Publikacje

Akt ws. sztucznej inteligencji (AI Act) ma na celu „zapewnienie wysokiego poziomu ochrony zdrowia, bezpieczeństwa, praw podstawowych, […] ochrony przed szkodliwymi skutkami systemów AI”, oraz jednocześnie „wspieranie innowacji”. W związku tym nakłada szereg obowiązków prawnych na podmioty stosujące AI. – do jednego z najistotniejszych należy zaliczyć ten z art. 27, stanowiący o konieczności przeprowadzenia oceny skutków systemów AI wysokiego ryzyka dla praw podstawowych

FRIA (Fundamental Rights Impact Assessment)

Ocena skutków systemów AI wysokiego ryzyka dla praw podstawowych, znana też pod skrótem anglojęzycznym – FRIA – to swego rodzaju procedura analizy danego systemu AI, która ma zapewnić większą jasność co do jego ewentualnego negatywnego wpływu na wymienione w Karcie Praw Podstawowych UE prawa, m.in prawo do niedyskryminacji czy prawo do azylu. Przypomina tym samym inne procedury, jak np. DPIA (Data Protection Impact Assessment) przewidywane w RODO.

Przeprowadzone FRIA będzie potwierdzeniem, że dany podmiot stosujący przeanalizował z należytą starannością możliwe negatywne działania danego systemu AI i wypracował sposoby reakcji i mitygowania ich.

Jakich systemów dotyczy FRIA?

Art. 27 AI Act zawęża zakres podmiotów nim objętych do podmiotów stosujących będących podmiotami prawa publicznego lub podmiotami prywatnymi świadczącymi usługi publiczne, oraz podmiotów stosujących systemy AI wysokiego ryzyka przeznaczonych odpowiednio do wykorzystywania do celów oceny zdolności kredytowej osób fizycznych lub ustalenia ich scoringu kredytowego (z wyłączeniem systemów AI wykorzystywanych w celu wykrywania oszustw finansowych), a także do systemów AI przeznaczonych do wykorzystywania przy ocenie ryzyka i ustalaniu cen w odniesieniu do osób fizycznych w przypadku ubezpieczenia na życie i ubezpieczenia zdrowotnego.

Kiedy należy przeprowadzić FRIA?

Przeprowadzenie FRIA powinno zasadniczo nastąpić przed wprowadzeniem danego systemu do użytku. Tak stworzona ocena, może być dalej wykorzystywana przez podmiot stosujący w podobnych przypadkach. O wynikach przeprowadzonej oceny należy powiadomić stosowne organy, a informacje w niej zawarte należy aktualizować na bieżąco

Co powinna zawierać taka ocena?

Przede wszystkim – podmiot stosujący w ramach tego typu oceny, będzie musiał zidentyfikować rodzaj ryzyka dla praw osób fizycznych lub grup osób fizycznych, na które dany system może mieć wpływ (np. dyskryminacja), a także określić rodzaje środków, które należy podjąć w przypadku urzeczywistnienia się takiego ryzyka (np. usprawnienie algorytmu tak by nie brał pewnych czynników pod uwagę, które skutkują dyskryminacją osób wobec których system AI jest stosowany).

Ponadto w ramach takiej oceny należy przenalizować:

• opis procesów podmiotu stosującego, w których system AI wysokiego ryzyka będzie wykorzystywany zgodnie z jego przeznaczeniem (np. proces związany z weryfikacją tożsamości uchodźców w celu przyznania stosownej ochrony);
• opis okresu, w którym każdy system AI wysokiego ryzyka ma być wykorzystywany i opis częstotliwości tego wykorzystywania (np. od czerwca do września, co godzinę);
• kategorie osób fizycznych i grup, na które może mieć wpływ wykorzystywanie systemu (np. osoby starające się o azyl);
• szczególne ryzyko szkody, które może mieć wpływ na zidentyfikowane kategorie osób fizycznych lub grupy osób oraz z uwzględnieniem informacji przekazanych przez dostawcę (np. możliwość wystąpienia ryzyka dyskryminacji ze względu na płeć, kraj pochodzenia danej osoby);
• opis wdrożenia środków nadzoru ze strony człowieka, zgodnie z instrukcją obsługi takiego systemu (weryfikacja wyniku działania systemu AI, w zakresie oceny – np. w jakim zakresie człowiek może ingerować w ostateczną decyzją, np. o przyznaniu azylu danej osobie); a także
• środki, jakie należy podjąć w przypadku urzeczywistnienia się tego ryzyka, w tym ustalenia dotyczące zarządzania wewnętrznego i mechanizmów rozpatrywania skarg (np. możliwość złożenia skargi na nierzetelność w zakresie działania takiego systemu AI i opisanie takiego procesu).

Jednocześnie, art. 27 ust. 3 AI Act nakłada na podmiot stosujący obowiązek powiadomienia organu nadzoru rynku o wynikach przeprowadzanej oceny – przedkładając jako element tego powiadomienia wypełniony wzór odpowiedniego kwestionariusza (który ma zostać wypracowany przez nowy krajowy urząd ds. AI).

Dlatego podmioty stosujące, które wykorzystują systemy AI wysokiego ryzyka powinny zwrócić szczególną uwagę na konieczność przeprowadzenia oceny i rzetelnie dokonać analizy skutków systemów AI wysokiego ryzyka dla wspomnianych praw podstawowych. Odnosi się to do systemów AI wysokiego ryzyka, jednak z wyłączeniem systemów stosowanych w ramach infrastruktury krytycznej.

W praktyce, wymóg będzie przede wszystkim dotyczyć niektórych podmiotów publicznych i prywatnych, w tym np. organizacji z sektora bankowego, ubezpieczeniowego czy odpowiednich podmiotów stosujących narzędzia AI obszarze zatrudnienia lub organów państwowych w związku z zarządzeniem migracją, azylem i kontrolą graniczną.

Relacja FRIA i innych wymogów prawa UE

Ocena z AI Act przypomina ocenę skutków dla ochrony danych z RODO. W tym przypadku, przedmiotem analizy nie będzie tylko to, to czy dany rodzaj przetwarzania danych osobowych może wiązać się z dużym prawdopodobieństwem wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych – tutaj przedmiotem oceny będzie to jakie skutki w zakresie praw podstawowych może wywołać wykorzystanie tego typu systemu.

Oczywiście, jeśli system AI wysokiego ryzyka będzie wiązał się także z przetwarzaniem danych osobowych (a tak zwykle będzie), to trzeba rzetelnie przeprowadzić obydwie takie oceny. AI Act przewiduje takie sytuacje, stanowiąc, że jeśli przeprowadzone DPIA spełni niektóre obowiązki z AI Act, FRIA powinno stanowić dla niego uzupełnienie. W praktyce oznacza to, że obie oceny będą przeprowadzane razem, a ich wynikiem może być jeden zintegrowany raport.

Przy przeprowadzaniu oceny skutków systemów AI wysokiego ryzyka dla praw podstawowych, niewątpliwie przyda się wieloletnie doświadczenie przy przeprowadzaniu podobnych ocen na podstawie RODO w kontekście oceny skutków dla ochrony danych.