AI musi szanować prywatność.

Kłopot stanowią dane osobowe

gazetaprawna.pl, (27.09.2023)

Sztuczna inteligencja powinna działać zgodnie z RODO. Nie stanowi to jednak przeszkody
w jej stosowaniu, co pokazuje przykład Włoch, w których regulator odblokował
ChataGPT.
ChatGPT pod lupą organów

AI nie działa w próżni

Tandem regulacji

Trwają negocjacje między Parlamentem Europejskim, Komisją i Radą UE co do

ostatecznego kształtu rozporządzenia – aktu w sprawie sztucznej inteligencji (AIA).
Problemy wynikające ze stosowania tej technologii nie czekają jednak na przepisy.
Dotyczy to m.in. kwestii ochrony danych osobowych.

– Sztuczna inteligencja to bardzo zaawansowane systemy informatyczne, które karmią

się danymi, w olbrzymiej części danymi osobowymi – mówiła mecenas Ewa Kurowska-
Tober, partner w kancelarii DLA Piper i członkini zarządu Stowarzyszenia Prawa Nowych
Technologii (SPNT) podczas Forum Nowych Technologii, zorganizowanego w Warszawie
przez Urząd Ochrony Danych Osobowych we współpracy z SPNT i Akademią
Ekonomiczno-Humanistyczną.

ChatGPT pod lupą organów

Problem w tym – szczególnie w odniesieniu do błyskawicznie zdobywających

popularność modeli generatywnych (jak ChatGPT) – że nie wiadomo, na jakich zasadach
AI przetwarza dane osobowe i komu je udostępnia. – Jednym z największych wyzwań,
przed którymi stoją twórcy sztucznej inteligencji, jest zasada przejrzystości – wskazała
Ewa Kurowska-Tober. Zgodnie z RODO podmioty danych mają bowiem prawo wiedzieć,
jak ich dane są przetwarzane, w jakich celach, jakimi środkami, przez jakie podmioty. –
Sztuczna inteligencja wymyka się tej transparentności, często jej twórcy sami do końca
nie wiedzą, jak doszła do pewnych rezultatów – dodała.

Dlatego modele generatywne stają się przedmiotem zainteresowania organów ochrony

danych w kolejnych krajach Unii Europejskiej. W marcu włoski urząd (Garante) zabronił
ChatGPT przetwarzania danych osobowych, więc firma OpenAI musiała go wyłączyć w
tym kraju. W kwietniu postępowanie wyjaśniające w sprawie ChatGPT wszczął organ
hiszpański (AEPD), a Europejska Rada Ochrony Danych (EROD) powołała grupę
zadaniową ds. tego modelu. Niedawno do polskiego UODO wpłynęła zaś skarga dr.
Łukasza Olejnika, niezależnego badacza i konsultanta ds. cyberbezpieczeństwa, że
ChatGPT przetwarza jego dane osobowe w sposób niezgodny z prawem, nierzetelny i
nieprzejrzysty.

AI nie działa w próżni

– Mamy projekt rozporządzenia w sprawie sztucznej inteligencji, który, jak liczymy,

pozwoli uregulować tę technologię – mówiła podczas forum Agnieszka Gajewska-Zabój,
radca prawny, sekretarz Krajowej Rady Radców Prawnych. AIA dzieli zastosowania
sztucznej inteligencji według poziomu ryzyka, jakie niosą, i zależnie od tego nakłada na
nie określone obowiązki. Gdy w 2021 r. KE przedstawiła projekt rozporządzenia, nie
obejmowało ono jeszcze kwestii ochrony danych. Uwzględniono je dopiero podczas prac
w PE.

– Systemy, które przetwarzają dane, nie działają jednak w próżni prawnej i wszyscy
dostawcy tych rozwiązań, a także ich użytkownicy, mają obowiązek przestrzegania
przepisów, m.in. RODO – podkreślała Agnieszka Gajewska-Zabój.

Uczestnicy Forum Nowych Technologii zwracali przy tym uwagę na łączące AIA i RODO
podejście oparte na ocenie ryzyka. Jak mówił dr Dominik Lubasz z SPNT, wspólnik
kancelarii Lubasz i Wspólnicy, taki sposób oceny systemów AI pozwala na zniuansowanie
środków mitygujących ryzyko w zależności od zagrożeń. – Na pierwszy rzut oka to nic
innego jak podejście znane z RODO – wskazał. Podstawową różnicą jest to, że AIA – w
przeciwieństwie do RODO – nie będzie regulacją horyzontalną, gdyż dotyczyć ma tylko
niektórych zastosowań sztucznej inteligencji. Doktor Lubasz i inni uczestnicy forum
zastrzegali ponadto, że AIA nie będzie lex specialis w stosunku do RODO – lecz będzie
stanowić niezależną regulację.

Tandem regulacji

Zdaniem Xawerego Konarskiego, adwokata i starszego partnera w kancelarii Traple

Konarski Podrecki i Wspólnicy oraz prezesa SPNT, tworzone i już obowiązujące
rozporządzenie powinny funkcjonować jako „tandem legislacji”, tym bardziej że oba są
oparte na tej samej podstawie prawnej (art. 16 Traktatu o funkcjonowaniu UE). Konarski
zaznaczył też, że RODO zapewnia szerszą ochronę, gdyż dotyczy również danych
osobowych wykorzystywanych do trenowania modeli takich jak ChatGPT. – Akt w
sprawie sztucznej inteligencji tego nie reguluje. Wkracza dopiero, kiedy już korzystamy z
AI – wskazał.

Zastrzegł równocześnie, że przepisy o ochronie danych osobowych nie stoją na

przeszkodzie tworzeniu modeli AI. – Pokazała to choćby sprawa włoska – stwierdził
Xawery Konarski, przypominając, że po wprowadzeniu oczekiwanych przez regulatora
zmian (na czele z transparentnością zasad przetwarzania) ChatGPT mógł wznowić
działalność we Włoszech. Zdaniem eksperta w większości przypadków wystarczy
odpowiednia wykładnia przepisów RODO, np. szerokie zastosowanie podstawy prawnie
uzasadnionego interesu do przetwarzania danych na etapie szkolenia modeli AI.

Z drugiej strony AIA może wzmocnić ochronę wynikającą z RODO – tu Xawery Konarski
podał przykład projektowanych obowiązków informacyjnych dotyczących zasad
działania modeli AI, które zwiększą ich transparentność.

Podczas forum zwracano też uwagę, że przy finalizacji prac nad AIA do rozwiązania
pozostanie kwestia nakładania się obu unijnych rozporządzeń.

– Niewątpliwie sztuczna inteligencja będzie ingerowała w prawo do prywatności.

Niewątpliwie będzie zbierała ogromne ilości danych, zarówno osobowych, jak i
nieosobowych – stwierdziła dr Maria Jędrzejczak z UAM w Poznaniu. Zastrzegła, że w
kwestii działania modeli AI pozostaje wiele niewiadomych. – Dyskusja o regulowaniu
sztucznej inteligencji sprowadza się do tego, jakie wartości chcemy przyjąć, a nie tego,
jaka będzie treść przepisów prawnych – podsumowała Maria Jędrzejczak.

DGP objął Forum Nowych Technologii patronatem medialnym. ©℗

Szanse i ryzyko

Dziennik Gazeta Prawna - wydanie cyfrowe

Elżbieta Rutkowska

Źródło:

Dziennik Gazeta Prawna