W dniu 13 marca 2024 r. Parlament Europejski zatwierdził Rozporządzenie pt. Akt w sprawie sztucznej inteligencji („AI Act”, „AIA”, „Rozporządzenie”)[1]. Obecnie trwają prace nad ostateczną wersją językową AIA (tzw. procedura sprostowania), która ma jeszcze zostać zatwierdzona przez Radę UE. Rozporządzenie wejdzie w życie dwadzieścia dni po publikacji w Dzienniku Urzędowym Unii Europejskiej, a zacznie obowiązywać – w zależności od tego, których przepisów to dotyczy – od 6 do 36 miesięcy od wejścia w życie.

Jak pokazuje praktyka, ochrona danych osobowych jest jednym z dwóch, oprócz prawa autorskiego, obszarów wywołujących największe kontrowersje prawne, jeśli chodzi o stosowanie sztucznej inteligencji. W sposób oczywisty, przepisy RODO już teraz stosuje się do przetwarzania danych osobowych przy wykorzystaniu sztucznej inteligencji, o czym świadczą choćby głośne decyzje organów nadzorczych dotyczące legalności działania ChatGPT[2]. Rozpoczęcie obowiązywania AIA niewątpliwie jednak będzie miało również znaczenie dla ochrony interesów podmiotów danych, warto w związku z tym dokonać analizy wzajemnych relacji pomiędzy przepisami AIA i RODO.

1. AIA i RODO to tandem legislacji chroniących dane osobowe.

W preambule Aktu o sztucznej inteligencji wyraźnie podkreślono niezależność reżimów ochrony w AIA i RODO (motyw 5aa): Niniejsze rozporządzenie nie ma wpływu na stosowanie obowiązującego prawa Unii regulującego przetwarzanie danych osobowych, w tym na zadania i uprawnienia niezależnych organów nadzorczych właściwych do monitorowania zgodności z tymi instrumentami.”  Wzajemnej relacji obu tych aktów prawnych nie można w związku z tym traktować jako lex generali i lex specialis. Z drugiej strony, bezsporne jest ich wzajemne oddziaływanie na siebie, o czym świadczy już choćby fakt, że w preambule i samym tekście AIA znajduje się szereg odwołań do przepisów RODO. O tym, jak uchwalenie AIA jest ważne dla ochrony danych osobowych, świadczy również aktywny udział Europejskiej Rady Ochrony Danych Osobowych (EROD) oraz Europejskiego Rzecznika Ochrony Danych (EIOD) w pracach nad Aktem w sprawie sztucznej inteligencji[3]. Warto również podkreślić, że w AIA powołano się również na art. 16 Traktatu o funkcjonowaniu Unii Europejskiej, który stanowi o ochronie danych osobowych. Pozwala to na stwierdzenie, że RODO i AIA należy traktować jako „tandem legislacji” chroniących dane osobowe.

2. Obowiązek łącznego spełnienia obowiązków określonych w AIA i RODO.

Z uwagi na wskazaną powyżej okoliczność, że AIA nie stanowi lex specialis w stosunku do RODO, dostawcy oraz użytkownicy rozwiązań sztucznej inteligencji będą musieli łącznie spełnić warunki legalności określone w obydwóch tych aktach prawnych. W pewnych przypadkach niesie to ryzyko „overlappingu” obu tych legislacji. Przykładowo, praktyki zakazane na gruncie AI (art. 5 in.), mogą równocześnie stanowić sprzeczne z prawem zautomatyzowane przetwarzanie danych osobowych, o którym mowa w art. 22 RODO.

3. Różny zakres przedmiotowy AIA i RODO.

Choć AIA „wspiera” ochronę danych osobowych, to warto jednak pamiętać, że AIA i RODO mają różne zakresy przedmiotowe z poniżej wskazanych przyczyn.

Po pierwsze, AIA – inaczej niż RODO – stosuje się również do korzystania z danych nieosobowych.

Po drugie, AIA w zasadzie reguluje tylko dwie kategorie systemów sztucznej inteligencji (systemy zakazane, systemy wysokiego ryzyka), przepisy RODO natomiast znajdują zastosowanie do wszystkich systemów przetwarzania danych osobowych, niezależnie od ryzyk związanych z korzystaniem z nich.

Po trzecie, RODO „interesuje” się danymi osobowymi na wszystkich etapach przetwarzania, począwszy od ich zbierania (input), podczas gdy AIA koncentruje się jedynie na zagrożeniach związanych z wynikami działania sztucznej inteligencji (output). Pozwala to na stwierdzenie, że ochrona na podstawie RODO ma szerszy zakres i obejmuje również ochronę danych osobowych wykorzystywanych na etapie budowania modeli czy szkolenia sztucznej inteligencji.

4. AIA i RODO – status podmiotów przetwarzających dane osobowe.

AIA nie zawiera przepisów określających, czy dostawcy oraz użytkownicy są administratorami, współadministratorami czy procesorami w rozumieniu RODO. Adresaci obowiązków określonych w AIA (dostawcy, użytkownicy) będą więc musieli we własnym zakresie określić swój status na gruncie RODO. Warto w związku z tym podkreślić, że na kwalifikację danego podmiotu jako administratora w rozumieniu RODO wpływ może mieć nałożony w AIA obowiązek określenia zamierzonego celu systemu sztucznej inteligencji.

5. AIA i RODO – różne podejście do zasady risk based approach.

Zarówno RODO, jak AIA oparte są na koncepcji risk based approach, różne jest jednak rozumienie tej zasady na gruncie obydwóch tych aktów prawnych.

Istotą RODO jest bowiem podejście „right based approach”, która wyraża się w przyznaniu podmiotom danych szeregu praw (np. prawa do informacji, prawa dostępu do danych, prawa do bycia zapomnianym). 

