RODO i AI Act: Jak połączyć przepisy w spójną strategię zgodności?

Choć oba akty prawne regulują aspekt związany z użyciem nowych technologii w codziennym życiu, to jednak obejmują co innego. Oba mają rangę rozporządzenia i są względem siebie równoważne. W związku z tym nie stosuje się tu hierarchii przepisów i wprowadza je równolegle.

RODO (Rozporządzenie o Ochronie Danych Osobowych) obejmuje gwarancję ochrony danych osobowych obywateli Unii Europejskiej i wskazuje na ich prawidłowe gromadzenie, przetwarzanie i przechowywanie. Jednocześnie wymusza na przedsiębiorstwach wdrażanie rozwiązań technologicznych i procedur, które zwiększają bezpieczeństwo przechowywanych danych, zmniejszając ryzyko ich wycieku czy też dostania się och w niepowołane ręce. Przepisy RODO obowiązują w UE, w tym w Polsce, od 25 maja 2018 roku.

Sprawdź: Wytyczne w kluczowych obszarach RODO

Przepisy AI Act to zespół norm regulujących zastosowanie sztucznej inteligencji, opublikowany  w Dzienniku Urzędowym Komisji Europejskiej 12 lipca 2024 roku. Sukcesywnie wdrażane przez UE przepisy nakładają na dostawców i użytkowników AI szereg obowiązków, jednocześnie dzieląc systemy AI ze względu na poziom ryzyka ich użycia. Podział ten obejmuje poziom niski i wysoki, a potrzeba jego wprowadzenia pojawiła się wraz z rozwojem AI i jej powszechną dostępnością.  Wszystko po to, aby sztuczna inteligencja była rozwijana i wykorzystywana w sposób etyczny i bezpieczny. Na ten moment przepisy AI ACT mają zastosowanie przede wszystkim do systemów sztucznej inteligencji wysokiego ryzyka oraz stanowiących ryzyko niedopuszczalne.

Sprawdź: AI Act – jak klasyfikowane jest ryzyko?

W dużym skrócie przepisy RODO podkreślają wagę i znacznie prawa do prywatności, a wdrożone niedawno normy AI Act pomagają w zapobieganiu zagrożeniom wynikającym z nielegalnego lub nieetycznego zastosowania sztucznej inteligencji. Może to bowiem godzić w podstawowe prawa człowieka, w tym ograniczać jego wolność słowa czy też prowadzić do dyskryminacji na tle poglądów, miejsca zamieszkania itd.

Rozporządzenie AI Act nie wpływa na zmianę zapisów RODO, tym samym administrator oraz podmiot odpowiedzialny za przetwarzanie danych muszą nadal się do nich stosować. Dotyczy to również przetwarzania danych osobowych z użyciem systemów AI do automatyzacji pracy i analizy.

Ważne: AI Act nie zastępuje RODO, ale wprowadza dodatkowe obowiązki, które wzmacniają ochronę danych osobowych.

Przestrzeganie norm zawartych w rozporządzeniach  ma doprowadzić do zwiększenia stopnia ochrony danych oraz wzajemnego uzupełniania się przepisów, a nie do ewentualnych wykluczeń. Wskazują na to przepisy AI Act, a zwłaszcza art. 10. Zgodnie z nim celem tego rozporządzenia nie jest wpływanie na stosowane już w obrębie Unii Europejskiej normy i przepisy regulujące  ochronę danych osobowych.

Powyższe doskonale widać na przykładzie art. 22 RODO oraz art. 5 AI Act. Pierwszy wskazuje na ochronę danych podczas zautomatyzowanego podejmowania decyzji, a drugi na szereg zakazanych praktyk w tym obszarze. Niedozwolone jest m.in. podprogowe profilowanie osób fizycznych czy stosowanie scoringu społecznego przy użyciu automatycznych systemów AI.

Przepisy RODO i AI Act traktowane są jako całkowicie niezależne akty prawne, jednak wzajemnie się uzupełniają i mają prowadzić do osiągnięcia podobnego celu: zapewnienia osobom fizycznym maksymalnego poziomu bezpieczeństwa danych w dobie rozwoju technologii. Oba akty gwarantują, że wszelkie technologie oparte na danych, w tym systemy AI, będą rozwijane w sposób bezpieczny, etyczny i ze szczególnym uwzględnieniem podstawowych praw człowieka do prywatności.

Ważne: Zarówno przepisy RODO, jak i AI Act mają zapewnić ochronę praw podstawowych i wolności osób fizycznych (człowieka) w erze cyfrowej i sztucznej inteligencji.

