przejdź
przejdź
  2. Serwis Prawny
  3. Ochrona danych
  4. RODO a sztuczna inteligencja. Jak prawo reguluje nowe technologie?

RODO a sztuczna inteligencja. Jak prawo reguluje nowe technologie?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Rozwój sztucznej inteligencji stał się jednym z najważniejszych zjawisk ostatnich lat i mowa tu nie tylko o gruncie technologicznym. Systemy AI coraz częściej wspierają decyzje biznesowe, automatyzują procesy, personalizują usługi i analizują ogromne ilości danych w czasie, który jeszcze niedawno był nieosiągalny. Nie wszyscy są jednak przekonani do nowych rozwiązań. Słusznie podnoszone jest, iż w wielu dziedzinach – szczególnie tych kreatywnych – AI po prostu sobie nie radzi, jest generyczne, niekonsekwentne i często dostaje „halucynacji”. Przez tę niedoskonałość jest również niebezpieczne, tym bardziej że sztuczna inteligencja w dużej mierze opiera się na danych osobowych, które są szczególnie wrażliwe. To, że algorytmy radzą sobie lepiej od człowieka w zadaniach czysto matematycznych, nie jest zaskakujące – w końcu po to powstały pierwsze komputery. Problem zaczyna się jednak, kiedy AI wchodzi w dziedziny naszego życia, które nie mają sztywno ustalonych zasad, i nie wiemy, czy gromadzone i przetwarzane dane są wykorzystywane wyłącznie w dobrych celach. W takich wypadkach można zacząć się zastanawiać, gdzie przebiega granica między nowymi technologiami i dążeniem do ułatwiania sobie życia a prywatnością jednostki. Sprawdźmy zatem, jak aktualnie wyglądają przepisy prawa mające chronić poufność danych osobowych osób fizycznych.

Sztuczna inteligencja – jak jest rozumiana przez prawo?

Pytając sztuczną inteligencję, czym jest „sztuczna inteligencja”, otrzymujemy odpowiedź, iż jest to dziedzina informatyki oraz technologia umożliwiająca maszynom naśladowanie ludzkich umiejętności poznawczych, takich jak uczenie się, rozumowanie, planowanie, kreatywność oraz rozwiązywanie problemów. Systemy AI analizują ogromne zbiory danych, rozpoznają wzorce i podejmują autonomiczne decyzje, dostosowując swoje działanie, aby osiągnąć określone cele.

Chcąc jednak rozmawiać o AI od strony prawnej, musimy sięgnąć po tzw. definicję legalną. Tę znajdziemy w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2024/1689 z 13 czerwca 2024 roku w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji, zwanej również AI Act. W art. 3 ust. 1 rozporządzenia czytamy, iż „system AI” oznacza system maszynowy, który został zaprojektowany do działania z różnym poziomem autonomii po jego wdrożeniu oraz który może wykazywać zdolność adaptacji po jego wdrożeniu, a także który – na potrzeby wyraźnych lub dorozumianych celów – wnioskuje, jak generować na podstawie otrzymanych danych wejściowych wyniki, takie jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne lub wirtualne.

Przepisy unijne zatem rozumieją AI znacznie szerzej niż tylko „technologię umożliwiającą maszynom naśladowanie ludzkich umiejętności poznawczych”. AI Act wskazuje, iż jest to system zdolny do analizowania danych wejściowych w celu generowania wyników, takich jak prognozy, treści, rekomendacje czy decyzje. Tego typu systemy działają z różnym stopniem autonomii – od narzędzi wyłącznie wspierających człowieka po rozwiązania, które samodzielnie planują i optymalizują swoje działanie.

Powyższe oznacza, że sztuczna inteligencja to nie tylko domena zaawansowanych modeli językowych. Również te mniej rozwinięte programy są kwalifikowane jako AI. Mogą to być algorytmy rekomendacyjne/reklamowe w serwisach internetowych, systemy wykrywania nadużyć finansowych czy też narzędzia diagnostyczne. Wszystkie te rodzaje oprogramowania łączy intensywne wykorzystanie danych, często obejmujących informacje o konkretnych osobach fizycznych, czyli dane osobowe.

To właśnie skala, automatyzacja i złożoność przetwarzania informacji sprawiają, że dotychczasowe podejście do ochrony danych osobowych musi zostać wzmocnione i uzupełnione o dodatkowe mechanizmy nadzoru i kontroli.

RODO – AI musi działać w zgodzie z prawem

Istotą Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) jest zasada zgodności z prawem przetwarzania danych osobowych. Dane mogą być przetwarzane wyłącznie wtedy, gdy administrator dysponuje odpowiednią podstawą prawną, taką jak:

  • zgoda osoby, której dane są przetwarzane;
  • wykonanie umowy;
  • obowiązek prawny;
  • prawnie uzasadniony interes;
  • interes publiczny;
  • ochrona żywotnych interesów osoby, której dane są przetwarzane.

Zasada ta w całości odnosi się również do systemów sztucznej inteligencji. Jak możemy się spodziewać, wykorzystywanie AI nie stanowi samodzielnej podstawy prawnej do przetwarzania danych osobowych. W tym wypadku na każdym etapie działania systemu sztucznej inteligencji – od trenowania modelu po jego wykorzystanie w do celów gospodarczych – wymagana jest weryfikacja legalności przetwarzania i posiadania owej podstawy prawnej opisanej w RODO.

AI Act dodatkowo modyfikuje reguły RODO, gdyż oprócz konieczności posiadania podstawy prawnej przetwarzania wprowadza katalog praktyk zakazanych. Ustawodawca unijny uznał, że niektóre rodzaje zastosowań AI są ze swojej natury nieetyczne i sprzeczne z zasadami społecznymi, a co za tym idzie – nieakceptowalne w cywilizowanych państwach prawa. I nie ma tutaj znaczenia, czy przedsiębiorca uzyska pozwolenie na przetwarzanie. Zakaz dotyczy między innymi:

  • systemów prowadzących do tzw. oceny społecznej jednostek, jeżeli skutkuje ona nieuzasadnionym, krzywdzącym traktowaniem;
  • systemów budujących bazy danych biometrycznych poprzez nieukierunkowane pozyskiwanie wizerunków twarzy z ogólnodostępnych źródeł;
  • algorytmów służących do manipulowania i wykorzystywania ludzkich słabości do nakłonienia ich do konkretnego działania, w szczególności do zakupu lub dokonania określonej płatności.

Dla podmiotów stosujących w swoich rozwiązaniach sztuczną inteligencję (rozumianą bardzo szeroko) oznacza to konieczność nie tylko badania podstawy prawnej przetwarzania, ale również weryfikacji, czy dany przypadek użycia AI w ogóle mieści się w granicach dozwolonych przez prawo. Można by zatem rzec, że AI ogranicza działanie RODO, czyli jeszcze bardziej zawęża możliwość przetwarzania danych osobowych.

Sztuczna inteligencja a zasada rzetelności i etyka

RODO wymaga, aby przetwarzanie danych było rzetelne, czyli uwzględniało interesy i uzasadnione oczekiwania osób, których dane dotyczą. W kontekście AI zasada ta nabiera jeszcze większego znaczenia, gdyż algorytmy mogą sztywno trzymać się zasad i nie pozwalać na żadne wyjątki, ale mogą również – jeżeli są niewłaściwie ustawione – wzmacniać istniejące nierówności, uprzedzenia lub prowadzić do trudnych do wykrycia form manipulacji.

AI Act wzmacnia obszar ochrony poprzez zakaz stosowania systemów wykorzystujących techniki manipulacyjne, podprogowe lub szczególne słabości osób fizycznych wynikających np. z wieku, niepełnosprawności czy sytuacji ekonomicznej. Oznacza to, że projektowanie systemów AI musi uwzględniać nie tylko skuteczność, lecz także ich wpływ społeczny i etyczny. Rzetelność to zatem nie tylko kwestia zgodności z przepisami, ale również odpowiedzialnego podejścia producentów modeli językowych oraz stosujących ich przedsiębiorców do tego, jak oddziałują na ludzi.

Obowiązek informacyjny a przejrzystość działania AI

Zasada przejrzystości uregulowana w RODO nakłada na administratorów obowiązek informowania osób o sposobie przetwarzania ich danych osobowych. Przy stosowaniu zaawansowanej sztucznej inteligencji realizacja tego obowiązku staje się znacznie bardziej skomplikowana.

AI Act wprowadza minimalne standardy przejrzystości dla wszystkich systemów AI stosowanych w kontaktach z ludźmi. Użytkownik powinien wiedzieć, że komunikuje się z systemem opartym na sztucznej inteligencji, chyba że jest to oczywiste i łatwe do odczytania z kontekstu. Dodatkowo treści generowane przez AI – takie jak obrazy, dźwięki czy tekst – powinny być możliwe do zidentyfikowania jako wytwory sztucznej inteligencji, czyli muszą być oznaczane jako takie. Warto jednak zauważyć, że reguła ta raczej jest martwa. Z uwagi na niechęć społeczności do stosowania AI, mało kto decyduje się przyznawać do opierania swojej pracy na algorytmach.

Szczególne wymogi AI Act stawia wobec systemów wysokiego ryzyka. Dostawcy takich rozwiązań muszą zapewnić szczegółowe informacje o zasadach działania systemu, czynnikach wpływających na jego decyzje oraz środkach ograniczania ryzyka uprzedzeń. Choć nie oznacza to obowiązku ujawniania kodu źródłowego, wymaga przedstawienia mechanizmów decyzyjnych w sposób zrozumiały dla przeciętnego użytkownika.

