×
AI a RODO

Czy RODO utrudni rozwój sztucznej inteligencji?

Tylko w 2018 roku ilość wyprodukowanych danych na świecie osiągnęła 33 zettabajty[1] danych. Szacuje się, że do 2025 roku liczba ta wzrośnie do 175 zettabajtów[2]. Tak gwałtowna intensyfikacja gromadzenia danych ma niewątpliwie związek z rozwojem sztucznej inteligencji (dalej: SI), której działanie i rozwój opiera się na analizie dużej ilości danych.

W zależności od sposobu wykorzystania sztucznej inteligencji zakres zbieranych danych będzie się od siebie różnił. I tak, autonomiczne pojazdy działające na podstawie kamer oraz czujników GPS są w stanie pozyskać nasz wizerunek, a także określać najczęściej odwiedzane przez nas miejsca; z kolei inteligentne narzędzie wykorzystywane w procesie rekrutacji do pracy jest zdolne do analizy danych zawartych w nadesłanych CV, a nawet w naszych profilach społecznościowych. Jak widać duża część informacji, którymi „karmi się” SI stanowi dane osobowe (w tym dane biometryczne), stąd należy postawić pytanie – jakie są relacje pomiędzy SI, a przepisami RODO.

Sztuczna inteligencja w ryzach RODO
Nie ulega wątpliwości, że dopóki europejski ustawodawca nie stworzy odrębnego aktu prawnego dotyczącego wykorzystywania danych przez SI, dopóty zastosowanie będzie miało ogólne rozporządzenie o ochronie danych. Proces przetwarzania danych przez SI powinien w pełni realizować zasady ujęte w RODO, przy czym szczególną rolę w tej dziedzinie odegrają zasady minimalizacji danych, celowości, integralności i poufności oraz realizowanie privacy by design.

Znaczenie artykułu 22 RODO dla sztucznej inteligencji
Sztuczna inteligencja w coraz większym stopniu przejmuje zadania należące tradycyjnie do człowieka i jasne jest, że z biegiem lat podejmowanie decyzji przez maszyny, bądź z ich udziałem, stanie się dla nas codziennością. Już teraz mamy do czynienia z wykorzystywaniem profilowania do lepszego dopasowania oferty do klienta, a sektor ubezpieczeniowy i bankowy coraz prężniej inwestuje w technologie pozwalające na kompleksową analizę potencjalnych kredytobiorców oraz ubezpieczających się osób. Takie praktyki niosą ze sobą potencjalne zagrożenie dla podmiotów danych, jednak w dobie świata „big data” wyeliminowanie ich jest niemożliwe, co nie umknęło uwadze również ustawodawcy europejskiemu.

Kwestię zautomatyzowanego podejmowania decyzji, w tym profilowania, reguluje art. 22 RODO. Pojęć tych nie należy ze sobą utożsamiać. Zautomatyzowane podejmowanie decyzji to proces, który zachodzi od początku do końca bez udziału człowieka, natomiast w przypadku profilowania nie jest to warunek konieczny. Oprócz tego profilowanie opiera się głównie na ocenie czynników osobowych osoby fizycznej i jest tym samym kategorią węższą, niż zautomatyzowane podejmowanie decyzji[3]. Na gruncie RODO został osiągnięty pewien kompromis, na podstawie którego dopuszczono obie te praktyki, przy jednoczesnym nałożeniu na administratorów pewnych dodatkowych obowiązków.

Pierwszy z nich dotyczy ograniczenia podstaw przetwarzania danych osobowych. Profilowanie jest dopuszczalne, jeśli podjęta wskutek niego decyzja:

  • opiera się na zgodzie,
  • jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator,
  • jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem.[4]

Jeżeli natomiast decyzja nie wywołuje wobec tej osoby skutków prawnych lub w podobny sposób istotnie na nią nie wpływa, wyżej wymienione ograniczenie nie ma zastosowania.

Drugi obowiązek wyraża się zapewnieniu prawa odwołania się od decyzji podjętej na podstawie zautomatyzowanego przetwarzania, w tym profilowania. W takiej sytuacji zgodnie z art. 22 ust. 3 RODO możliwe będzie zweryfikowanie decyzji podjętej przez SI przez człowieka.

Ważną rolę odegra tutaj wytłumaczalność procesów decyzyjnych i minimalizowanie efektu „black box”, czyli braku możliwości wskazania kryteriów, jakimi kierowała się sztuczna inteligencja przy podejmowaniu decyzji. Kryteria te powinny być bowiem znane podmiotom, wobec których stosuje się zautomatyzowane podejmowanie decyzji lub profilowanie. Co więcej, człowiek zawsze powinien mieć możliwość zmiany decyzji dokonanej przed algorytm.

Posługując się wcześniej przytoczonym przykładem narzędzia wykorzystywanego w rekrutacji, kandydat, wobec którego zamierza się go użyć, musi zostać o tym poinformowany i wyrazić na to wyraźną zgodę. Oprócz tego pracodawca powinien wskazać kandydatowi kryteria, które SI bierze pod uwagę przy ocenie poszczególnych osób i podejmowaniu finalnego rozstrzygnięcia o zatrudnieniu.  W przypadku decyzji podjętej jedynie przez algorytm kandydat będzie mógł również odwołać się niejako do „wyższej instancji” – czyli człowieka.

RODO – przyjaciel czy nieproszony gość?
Z jednej strony osoby zainteresowane rozwojem nowych technologii mogą argumentować, że RODO nakłada na nich uciążliwe obowiązki i ograniczenia, zmniejszając tym samym ich konkurencyjność na rynku światowym. Zakładają oni, że celem zbierania danych osobowych przez SI jest jej rozwój i samodoskonalenie, a nie używanie ich w nieetycznych i sprzecznych z prawem zamiarach.

Z drugiej strony RODO ustanawia pewne ramy prawne dla bezpiecznego i etycznego wykorzystywania danych osobowych. Korzystanie ze sztucznej inteligencji niesie za sobą ryzyko nieuczciwych praktyk takich jak dyskryminacja i naruszenie naszej prywatności poprzez inwigilację. Przeciwwagą dla takich zagrożeń są właśnie regulacje RODO, które zapewniają większą kontrolę nad tym, kto może uzyskiwać dostęp do danych, i kto korzysta z danych przetwarzanych przez sztuczną inteligencję.

Regulacje ogólnego rozporządzenia o ochronie danych nie stanowią bariery dla branży technologicznej, a jedynie wytyczają jej akceptowalne ścieżki rozwoju. Obywatele, którzy będą przekonani o bezpieczeństwie swoich danych, z pewnością szybciej zaufają też samej sztucznej inteligencji.

 

[1] 1 zettabajt = 1012 gigabajtów.

[2] Według analizy International Data Corporation.

[3] Zgodnie z  motywem 71 RODO profilowanie polega na dowolnym zautomatyzowanym przetwarzaniu danych osobowych pozwalającym ocenić czynniki osobowe osoby fizycznej, (…) o ile wywołuje skutki prawne względem tej osoby lub w podobny sposób znacząco na nią wpływa.

[4] artykuł  22 ust 2 RODO.

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

Nowak Anna

Anna Nowak
Praktykant
anna.nowak@lubasziwspolnicy.pl

Wykonanie Agencja Interaktywna Czarny Kod www.czarnykod.pl

Copyright by Lubasz i Wspólnicy

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej