, przy użyciu wszelkich rozsądnie prawdopodobnych środków.

Kolejnym obszarem jest wpływ działań podmiotu na prawa podstawowe lub prawa i wolności osób fizycznych. O ile RODO rekomenduje przeprowadzanie DPIA, AI Act wspomina o FRIA. Dla wspólnego stosowania obu reżimów ważne jest krzyżowe wykorzystanie informacji.

Szczególną uwagę należy zwrócić na podstawy przetwarzania danych osobowych. W przypadku RODO z reguły będzie to zgoda osoby, której dane dotyczą. Niekiedy administratorzy powołują się również na uzasadniony interes. O ile w przypadku AI zgoda nadal jest podstawą najbezpieczniejszą, do uzasadnionego interesu trzeba podchodzić z ostrożnością i kierować się w tym zakresie rekomendacją EROD.

Warto też wspomnieć, że dostawca systemu AI powinien zaimplementować w systemie mechanizmy pozwalające na egzekwowanie praw przez osoby, których dane dotyczą. Może to stanowić istotne wyzwanie techniczne zwłaszcza w przypadku obszernych zbiorów danych, których modyfikacja teoretycznie stwarza ryzyko destabilizacji całego algorytmu.

Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych. Jak możemy Ci pomóc?

RODO i AI Act – Kancelaria After Legal

Kancelaria After Legal specjalizuje się w prawie nowych technologii i ochronie danych osobowych. Dla naszych klientów przeprowadzamy audyty zgodności z RODO i AI Act, opracowujemy niezbędną dokumentację i wdrażamy zmiany organizacyjne oraz prawne. Zapewniamy wsparcie doświadczonych profesjonalistów, którzy nie tylko doskonale znają obowiązujące przepisy, ale także rekomendacje organów nadzorczych i dobre praktyki. Zabezpieczymy Twój biznes!