Coraz więcej osób wykorzystuje ChatGPT lub inne systemy generatywnej sztucznej inteligencji do wykonywania swoich zadań służbowych. W związku z tym organizacje powinny opracować zasady korzystania z takich systemów w sposób zgodny z przepisami prawa. Poniżej przedstawiamy wybrane wskazówki brytyjskiego organu nadzorczego dotyczące zgodnego z prawem ochrony danych korzystania z systemów generatywnej AI.

  • Konieczne jest ustalenie podstawy prawnej przetwarzania danych osobowych, np. zgody albo prawnie uzasadnionego interesu administratora lub strony trzeciej. Dotyczy to np. sytuacji, w której dane osobowe stanowią element zapytania skierowanego do systemu generatywnej AI.
  • Należy opublikować informację o przetwarzaniu danych osobowych. Jeśli nie wymaga to nieproporcjonalnie dużego wysiłku, należy przekazać klauzulę informacyjną bezpośrednio osobom, których dane dotyczą.
  • Trzeba przygotować się na rozpatrywanie wniosków podmiotów danych o realizację praw przysługujących im na podstawie RODO, np. wniosków o dostęp do danych czy sprzeciwów wobec przetwarzania ich danych w systemach sztucznej inteligencji.
  • Konieczne może być przeprowadzenie oceny skutków dla ochrony danych (DPIA). Wydaje się, że spełnione będzie kryterium stosowania nowych rozwiązań technologicznych. W zależności od sytuacji spełnione mogą być także inne przesłanki powodujące wysokie ryzyko naruszenia praw i wolności osób fizycznych.
  • Jeśli system generatywnej AI będzie używany do podejmowania całkowicie zautomatyzowanych decyzji wywołujących skutki prawne wobec osób fizycznych, to konieczne będzie zapewnienie podmiotowi danych korzystania z dodatkowych uprawnień, o których mowa w art. 22 ust. 3 RODO. Szczególne znaczenie ma tutaj prawo do uzyskania interwencji ludzkiej, czyli do tego, aby sytuację danej osoby przeanalizował człowiek i aby to człowiek podjął decyzję.