business communication

Wpływ sztucznej inteligencji na ochronę danych osobowych

W ostatnich latach jesteśmy świadkami niezwykle szybkiego rozwoju technologicznego, co jest związane w dużej mierze z wykorzystaniem sztucznej inteligencji (AI) w wielu obszarach naszego życia. Niepokojący jest jednak fakt, że ilość zbieranych, przechowywanych i przetwarzanych danych w Internecie rośnie wykładniczo, co generuje spore zagrożenie dla naszej prywatności i utraty realnej kontroli nad udostępnionymi danymi.  Jak to wygląda w rzeczywistości i jaki wpływ ma dziś sztuczna inteligencja na ochronę naszych danych osobowych?

Sztuczna inteligencja w przepisach unijnych

Temat AI już od dłuższego czasu jest szeroko omawiany w regulacjach unijnych. To właśnie w nich, a konkretnie w AI Act, czyli projekcie rozporządzenia Parlamentu Europejskiego i Rady, ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji i zmieniające niektóre akty, znajdziemy konkretne przepisy dotyczące AI. Wskazano w nim, że sztuczna inteligencja (AI, SI) jest oprogramowaniem opracowanym przy wykorzystaniu określonych technik i podejść, które może dla celów określonych przez człowieka generować wybrane wyniki (treści, zalecenia, decyzje, przewidywania) wpływające na środowisko, z którym wchodzi w interakcję.

Sztuczna inteligencja a prywatność użytkownika i ochrona danych osobowych

W dobie coraz szybszego rozwoju sztucznej inteligencji systemy AI niejednokrotnie wykorzystują ogromne ilości danych osobowych w celu szkolenia oraz poprawy projektowanych modeli. Wprowadzanie zaawansowanych technik uczenia maszynowego i uczenia głębokiego sprawia, że prawdopodobieństwo naruszenia prywatności użytkowników staje się już nie tyle hipotezą, ile raczej faktem. Istnieje bowiem spore ryzyko, że dane osobowe będą gromadzone z łatwo i publicznie dostępnych źródeł, przetwarzane i udostępniane przez systemy AI bez naszej  zgody, co z kolei prowadzi do zwiększonego ryzyka wszelkiego rodzaju nadużyć prywatności, takich jak nieautoryzowany dostęp, kradzież danych, manipulacje czy ataki cybernetyczne.

Warto przy tym podkreślić, że to właśnie systemy wykorzystujące sztuczną inteligencję są szczególnie narażone na ataki złośliwego oprogramowania, a także próby fałszowania danych. Konsekwencje takich zdarzeń mogą być bardzo poważne i przełożyć się m.in. na szkody finansowe, utratę poufności, a także naruszenie reputacji użytkownika. Dlatego też, należy podchodzić z dużą rezerwą krytycyzmu do usług wspieranych przez AI. 

Sztuczna inteligencja a ochrona danych osobowych zgodnie z RODO

Chociaż już w niedługim czasie, w Unii Europejskiej będzie obowiązywać wspomniane wcześniej rozporządzenie AI Act, to musimy pamiętać, że nie jest to pierwszy akt prawny, który porusza temat sztucznej inteligencji. Okazuje się, że już w przepisach RODO uwzględnione zostały kwestie związane ze znaczeniem sztucznej inteligencji dla społeczeństwa.

Co ciekawe, w rozporządzeniu o ochronie danych osobowych nie znajdziemy pojęć „sztuczna inteligencja” czy też „AI”. Stosowane jest tu natomiast pojęcie „zautomatyzowanego przetwarzania”, czyli operacji wykonywanej na danych osobowych w sposób zautomatyzowany, bez ingerencji człowieka. Formą zautomatyzowanego przetwarzania jest z kolei profilowanie, czyli wykorzystanie danych osobowych do oceny wybranych czynników osobowych danej osoby, głównie w kontekście analizy lub prognozy kwestii związanych z efektami pracy tej osoby, jej zdrowia, preferencji, zainteresowań, lokalizacji oraz sytuacji ekonomicznej. Takim przykładem może być, np. profilowanie czy kategoryzowanie naszych klientów przy wykorzystaniu AI.

Unijny ustawodawca wskazuje dwa kluczowe środki ochrony dla osoby fizycznej, której dane mogą zostać przetworzone w sposób zautomatyzowany:

1.  prawo do niepodlegania decyzji, która opiera się wyłącznie na wskazanym przetwarzaniu (art. 22 ust. 1 RODO). Prawo to jest uwarunkowane jednak dwoma czynnikami. Po pierwsze, decyzja musi wywoływać skutki prawne wobec danej osoby lub wpływać na nią w sposób istotny. Co więcej, decyzja musi być oparta jedynie na zautomatyzowanym przetwarzaniu, co oznacza, że jeśli na którymkolwiek z etapów procesu decyzyjnego brał udział człowiek, to przetwarzanie traci charakter automatyczny, a prawo do niepodlegania decyzji przestaje przysługiwać użytkownikowi. Należy też zaznaczyć że prawo traci swoją moc również wtedy, gdy decyzja będzie istotna i oparta wyłącznie na zautomatyzowanym przetwarzaniu, jednak równocześnie:

a.      jest niezbędna do zawarcia umowy pomiędzy osobą, której dane dotyczą a administratorem;

b.      jest dozwolona prawem unijnym lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje z góry określone środki ochrony praw, wolności i interesów osoby, której dane dotyczą;

c.      opiera się na wyraźnej zgodzie osoby, której dotyczą przetwarzane dane;

2.  prawo do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i zakwestionowania decyzji, które obowiązuje wtedy, gdy decyzja warunkuje zawarcie umowy z administratorem lub opiera się na wyraźnej zgodzie podmiotu danych. Prawo do odwołania się od decyzji polega na tym, że jej adresat kwestionuje decyzję generowaną przez systemy sztucznej inteligencji i żąda przeanalizowania jej przez człowieka, który może mieć inny pogląd na sprawę niż algorytmy. Interwencja ludzka musi mieć wówczas charakter merytoryczny, bez opierania się wyłącznie na decyzji algorytmów.

Nie da się ukryć, że zapiski ujęte w art. 22 RODO są bardzo skomplikowane i na pierwszy rzut oka trudne do zrozumienia. Warto jednak pamiętać, że są one niezwykle istotne z punktu widzenia ochrony danych osobowych przetwarzanych przez AI. Ze względu na fakt, że regulacja ta odpowiada jedynie na pewien zakres wyzwań, jakie niesie za sobą sztuczna inteligencja, realną odpowiedzią na ten problem może stać się dopiero AI Act, który będzie obowiązywać wraz z regulacją RODO.