GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Sztuczna Inteligencja (AI) oczami organów nadzoru

AI Learning and Artificial Intelligence Concept. Business, modern technology, internet and networking concept.

Zapytaliśmy organy nadzorcze o ich postrzeganie i doświadczenia w zakresie sztucznej inteligencji – mamy odpowiedzi!

W dzisiejszym świecie sztuczna inteligencja staje się nieodłącznym elementem naszego życia, rewolucjonizując sposób, w jaki funkcjonujemy, pracujemy i komunikujemy się. Od prostych zadań codziennych po skomplikowane procesy przemysłowe, sztuczna inteligencja przekształca nasze społeczeństwo i gospodarkę na wielu płaszczyznach.

Ładny wstęp? Otóż, został on napisany przez ChatGPT, czyli narzędzie oparte o sztuczną inteligencję (AI – Artificial intelligence). Nie podoba się? W przysłowiową sekundę możemy napisać trzy inne propozycje wstępu albo cały artykuł. Ten drobny test pokazuje, jak bardzo sztuczna inteligencja rozwija się w ostatnich latach, a co za tym idzie, jak rozwijają się rozmaite narzędzia oparte o różnego rodzaju algorytmy, w tym wspomniany ChatGPT. Bez wątpienia, narzędzia oparte o sztuczną inteligencję mogą być bardzo przydatne w codziennym życiu. Od wsparcia w codziennych drobnych czynnościach aż po skomplikowane procesy, np. w zakresie zaawansowanej diagnostyki chorób. Niestety, AI to nie tylko szanse, ale również ogromne zagrożenia, w tym m.in. w zakresie ochrony prywatności i danych osobowych. Narzędzia AI mogą być bowiem stosowane np. w celu tworzenia tzw. deepfake’ów. Z drugiej strony, obawy może rodzić kwestia braku kontroli nad danymi, które przetwarzane są w sposób zautomatyzowany przez algorytmy AI.

Warto również wspomnieć, że w marcu br. Parlament Europejski przyjął rozporządzenie dotyczące sztucznej inteligencji (AI Act). Mając to na względzie, jako portal GDPR.PL, zapytaliśmy organy nadzorcze z różnych krajów o ich perspektywę rozwoju i zagrożeń związanych z AI.

Pytania do organów nadzorczych

Do organów nadzoru zwróciliśmy się z następującymi pytaniami:

  1. czy organ nadzorczy postrzega AI jako zagrożenie czy szansę w zakresie ochrony danych osobowych? Jeśli tak, to w jakim konkretnie obszarze i dlaczego?
  2. niezależnie od przepisów unijnych (AI Act), czy organ nadzorczy planuje jakieś działania lokalne? Kampania uświadamiająca, ustawodawstwo krajowe, wytyczne, szkolenia lub inne działania?
  3. czy organ nadzorczy wydał już jakieś decyzje dotyczące sztucznej inteligencji lub uczenia maszynowego?

Duża część organów nadzorczych podzieliła się z nami swoimi spostrzeżeniami, w tym także polski organ, co podsumowujemy poniżej.

AI Act – czy uda sie ujarzmić sztuczną inteligencję?

AI – szansa czy zagrożenie?

Większość organów nadzorczych, od których otrzymaliśmy odpowiedzi wskazuje, że narzędzia AI stanowią zarówno szansę, jak i mogą stanowić zagrożenie. W ocenie organów nadzorczych, stosowanie narzędzi AI bez wątpienia jest dużym wyzwaniem w kontekście ochrony danych osobowych. Z drugiej strony, niektórzy z regulatorów (np. niemiecki organ nadzorczy z Hamburga), podnoszą, że narzędzia oparte o AI mogą być wykorzystywane w celu wręcz zwiększenia ochrony danych osobowych. Przykładowo, wskazany organ nadzorczy zauważył, że aktualnie wspomaga on Senat w Hamburgu w zakresie wdrożenia narzędzia opartego o AI, które usuwa dane osobowe z wyroków sądowych, przed ich publikacją.

Organy nadzorcze podnoszą (tak np. hiszpański organ nadzorczy), że nie kwestionując korzyści, które mogą płynąć z wykorzystania narzędzi AI, należy zawsze mieć w pierwszej kolejności na względzie ochronę praw i wolności jednostki. Hiszpański regulator wskazał, że stale monitoruje technologie związane z AI, aby być w stanie na bieżąco reagować na wszelkie związane z nimi zagrożenia.

