Publikacje

Przetwarzanie danych szczególnych kategorii (tzw. danych wrażliwych) na gruncie rozporządzenia ws. sztucznej inteligencji (AIA) odbywa się na odmiennych zasadach niż w ramach RODO. Zmiana ta wynika z intencji unijnego ustawodawcy, aby zapobiegać potencjalnej dyskryminacji w procesie tworzenia i wykorzystywania systemów AI wysokiego ryzyka.

Relacja AI Act i RODO

Przed omówieniem różnic w zakresie przetwarzania danych szczególnych kategorii między oboma aktami prawnymi, należy podkreślić, że zgodnie z art. 2 ust. 7 AIA, przepisy AIA zasadniczo nie mają wpływu na stosowanie RODO. „Szczególne kategorie danych osobowych” w rozumieniu AIA oznaczają dane wskazane w art. 9 ust. 1 RODO (art. 2 pkt 37 AIA). Regulacje te obejmują zatem następujące rodzaje informacji:

1. pochodzenie rasowe lub etniczne,
2. poglądy polityczne,
3. przekonania religijne lub światopoglądowe,
4. przynależność do związków zawodowych,
5. dane genetyczne,
6. dane biometryczne, jeżeli są przetwarzane w celu jednoznacznej identyfikacji osoby fizycznej (np. odciski palców, skany twarzy),
7. dotyczące zdrowia,
8. dane dotyczące życia seksualnego lub orientacji seksualnej.

Co do zasady, AIA nie kreuje nowych podstaw prawnych przetwarzania danych (motyw 63 AIA). Wyjątki dotyczą jednak sytuacji określonych w Rozporządzeniu, takich jak:

• zmiana celu przetwarzania danych (art. 6 ust. 4 RODO) w kontekście piaskownic regulacyjnych (art. 59 AIA);
• przetwarzanie danych szczególnych kategorii w ramach badań nad stronniczością i działań korekcyjnych (art. 10 AIA).

W rezultacie unijny ustawodawca wyraźnie wskazał na możliwość przetwarzania danych szczególnych kategorii przez dostawców systemów AI jako administratorów danych, jednak w ściśle określonych przypadkach.

AI Act wprowadza konkretne regulacje dotyczące przetwarzania danych szczególnych kategorii w systemach sztucznej inteligencji wysokiego ryzyka, ograniczając ich wykorzystanie tylko do przypadków, gdy jest to absolutnie niezbędne, np. w celu wykrycia i skorygowania stronniczości systemów. Tym samym AI Act pokazuje, że ochrona danych wrażliwych nie może być poświęcona w imię postępu technologicznego, a prawa jednostki muszą być chronione nawet w najbardziej zaawansowanych systemach sztucznej inteligencji.

Dopuszczalność przetwarzania danych szczególnych kategorii w AIA

Artykuł 10 AIA reguluje przetwarzanie danych szczególnych kategorii w przypadku systemów AI wysokiego ryzyka. Jest to dozwolone tylko wtedy, gdy systemy te wykorzystują techniki obejmujące trenowanie modeli, a dane pochodzą z zestawów treningowych, walidacyjnych i testowych (art. 10 ust. 1 AIA). W przypadku systemów niewykorzystujących takich technik, wymogi jakości danych stosuje się jedynie do zbiorów testowych (art. 10 ust. 6 AIA).

Wymogi dotyczące jakości danych obejmują m.in.:

• praktyki w zakresie zbierania danych i ich pochodzenia, w tym pierwotny cel przetwarzania danych osobowych;
• ocenę dostępności, ilości i przydatności zbiorów danych;
• zapewnienie adekwatności, reprezentatywności oraz minimalizacji błędów i niekompletności danych.

Dostawcy systemów AI mogą przetwarzać dane szczególnych kategorii w celu monitorowania, wykrywania i korygowania stronniczości systemów wysokiego ryzyka, pod warunkiem spełnienia szczególnych wymogów ochrony praw i wolności osób fizycznych (art. 10 ust. 5 AIA). Dodatkowe warunki obejmują:

• brak możliwości skutecznego wykrywania i korygowania stronniczości przy użyciu innych danych, np. syntetycznych lub zanonimizowanych;
• stosowanie zaawansowanych środków ochrony prywatności, takich jak pseudonimizacja;
• ograniczenie dostępu do danych wyłącznie do osób upoważnionych;
• usunięcie danych po skorygowaniu stronniczości lub po upływie okresu ich przechowywania.

Ratio legis wyjątku od art. 9 ust. 1 RODO w kontekście sztucznej inteligencji

Artykuł 10 AIA ma na celu ochronę praw przed dyskryminacją wynikającą z funkcjonowania stronniczych systemów AI. Techniczne aspekty sztucznej inteligencji, polegające na nauce na podstawie określonych zbiorów danych, mogą prowadzić do niezamierzonych uprzedzeń, np. w odniesieniu do etnicznego pochodzenia czy zdrowia. Problem ten obrazuje tzw. zjawisko garbage in – garbage out, w którym systemy powielają uprzedzenia zawarte w danych wejściowych.

Aby zapobiec takiej sytuacji, dostawcy systemów AI muszą posiadać szczegółowe informacje, np. o pochodzeniu etnicznym osób, wobec których systemy podejmują decyzje, co umożliwia przeprowadzenie procesu tzw. AI debiasing.

Rada Europejska uznaje, że “wysokiej jakości dane są niezbędne do rozwoju sztucznej inteligencji”. W podobnym tonie wypowiadają się Wytyczne etyczne dla godnej zaufania sztucznej inteligencji oraz Biała Księga w sprawie sztucznej inteligencji, które podkreślają znaczenie odpowiedniego zarządzania danymi. Dlatego właśnie AIA dopuszcza ograniczone przetwarzanie danych szczególnych kategorii w celu zapewnienia bezstronności systemów AI.

[1] „Using sensitive data to prevent discrimination by artificial intelligence: Does the GDPR need a new exception?”, M. van Bekkum, F. Zuiderveen Borgesius, (dostęp: Using sensitive data to prevent discrimination by artificial intelligence: Does the GDPR need a new exception? – ScienceDirect, 20 września 2024 r.).

[2] Konkluzje Rady Europejskiej 28 czerwca 2018 r. (EUCO 9/18)’(2018)

(dostęp: <https://www.consilium.europa.eu/media/35936/28-euco-final-conclusions-en.pdf>, 20 września 2024 r.).

[3] Raport Grupy ekspertów wysokiego szczebla ds. sztucznej inteligencji z dnia 8 kwietnia 2019 r. (dostęp: Ethics guidelines for trustworthy AI | Shaping Europe’s digital future (europa.eu), 20 września 2024 r.).

[4] Biała Księga w sprawie sztucznej inteligencji, 19 luty 2020 r. (dostęp: White Paper on Artificial Intelligence: a European approach to excellence and trust – European Commission (europa.eu), 20 września 2024 r.).