W chwili obecnej, w ramach tzw. trilogu prowadzonego pomiędzy Komisją Europejską, Parlamentem Europejskim i Radą Unii Europejskiej wypracowywana jest ostateczna wersja Rozporządzenia UE pt. Akt w sprawie sztucznej inteligencji („AI Act”).[1] Jego uchwalenie przewidywane jest na początek 2024 r.

Jak pokazuje praktyka, ochrona danych osobowych jest jednym z dwóch, oprócz prawa autorskiego, obszarów wywołujących największe kontrowersje prawne, jeśli chodzi o stosowanie sztucznej inteligencji („SI”). Warto w związku z tym dokonać analizy wzajemnych relacji pomiędzy tymi aktami prawnymi.

W preambule Aktu o sztucznej inteligencji wyraźnie podkreślono niezależność reżimów ochrony w AI Act i RODO. Ich wzajemnej relacji nie można w związku z tym traktować jako lex generali i lex specialis.

Z drugiej strony, zarówno RODO, jak i – częściowo – Akt w sprawie sztucznej inteligencji oparte są na tej samej podstawie prawnej ich przyjęcia tj. art. 16 Traktatu o funkcjonowaniu Unii Europejskiej, stanowiącego o ochronie danych osobowych. Pozwala to na stwierdzenie, że RODO i AI Act należy traktować jako „tandem legislacji” chroniący dane osobowe.

Z uwagi na powyżej wskazaną okoliczność, że AI Act nie jest lex specialis w stosunku do RODO, dostawcy oraz użytkownicy rozwiązań sztucznej inteligencji będą więc musieli łącznie spełnić warunki legalności określone w obydwu tych aktach prawnych. W pewnych przypadkach niesie to ryzyko „overlappingu” obu tych legislacji. Przykładowo, praktyki zakazane na gruncie AI Act (art. 5 in. Projektu), mogą równocześnie stanowić sprzeczne z prawem zautomatyzowane przetwarzanie danych osobowych w indywidualnych przypadkach, o którym mowa w art. 22 RODO.

Wbrew powszechnej opinii, stosowanie zasad RODO nie stoi na przeszkodzie rozwojowi systemów sztucznej inteligencji. Dobrze ilustruje to sprawa ChatGPT, w której to włoski organ do spraw ochrony danych osobowych (Garante) w dniu 31 marca 2023 r. wydał decyzję czasowo zakazującą przetwarzania przez OpenAI, operatora ChatGPT, danych osobowych użytkowników znajdujących się na terytorium Włoch, aby następnie po dokonaniu odpowiednich zmian przez Open AI, w kwietniu 2023 r. zezwolić na ponowne oferowanie tego narzędzia we Włoszech. Wśród podjętych przez Open AI środków między innymi wymienić należy zawarcie w politykach prywatności i innej dokumentacji szczegółowego opisu procesu „szkolenia i rozwoju” sztucznej inteligencji, w tym jakie kategorie danych osobowych i w jakich celach są przetwarzane. Z punktu widzenia możliwości „trenowania” sztucznej inteligencji, kluczowe było również potwierdzenie przez włoski organ dopuszczalności oparcia przetwarzania danych osobowych na etapie trenowania SI, na przesłance prawnie uzasadnionego interesu (art.6 ust.1 pkt f) RODO.

Jedną z istotnych różnic pomiędzy RODO a Aktem w sprawie sztucznej inteligencji jest to, że pierwszy z tych aktów prawnych koncentruje się na ochronie danych osobowych na wszystkich etapach ich przetwarzania, począwszy od ich zbierania (input), podczas gdy nacisk w AI Act położony jest na wynikach wykorzystania sztucznej inteligencji (output).

              Tym co różni obydwa te akty prawne jest również to, że Akt w sprawie sztucznej inteligencji w zasadzie reguluje tylko dwie kategorie systemów SI (systemy zakazane, systemy wysokiego ryzyka), podczas gdy do pozostałych dwóch kategorii systemów (ograniczonego lub niskiego ryzyka) stosują się jedynie  ograniczone obowiązki w zakresie transparentności. W przypadku RODO natomiast, regulacja ta dotyczy wszystkich systemów przetwarzania danych osobowych, niezależnie od ryzyk związanych z korzystaniem z nich.

