RODO i AI Act. Jak stosować razem te akty prawne?

Już na samym wstępie należy wskazać, że unijny ustawodawca postrzega zarówno AI Act, jak i RODO¹ jako dwa, całkowicie niezależne reżimy prawne i tak należy je stosować. Są one względem siebie równorzędne, nie mają więc tutaj zastosowania reguły derogacyjne odwołujące się do hierarchii, czy stopnia szczegółowości norm prawnych. Jakkolwiek nie budzi wątpliwości, że sięganie po narzędzia sztucznej inteligencji będzie miało wpływ na sytuację osób, których dane osobowe są przetwarzane, w motywie 10 AI Act wskazano, że celem niniejszego rozporządzenia nie jest wpływanie na stosowanie obowiązującego prawa Unii regulującego przetwarzanie danych osobowych. W praktyce oznacza to, że:

• administrator i podmiot przetwarzający nadal muszą realizować wszystkie obowiązki wynikające z RODO,

• osoby, których dane dotyczą, zachowują wszystkie prawa i gwarancje przyznane im na mocy prawa Unii dotyczącego danych osobowych, w tym te związane z zautomatyzowanym przetwarzaniem oraz profilowaniem (często to właśnie w tych obszarach będzie wykorzystywana sztuczna inteligencja),

• dzięki zharmonizowanym przepisom dotyczącym opracowywania systemów AI i wprowadzania ich do obrotu ochrona danych osobowych powinna być łatwiejsza, ponieważ systemy tej samej klasy powinny zapewniać zbliżony poziom bezpieczeństwa.

Dobrym przykładem tego, w jaki sposób przepisy obu aktów prawnych będą się uzupełniały, jest relacja art. 22 RODO dotycząca zautomatyzowanego podejmowania decyzji, w tym profilowania do art. 5 AI Act, który określa zakres praktyk zakazanych. Za niedopuszczalną praktykę należy uznać m.in. scoring społeczny oraz podprogowe profilowanie osób fizycznych, które jednocześnie są zautomatyzowanym przetwarzaniem danych.

Rozporządzenie RODO w wyczerpujący sposób definiuje, który podmiot ma obowiązek realizować obowiązki administratora, a kto i kiedy staje się podmiotem przetwarzającym (procesorem). AI Act nie udziela w tym zakresie odpowiedzi. Zgodnie z art. 2 ust. 1 AI Act przepisy rozporządzenia stosuje się do:

• dostawców niezależnie od miejsca siedziby (w EU, poza UE),

• podmiotów stosujących systemy AI (z siedzibą w UE),

• dostawców AI i podmiotów wykorzystujących AI z siedzibą poza UE, jeżeli wyniki wytworzone w systemie AI są wykorzystywane w UE,

• importerów lub dystrybutorów AI,

• producentów produktu, którzy pod własną nazwą lub znakiem towarowym oraz wraz ze swoim produktem wprowadzają do obrotu, lub oddają do użytku system AI,

• upoważnionych przedstawicieli dostawców niemających siedziby w Unii,

• osób, na które AI ma wpływ i które znajdują się w Unii.

Niezależnie od tego kim dokładnie jest podmiot zobligowany do stosowania AI, trzeba ustalić, czy (i w jakim zakresie) będzie on zobowiązany do stosowania RODO. Dla przykładu dostawca AI musi stosować AI Act, ale nie musi być ani administratorem, ani procesorem danych osobowych. Warto skorzystać z pomocy kancelarii prawnej, która zidentyfikuje pozycję przedsiębiorcy i pomoże mu we wdrożeniu ciążących na nim obowiązków.

Podstawy przetwarzania danych osobowych – zarówno zwykłych, jak i szczególnych – znajdują się w RODO (odpowiednio artykuł 6 i 9 RODO) i będą one miały zastosowanie także do przetwarzania danych przez sztuczną inteligencję.

Trzeba jednak zwrócić uwagę na dwa wyjątki, które wprowadzają możliwość przetwarzania danych osobowych wrażliwych. Przede wszystkim zgodnie art. 10 ust. 5 AI Act jest to dopuszczalne, jeżeli przetwarzanie danych jest niezbędne do wykrywania i korygowania stronniczości systemów AI. Dostawcy narzędzi AI mają jednak obowiązek stosowania odpowiednio silnych zabezpieczeń podstawowych praw i wolności osób fizycznych. Dodatkowo konieczne jest spełnieniu wielu dodatkowych warunków legalizujących takie przetwarzanie, w tym:

• nie jest możliwe skuteczne wykrywanie i korygowanie stronniczości poprzez przetwarzanie innych danych, w tym danych syntetycznych lub zanonimizowanych,

• szczególne kategorie danych osobowych nie są przesyłane, przekazywane ani w inny sposób udostępniane innym podmiotom,

• szczególne kategorie danych osobowych usuwa się po skorygowaniu stronniczości lub po upływie okresu przechowywania danych osobowych, w zależności od tego, co nastąpi wcześniej.

Trzeba też zwrócić uwagę na art. 59 ust. 1 AI Act, który pozwala na przetwarzanie danych osobowych zebranych w innych celach w ramach piaskownic regulacyjnych. Są to specjalnie zaprojektowane, odizolowane środowiska mające na celu usprawnienie prac nad AI i umożliwienie testowania systemów w warunkach zbliżonych do rzeczywistych. Aby takie „ponadstandardowe” przetwarzanie danych osobowych było legalne, również i tutaj muszą zostać spełnione liczne dodatkowe warunki. Jednym z nich jest przetwarzanie danych w ściśle określonych celach, jak bezpieczeństwo publiczne, zdrowie publiczne, czy ochrona środowiska.

Dodatkowo wypada wskazać, że AI Act wprowadza dalej idące ograniczenia względem zautomatyzowanego przetwarzania danych. Wymaga się, aby taki system przewidywał nadzór człowieka, a operator musi posiadać niezbędne kompetencje i uprawnienia. Co więcej, AI wykorzystywane w sektorze bankowym i ubezpieczeniowym (np. do scoringu kredytowego lub ryzyka ubezpieczeniowego) będą systemami wysokiego ryzyka, co wiąże się z koniecznością spełnienia dodatkowych wymagań wskazanych w AI Act.