Regulatorzy zauważają także (np. austriacki organ nadzorczy), że co do zasady RODO jest neutralne technologicznie. Oznacza to, że RODO nie powinno hamować rozwoju nowych technologii, w tym tych związanych z AI. Z drugiej strony zarówno AI Act, jak i ewentualne inne regulacje prawne w tym zakresie nie powinny ograniczać stosowania przepisów o ochronie danych osobowych, czy też uprawnień organów nadzorczych.

Warto zwrócić uwagę na kilka przykładów wskazanych przez niemiecki organ nadzorczy (Schleswig-Holstein), obrazujących zarówno zagrożenia, jak i ewentualne korzyści w zakresie przetwarzania danych osobowych z wykorzystaniem AI. Wśród potencjalnych korzyści, regulator wskazał m.in. wsparcie organu nadzorczego w zakresie realizacji swoich obowiązków, czy też wykorzystanie AI w zakresie zapewnienia bezpieczeństwa systemów, w których przetwarzane są dane osobowe. Jako przykłady zagrożeń regulator wskazał natomiast m.in. cyberataki wspierane przez AI, bezprawne pozyskiwanie danych do trenowania AI, tzw. deepfake’i, nieprawidłową realizację praw osób, problemy związane z wykazaniem rozliczalności stosowania RODO, czy też np. pozyskiwanie od użytkownika zbyt dużej liczby danych osobowych, aby wykazać, że konkretna osoba nie jest AI botem.

Działania lokalne w zakresie AI

Wśród nadesłanych odpowiedzi wyraźnie widać trend, że organy nadzorcze w większości dostrzegają wagę problematyki przetwarzania danych osobowych przy wykorzystaniu narzędzi AI. Niektórzy z regulatorów wskazują, że w ich krajach powoływane są odrębne podmioty odpowiedzialne za nadzór nad stosowaniem narzędzi AI. Niezależnie od powyższego, organy same podejmują wiele inicjatyw związanych z przetwarzaniem danych osobowych przez AI, w tym wydają różnego rodzaju wytyczne i wskazówki. W tym kontekście warto zwrócić uwagę na działalność hiszpańskiego organu nadzorczego, który udostępnił wiele materiałów w tym zakresie (np. rekomendacje dotyczące stosowania chatbotów AI – https://www.aepd.es/infographics/info-recommendations-chatbots-ai.pdf, czy też wykaz materiałów dotyczących przetwarzania danych przy wykorzystaniu AI – https://www.aepd.es/infographics/personal-data-processing-that-embed-ai.pdf).

Liczne inicjatywy w zakresie AI podejmowane są również przez ICO (Information Commissioner’s Officebrytyjski organ nadzorczy). Przykładowo, ICO rozpoczął na początku 2024 r. szerokie konsultacje w sprawie generatywnej sztucznej inteligencji (https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/01/information-commissioner-s-office-launches-consultation-series-on-generative-ai/).

Warto także dostrzec inicjatywy niemieckich organów nadzorczych. Regulator z Hamburga opublikował checklistę dotyczącą wykorzystania chatbot’ów korzystających z AI, w tym z ChatGPT (https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/20231113_Checklist_LLM_Chatbots_EN.pdf).

Kilka z organów nadzorczych, od których otrzymaliśmy odpowiedzi zapowiada dalsze działania edukacyjne i informacyjne w zakresie wykorzystywania narzędzi AI. Na przykład  organ nadzorczy z Norwegii zapowiedział przygotowanie wytycznych dotyczących relacji pomiędzy AI Act, a RODO, zaś organ z Niemiec (Berlin) planuje zorganizowanie w drugiej części roku wydarzenia dedykowanego zagadnieniom związanym z AI.

