Jak zapewnić zgodność przetwarzania danych przez AI z RODO?

Rozporządzenie o sztucznej inteligencji (AI Act) jest już na ostatniej prostej przed jego uchwaleniem. Przewiduje się, że ostateczne przyjęcie aktu może przypaść na kwiecień lub maj 2024. Wdrażanie systemów opartych na sztucznej inteligencji w bieżącej działalności przedsiębiorstw generuje jednak praktyczne wątpliwości, także na gruncie ochrony prywatności osób fizycznych.

Chociaż zgodnie z założeniami unijnego prawodawcy, AI Act oraz RODO mają się wzajemnie uzupełniać, to zastosowanie obydwu regulacji w praktyce może przysporzyć trudności w realizacji podstawowych założeń i praw podmiotów danych osobowych.

☑️ Prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji

Przetwarzanie danych osobowych w systemach AI nierzadko wiąże się ze zautomatyzowanym przetwarzaniem danych osobowych, czyli profilowaniem w rozumieniu RODO. Jeżeli w wyniku profilowania będą podejmowane decyzje wywołujące istotne skutki wobec osób fizycznych, po stronie administratora danych osobowych powstanie szereg dodatkowych obowiązków, w tym obowiązek wdrożenia środków ochrony praw i wolności osób, których dane dotyczą. Do takich narzędzi należy przede wszystkim prawo podmiotu danych do uzyskania interwencji człowieka, wyrażenia własnego stanowiska czy zakwestionowania tak podjętej decyzji.

☑️ Prawo do usunięcia danych osobowych

Trudności w egzekwowaniu prawa do bycia zapomnianym, o którym mowa w art. 17 RODO, w odniesieniu do sztucznej inteligencji wynikają z trwałego charakteru danych tworzonych przez te systemy. Do tworzenia odpowiedzi na podstawie zebranych danych wykorzystywane jest przetwarzanie języka naturalnego, a to sprawia, że usunięcie wszelkich śladów danych osobowych danej osoby może okazać się problematyczne. Z tego względu podmiot wykorzystujący narzędzie AI powinien upewnić się, że dostarczone mu rozwiązanie zapewnia możliwość skutecznego wymazania bądź anonimizacji danych dotyczących konkretnych osób fizycznych.

☑️ Rzetelność procesu przetwarzania danych

Dla zapewnienia rzetelności procesu przetwarzania danych konieczne będzie spełnienie przez administratora nie tylko obowiązków informacyjnych, ale również wdrożenia odpowiednich procedur i środków techniczno-organizacyjnych. Narzędzia powinny zapewniać korektę nieprawidłowości w danych osobowych, zmniejszenie ryzyka błędów i skutków tzw. „unconscious bias”, czyli stronniczości systemów AI, spowodowanych najczęściej brakiem różnorodności w zbiorze danych.

☑️ Zasada minimalizacji danych.

Systemy sztucznej inteligencji powinny przetwarzać jedynie te dane osobowe, które są niezbędne do osiągnięcia konkretnego celu przetwarzania. Z tych względów, podczas projektowania takiego systemu należy zwrócić uwagę nie tylko na sposób zbierania danych osobowych, ale także na zakres ich przetwarzania, okres przechowywania oraz dostępność. Minimalizacja przetwarzania danych osobowych pozwoli zachować prywatność i ochronę danych osobowych w przypadku niepowołanego dostępu lub wycieku tych danych.

Podsumowując, wdrażając rozwiązania oparte na systemach sztucznej inteligencji należy rozważyć, na ile wykorzystywane narzędzia umożliwiają realizację praw osób fizycznych na gruncie ochrony danych osobowych. Taka analiza powinna w jak najszerszym zakresie uwzględniać potencjalne ryzyka, których ziszczenie się powinno być minimalizowane poprzez zastosowanie środków takich jak nadzór ludzki bądź przetwarzanie danych w środowisku chronionym, wykluczającym możliwość dalszego udostępniania danych i wykorzystania ich w celach trenowania systemów AI. Wdrożone środki ochrony powinny zostać uwzględnione w wewnętrznej dokumentacji przedsiębiorstwa, natomiast stosowane klauzule informacyjne kierowane do podmiotów danych powinny zostać odpowiednio uzupełnione o kwestie związane ze zautomatyzowanym przetwarzaniem danych osobowych.

27.02.2024, Monika Niechoda