Artykuły eksperckie

Wykorzystywanie danych osobowych w modelach AI – na co należy uważać?

⟨⟨ Powrót
Łukasz Kulicki

Łukasz Kulicki

RADCA PRAWNY

Radca prawny w Kancelarii After Legal specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

Masz pytania do autora?
e-mail: kancelaria@afterlegal.pl
tel. +48 500 436 703

Opublikowano:

Trenowanie modeli sztucznej inteligencji wymaga wykorzystania olbrzymiej ilości danych. Wiele z tych informacji można zaklasyfikować jako dane osobowe, co rodzi liczne pytania o legalność przetwarzania danych osobowych w kontekście unijnego rozporządzenia RODO. Co warto wiedzieć o wykorzystaniu danych osobowych w modelach AI?

Czego dowiesz się z tego artykułu:

  • Sztuczna inteligencja często przetwarza dane osobowe, dlatego administratorzy muszą zwracać uwagę na regulacje RODO i AI Act.
  • Łączne stosowanie RODO i AI Act wymaga szczególnej ochrony wrażliwych danych osobowych.
  • Działania administratorów powinny być zgodne z obowiązującymi przepisami. Warto w tym zakresie kierować się stanowiskiem EROD.

W jaki sposób sztuczna inteligencja przetwarza dane osobowe?

Istotną sztucznej inteligencji, a dokładniej jej bardziej zaawansowanych form, jak Artificial General Intelligence, czy Theory of Mind AI, jest samodzielne podejmowanie coraz bardziej trafnych decyzji poprzez naukę. Stopniowe bodźcowanie algorytmu decyzjami użytkownika powoduje, że generuje on coraz trafniejsze odpowiedzi, a także – przynajmniej częściowo – działa samodzielnie.

Aby sztuczna inteligencja mogła funkcjonować, musi zostać wytrenowana na podstawie danych dostarczonych z zewnątrz. Im te dane są bardziej specyficzne i jest ich więcej, tym większa jest szansa, że ostateczny rezultat w postaci danych wyjściowych wygenerowanych w odpowiedzi na prompt użytkownika, będzie zadowalający.

Dobór danych dostarczanych do trenowania sztucznej inteligencji zależy przede wszystkim od tego, do czego ma służyć dane narzędzie. W przypadku programów wspierających działania AML będą to np. dane finansowe, w przypadku analityki biznesowej, dane z arkuszy kalkulacyjnych dotyczące rentowności prowadzonych działań. Nierzadko konieczne będzie wykorzystanie do trenowania danych osobowych i to zarówno „zwykłych”, jak i wrażliwych. Przykładami branż, w których wykorzystuje się dane osobowe do trenowania AI, są m.in.:

  • medycyna – dane zdrowotne dotyczące konkretnych pacjentów, informacje z diagnostyki obrazowej, czy historia leczenia, to wszystko dane wrażliwe,
  • zarządzanie zasobami ludzkimi – dane osobowe niezbędne do przeprowadzenia procesu rekrutacji, jak imię i nazwisko, dane o wykształceniu i kwalifikacjach, zdjęcia,
  • systemy wykrywania zagrożeń – wizerunek, skany twarzy,
  • bankowość – dane dotyczące historii kredytowej, wynagrodzenia, czy zarządzania finansami mogą być wykorzystane do podejmowania decyzji o przyznaniu finansowania.

Dane osobowe, które zostaną niewłaściwie wykorzystane, mogą zostać zniekształcone lub trafić w niepowołane ręce, powodując tym samym istotne ryzyko dla osób, których te informacje dotyczą.

Należy pamiętać, że rozporządzenie AI Act wprowadza szereg wymagań względem modeli AI, których spełnienie warunkuje legalność użytkowania modelu. Podmiot projektujący algorytm powinien zapewnić, że zbiory danych treningowych, walidacyjnych i testowych zostały odpowiednio sprawdzone i wybrane tak, aby były m.in. adekwatne, reprezentatywne, wolne od błędów i kompletne. Nie mogą także generować wyników nacechowanych uprzedzeniami.

Sprawdź również: Automatyzacja procesów AI a kwestie prawne – o czym musisz pamiętać?

Regulacje RODO a AI Act. Jak je stosować?

W kontekście kolizji RODO i AI Act warto zwrócić uwagę na fakt, że projektowanie sztucznej inteligencji nie zwalnia administratora danych osobowych z obowiązku zapewnienia bezpieczeństwa i integralności informacji. Nadal więc dane osobowe powinny być należycie chronione przed ingerencją ze strony osób trzecich.