Rozstrzygnięcia lokalne

Większość organów nadzorczych wskazało, że dotychczas nie wydali oni lokalnych rozstrzygnięć (decyzji) dotyczących przetwarzania danych osobowych przy wykorzystaniu narzędzi AI. Warto  więc zwrócić szczególną uwagę na decyzję węgierskiego organu nadzorczego z lutego 2022 r., mocą której nałożył on na administratora karę pieniężną w wysokości 650 000 euro. Sprawa dotyczyła wykorzystywania oprogramowania opartego na AI, które służyło do automatycznej analizy zarejestrowanych rozmów telefonicznych. Osoby, których dane dotyczą nie zostały poinformowane o takim przetwarzaniu danych osobowych i w żaden sposób nie mogły się mu sprzeciwić. Węgierski regulator podkreślił w swojej decyzji, że trudno jest wdrożyć AI w sposób przejrzysty i bezpieczny, bez zastosowania dodatkowych zabezpieczeń (https://edpb.europa.eu/news/national-news/2022/data-protection-issues-arising-connection-use-artificial-intelligence_en). Niemiecki organ nadzorczy (Maklemburgia) wskazał natomiast, że w przeciągu najbliższych kilku miesięcy spodziewa się decyzji dotyczącej ChatGPT.

Stanowisko UODO

Polski organ nadzorczy wskazał w przekazanym stanowisku, że zagadnienie AI od dawna jest przedmiotem zainteresowania UODO, podkreślając przy tym, że nowoczesna konstrukcja wykorzystywania systemów opartych o AI nie zwalnia administratorów i podmiotów przetwarzających z przestrzegania RODO, w tym m.in. w zakresie podstaw przetwarzania, zasad oraz zapewnienia bezpieczeństwa.

Polski regulator zaznaczył też , że niejednokrotnie zwracał on uwagę, że systemy oparte o AI, które wykorzystują dane osobowe do podejmowania decyzji muszą być przejrzyste i rozliczalne, aby zapewnić, że nie podejmują niesprawiedliwych lub stronniczych decyzji. Dodatkowo – w ocenie UODO – powinny być one kontrolowane przez człowieka w celu wychwycenia potencjalnych błędów i ich ewentualnej korekty.

UODO zauważył, że polski organ nadzorczy od dawna zaangażowany jest w działania edukacyjne związane z zagadnieniami nowych technologii, w tym AI. Jako przykłady takich działań wskazał m.in. zorganizowanie konferencji „Forum Nowych Technologii”, czy też poruszanie tematyki nowych technologii i AI w ramach realizacji projektu „Twoje dane – Twoja sprawa”, który skierowany jest do dzieci. Organ nadzorczy zwrócił również uwagę, że uczestniczy w pracach EROD (Europejska Rada Ochrony Danych), w tym w podgrupach ds. ChatGPT oraz ds. technologii (Technology Export Subgroup).

Co ciekawe, UODO poinformował, że aktualnie rozpatrywana jest skarga, w której osoba skarżąca zarzuca twórcy ChatGPT (OpenAI) m.in. przetwarzanie jej danych osobowych w sposób niezgodny z prawem, nierzetelny oraz nieprzejrzysty.

Niezależnie od przekazanego stanowiska, Prezes UODO (Mirosław Wróblewski) wskazał ostatnio podczas posiedzenia Podkomisji stałej Sejmu RP do spraw sztucznej inteligencji i przejrzystości algorytmów, że „kwestia ochrony danych osobowych jest elementem praw podstawowych, które są zapisane w Akcie o sztucznej inteligencji”. Podkreślił on, że duża część rozwiązań przewidzianych przez ten akt odnosi się do przetwarzania danych osobowych. Prezes UODO powiedział, że „wynika to z charakteru działania algorytmów sztucznej inteligencji, które m.in. muszą być trenowane na danych. Akt o sztucznej inteligencji zapewnia o poszanowaniu prawa do ochrony danych osobowych, lecz rzeczywiste jego zagwarantowanie będzie dużym wyzwaniem dla organów ochrony danych osobowych, w tym dla UODO„ (więcej – https://uodo.gov.pl/pl/138/3058).

Szansa i Zagrożenie

Reasumując, wszystkie organy które odpowiedziały na naszą ankietę zaznaczyły, że AI to szansa ale i zagrożenie (lub odwrotnie). Każdy z nich konsekwentnie wskazywał, że AI nie może pozostać bez nadzoru w kontekście ochrony danych i prywatności. Pomimo pewnej specyfiki kraju, gdzie niektórzy z naszych rozmówców zwracają uwagę na konkretne ryzyka (dyskryminacja ze względu na płeć – Hiszpania) a inne koncentrują się na innych wyzwaniach, to każdy z nich potwierdza, że AI zmieni, a w zasadzie już zmienia świat nieodwracalnie a organy nadzoru starają się nie pozostawić tych zmian bez kontroli.