Zarówno RODO, jak i AI Act oparte są na koncepcji risk based approach, różne jest jednak podejście do tej zasady na gruncie obydwu tych aktów prawnych.

Istotą RODO jest bowiem podejście „right based approach”, która wyraża się w przyznaniu podmiotom danych szeregu praw (np. prawa do informacji, prawa dostępu do danych, prawa do bycia zapomnianym).  

Z kolei regulację AI Act definiuje podejście „obligation based approach” polegające na nałożeniu różnych obowiązków na podmioty, objęte tą regulacją (np. dostawców i użytkowników systemów wysokiego ryzyka), sam AI Act bezpośrednio nie kreuje natomiast praw na rzecz osób fizycznych, których dane są przetwarzane przez systemy sztucznej inteligencji.

Uchwalenie AI Act poszerzy ochronę interesów podmiotów danych, ponieważ w tym akcie prawnym zawarte są instrumenty prawne, które wzmacniają realizację praw, określonych w RODO. Przykładem jest wymóg transparentności, (art. 52 Projektu). Innym przykładem jest obowiązek zapewnienia skutecznego nadzoru systemów sztucznej inteligencji przez człowieka (art. 14 Projektu).

Z uwagi na fakt, że filozofią RODO jest koncentracja na ochronie interesów podmiotów danych (zob. pkt 5 powyżej), przepisy tego aktu prawnego poszerzają – w stosunku do AI Act – możliwości ochrony osób, których dane osobowe są wykorzystywane przez sztuczną inteligencję. Przykładem są regulacje dotyczące prawa podmiotów danych (art. 15 i n. RODO), czy możliwość dochodzenia odszkodowań cywilnoprawnych (art. 82 RODO), np. w sytuacjach naruszenia poprzez użycie systemu sztucznej inteligencji zasad określonych w art. 22 RODO (automatyczne decyzje).

W art. 42-42 RODO przewidziano możliwość certyfikacji w zakresie ochrony danych osobowych. Certyfikację przewidziano również w AI Act (m.in. art. 44 Projektu). Z uwagi na okoliczność, że często te same podmioty będą dokonywały certyfikacji na podstawie obydwu tych aktów prawnych, pożądane byłoby aby jej przeprowadzenie odbywało się na podstawie tych samych standardów.

Zgodnie z art. 59 Projektu, w każdym państwie członkowskim UE powinien zostać ustanowiony niezależny organ ds. ochrony danych osobowych. Może to być nowo utworzony organ. Względnie poszerzeniu mogą ulec kompetencje dotychczasowych organów. Wydaje się, że najlepszym rozwiązaniem jest poszerzenie kompetencji Urzędu Ochrony Danych Osobowych (za taką koncepcja opowiedział się też Europejski Rzecznik Ochrony Danych Osobowych we wspólnym stanowisku wydanym z Europejską Radą Ochrony Danych nr 5/2021, z dnia 18 czerwca 2021 r.).

Sankcje administracyjne, w tym kary pieniężne, są określone w art. 83 i 84 n. RODO. Zbliżone do nich konstrukcyjnie są sankcje określone w art. projektu AI Act. Z uwagi na, wskazany powyżej (punkt 2), overlapping regulacyjny niesie to ryzyko „podwójnego” nałożenia kar na administratora oraz dostawcę/użytkownika systemu sztucznej inteligencji, w wyniku jednego zdarzenia (np. wykorzystania systemu SI niezgodnie z warunkami określonymi w art.22 RODO).


[1] Pełna nazwa projektu to wniosek Rozporządzenia Parlamentu Europejskiego i Rady ustanawiające zharmonizowane przepisy dotyczące sztucznej inteligencji i zmieniające niektóre akty ustawodawcze Unii COM/2021/206 final, dalej określany jako „Projekt”.