fbpx

Sztuczna inteligencja, a ochrona danych osobowych – cz. II – przetwarzanie danych osobowych z wykorzystaniem technologii AI

sztuczna inteligencja a ochrona danych

W tym artykule przyjrzymy się bliżej zagadnieniu sztucznej inteligencji w kontekście ochrony danych. W poprzednim artykule omówiliśmy czym jest sztuczna inteligencja oraz w jaki sposób jest wykorzystywana.

Więcej na temat sztucznej inteligencji przeczytasz tutaj: https://www.e-kursyrodo.pl/sztuczna-inteligencja-ai-czym-jest-do-czego-jest-wykorzystywana/

Spis treści:

  1. Bez danych nie ma sztucznej inteligencji
  2. Czy sztuczna inteligencja wszystko o mnie wie? – zgoda osoby, której dane dotyczą
  3. Zjawisko dyskryminacji
  4. Zakres zbieranych danych i zasada minimalizacji
  5. Przejrzyste informowanie i przejrzysta komunikacja
  6. Podsumowanie “Sztuczna inteligencja a ochrona danych”

Bez danych nie ma sztucznej inteligencji

RODO jest neutralne technologicznie, co oznacza, że jakiekolwiek dane osobowe, które są przetwarzane (np. używane lub przechowywane) mają być objęte ochroną. Nieważne, czy wykorzystujemy system informatyczny, czy papierowe dokumenty w segregatorach. Aspekty działania sztucznej inteligencji również podlegają wymogom RODO – a zwłaszcza zasadzie minimalizacji danych, obowiązku informowania osób, których dane dotyczą, ich prawie dostępu do danych, do ich usunięcia, ograniczenia przetwarzania i wiele innych.

Wykorzystanie sztucznej inteligencji ma ścisły związek ze zautomatyzowanym przetwarzaniem danych, w tym profilowaniem, o którym wspomina RODO. Sprawdźmy, jakie wymagania w tej kwestii narzuca art. 22:

„Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie

1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu [1], i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

2. Ust. 1 nie ma zastosowania, jeżeli ta decyzja:
a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
b) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

3. W przypadkach, o których mowa w ust. 2 lit. a) i c), administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.

4. Decyzje, o których mowa w ust. 2, nie mogą opierać się na szczególnych kategoriach danych osobowych, o których mowa w art. 9 ust. 1, chyba że zastosowanie ma art. 9 ust. 2 lit. a) lub g) i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą”

Artykuł 22 RODO

[1] Dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu informacji dot. m.in. efektów pracy osoby, której dane dotyczą lub np. jej sytuacji ekonomicznej, zdrowia, zainteresowań, lokalizacji.

Czy sztuczna inteligencja wszystko o mnie wie? – zgoda osoby, której dane dotyczą

Wspomniany wyżej art. 22 podkreśla, że do przetwarzania danych – w tym przypadku w sposób zautomatyzowany, ale tak naprawdę dotyczy to każdej formy przetwarzania – niezbędne jest wykazanie podstawy prawnej. Skupmy się teraz na jednej z nich – na Twojej zgodzie.

Pozostałe podstawy prawne wymienia artykuł 6. RODO:

sztuczna inteligencja a ochrona danych

Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
(…)
b)     przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c)      przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d)     przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e)     przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f)      przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

