Jeżeli prawdą jest, że dane stanowią siłę napędową współczesnej gospodarki i mają kluczowe znaczenie dla budowania przewagi konkurencyjnej przedsiębiorstw, to najważniejszym wyzwaniem biznesowym staje się dzisiaj ich ochrona. Obecnie znaczenie danych dodatkowo rośnie w związku z rozwojem zastosowań systemów sztucznej inteligencji. Ich twórcy, aby rozwijać coraz skuteczniejsze modele uczenia maszynowego, potrzebują dostępu do coraz większej ilości danych o jak najlepszej jakości. A z tym właśnie jest spory problem. Nie wszyscy dysponują potrzebnymi zbiorami właściwych informacji, a ci, którzy je posiadają, nie chcą się nimi dzielić z innymi, właśnie ze względu na ich wyjątkowe znaczenie dla powodzenia własnych strategii biznesowych.

Z drugiej strony istnieją dane poufne, których udostępnianie jest ograniczone na mocy stosownych regulacji prawnych. Zgodnie z obowiązującą ustawą o zwalczaniu nieuczciwej konkurencji z 1993 r. do tajemnicy przedsiębiorstwa należą informacje posiadające wartość gospodarczą, ale które nie są powszechnie znane albo nie są łatwo dostępne dla osób nimi zainteresowanych (np. bazy klientów, receptury, informacje o kontrahentach, plany produkcji, informacje o rynkach zbytu itp.).

Z kolei informacje podlegające szczególnej ochronie ze względu na interes państwa wskazuje ustawa o ochronie informacji niejawnych z 2010 r. Określa ona zasady zabezpieczania czterech grup informacji: zastrzeżonych, poufnych, tajnych i ściśle tajnych. Ustawowej ochronie podlegają też tajemnice związane z funkcjonowaniem poszczególnych zawodów, branż i sektorów, np. bankowa, telekomunikacyjna, lekarska, prawnicza, dziennikarska, jak również tajemnica korespondencji, negocjacji, statystyczna czy geologiczna.

Poufność i integralność

Szczególny rodzaj informacji poufnych stanowią dane osobowe. Zasady korzystania z nich i ich ochrony definiuje unijne rozporządzenie, znane u nas powszechnie jako RODO. Jego artykuł 5 nakłada wprost na administratora danych osobowych obowiązek zapewnienia ich poufności i integralności. Muszą być one przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, „w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych”.

W kontekście rosnącej popularności narzędzi bazujących na technikach sztucznej inteligencji warto też zwrócić uwagę na art. 22 RODO. Nakłada on na administratora danych zakaz zautomatyzowanego podejmowania decyzji w stosunku do osoby, której dotyczą przetwarzane dane. Osoba taka, jak czytamy w rozporządzeniu, „ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa”. Chyba, że dana osoba sama wyrazi na to zgodę.

Wymogi wynikające z RODO powinni uwzględniać w swoich działaniach również sami twórcy rozwiązań z zakresu sztucznej inteligencji. Jak zwracali uwagę uczestnicy zorganizowanej przez Urząd Ochrony Danych Osobowych konferencji „Sztuczna inteligencja w kontekście ochrony danych osobowych”, obowiązek ten powinien być uwzględniany już na etapie projektowania stosownych narzędzi AI (data protection by design – art. 25 ust. 1 RODO). Powinny one funkcjonować zgodnie z zasadą domyślnej ochrony danych (data protection by default), wskazanej w ust. 2 art. 25. Obowiązkiem producentów systemów sztucznej inteligencji jest także przeprowadzenie oceny skutków przetwarzania danych w ich systemach w celu ich ochrony.

Wycieki i włamania Rośnie liczba stwierdzonych naruszeń ochrony danych osobowych w Polsce. W 2022 r. do UODO zgłoszono niemal 13 tys. takich przypadków, czyli prawie dwa razy więcej niż dwa lata wcześniej (7,5 tys.). Jak wynika z badania przeprowadzonego w maju 2023 r. przez IMAS International na zlecenie ChronPESEL.pl i Krajowego Rejestru Długów Biura Informacji Gospodarczej, ponad 13 proc. respondentów doświadczyło wycieku swoich danych z firm (7,5 proc.) i instytucji publicznych (5,6 proc.). Z kolei 22 proc. badanych stwierdziło, że nie ma pewności, czy ich dane nie trafiły w ręce przestępców. Ponadto jedna trzecia uczestników badania potwierdziła, że w ciągu ostatniego roku zetknęła się z próbą wyłudzenia swoich danych osobowych przez telefon, link bądź e-mail, a 12 proc. padło ofiarą takiego oszustwa. Niemal 6 proc. badanych Polaków przyznało, że doświadczyło kradzieży danych w wyniku włamania na komputer lub telefon.