Slajd nr 1 Slajd nr 1
Tło strzałki Strzałka
Header na wersje mobilna
Header na wersje tabletową Header na wersje laptopową
przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Prawny
  3. Ochrona danych
  4. Sztuczna inteligencja a ochrona danych osobowych

Sztuczna inteligencja a ochrona danych osobowych

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Sztuczna inteligencja towarzyszy nam w życiu codziennym już od paru lat. W przyszłości jej obecność z całą pewnością się nasili. Wielkie firmy IT dążą do tego, aby AI przejęło większość obowiązków wypełnianych obecnie przez ludzi. Mimo że zautomatyzowana i bardzo precyzyjna, sztuczna inteligencja nie jest nieomylna. Dodatkowo jej możliwości uzależnione są od tego, co wprowadzi do jej systemu twórca. Umiejętności AI zostały zauważone również przez podmioty przetwarzające dane osobowe. Wykorzystanie sztucznej inteligencji jest bardzo wygodne w zbieraniu, przechowywaniu i administrowaniu wszelkimi danymi, również tymi dotyczącymi osób fizycznych. Powstaje tu jednak wątpliwość, czy aby na pewno administrator sprawuje realną kontrolę nad danymi, jeżeli niemal wszystkie procesy przeprowadza sztuczna inteligencja? Tą kwestią zajął się ustawodawca europejski, który wprowadził do rozporządzenia RODO regulacje dotyczące automatyzacji przy przetwarzaniu danych.

Sztuczna inteligencja a automatyzacja pozyskiwania danych osobowych

Rozporządzenie unijne w przedmiocie danych osobowych przewidziało stosowanie sztucznej inteligencji w procesie przetwarzania danych. Chodzi o instytucję całkowitego lub częściowego zautomatyzowania przetwarzania danych osobowych. W czasie tworzenia projektu RODO AI było już w zaawansowanym stanie, toteż nieodpowiedzialnym byłoby ominięcie tak ważnej kwestii. Ustawodawca europejski wprowadził kilka narzędzi mających zapewnić bezpieczeństwo i zgodności działania sztucznej inteligencji z prawem obowiązującym na terenie UE.

Zautomatyzowanie przetwarzania danych najczęściej objawia się stworzeniem systemu komputerowego, z którego użytkownicy mogą korzystać po założeniu konta. Rejestracja wiąże się nieodzownie z koniecznością wskazania swoich danych osobowych. Dochodzi tu niejako do automatycznego pozyskiwania danych osobowych – nie dokonuje tego administrator osobiście. Tak stworzony system powinien umożliwiać – równie prosto jak wprowadzanie danych – łatwy dostęp do swoich danych, ich modyfikacji oraz usuwania.

Jak wskazuje RODO, automatyzacja musi zapewniać każdej osobie, której dane dotyczą, prawo do wiedzy i informacji, w szczególności w zakresie celów, w jakich dane osobowe są przetwarzane, okresu, przez jaki będą one przetwarzane, odbiorców danych osobowych, założeń zautomatyzowanego przetwarzania danych oraz, w przypadku profilowania, konsekwencji takiego przetwarzania.

Administrator powinien mieć możliwość udzielania zdalnego dojścia do bezpiecznego systemu, który zapewni konsumentowi bezpośredni dostęp do jego danych osobowych. Przy czym prawo to nie może negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące oprogramowanie. System powinien być tak skonstruowany, aby powyższe względy nie mogły stanowić powodu odmowy udzielenia jakichkolwiek informacji.

Kiedy administrator może korzystać z automatyzacji danych osobowych?

Jak wskazuje motyw 68 RODO, osoba, której dane dotyczą, powinna mieć możliwość otrzymywania odnoszących się do niej danych, które dostarczyła administratorowi, w ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego i interoperacyjnym formacie oraz przesyłania ich innemu administratorowi.

Na administratorze danych leży obowiązek opracowywania takiego systemu, który w łatwy sposób pozwala osobom, których dane zostały uzyskane, na wgląd w swoje dane, zarządzanie nimi, ich przeniesienie oraz usunięcie. Prawo to ma zastosowanie jedynie w przypadku gdy konsument dostarczył informacje o swojej osobie za własną zgodą, lub gdy przetwarzanie jest niezbędne do wykonania umowy. RODO nie nakłada na administratora omawianego obowiązku, gdy przetwarzanie opiera się na innej podstawie prawnej niż zgoda lub umowa, w szczególności gdy dane osobowe są przetwarzane w ramach wykonywania obowiązków publicznych. Będzie to miało miejsce między innymi wtedy, gdy przetwarzanie danych osobowych jest niezbędne do wywiązania się z obowiązku prawnego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym bądź w ramach sprawowania władzy publicznej powierzonej administratorowi.

Prawo do przesłania lub otrzymania swoich danych osobowych nie powinno nakładać na administratorów obowiązku prowadzenia lub wprowadzenia kompatybilnych technicznie systemów przetwarzania. Jeżeli określony zestaw danych osobowych odnosi się do więcej niż jednej osoby, której dane dotyczą, prawo do otrzymania danych osobowych nie może powodować uszczerbku dla praw i wolności innych osób.

RODO a profilowanie

Przepisy RODO dotykają również takiej kwestii, jak profilowanie. Przez profilowanie należy rozumieć automatyczną technikę zestawiania informacji o danej osobie w celu podejmowania dotyczących jej decyzji bądź analizy lub przewidywania jej preferencji, zachowań i postaw. Profilowanie wykorzystywane jest w szczególności do analizy bądź prognozy aspektów dotyczących efektów pracy badanej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Podejmowanie decyzji na podstawie profilowania

Wyróżniamy trzy sposoby wykorzystania profilowania:

  • profilowanie ogólne;
  • podejmowanie decyzji oparte na profilowaniu;
  • wyłącznie zautomatyzowane podejmowanie decyzji, w tym profilowanie, które wywołuje skutki prawne lub w podobny sposób istotnie wpływa na osobę, której dane dotyczą.