To nie jest tak, że podajemy swoje dane osobowe w jednym miejscu, a potem mogą one krążyć w Internecie i trafiać do innych podmiotów – administrator danych musiałby na coś takiego posiadać Twoją zgodę. Jeśli jest inaczej, to łamie on prawo. Wszelkie cele i słuszność przetwarzania Twoich danych powinny być Ci znane, a przynajmniej administrator powinien udzielić Ci dostępu do informacji na ten temat (to właśnie jest nie raz „ten długi tekst” przed zaznaczeniem „zgadzam się na przetwarzanie moich danych osobowych” np. przy zakładaniu konta w mediach społecznościowych. Musimy jednak uważać na to, gdzie podajemy swoje dane i na co się zgadzamy.  Jeśli kiedykolwiek byłeś świadkiem zbierania, przetwarzania danych osobowych bez zgody osoby, której te dane dotyczą lub sam byłeś ofiarą takiej sytuacji- to byłeś świadkiem/ofiarą naruszenia ochrony danych osobowych, które można zgłaszać do Urzędu Ochrony Danych Osobowych (więcej na ten temat znajdziesz: Obowiązki związane z naruszeniami ochrony danych osobowych – UODO

Podsumowując,  aby Twoje dane mogły być przetwarzane w sposób zautomatyzowany oraz profilowany i wiązałoby się to z jakimś skutkiem prawnym (np. ograniczenie dostępu do ofert lub odrzucenie wniosku przez automat), potrzebna jest na to Twoja zgoda lub inna uzasadniona podstawa prawna. Zwróćmy teraz uwagę na jeden z problemów wykorzystania sztucznej inteligencji do przetwarzania danych.

Zjawisko dyskryminacji

Algorytmy sztucznej inteligencji funkcjonują dzięki określonej bazie danych, na której mogą się opierać i dzięki której sztuczna inteligencja jest w stanie „uczyć się”. W takim razie nie jest możliwe istnienie AI bez odpowiedniej bazy danych.

sztuczna inteligencja a ochrona danych

Jak już wcześniej wspomnieliśmy, sztuczna inteligencja stosowana jest do podejmowania decyzji na niejednej płaszczyźnie. Wiąże się to, niestety, ze stronniczością algorytmów – ich skłonności do dyskryminacji, m.in. ze względu na płeć, pochodzenie czy różne inne czynniki ważne dla algorytmu w sytuacji filtrowania informacji dotyczących na przykład podań o pracę czy kredytów bankowych. W jaki sposób to się dzieje?

W przypadku systemu rozpoznawania twarzy, algorytm w momencie, kiedy wykorzysta do nauki zdjęcia osób o jasnej karnacji, nie będzie prawidłowo działał w przypadku napotkania zdjęcia Afroamerykanina. Dyskryminacja jest też w pewien sposób „zaraźliwa”. Sztuczna inteligencja może wyuczyć się pewnego rodzaju schematów na podstawie podanej jej bazy wiedzy. Jeśli „nakarmimy” sztuczną inteligencję wyzwiskami, stereotypami i wszelkiego rodzaju uprzedzeniami, sztuczna inteligencja będzie „zarażona” tego rodzaju myśleniem. Często takie sytuacje mają miejsce ze względu na błąd lub  niedopatrzenie człowieka.

Wydaje się, że „dyskryminacja” jest tutaj mocnym określeniem, ale nie jest to, niestety, hipotetyczne zagrożenie wymyślone przez naukowców. To realne zjawisko, które ma wpływ na współczesne społeczeństwo i jego funkcjonowanie w dobie Internetu i sztucznej inteligencji.

Przykład – sztuczna inteligencja a dyskryminacja

Na serwisie LinkedIn zaobserwowano,
że w przypadku poszukiwania specjalistów o
żeńskich imionach, serwis „pytał użytkownika”
czy nie miał na myśli tak naprawdę wpisania
imienia podobnego, ale męskiego. Jeżeli w takiej sytuacji
użytkownik klikał w sugerowane imię przez serwis,
system wzmacniał pozycję tego imienia w kolejnych wyszukiwaniach.

Występuje tu też czasami problem braku przejrzystości, który wynika z faktu, że dane i algorytmy są tajemnicami handlowymi i firmy nie są skłonne do ich upubliczniania. Ponadto, określenie „które elementy danych” lub „który algorytm” prowadzi do dyskryminowania, nie jest proste. Niezbędne jest przeprowadzanie kontroli i audytów, które będą utrudnione  właśnie ze względu na istnienie tajemnicy handlowej.

