Wśród dokumentów przyjętych przez Europejska Radę Ochrony Danych 7 lutego 2020 r. podczas siedemnastej sesji plenarnej znalazło się pismo stanowiące odpowiedź na wniosek posłanki Parlamentu Europejskiego Sophie in’t Veld dotyczący stosowania nieuczciwych algorytmów. Dokument zawiera analizę wyzwań związanych ze stosowaniem takich algorytmów, przegląd odpowiednich przepisów RODO oraz powiązanych wytycznych, a także opisuje prace już podjęte przez organy nadzoru. Poniżej prezentujemy streszczenie dokumentu.
Czy EROD uważa, że RODO zapewnia obywatelom wystarczającą ochronę przed nieuczciwymi algorytmami?
Każde (nie zaliczane do wyjątków – przyp. red.) przetwarzanie danych osobowych za pomocą algorytmu wchodzi w zakres RODO. Oznacza to że RODO obejmuje tworzenie i stosowanie większości algorytmów. Dzięki – między innymi – podejściu opartemu na ryzyku, zasadzie minimalizacji danych oraz wymogowi ochrony danych w fazie projektowania i domyślnej ochrony danych, obecne ramy prawne uwzględniają już wiele potencjalnych zagrożeń i wyzwań związanych z przetwarzaniem danych osobowych w takiej formie.
Algorytmy mogą prowadzić do niesprawiedliwych lub nawet dyskryminujących skutków z wielu powodów. Niektóre z tych źródeł dyskryminacji mają związek z ludzkimi intencjami i wymagają szczególnych zabezpieczeń behawioralnych lub etycznych, inne mają związek ze sposobem przetwarzania danych.
Istnieje także tendencja do przetwarzania dużych ilości danych: powszechnym założeniem jest, że im więcej danych wykorzystuje się do szkolenia algorytmów, tym dokładniejsze stają się one w przewidywaniu tego, do czego zostały przewidziane, co może prowadzić do zbyt szerokiego pozyskiwania i tym samym bezprawnego przetwarzania takich nadmiarowych danych. Algorytmy stają się też coraz bardziej złożone, co czyni je mniej przejrzystymi. Wewnętrzne funkcjonowanie algorytmów staje się niezwykle trudne do zrozumienia lub wyjaśnienia (model „czarnej skrzynki”).
Ogólne zasady określone w Art. 5 RODO, a w szczególności zgodność z prawem, rzetelność i przejrzystość, prawidłowość, minimalizacja danych i ograniczenia celu – regulują jednak przetwarzanie danych osobowych, zarówno podczas tworzenia , jak i stosowania algorytmów.
Ponadto, na podstawie art. 25 RODO, administratorzy danych muszą zapewnić ochronę danych już w fazie projektowania oraz domyślną ochronę danych, co oznacza, że muszą oni wprowadzić odpowiednie środki, które mają na celu skuteczne wdrożenia wyżej wymienionych procedur przy tworzeniu stosowaniu algorytmu. Wymaga to podejścia zorientowanego na ochronę danych przy opracowywaniu technologii na różnych etapach: projektowania, wyboru poszczególnych elementów i stosowania gotowego algorytmu.
Zasada rozliczalności wymaga także, by administratorzy zapewniali zgodność z zasadami ochrony danych i byli w stanie tę zgodność wykazać. Oznacza to, że są zobowiązani do rozważenia wszystkich potencjalnych zagrożeń, jakie stworzenie lub wykorzystywanie konkretnego algorytmu może potencjalnie rodzić dla praw i wolności osób fizycznych, i w razie potrzeby do podjęcia środków zaradczych.
Wykorzystanie lub opracowanie algorytmu może także powodować powstanie obowiązku przeprowadzenia oceny skutków dla ochrony danych (DPIA, art. 35 RODO) przed rozpoczęciem przetwarzania danych. Jeżeli wynik oceny skutków w zakresie ochrony danych wykaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym.
Wreszcie, RODO zawiera szczegółowe przepisy dotyczące zautomatyzowanego podejmowania decyzji. Artykuł. 22 RODO zakazuje podejmowania decyzji opartych wyłącznie na takim przetwarzaniu, jeżeli decyzja „wywołuje skutki prawne dotyczące osoby lub w podobny sposób istotnie na nią wpływa”. Ponadto, art. 22 zobowiązuje administratora do wdrożenia właściwych środków ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji. Ta interwencja ze strony człowieka musi być profesjonalna, zdolna do zidentyfikowania i przeciwdziałania niesprawiedliwym wynikom lub dyskryminacji – jak ostatnio wskazała EROD w swoich wytycznych dotyczących ochrony danych w projektowania i domyślnej ochronie danych.
Czy EROD uważa, że egzekwowanie RODO w kontekście algorytmów jest wystarczające, oraz skuteczne, czy też dodatkowe i szczegółowe przepisy są niezbędne do lepszej ochrony obywateli przed dyskryminującymi algorytmami oraz zapewnienia większej przejrzystości w zakresie ich funkcjonowania? Ponadto, czy EROD wyda wytyczne dotyczące tego, co uważa za uczciwy algorytm?
Biorąc pod uwagę istniejące już obszerne ramy prawne, EROD uważa, że dodatkowe prawodawstwo w dziedzinie ochrony danych, ukierunkowane na konkretną technologię, byłoby w tej chwili przedwczesne. Obecnie skupiono się raczej na rozwoju istniejących norm, w szczególności wymogów dotyczących przejrzystości, rozliczalności i oceny skutków dla ochrony danych w kontekście algorytmów uczenia maszynowego. W przyszłości może to doprowadzić do opracowania wytycznych.
Obecne ramy prawne ochrony danych osobowych oferują jednak organom nadzorczym wiele możliwości skutecznego nadzoru i egzekwowania wyżej wymienionych aspektów rzetelności i przejrzystości oraz praw osób, których dane dotyczą, zapewniających kontrolę nad ich danymi osobowymi. Egzekwowanie to może przybrać wiele form, w szczególności:
- aktywnego informowania osób, o ich prawach;
- kontaktów z zainteresowanymi stronami;
- informowania i wspierania organizacji;
- oceny wcześniej odbytych konsultacji i;
- prowadzenia postępowań, które mogą prowadzić do egzekwowania przestrzegania przepisów.
Kilka organów otrzymało wnioski o wcześniejsze konsultacje, nieformalne wnioski o poradę od organizacji, które wykorzystują technologię algorytmiczną, a niektóre wydały przyczyniły się do powstania i wydania wytycznych. Jednocześnie EROD zdaje sobie sprawę, że zapewnienie skutecznego egzekwowania istniejących obowiązków w ramach RODO w kontekście tej szybko rozwijającej się technologii będzie w nadchodzących latach nadal wymagało znacznych inwestycji w specjalistyczną wiedzę i niezbędne zasoby.
Źródło: https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-response-mep-sophie-int-velds-letter-unfair-algorithms_en