Spis treści:
1. AI Act a RODO – Jak regulacje sztucznej inteligencji wpłyną na ochronę danych osobowych
2. RODO a AI Act – Główne różnice i podobieństwa
3. Ocena ryzyka i zgoda użytkownika
4. Prawo do wyjaśnienia i przejrzystości działania systemów AI
5. Wpływ AI Act na obowiązki administratorów danych
12 lipca 2024 Rozporządzenie o sztucznej inteligencji (AI Act) zostało opublikowane w dzienniku urzędowym Komisji Europejskiej. Ten kluczowy dokument określa ramy regulacyjne dla rozwoju, wdrażania i użytkowania sztucznej inteligencji na terenie Unii Europejskiej. Ministerstwo Cyfryzacji pracuje już nad projektem ustawy, która pozwoli na stosowanie AI Act w Polsce.
AI Act a RODO – Jak regulacje sztucznej inteligencji wpłyną na ochronę danych osobowych
W kontekście dynamicznego rozwoju technologii sztucznej inteligencji (AI), Unia Europejska opracowuje specjalne regulacje, które mają na celu ujednolicenie zasad używania AI w różnych sektorach. Opublikowane 12 lipca 2024 r. w dzienniku urzędowym Uni Europejskiej AI Act (Rozporządzenie o Sztucznej Inteligencji) jest pierwszym tego typu aktem prawnym w UE. Reguluje ono kwestie związane z wykorzystaniem technologii AI i jednocześnie dopełnia istniejące przepisy, w tym RODO (Rozporządzenie o Ochronie Danych Osobowych). Z racji, że AI Act wpłynie na wiele obszarów związanych z przetwarzaniem danych osobowych, warto przyjrzeć się, w jaki sposób będzie się on odnosić do wymogów i zasad określonych przez RODO.
RODO a AI Act – Główne różnice i podobieństwa
Obie regulacje – RODO i AI Act – mają na celu ochronę praw obywateli i zapobieganie nadużyciom, ale ich zakres oraz środki działania są różne. RODO koncentruje się na ochronie prywatności i zapewnieniu odpowiednich zabezpieczeń danych osobowych, obejmując szeroko pojęte przetwarzanie danych. Natomiast AI Act dotyczy ryzyk związanych z użytkowaniem systemów sztucznej inteligencji i klasyfikuje systemy AI według poziomu ryzyka, kładąc nacisk na ich przejrzystość, bezpieczeństwo i odpowiedzialność. Warto zaznaczyć, że AI Act jest bezpośrednio powiązany z RODO, ponieważ wiele systemów AI przetwarza dane osobowe, co oznacza, że ich użytkownicy będą musieli spełniać wymogi obu regulacji. Przykładowo, jeśli dany system AI analizuje dane wrażliwe, takie jak dane biometryczne, operator będzie musiał przestrzegać zarówno zasad ochrony danych, jak i stosować się do odpowiednich wymogów AI Act w zakresie oceny ryzyka i zgodności.
Ocena ryzyka i zgoda użytkownika
Jednym z kluczowych wymogów RODO jest uzyskanie zgody na przetwarzanie danych oraz ocena ryzyka związanego z tym procesem. AI Act wprowadza zbliżoną koncepcję, ale rozszerza ją o szczegółową ocenę ryzyka dla systemów AI – wymagając klasyfikacji systemów na poziomy ryzyka: od niskiego do niedopuszczalnego.
Systemy AI zaklasyfikowane jako „wysokiego ryzyka” będą podlegały ścisłym regulacjom. AI Act wymaga, aby operatorzy takich systemów zapewnili ich pełną zgodność z zasadami przejrzystości i rzetelności, co obejmuje m.in. wymóg dokumentowania działania algorytmu, wdrożenia systemów zarządzania danymi oraz regularnych audytów. Te obowiązki wypełniają luki w RODO, które nie dostarczało szczegółowych wymagań dotyczących specyfiki działania systemów opartych na algorytmach AI.
Prawo do wyjaśnienia i przejrzystości działania systemów AI
RODO wprowadza zasadę przejrzystości, dając użytkownikom prawo do informacji o sposobie, w jaki ich dane są przetwarzane. AI Act rozwija tę zasadę, wprowadzając bardziej szczegółowe przepisy dotyczące „prawa do wyjaśnienia” dla osób, które mogą być dotknięte decyzjami podejmowanymi przez systemy AI. W praktyce oznacza to, że osoby będą miały prawo wiedzieć, w jaki sposób dana decyzja została podjęta przez AI oraz jakie są jej główne kryteria.
Jest to istotne w kontekście systemów AI używanych np. w rekrutacji, przyznawaniu kredytów czy ocenie ryzyka. Obie regulacje zatem współgrają, tworząc bardziej kompleksowy system ochrony praw obywateli, jednak AI Act uzupełnia RODO o szczegółowe wytyczne, których brakowało w kontekście podejmowania decyzji przez AI.
Wpływ AI Act na obowiązki administratorów danych
Dla podmiotów, które pełnią rolę administratorów danych osobowych (np. firmy, instytucje publiczne), wejście w życie AI Act oznacza dodatkowe wymogi. Administratorzy korzystający z systemów AI będą musieli nie tylko dbać o zgodność z RODO, ale także spełniać nowe kryteria AI Act. Będzie to obejmować m.in. monitorowanie ryzyk, dokumentowanie procesu podejmowania decyzji przez AI oraz przeprowadzanie testów bezpieczeństwa i zgodności systemów.
AI Act kładzie także nacisk na nadzorowanie algorytmów w całym cyklu ich życia – od fazy rozwoju, przez testowanie, aż po wdrożenie i monitorowanie. Administratorzy będą zobowiązani do zapewnienia odpowiednich środków nadzoru i kontroli nad systemami AI, co w praktyce może wymagać stworzenia nowych procedur lub zespołów ds. zarządzania zgodnością.
Sankcje i kary
AI Act, podobnie jak RODO, wprowadza system kar finansowych za naruszenie przepisów. Zgodnie z propozycją AI Act, naruszenia mogą być obłożone karami w wysokości do 6% rocznego obrotu firmy lub do 30 milionów euro, co jest wyższe niż maksymalne kary przewidziane w RODO (4% obrotu lub 20 milionów euro). Taki system ma na celu zniechęcenie do stosowania nieprzejrzystych i niebezpiecznych systemów AI oraz zachęcanie firm do podejmowania odpowiednich działań zabezpieczających.
Jak AI Act i RODO będą wspólnie kształtować przyszłość ochrony danych
AI Act i RODO mają współpracować, tworząc bardziej złożony, wieloaspektowy system ochrony danych i praw obywateli. Podczas gdy RODO ustala zasady ogólne dla ochrony danych, AI Act koncentruje się na specyfice technologii AI i ryzykach, jakie niesie ze sobą automatyczne przetwarzanie danych.
Dzięki synergii AI Act i RODO, Unia Europejska dąży do stworzenia bezpiecznego środowiska, w którym innowacje technologiczne będą rozwijane w sposób transparentny i zgodny z prawami człowieka. W miarę rozwoju sztucznej inteligencji, unijne przepisy mogą stać się wzorem regulacyjnym dla innych regionów świata, budując nowy standard odpowiedzialności i ochrony w erze cyfrowej