Jednocześnie trzeba wskazać, że przetwarzanie szczególnych danych osobowych jest dopuszczalne wyłącznie wtedy, gdy jest to niezbędne dla wykrywania i korygowania stronniczości systemów AI wysokiego ryzyka i jednocześnie zostaną spełnione łącznie następujące warunki:

  1. nie jest możliwe skuteczne wykrywanie i korygowanie stronniczości poprzez przetwarzanie innych danych, w tym danych syntetycznych lub zanonimizowanych,
  2. szczególne kategorie danych osobowych podlegają ograniczeniom technicznym dotyczącym ponownego wykorzystywania danych osobowych oraz najnowocześniejszym środkom bezpieczeństwa i ochrony prywatności, w tym pseudonimizacji,
  3. szczególne kategorie danych osobowych podlegają środkom zapewniającym, by przetwarzane dane osobowe były zabezpieczone, chronione, podlegały odpowiednim środkom ochronnym, w tym ścisłym kontrolom i dokumentowaniu dostępu, aby uniknąć nadużyć i zapewnić, by dostęp do tych danych miały wyłącznie osoby upoważnione, zobowiązane do spełnienia odpowiednich obowiązków dotyczących poufności;
  4. szczególne kategorie danych osobowych nie są przesyłane, przekazywane ani w inny sposób udostępniane innym podmiotom;
  5. szczególne kategorie danych osobowych usuwa się po skorygowaniu stronniczości lub po upływie okresu przechowywania danych osobowych, w zależności od tego, co nastąpi wcześniej;,
  6. rejestry czynności przetwarzania zawierają uzasadnienie, dlaczego przetwarzanie szczególnych kategorii danych osobowych było bezwzględnie konieczne do wykrycia i skorygowania stronniczości oraz dlaczego cel ten nie mógł zostać osiągnięty w wyniku przetwarzania innych danych.

Jeżeli projektowanie modelu AI nie wymaga trenowania modeli, ograniczenia w zakresie przetwarzania danych osobowych wrażliwych stosuje się wyłącznie do danych testowych.

Stanowisko EROD w przedmiocie przetwarzania danych osobowych przez sztuczną inteligencję

Rosnące wątpliwości dotyczące wykorzystania danych osobowych w ramach projektów bazujących na sztucznej inteligencji spowodowały, że Europejska Rada Ochrony Danych (EROD) wydała opinię nr 28/2024 w sprawie niektórych aspektów ochrony danych związanych z przetwarzaniem danych osobowych w kontekście modeli AI. W wystąpieniu z dnia 18 grudnia 2024 r. wyjaśniono szereg zagadnień dotyczących spornych kwestii. Czy rzeczywiście EROD rozwiązała wszystkie wątpliwości?

W pierwszej kolejności odniesiono się do oceny faktycznej anonimowości danych osobowych. Zdaniem EROD te kwestie powinny być oceniane indywidualnie przez krajowy organ nadzoru. Za anonimowy uznaje się model AI, który uniemożliwia bezpośrednią lub pośrednią ekstrakcję danych osobowych. Dokumentacja dostarczona przez administratora powinna określać m.in. w jaki sposób ograniczone jest gromadzenie danych treningowych i poprzez jakie technologie dane te są chronione przed cyberatakami.

EROD podkreślił też hierarchię przesłanek przetwarzania danych osobowych. Jakkolwiek uzasadniony interes administratora może stanowić podstawę do tego typu działań, jest ostatecznością i wymaga przeprowadzenia testu równowagi.

Nawet jeśli administrator decyduje się na bazowanie na swoim uzasadnionym interesie, powinien zadbać o wdrożenie rozwiązań minimalizujących ryzyko naruszenia danych osobowych, a także odpowiednio szybko je aktualizować, dopasowując do zmieniającej się sytuacji. W miarę możliwości administrator powinien wybierać inne podstawy przetwarzania danych osobowych, a jeśli decyduje się na uzasadniony interes, konieczna jest dogłębna analiza działania.

Opinia nawiązuje także do dyskrecjonalnych uprawnień organów nadzorczych, które we własnej gestii określają, czy środki stosowane przez administratora są wystarczające skuteczne w rozumieniu RODO. Jeśli zaś administrator przetwarzał dane osobowe w sposób sprzeczny z prawem, ale następnie zapewnił ich anonimowość i bezpieczeństwo, pierwotna niezgodność nie będzie wpływała na późniejszą zgodność z rozporządzeniem RODO.

Sprawdź również: Czy rekrutacja z wykorzystaniem AI jest legalna?

RODO i AI Act – jak możemy Ci pomóc?

Projektowanie modeli sztucznej inteligencji, które wykorzystują dane osobowe, stwarza dla dla firm technologicznych wiele wyzwań. Warto skorzystać ze wsparcia kancelarii prawnej, która pomoże zapewnić zgodność prowadzonych działań z prawem.

Obsługa prawna projektów AI to jedna z naszych głównych specjalizacji – dla naszych klientów:

  • przeprowadzamy audyty RODO i AI,
  • opracowujemy niezbędną dokumentację dotyczącą ochrony danych osobowych,
  • realizujemy compliance w zakresie prowadzonej działalności,
  • zapewniamy reprezentację przed organami nadzoru,
  • szkolimy pracowników w zakresie ochrony danych osobowych oraz projektowania AI zgodnie z prawem.