Ochrona danych i Sztuczna Inteligencja

Sztuczna inteligencja (SI) i ochrona danych osobowych to obecnie jedno z najważniejszych wyzwań prawnych i technologicznych w Unii Europejskiej. W 2024 roku UE przyjęła pierwszy na świecie kompleksowy akt prawny dotyczący sztucznej inteligencji, znany jako AI Act (Rozporządzenie (UE) 2024/1689). Regulacja ta określa zasady stosowania SI, ze szczególnym uwzględnieniem ochrony danych osobowych zgodnie z prawem Unii, w tym RODO.

Czym jest AI Act?

AI Act to unijne rozporządzenie kompleksowo regulujące rozwój, wdrażanie i stosowanie systemów sztucznej inteligencji w UE. Jego celem jest zapewnienie, że technologie SI są bezpieczne i transparentne, zwłaszcza w obszarze ochrony prywatności. AI Act wprowadza podejście oparte na ocenie ryzyka, dzieląc systemy SI na zakazane, wysokiego ryzyka oraz dozwolone, a także nakłada na dostawców i użytkowników szczegółowe obowiązki i sankcje za ich naruszenie, aby zagwarantować odpowiedzialne i etyczne wykorzystanie SI.

Ochrona danych osobowych a Sztuczna Inteligencja

AI Act mocno odwołuje się do ochrony danych osobowych i uzupełnia przepisy RODO. Wykorzystanie SI wiąże się często z przetwarzaniem ogromnych ilości danych, w tym danych wrażliwych, co wymaga szczególnych środków ochrony i przejrzystości wobec osób, których dane dotyczą.

Obowiązki związane z ochroną danych osobowych przy sztucznej inteligencji

• Przede wszystkim należy zadbać o legalność źródeł danych. Model SI wytrenowany na danych pozyskanych bez zgody, bez podstawy prawnej lub w sposób naruszający zasadę minimalizacji może być uznany za nielegalny.
• Konieczne jest udokumentowanie procesu przetwarzania, w tym ewentualne wykonanie oceny skutków dla ochrony danych (DPIA).
• Administratorzy danych muszą zapewnić przejrzystość wobec osób, których dane są wykorzystywane. Systemy SI muszą być tak projektowane, aby użytkownicy wiedzieli, że mają do czynienia z SI i jakie dane są w nich przetwarzane.
• Zakazane jest wykorzystywanie systemów SI do manipulowania zachowaniem szczególnie wrażliwych grup ludzi, np. dzieci czy osób niepełnosprawnych. Przykładem są treści ukierunkowane w reklamach czy profilowanie na podstawie słabości użytkownika.
• Użytkownicy i firmy korzystające z SI muszą monitorować systemy pod kątem ryzyka naruszenia praw oraz zapewnić nadzór ludzki, mogący interweniować w przypadku pojawienia się błędów.
• Ważnym elementem jest informowanie o tym, że użytkownicy mają do czynienia z treściami wygenerowanymi przez SI oraz oznaczanie takich informacji zgodnie z przepisami.

Przykłady naruszeń ochrony danych w kontekście AI

• Stosowanie tzw. social scoringu — oceny i klasyfikacji klientów na podstawie zachowań i danych społecznych z wykorzystaniem SI, co może wpływać na dyskryminację i ograniczenia w dostępie do usług.
• Manipulowanie decyzjami i zachowaniami osób przy pomocy algorytmów bez ich jasnej świadomości i zgody.
• Wykorzystywanie danych wrażliwych do nieetycznych działań marketingowych.
• Brak odpowiednich zabezpieczeń danych, prowadzący do wycieków lub nieautoryzowanego dostępu.
• Naruszenie prawa do informacji i zgody lub brak możliwości kontroli nad danymi przez osoby fizyczne skutkuje nielegalnym przetwarzaniem danych.

Sankcje i konsekwencje

Za naruszenia wymogów ochrony danych i AI Act przewidziane są wysokie kary finansowe (RODO: do 20 mln euro lub 4% światowego obrotu, AI Act: do 35 mln euro lub 7% światowego obrotu firmy). Sankcje mogą być nałożone równolegle w ramach AI Act i RODO, co zwiększa ryzyko dla podmiotów nieprzestrzegających przepisów.

Artur Majchrzycki – Inspektor Ochrony Danych, ekspert ds. ochrony danych osobowych, audytor Wewnętrzny Systemów Zarządzania Bezpieczeństwem Informacji zgodnego z ISO/IEC 27001.
Kontakt do autora:
tel. 501 15 11 15
email: a.majchrzycki@moment24.pl