Wstęp

Coraz więcej projektów związanych z przetwarzaniem danych osobowych odbywa się z wykorzystaniem sztucznej inteligencji. Działania te powinny być zgodne w szczególności z przepisami o ochronie danych osobowych. W artykule omówiono przykładowe obowiązki, które należy brać pod uwagę, aby zapewnić zgodność z RODO.

Projekty, w których przetwarzanie danych osobowych odbywa się z wykorzystaniem sztucznej inteligencji (np. machine learning), wymagają wcześniej zaplanowania pod kątem spełnienia wymogów z RODO. Zasadniczo takie przedsięwzięcie można podzielić na dwa etapy:

  • etap szkolenia (nauczania), budowy modeli;
  • etap stosowania wypracowanych modeli do konkretnych osób fizycznych.

Podział ten jest istotny, ponieważ zarówno podstawy prawne z art. 6 lub 9 RODO[1], jak i cele przetwarzania mogą się różnić w zależności etapu, na którym dochodzi do przetwarzania danych osobowych. Każdorazowo w odniesieniu do każdego celu przetwarzania należy dokonać identyfikacji podstaw prawnych. Przykładowo jeżeli podstawą prawną przetwarzania danych osobowych w celu szkolenia systemu sztucznej inteligencji będzie prawnie uzasadniony interes (art. 6 ust. 1 lit f RODO), to należy dodatkowo przeprowadzić test równowagi.

W wytycznych ICO dotyczących sztucznej inteligencji i danych osobowych wskazano, że administrator powinien poinformować zarówno o wykorzystywaniu danych osobowych do „trenowania” systemu sztucznej inteligencji, aby zapewnić przejrzystość przetwarzania[2], jak i o stosowaniu wypracowanego modelu do konkretnych osób fizycznych. W związku tym jeżeli w tych celach wykorzystywane są dane osobowe osób, wobec których już spełniono obowiązek informacyjny z art. 13 lub 14 RODO, to może być konieczna aktualizacja tych dokumentów i ich ponowne przekazanie osobom, których dane dotyczą. Należy to rozpatrywać w odniesieniu do każdego z planowanych celów przetwarzania.

W ramach projektów, w których wykorzystywana jest sztuczna inteligencja, może dochodzić do podejmowania zautomatyzowanych decyzji w rozumieniu art. 22 RODO. Samo wykorzystywanie danych osobowych do szkolenia systemu sztucznej inteligencji może jeszcze nie powodować podejmowania zautomatyzowanej decyzji, która wywołuje wobec danej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Do podejmowania takich decyzji może natomiast dochodzić na etapie zastosowania modeli do konkretnych osób fizycznych. W tym obszarze również należy zidentyfikować właściwą podstawę prawną z art. 22 ust. 3 RODO.

Przed rozpoczęciem przetwarzania danych osobowych z wykorzystaniem sztucznej inteligencji należy też przeanalizować zakres danych osobowych wykorzystywanych do uczenia modelu oraz następnie do stosowania tego modelu do konkretnych osób fizycznych pod kątem spełnienia zasady minimalizacji z art. 5 ust. 1 lit. c RODO.

W ramach projektów związanych z wykorzystaniem sztucznej inteligencji może być także niezbędne przeprowadzenie oceny skutków dla ochrony danych zgodnie z art. 35 RODO. W większości przypadków przetwarzanie danych osobowych w takich projektach będzie spełniać co najmniej dwa kryteria z wytycznych Grupy Roboczej art. 29 dotyczących oceny skutków dla ochrony danych oraz pomagających ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679 (WP248 rev.01). Będą bowiem zachodzić następujące okoliczności:

  • ocena lub punktacja, w tym profilowanie i prognozowanie;
  • przetwarzanie danych osobowych na dużą skalę;
  • wykorzystywanie nowych rozwiązań technologicznych lub organizacyjnych.

W ramach projektu należy dokonać również analizy ryzyka, aby dobrać środki techniczne i organizacyjne (art. 32 RODO), w tym rozważyć, czy możliwa jest pseudonimizacja danych osobowych w celu ich odpowiedniego zabezpieczenia przy jednoczesnej możliwości osiągnięcia celów biznesowych przez administratora.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

[2] Zob. https://ico.org.uk/for-organisations/guide-to-data-protection/key-data-protection-themes/guidance-on-ai-and-data-protection/ (dostęp: 4.06.2021).