100. posiedzenie plenarne Europejskiej Rady Ochrony Danych, 17 grudnia 2024r.
Opinia EROD w sprawie modeli sztucznej inteligencji: zasady RODO wspierają odpowiedzialną sztuczną inteligencję
Europejska Rada Ochrony Danych (EROD) 17 grudnia 2024 r., podczas 100. posiedzenia plenarnego, przyjęła opinię* w sprawie wykorzystywania danych osobowych do opracowywania i wdrażania modeli sztucznej inteligencji. W przedmiotowej opinii przeanalizowano: 1) kiedy i w jaki sposób modele sztucznej inteligencji (dalej także: AI) można uznać za anonimowe, 2) czy i w jaki sposób prawnie uzasadniony interes może być wykorzystany jako podstawa prawna do opracowania lub wykorzystania modeli AI oraz 3) co się stanie, jeżeli model AI zostanie opracowany z wykorzystaniem danych osobowych, które były przetwarzane niezgodnie z prawem. Opinia EROD uwzględnia również wykorzystanie danych własnych i osób trzecich.
Irlandzki organ ochrony danych zwrócił się do EROD o wydanie opinii, mając na celu ogólnoeuropejską harmonizację przepisów. EROD zorganizowała wydarzenie dla interesariuszy i współpracowała z Europejskim Urzędem ds. Sztucznej Inteligencji, aby zebrać informacje na potrzeby opracowania przedmiotowej opinii, dotyczącej szybko zmieniających się technologii mających istotny wpływ na społeczeństwo.
Przewodnicząca EROD Anu Talus powiedziała: „Technologie AI mogą przynieść wiele możliwości i korzyści różnym branżom i dziedzinom życia. Musimy zapewnić, aby innowacje te były wprowadzane w sposób etyczny, bezpieczny i z korzyścią dla wszystkich. EROD chce wspierać odpowiedzialne innowacje w zakresie sztucznej inteligencji poprzez zapewnienie ochrony danych osobowych i pełne poszanowanie ogólnego rozporządzenia o ochronie danych (RODO)”.
Jeżeli chodzi o anonimizację, w opinii stwierdzono, że to, czy model sztucznej inteligencji jest anonimowy, powinno być oceniane indywidualnie dla każdego przypadku przez organy ochrony danych. Aby model był anonimowy, bardzo mało prawdopodobne powinno być (1) bezpośrednie lub pośrednie zidentyfikowanie osób fizycznych, których dane zostały wykorzystane do stworzenia modelu, oraz (2) wyodrębnienie takich danych osobowych z modelu za pomocą zapytań. Opinia zawiera niewyczerpujący i niewiążący wykaz metod wykazania anonimowości.
W odniesieniu do prawnie uzasadnionego interesu, opinia zawiera ogólne uwagi, które organy ochrony danych powinny wziąć pod uwagę przy ocenie, czy prawnie uzasadniony interes jest odpowiednią podstawą prawną do przetwarzania danych osobowych w celu opracowania i wdrożenia modeli sztucznej inteligencji.
Trzystopniowy test pomaga ocenić wykorzystanie prawnie uzasadnionego interesu jako podstawy prawnej. EROD podaje przykłady konsultanta rozmawiającego z użytkownikami oraz wykorzystania AI do poprawy cyberbezpieczeństwa. Usługi te mogą być korzystne dla osób i mogą opierać się na uzasadnionym interesie jako podstawie prawnej, ale tylko wtedy, gdy przetwarzanie zostanie uznane za bezwględnie niezbędne, a równowaga praw zostanie zachowana.
Opinia zawiera również szereg kryteriów, która ma pomóc organom ochrony danych ocenić, czy osoby fizyczne mogą w sposób uzasadniony oczekiwać określonego wykorzystania ich danych osobowych. Kryteria te obejmują następujące kwestie: czy dane osobowe były publicznie dostępne, charakter relacji między osobą fizyczną a administratorem, charakter usługi, kontekst, w którym dane osobowe zostały zebrane, źródło, z którego dane zostały zebrane, potencjalne dalsze zastosowania modelu oraz czy osoby fizyczne są rzeczywiście świadome, że ich dane osobowe są dostępne online.
Jeżeli test równowagi wykaże, że przetwarzanie nie powinno mieć miejsca ze względu na negatywny wpływ na osoby fizyczne, środki łagodzące mogą ograniczyć ten negatywny wpływ. Opinia zawiera niewyczerpującą listę przykładów takich środków łagodzących, które mogą mieć charakter techniczny lub ułatwiać osobom fizycznym korzystanie z przysługujących im praw lub zwiększać przejrzystość.
Wreszcie, jeżeli model AI został opracowany na podstawie danych osobowych przetwarzanych niezgodnie z prawem, może to mieć wpływ na zgodność z prawem jego wdrożenia, chyba że model ten został należycie zanonimizowany.
Biorąc pod uwagę zakres wniosku irlandzkiego organu ochrony danych, ogromną różnorodność modeli sztucznej inteligencji i ich szybki rozwój, opinia ma na celu przedstawienie różnych elementów, które można wykorzystać do przeprowadzenia analizy poszczególnych przypadków. Ponadto EROD opracowuje aktualnie wytyczne obejmujące bardziej szczegółowe kwestie, takie jak web scarping.