AIA cechuje się natomiast podejściem „obligation based approach” polegającym na nałożeniu różnych obowiązków na podmioty objęte tą regulacją (np. dostawców i użytkowników systemów wysokiego ryzyka). Sam AIA nie kreuje natomiast bezpośrednio praw na rzecz osób fizycznych, których dane są przetwarzane przez systemy sztucznej inteligencji.

W konsekwencji powyższego, w przypadku przetwarzania danych osobowych przez systemy sztucznej inteligencji, bezpośrednią ochronę interesów podmiotów danych zapewniać będą przepisy RODO. Przykładem są regulacje dotyczące praw podmiotów danych (art. 15 i n. RODO) czy możliwość dochodzenia odszkodowań cywilnoprawnych (art. 82 RODO).

6. Podstawy przetwarzania danych osobowych przez systemy sztucznej inteligencji regulowane AIA.

Zasadą jest, że podstawy przetwarzania danych osobowych przez systemy sztucznej inteligencji podlegające AIA są określone w RODO. Równocześnie jednak w AIA wprowadzono dwa przepisy, które wprost przesądzają dopuszczalność przetwarzania danych osobowych, przy zapewnieniu określonych w AIA warunków. Są to w szczególności:

  1. art. 10 ust. 5 AIA – statuujący dopuszczalność przetwarzania danych wrażliwych, jeżeli jest to bezwzględnie konieczne do zapewnienia wykrywania „stronniczości” (bias) i korygowania błędów w odniesieniu do systemów sztucznej inteligencji,
  2. art. 54 AIA – zgodnie z którym dane osobowe zebrane zgodnie z prawem do innych celów mogą być przetwarzane na potrzeby rozwoju, szkolenia i testowania określonych systemów sztucznej inteligencji w tzw. „piaskownicy regulacyjnej” (AI regulatory sandbox).

7. Przepisy AIA zwiększają poziom ochrony danych osobowych określony w RODO.

Niektóre z przepisów AIA zwiększają ochronę danych osobowych wyznaczoną przepisami RODO. Przykładowo, w zakresie transparentności działania systemów sztucznej inteligencji przetwarzających dane osobowe zostały poszerzone – w stosunku do RODO – obowiązki informacyjne, między innymi w przypadku systemów wchodzących w interakcję z użytkownikami (art. 52). Podobnie jest w przypadku systemów wysokiego ryzyka i obowiązku poinformowania, że w stosunku do danej osoby wykorzystywane są systemy wysokiego ryzyka (art. 29 ust. 6b).

8. Obowiązki ustanowione w AIA wspierają wykonanie obowiązków określonych w RODO.

Zgodnie z art. 35 RODO, administratorzy są zobowiązani do przeprowadzenia oceny skutków dla ochrony danych (DPIA). AIA wyraźnie odnosi się do tego obowiązku, stanowiąc w art. 29 ust. 6, że użytkownicy systemów sztucznej inteligencji wysokiego ryzyka powinni, na potrzeby wykonywania DPiA, wykorzystywać informacje otrzymane od dostawcy zgodnie z art. 13 AIA.

9. Regulatorem na gruncie AIA i RODO może być ten sam podmiot.

Zgodnie z art. 59, w każdym państwie członkowskim UE powinien zostać ustanowiony niezależny organ ds. ochrony danych osobowych. Może to być nowoutworzony organ, względnie poszerzeniu mogą ulec kompetencje dotychczasowych organów. Wydaje się w związku z tym, że najlepszym rozwiązaniem jest poszerzenie kompetencji Urzędu Ochrony Danych Osobowych (za taką koncepcją opowiedział się też Europejski Rzecznik Ochrony Danych Osobowych we wspólnym stanowisku wydanym z Europejską Radą Ochrony Danych nr 5/2021, z dnia 18 czerwca 2021 r.).

10. Sankcje administracyjne na podstawie przepisów AIA i RODO.

Sankcje administracyjne, w tym kary pieniężne, są określone w art. 83 i 84 n. RODO. Zbliżone do nich konstrukcyjnie są sankcje określone w art. 71 i n. AIA. Z uwagi na, wskazany powyżej (punkt 2), overlapping regulacyjny niesie to ryzyko „podwójnego” nałożenia kar na administratora danych oraz dostawcę/użytkownika systemu sztucznej inteligencji w wyniku jednego zdarzenia, które stanowi równocześnie naruszenie przepisów AIA i RODO (np. wykorzystanie systemu sztucznej inteligencji wysokiego ryzyka niezgodnie z warunkami określonymi w art. 22 RODO).

[1] Pełna nazwa tego aktu prawnego to Rozporządzenie Parlamentu Europejskiego i Rady ustanawiające zharmonizowane przepisy dotyczące sztucznej inteligencji i zmieniające niektóre akty ustawodawcze Unii.

[2] Zgodność chatbotów z wymogami RODO była  przedmiotem decyzji włoskiego organu ds. ochrony danych z dnia 31 marca 2023 r., zakazującego przetwarzania przez Open AI, operatora ChatGPT, danych osobowych użytkowników znajdujących się na terytorium Włoch. Decyzja ta, po dokonaniu odpowiednich modyfikacji przez Open AI, została następnie uchylona w kwietniu 2023 r. W sprawie korzystania z usług ChatGPT wypowiedziały się również organy ds. ochrony danych osobowych we Francji, Hiszpanii, Holandii, Irlandii oraz w Niemczech.

[3] Zob. Wspólna Opinia nr 5/2021 z dnia 18 czerwca 2021 r. Europejskiej Rady Ochrony Danych oraz Europejskiego Rzecznika Ochrony Danych oraz Opinia Europejskiego Rzecznika Ochrony Danych z dnia 24 października 2023 r.