Warto zwrócić uwagę na to, że przepisy AI Act mają zastosowanie do różnego rodzaju systemów AI przetwarzających dane, ale nie tylko danych osobowych. Tak na przykład AI może być wykorzystywane do optymalizacji zużycia energii w fabryce na podstawie danych maszyn (są to dane nieosobowe). Kiedy jednak system AI służy do oceny wniosków kredytowych lub wykorzystywany jest przy bazie klientów, to wówczas mamy do czynienia z przetwarzaniem danych osobowych i stosuje się zarówno przepisy RODO, jak i AI Act.

Organizacja odpowiedzialna za stosowanie  algorytmów AI w obszarze analizy i przetwarzania danych osobowych musi bezwzględnie w pierwszej kolejności spełnić wymagania RODO. Następnie – na poziomie przetwarzania danych oraz dysponowania nimi – należy połączyć przepisy RODO i AI Act oraz zapewnić pomiędzy nimi zgodność.

Systemy AI powinny mieć narzędzia pozwalające na egzekwowanie prawa do ochrony danych osobowych gwarantowanej przez RODO. Właśnie dlatego sprawdza się poziom ich zabezpieczeń oraz dokonuje oceny anonimowości. Za anonimowe uznaje się narzędzie AI, z którego nie można pozyskać lub wywnioskować danych osobowych przy użyciu prawdopodobnych środków.

Połączenie RODO i AI Act w spójną strategię wymaga kompleksowego podejścia i traktowania obu rozporządzeń i wynikających z nich norm jako jednej polityki etyki cyfrowej w przedsiębiorstwie. Przykładowo połączyć można analizę ryzyka AI i DPIA przy RODO w jeden workflow.

Niezwykle ważne jest prowadzenie szczegółowej dokumentacji dotyczącej wprowadzanych rozwiązań technologicznych, osiąganych wyników, a także wyzwań i wątpliwości na każdy z etapów wdrożenia. Aby przyjęta spójna strategia zgodności przyniosła efekt, należy przeprowadzić cykl szkoleń dla pracowników z RODO i etycznego wykorzystania AI, a sam obowiązek  ich przestrzegania wpleść w kulturę organizacyjną przedsiębiorstwa.

Choć wiele obszarów RODO i AI Act nie ma charakteru komplementarnego, to jednak wybrane z nich można połączyć w ramach jednej spójnej strategii. Obejmuje to przede wszystkim zastosowanie DPIA w RODO i częściowe wykorzystanie informacji o ryzyku przy FRIA w ramach AI Act. W praktyce wiele elementów tych analiz się pokrywa, dlatego zaleca się ich zintegrowanie lub krzyżowe wykorzystanie uzyskanych informacji, aby uniknąć powielania pracy.

Zintegrowane podejście do AI Act i RODO obejmuje połączenie mechanizmów oceny ryzyka:

• DPIA (Data Protection Impact Assessment) z RODO: jest to ocena skutków planowanych operacji przetwarzania danych dla ochrony danych osobowych; wymagana, gdy przetwarzanie może wiązać się z wysokim ryzykiem (np. nowe technologie, intensywne profilowanie).
• FRIA (Fundamental Rights Impact Assessment) z AI Act: wymagana dla systemów AI wysokiego ryzyka; ocenia wpływ systemu AI na prawa podstawowe obywateli, w tym prawo do prywatności i ochrony danych osobowych.

Wspólne dla obu aktów mogą być też mechanizmy nadzoru ludzkiego, w tym różnego rodzaju audytu (np. audyt wyników decyzji systemu AI). Połączenie wymagane jest również na poziomie informowania użytkowników o stosowaniu sztucznej inteligencji, gdzie komunikat powinien spełniać wymogi RODO w zakresie transparentności oraz AI Act dotyczące oznaczenia interakcji z AI.

W ostatnich latach rozwój technologii znacznie wyprzedza wdrażanie aktów prawnych, które ją regulują. W związku z tym przepisy takie jak RODO i AI Act starają się regulować ten obszar, jednak pozostawiają jeszcze wiele do życzenia i będą modyfikowane lub rozbudowywane. Obowiązkiem firm przetwarzających dane osobowe jest ich odpowiednie zabezpieczenie  i zapewnienie zgodności z obowiązującymi aktami prawnymi. Integracja wymogów RODO i AI Act to jedno z najważniejszych wyzwań, przed którym stają współcześni przedsiębiorcy.

Nieprzestrzeganie wymogów ochrony danych osobowych przez organizacje może prowadzić do równoległego nałożenia kar z obu aktów prawnych. Dlatego też oferujemy pomóc we wdrożeniu w taki sposób, aby stworzyć zintegrowaną strategię zarządzania ryzykiem zgodną z AI Act i RODO. Dzięki naszemu wsparciu Twoja organizacja będzie gotowa na nowe regulacje i będzie mogła je elastycznie dostosowywać, by zapewnić wymaganą ochronę praw obywateli w erze cyfrowej.

Skontaktuj się z nami po więcej szczegółów: Kontakt z PBSG