Akt w sprawie AI w kontekście RODO: 10 kluczowych informacji
Ochrona danych osobowych jest jednym z dwóch, oprócz prawa autorskiego, obszarów wywołujących największe kontrowersje prawne, jeśli chodzi o stosowanie sztucznej inteligencji.
Obecnie, w ramach tzw. trilogu prowadzonego pomiędzy Komisją Europejską, Parlamentem Europejskim i Radą Unii Europejskiej, wypracowywana jest ostateczna wersja Rozporządzenia UE pt. Akt w sprawie sztucznej inteligencji („AI Act”). Jego uchwalenie przewidywane jest na początek tego roku. Okazuje się, że ochrona danych osobowych jest jednym z dwóch, oprócz prawa autorskiego, obszarów wywołujących największe kontrowersje prawne, jeśli chodzi o stosowanie sztucznej inteligencji („SI”). Warto w związku z tym dokonać analizy wzajemnych relacji pomiędzy tymi aktami prawnymi. Poniżej 10 najważniejszych kwestii w tym zakresie.
1.
Tandem legislacji chroniących dane osobowe
W preambule Aktu o sztucznej inteligencji wyraźnie podkreślono niezależność reżimów ochrony w „AI Act” i RODO. Ich wzajemnej relacji nie można w związku z tym traktować jako lex generalis i lex specialis (jedno nie uchyla drugiego i odwrotnie). Z drugiej strony, zarówno RODO, jak i – częściowo – Akt w sprawie sztucznej inteligencji oparte są na tej samej podstawie prawnej ich przyjęcia, tj. art. 16 Traktatu o funkcjonowaniu Unii Europejskiej, stanowiącego o ochronie danych osobowych. Pozwala to na stwierdzenie, że RODO i „AI Act” należy traktować jako „tandem legislacji” chroniących dane osobowe.
2.
Obowiązek łącznego spełnienia obowiązków
Z uwagi na powyżej wskazaną okoliczność, że „AI Act” nie jest lex specialis w stosunku do RODO, dostawcy i użytkownicy rozwiązań sztucznej inteligencji będą musieli łącznie spełnić warunki legalności określone w obydwóch tych aktach prawnych. W pewnych przypadkach niesie to ryzyko „overlappingu” (nakładania się na siebie) obu tych legislacji. Przykładowo, praktyki zakazane na gruncie „AI Act” (art. 5 in. Projektu), mogą równocześnie stanowić sprzeczne z prawem do zautomatyzowanego przetwarzania danych osobowych w indywidualnych przypadkach (art. 22 RODO).
3.
Zasady określone w RODO nie stoją na przeszkodzie rozwojowi sztucznej inteligencji
Wbrew powszechnej opinii, stosowanie zasad RODO nie stoi na przeszkodzie rozwojowi systemów sztucznej inteligencji. Dobrze ilustruje to sprawa ChatGPT, w której włoski organ do spraw ochrony danych osobowych (Garante) w dniu 31 marca 2023 r. wydał decyzję czasowo zakazującą przetwarzania przez OpenAI, operatora ChatGPT, danych osobowych użytkowników znajdujących się na terytorium Włoch, aby następnie po dokonaniu odpowiednich zmian przez Open AI, w kwietniu 2023 r. zezwolić na ponowne oferowanie tego narzędzia we Włoszech.
Wśród podjętych przez Open AI środków między innymi wymienić należy zawarcie w politykach prywatności i innej dokumentacji szczegółowego opisu procesu „szkolenia i rozwoju” sztucznej inteligencji, w tym jakie kategorie danych osobowych i w jakich celach są przetwarzane. Z punktu widzenia możliwości „trenowania” sztucznej inteligencji, kluczowe było również potwierdzenie przez włoski organ dopuszczalności oparcia przetwarzania danych osobowych na etapie trenowania SI na przesłance prawnie uzasadnionego interesu (art. 6 ust. 1 pkt f) RODO.
4.
RODO i AI Act – różnice w zakresie ochrony danych osobowych
Jedną z istotnych różnic pomiędzy RODO a Aktem w sprawie sztucznej inteligencji jest to, że pierwszy z tych aktów prawnych koncentruje się na ochronie danych osobowych na wszystkich etapach ich przetwarzania, począwszy od ich zbierania (input), podczas gdy nacisk w AI Act położony jest na wynikach wykorzystania sztucznej inteligencji (output). Tym, co różni obydwa te akty prawne jest również to, że Akt w sprawie sztucznej inteligencji w zasadzie reguluje tylko dwie kategorie systemów SI (systemy zakazane, systemy wysokiego ryzyka), podczas gdy do pozostałych dwóch kategorii systemów (ograniczonego lub niskiego ryzyka) stosują się jedynie ograniczone obowiązki w zakresie transparentności. W przypadku RODO natomiast, regulacja ta dotyczy wszystkich systemów przetwarzania danych osobowych, niezależnie od ryzyka związanego z korzystaniem z nich.
5.
RODO i AI Act – różne podejście do zasady „risk based approach”
Zarówno RODO, jak „AI Act” oparte są na koncepcji „risk based approach”, różne jest jednak podejście do tej zasady na gruncie obydwóch tych aktów prawnych. Istotą RODO jest podejście „right based approach”, która wyraża się w przyznaniu podmiotom danych szeregu praw (np. prawa do informacji, prawa dostępu do danych, prawa do bycia zapomnianym). Z kolei regulację AI Act definiuje podejście „obligation based approach”, polegające na nałożeniu różnych obowiązków na podmioty objęte tą regulacją (np. dostawców i użytkowników systemów wysokiego ryzyka). Sam AI Act bezpośrednio nie kreuje natomiast praw na rzecz osób fizycznych, których dane są przetwarzane przez systemy sztucznej inteligencji.
Podobne artykuły
Nowym motywatorem prawo i sztuczna inteligencja
Firmy coraz bardziej przekonują się do elektronicznego obiegu dokumentów. Dla nieprzekonanych zaś skutecznym impulsem mogą być regulacje prawne.
Sztuczna inteligencja w czterech odsłonach
Startupy bardzo szybko adaptują w swoich rozwiązaniach sztuczną inteligencję. Co ważne, większość z nich nie robi tego, aby nadążać za modą, lecz zwiększać funkcjonalność produktów.
Wojna na rynku chipów: nowe linie frontu
Technologia stojąca za generatywną sztuczną inteligencją, taką jak ChatGPT, eksplodowała, napędzając popyt na specjalistyczne chipy. Jak na razie najszybciej z bloków wystartowała Nvidia, ale to dopiero początek wyścigu.