Przepis art. 22 ust. 1 RODO wskazuje, iż niedozwolone jest podejmowanie w stosunku do osoby fizycznej decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, oraz wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Zakazowi nie podlegają decyzje, które są podejmowane automatycznie, ale nie wywołują żadnego skutku w sferze prawnej jednostki. Warto przy tym podkreślić, iż zautomatyzowana decyzja nie musi być poprzedzona profilowaniem.

Skutkiem prawnym, o którym mowa powyżej, może być między innymi odmowa udzielenia kredytu lub ochrony ubezpieczeniowej. Innym wypadkiem, kiedy administrator nie może automatycznie wydawać decyzji, jest sytuacja, gdy rozstrzygnięcie mogłoby prowadzić do dyskryminacji ze względu na wiek, płeć, niepełnosprawność, pochodzenie rasowe lub etniczne, wyznanie, orientację seksualną itp.

Kiedy zautomatyzowana decyzja będzie mogła mieć miejsce?

Co do zasady decyzje zautomatyzowane nie mogą być wydawane na podstawie danych osobowych osób fizycznych, w szczególności na podstawie danych wrażliwych takich jak stan zdrowia. Wyjątkiem są jednak sytuacje, kiedy przetwarzanie danych:

  • jest niezbędne do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem danych;
  • jest dozwolone prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator danych i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą;
  • opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

Przesłanki te nie mają charakteru łącznego. Wystarczy, że spełniona zostanie przynajmniej jedna z nich, by przyjęto, że automatyczne podejmowanie decyzji jest dopuszczalne.

Niemniej jednak nawet przy pełnej automatyzacji przetwarzanie danych powinno zawsze podlegać odpowiednim zabezpieczeniom obejmującym informowanie osoby, której dane dotyczą, w tym:

  • prawo do uzyskania interwencji człowieka;
  • prawo do wyrażenia własnego stanowiska;
  • prawo do uzyskania wyjaśnienia co do decyzji wynikłej z oceny profilowej;
  • prawo do zakwestionowania decyzji.

Zautomatyzowane przetwarzanie nie może dotyczyć dzieci.

Sztuczna inteligencja a szczególne kategorie danych

Cała sprawa ze zautomatyzowanym przetwarzaniem danych osobowych nie jest taka prosta, bowiem ustawodawca unijny wprowadził wyjątek od wyjątku. Nawet pomimo spełnienia przesłanek wskazanych w poprzednim akapicie wydanie zautomatyzowanej decyzji może nie być możliwe.

Podejmowanie decyzji opartych wyłącznie na automatycznym przetwarzaniu danych osobowych, w tym profilowaniu, nie jest dopuszczalne, jeśli taka operacja przetwarzania miałaby opierać się na przetwarzaniu szczególnych kategorii danych osobowych.

Szczególne kategorie danych to:

  • dane osobowe ujawniające pochodzenie rasowe lub etniczne;
  • dane osobowe ujawniające poglądy polityczne;
  • dane osobowe ujawniające przekonania religijne lub światopoglądowe;
  • dane osobowe ujawniające przynależność do związków zawodowych;
  • dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej;
  • dane dotyczących zdrowia, seksualności lub orientacji seksualnej.

Sztuczna inteligencja przy przetwarzaniu danych osobowych – jak to powinno wyglądać?

Korzystanie ze sztucznej inteligencji w procesie przetwarzania danych jest jak najbardziej dozwolone. Ważne jednak, aby w przypadku podejmowania decyzji wobec osoby fizycznej przez AI uczestniczył również czynnik ludzki. Decyzje, które wpływają na sytuację prawną jednostki, nie mogą być w pełni zautomatyzowane. Aby zapewnić rzetelność i przejrzystość przetwarzania danych, administrator powinien stosować odpowiednie matematyczne lub statystyczne procedury profilowania, wdrożyć środki techniczne i organizacyjne zapewniające w szczególności korektę czynników powodujących nieprawidłowości w danych osobowych i maksymalne zmniejszenie ryzyka błędów. Musi również zapobiegać skutkom w postaci dyskryminacji osób fizycznych z uwagi na stan zdrowotny, orientację seksualną, pochodzenie rasowe, poglądy polityczne, wyznanie lub przekonania czy przynależność do związków zawodowych.

Polecamy:

Korekta rocznej składki zdrowotnej - najważniejsze informacje

Lead magnet – jak legalnie budować bazę mailingową...
Wykreślenie z rejestru dłużników a przepisy RODO
Podobne
Kwiecień 2024
27
Sobota
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT 7K
  • VAT UE (elektroniczna)
  • PIT 28
  • PIT 36
  • PIT 36L
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  3. Wymeldowanie z pobytu stałego - jak wymeldować siebie lub inną osobę?
  4. Profil zaufany a podpis elektroniczny. Czym się różnią?
  5. 7 zasad, które warto znać, jak zaliczyć wpłatę otrzymaną od kontrahenta
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Akt o Usługach Cyfrowych jako pomoc w ochronie danych w sieci

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

KSeF, VIDA, akcyza, VAT tematami 8. Kongresu Podatkowego Lewiatan
semKRK#22 BIG - marketing internetowy
Ochrona danych osobowych 2018-2024 - wyzwania w cyfrowej rzeczywistości
XVIII Kongres ICV POLSKA (Controlling Intelligence Adventure 2024)
Open Source Day już 18 kwietnia w Warszawie! Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów