Technologie oparte na sztucznej inteligencji (AI) stwarzają wiele możliwości i korzyści, dlatego przedsiębiorcy coraz częściej wykorzystują modele AI, opracowują je, wdrażają i szkolą. A takie modele AI, które stają się nieodłącznym elementem działalności wielu firm, wykorzystują ogromne zbiory danych. Przy tak dynamicznym rozwoju AI przedsiębiorcy muszą stawić czoła licznym wyzwaniom, w tym również tym związanym z ochroną danych osobowych.
Analizę tego zagadnienia przeprowadziła Europejska Rada Ochrony Danych (EROD) w Opinii 28/2024 z dnia 17 grudnia 2024 r. w spawie niektórych aspektów ochrony danych związanych z przetwarzaniem danych w kontekście modeli sztucznej inteligencji. Opinia co prawda nie jest kompleksowa, bo koncentruje się jedynie na kilku kwestiach dotyczących przetwarzania danych osobowych przy opracowywaniu i wdrażaniu modeli AI. Jednak mimo wszystko porusza praktyczne kwestie – szczególnie istotne dla tych przedsiębiorców, którzy wdrażają rozwiązania oparte na modelach AI.
Co to jest model AI?
Opinia koncentruje się na modelach AI, które jednak nie są tym samym co systemy AI. System jest zdecydowanie bardziej złożoną całością, która ma zdolność do wnioskowania (np. Siri od Apple). Modele co prawda są ważnymi elementami systemów i są z nimi zintegrowane, ale żeby mówić o systemie AI, konieczne jest dodanie do niego jeszcze innych, dodatkowych elementów. W kontekście modeli AI, szczególnie istotny z punktu widzenia Opinii jest proces szkolenia, podczas którego model AI uczy się na podstawie danych, żeby efektywnie wykonać określone zadanie czy też rozwiązać konkretny problem. Trzeba zatem dostarczyć modelowi AI odpowiednich zestawów danych, które umożliwią mu naukę i identyfikowanie określonych wzorców.
Anonimowość modeli AI
Pierwszym tematem, który znajdziemy w Opinii jest anonimowość modeli AI. Anonimowość oznacza, że nie możemy wyodrębnić, powiązać i wywnioskować informacji ze zanonimizowanego zbioru danych. Żeby mówić o anonimowym modelu AI, mało prawdopodobne powinno być m.in. bezpośrednie lub pośrednie zidentyfikowanie osób, których dane zostały wykorzystane do jego stworzenia. Przy ocenie dokonywanej przez organy, czy dany model AI jest anonimowy, konieczne jest indywidualne podejście i przeprowadzenie analizy dla każdej sytuacji. Modele AI będą wymagały w większości przypadków dokonania szczegółowej oceny, jakie jest prawdopodobieństwo identyfikacji na podstawie danych, żeby móc stwierdzić czy model AI rzeczywiście jest anonimowy.
Czym więc powinien kierować się organ nadzoru przy ocenie, czy model AI jest anonimowy? Opinia zawiera listę takich elementów, na której znajdziemy m.in. analizę wyboru źródeł wykorzystywanych do trenowania modelu AI, czy też ocenę przygotowania danych na potrzeby etapu szkolenia. Ale co istotne – lista nie jest kompletna i nie wyczerpuje wszystkich elementów, na które organ nadzorczy powinien zwrócić uwagę. Dlatego z praktycznego punktu widzenia bardzo ważne będzie udokumentowanie całego procesu anonimizacji, żeby wykazać, że został przeprowadzony poprawnie i skutecznie, a jakiekolwiek ryzyko ponownej identyfikacji zostało zminimalizowane. Organizacje powinny również zweryfikować, czy ich ocena wpływu na ochronę danych nie powinna być zaktualizowana.
Uzasadniony interes
W Opinii znajdziemy także rozważania dotyczące uzasadnionego interesu. Aby ustalić, że przetwarzanie danych osobowych w kontekście opracowywania i wdrażania modeli AI może odbywać się na podstawie uzasadnionego interesu, trzeba spełnić określone warunki, co wcale nie jest takie proste. Jednym z warunków jest przeprowadzenie tzw. ,,testu równowagi”, który polega na zweryfikowaniu, czy interes administratora danych nie przeważa nad prawami i wolnościami osób, których dane dotyczą. Należy przy tym zbadać wpływ przetwarzania na osobę, której dane dotyczą. Przetwarzanie niektórych rodzajów danych osobowych, takich jak dane finansowe czy dane dotyczące lokalizacji, w celu opracowania i wdrożenia modelu AI może mieć istotny wpływ na osoby, których dane dotyczą – taka osoba może ponieść na przykład konsekwencje ekonomiczne. Modele AI mogą mieć różne zastosowania, a przetwarzanie danych w ramach takich modeli jest złożone i może obejmować różne cele, techniki i metody. Dla osób, których dane są przetwarzane, zrozumienie w jaki sposób te dane mogą być wykorzystywane przez model AI może być szczególnie skomplikowane, dlatego tak ważne jest przeprowadzenie przez firmy odpowiedniej oceny.
Ocena legalności interesu w konkretnym przypadku powinna być poprzedzona dokładną, pogłębioną analizą. Dokonując takiej oceny trzeba również pamiętać o wielu dodatkowych elementach, na przykład o zasadzie minimalizacji danych. Zatem jeśli możemy osiągnąć cel poprzez model AI, który nie wiąże się z przetwarzaniem danych osobowych – to właśnie takie rozwiązanie powinniśmy wybrać. Wobec tego warto za każdym razem przeprowadzić ocenę, czy nie istnieją przypadkiem inne środki, którymi osiągniemy nasz cel, a które nie są tak inwazyjne dla podstawowych praw i wolności osób.
Opracowanie modelu AI przy użyciu danych osobowych przetwarzanych niezgodnie z prawem
Trzecim tematem analizowanym w Opinii jest kwestia opracowania modelu AI przy użyciu danych osobowych przetwarzanych niezgodnie z prawem. Jeden z przeanalizowanych scenariuszy dotyczy sytuacji, gdy administrator opracowuje model AI i przetwarza dane osobowe niezgodnie z prawem, ale zapewnia przy tym anonimizację danych osobowych. W Opinii znajdziemy stanowisko, że RODO będzie mieć zastosowanie w zależności od tego, czy dalsze funkcjonowanie modelu AI wiąże się z przetwarzaniem danych osobowych. Zatem w niektórych przypadkach ta niezgodność z prawem pierwotnego przetwarzania danych osobowych, przy etapie opracowywania modelu AI, nie będzie mieć wpływu na późniejsze funkcjonowanie modelu AI. Mając to na względzie, organizacje będą musiały skupić się na zapewnieniu odpowiedniej dokumentacji i przeprowadzeniu dokładnej analizy przy ocenie uzasadnionego interesu tak, żeby potwierdzić, że przetwarzanie danych osobowych jest zgodne z prawem.
Wnioski
Opinia w wielu kwestiach nie przedstawia jednoznacznych odpowiedzi i wskazuje na konieczność przeprowadzania indywidualnej analizy dla każdego przypadku dotyczącego przetwarzania danych osobowych w ramach modelu AI. Przeanalizowanie wszystkich możliwych scenariuszy wydaje się mało prawdopodobne – technologie, a szczególnie te związane z AI, podlegają dynamicznym i ciągłym zmianom. Dlatego tak ważne jest znalezienie równowagi pomiędzy konkretnymi i precyzyjnymi regulacjami, a elastycznością, jakiej wymaga rozwój nowych technologii i sztucznej inteligencji.
Pomimo tego, że Opinia nie jest wyczerpująca w temacie przetwarzania danych osobowych w kontekście modeli AI, to jednak przedstawia rozważania, którymi właściwe organy powinny się kierować. Dla przedsiębiorców, w szczególności tych, którzy wdrażają rozwiązania oparte na modelach AI, dokładne zapoznanie się z wytycznymi zawartymi w Opinii ma kluczowe znaczenie. Opinia dostarcza wiele praktycznych wskazówek, które mogą pomóc firmom w zrozumieniu, jak łączyć innowacyjność z odpowiedzialnością w zakresie ochrony danych osobowych. Ich zastosowanie niewątpliwie może być ważnym elementem strategii compliance i zarządzania ryzykiem, ale również przyczynić się do budowania zaufania klientów i partnerów biznesowych, którzy coraz częściej zwracają uwagę na odpowiedzialne wykorzystanie technologii przy zapewnieniu ochrony danych osobowych.
Jeśli interesuje Cię ta tematyka, przeczytaj również artykuł Co warto wiedzieć o anonimizacji i pseudonimizacji danych?