3. W przypadkach, o których mowa w ust. 2 lit. a) i c), administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.

Fragment Artykułu 22. RODO

W takim razie, administrator danych osobowych powinien zastosować wszelkie środki ochrony praw i wolności osób, których dane dotyczą. W tym również przeciwdziałać ich dyskryminacji. Wymaga to dodatkowej pracy analitycznej i większego zaangażowania ze strony kierownictwa. Powinni oni zadbać na przykład o skontrolowanie skuteczności, słuszności i etycznego wymiaru wykorzystywania określonych algorytmów w systemie.

Zakres zbieranych danych i zasada minimalizacji

Systemy AI potrzebują ogromnych ilości danych niezbędnych do funkcjonowania algorytmów i wyuczenia się schematów. Należy pamiętać w tym przypadku przede wszystkim o zasadzie minimalizacji danych, której stosowanie jest obowiązkiem administratorów danych osobowych.

„1. Dane osobowe muszą być:
(…)
c)      adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);”

fragment Artykułu 5.RODO

Podsumowując, administrator danych powinien przetwarzać dane osobowe tylko w ilości niezbędnej. Ponad miarowe przetwarzanie danych osobowych osób fizycznych może prowadzić do naruszenia ochrony danych osobowych.

Przejrzyste informowanie i przejrzysta komunikacja

Kolejnym obowiązkiem administratora danych jest poinformowanie w sposób zrozumiały osoby, której dane dotyczą. Zwłaszcza o zakresie, celu i sposobie przetwarzania jej danych. Treść takiego komunikatu musi być dostosowana do odbiorcy i łatwa do zrozumienia. Inaczej będzie brzmiała informacja kierowana do dziecka, a inaczej do osoby dorosłej. Podobnie komunikacja między osobą, której dane dotyczą, a administratorem nie powinna być utrudniona. Powinna ułatwiać osobie, której dane dotyczą, skorzystanie z przysługujących jej praw, m.in. do sprostowania swoich danych czy do ich usunięcia. Oczywiście pod warunkiem, że administrator nie ma powodów do dalszego przechowywania danych, np. w przypadku dochodzenia czy obrony roszczeń.

Podsumowanie “Sztuczna inteligencja a ochrona danych”

Podsumowując, dzięki istnieniu m.in. RODO, posiadamy określone zasady, obowiązki i prawa dotyczące danych osobowych. Sztuczna inteligencja, wykorzystywana zgodnie z prawem, może okazać się bardzo użyteczna. Już teraz można zobaczyć niesamowite skutki jej działania, chociażby w branży medycznej.

W następnym artykule z cyklu “Sztuczna inteligencji a ochrona danych” odpowiemy na pytania:

  1. “Czy moje dane są bezpieczne?”
  2. “Czy narażam siebie w jakiś sposób, udostępniając swoje dane algorytmom sztucznej inteligencji?”

Sprawdź, jak możemy pomóc chronić dane osobowe w Twojej firmie:
Kurs RODO online – https://www.e-kursyrodo.pl/kurs/rodo-kurs-ogolny-2/
Indywidualna oferta dla firm – https://www.e-kursyrodo.pl/oferta-dla-firm/
Pełna oferta ochrony danych osobowych w Twojej firmie – https://standarder.pl/oferta-ochrona-danych/

Tag:, , , ,

author avatar
Aleksandra Małecka

Może Ci się spodobać

ewidencja upoważnień
Ewidencja upoważnień – czym jest i jak ją prowadzić?
29 września, 2023
Kopia do artykułów — kopia (13)
Kursy RODO online: droga do profesjonalnej wiedzy o ochronie danych
7 września, 2023
Kopia do artykUpoważnienie do przetwarzania danychułów — kopia (12)
Upoważnienie do przetwarzania danych osobowych – jak je poprawnie wystawić?
24 sierpnia, 2023