Sztuczna inteligencja a obowiązek minimalizacji gromadzenia danych

Jedną z zasad generalnych RODO jest ta mówiąca, że administrator ma obowiązek gromadzić wyłącznie te dane osobowe, które są niezbędne do osiągnięcia oznaczonego celu. Dla AI ta reguła stanowi szczególne wyzwanie. Sztuczna inteligencja jest zaprogramowana tak, aby gromadziła jak największe zbiory danych w celu wykorzystywania każdej informacji do „nauki”. Kłóci się to nieco z RODO, które jasno wskazuje, że dane osobowe powinny być zbierane w konkretnych, jasno określonych celach i w zakresie niezbędnym do ich realizacji. 

AI Act precyzuje te obowiązki jedynie w odniesieniu do systemów wysokiego ryzyka. Zgodnie z tym rozporządzeniem cel działania systemu musi być jasno określony i spójny z charakterem danych treningowych. Co więcej, proces ten powinien zostać odpowiednio udokumentowany, aby możliwa była późniejsza weryfikacja zgodności. W praktyce oznacza to konieczność dogłębnego przemyślenia sposobu projektowania zbiorów treningowych oraz rezygnację z podejścia polegającego na nieograniczonym gromadzeniu danych „na przyszłość”.

RODO a zautomatyzowane decyzje podejmowane przez AI

RODO nakłada na administratorów obowiązek dbania o prawidłowość danych osobowych. W przypadku systemów AI jest to problem, błędy danych treningowych mogą bowiem prowadzić do publikowania systematycznie zafałszowanych lub dyskryminujących wyników.

W RODO znajdziemy regułę, która przyznaje osobom fizycznym prawo do niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu, jeżeli decyzje te mogą dla nich wywoływać istotne skutki prawne lub faktyczne. Mechanizm ten zapewnia „ludzki pierwiastek” w procesach decyzyjnych podejmowanych w większości przez algorytmy.

Ustawodawca unijny uznał jednak, że powyższe gwarancje są niewystarczające w stosunku do AI. Dlatego też w odniesieniu do systemów wysokiego ryzyka wprowadził obowiązek stałego nadzoru człowieka na wszystkich etapach funkcjonowania systemu – od projektowania po jego eksploatację. Nadzór ten ma mieć przy tym charakter aktywny. Osoba sprawująca kontrolę powinna mieć możliwość ingerencji w działanie systemu oraz realną swobodę decyzyjną, w tym prawo do wstrzymania działania sztucznej inteligencji w sytuacjach ryzykownych.

Sztuczna inteligencja a prawa osób fizycznych 

RODO w erze skokowego rozwoju sztucznej inteligencji nie traci na znaczeniu, wręcz przeciwnie – zyskuje na nim. Rozporządzenie to stanowi fundament, na którym opiera się nowy reżim prawny wprowadzony przez AI Act. Nowe regulacje nie zastępują ochrony danych osobowych, lecz ją uzupełniają, odpowiadając na specyficzne ryzyka związane z automatyzacją i algorytmizacją decyzji.

Korzystanie z AI nie ogranicza katalogu praw przysługujących osobom fizycznym na gruncie RODO. Prawo dostępu do danych, ich sprostowania, usunięcia czy sprzeciwu wobec przetwarzania pozostaje w pełni aktualne. Dodatkowo AI Act rozszerza zakres obowiązków podmiotów stosujących systemy sztucznej inteligencji (obowiązki informacyjne, wzmacniające zasadę przejrzystości czy stałego nadzoru człowieka).

Dla administratorów oznacza to konieczność dostosowania procedur obsługi żądań osób fizycznych do specyfiki systemów AI, w tym zapewnienia, że prawa te mogą być skutecznie realizowane także w zautomatyzowanych procesach, w których działanie ludzkie często ogranicza się wyłącznie do pisania odpowiednich promptów.

Polecamy:

KSeF, czyli Krajowy System e-Faktur

Deepfake a prawo. Czy fałszywe obrazy łamią przepi...
Podobne
Kwiecień 2026
22
Środa
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT 7K
  • VAT UE (elektroniczna)
  • PIT 28
  • PIT 36
  • PIT 36L
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Które podmioty obejmuje nowa ustawa o krajowym systemie cyberbezpieczeństwa?
  3. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  4. Zastrzeżenie PESEL – jakie niesie konsekwencje?
  5. RODO - czyli jakie dane podlegają ochronie danych osobowych?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Deepfake a prawo. Czy fałszywe obrazy łamią przepisy?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Między faktem a fałszem: jak weryfikować rzeczywistość w cyfrowym świecie? XXVI Kongres Public Relations w Rzeszowie
Handel pod presją kosztów, regulacji i technologii. Przed nami 8. Kongres Nowoczesnej Dystrybucji
CTRL+GROW wraca do Warszawy – 9 kwietnia odbędzie się 7. edycja eventu z branży SEO × AI × Biznes
Jubileuszowa Konferencja WallStreet 30 już w maju. Największe spotkanie inwestorów indywidualnych w Polsce wraca do Karpacza
Nowoczesne trendy kształtujące widoczność i prawa osób z niepełnosprawnościami - Konferencja Fundacji Avalon Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów