Choć już od dłuższego czasu w wielu branżach stosowane są systemy oparte na sztucznej inteligencji, dopiero kilka miesięcy temu rozgorzała dyskusja dotycząca wiążących się z nimi zagrożeń dla naszej prywatności. Na początku kwietnia świat obiegła wiadomość o zakazie korzystania z programu ChatGPT wydanym przez włoski organ ochrony danych osobowych. Wskazał on na wątpliwość co do tego, czy spółka Open AI – operator systemu – spełnia warunki ochrony danych osobowych wynikające z przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; DzU UEL 2016.119.1; dalej: RODO). Włoski organ nakazał tymczasowe zawieszenie dostępu Chat GPT na terenie Włoch oraz zobowiązał operatora Chat GPT do wprowadzenia pewnych zmian w funkcjonowaniu programu. Spółka zastosowała się do decyzji i wcieliła w życie oczekiwane modyfikacje, a blokada zakończyła się 4 maja.

Sprawa tocząca się przed włoskim organem ochrony danych skłoniła wiele osób do refleksji nad tym, jak programy sztucznej inteligencji korzystają z naszych danych i jak wykluczyć sytuacje, w których informacje na nasz temat zostaną wykorzystane w nieoczekiwany i niekorzystny dla nas sposób. Jest to dobra okazja, aby zastanowić się, jak korzystać ze zdobyczy technologii w sposób bezpieczny i zgodny z obowiązującymi przepisami prawa.

Nie możemy zapominać, że sztuczna inteligencja to nie tylko generatywne modele językowe, takie jak ChatGPT. Jej możliwym zastosowaniem jest również tzw. bossware (ang. „boss” – szef, „software” – oprogramowanie), czyli oprogramowanie służące do analizy i kontroli pracownika przez pracodawcę. Tego typu narzędzia zyskały na popularności w czasie pandemii, wraz z upowszechnieniem się pracy zdalnej. Już teraz w użyciu coraz częściej pojawiają się programy analizujące zachowania pracowników, monitorujące ich aktywność podczas pracy i tworzące zestawienia czynności, które zajmują pracownikom najwięcej czasu. Jest prawdopodobne, że w niedalekiej przyszłości analizy efektywności pracowników i rekomendacje co do jej poprawy nie będą przygotowane przez ludzi, lecz przez sztuczną inteligencję.

Wysokie ryzyko

Przetwarzanie danych osobowych przez programy sztucznej inteligencji jest zautomatyzowanym przetwarzaniem danych osobowych w rozumieniu art. 21 i 22 RODO. Niesie to ze sobą konsekwencje w postaci określonych obowiązków podmiotu posługującego się programem sztucznej inteligencji, takich jak:

- poinformowanie osób, których dane są przetwarzane, o fakcie przetwarzania danych osobowych w sposób zautomatyzowany,

- zapewnienie osobie, której dane dotyczą, możliwości sprzeciwienia się przetwarzaniu danych osobowych w sposób zautomatyzowany,

- zapewnienie osobie, której dane dotyczą, prawa do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, gdy ta decyzja niesie za sobą skutki prawne dla tej osoby,

- wdrożenie odpowiednich środków ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji,

- sporządzenie oceny skutków przetwarzania danych osobowych dla ochrony danych osobowych (tzw. DPIA – ang. data protection impact assessment).

Jeżeli zautomatyzowane przetwarzanie danych ma związek ze stosowaniem bossware, może to doprowadzić do powstania dodatkowych obowiązków na gruncie kodeksu pracy. Z punktu widzenia art. 22 § 1 i 4 k.p., stosowanie bossware w celu śledzenia i oceny aktywności pracownika jest formą monitoringu osoby zatrudnionej. Może być on stosowany wyłącznie, gdy jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi. W związku z tym, w przypadku stosowania rozwiązań bossware opartych na sztucznej inteligencji, oprócz spełnienia wskazanych wyżej obowiązków administratora danych osobowych, pracodawca będzie musiał:

- określić cele i zakres monitorowania pracowników w układzie zbiorowym, regulaminie pracy lub – jeśli pracodawca nie ma obowiązku zawarcia układu zbiorowego ani wydania regulaminu – w obwieszczeniu skierowanym do pracowników,

- poinformować pracowników o zamiarze wdrożenia systemu – nie później niż na dwa tygodnie przed jego uruchomieniem,

- przekazać informację o celu i zakresie monitoringu na piśmie każdemu nowemu pracownikowi przed dopuszczeniem go do pracy.

Operator oprogramowania opartego o sztuczną inteligencję, który przetwarza dane osobowe do osiągania własnych celów, jest administratorem danych osobowych. Z tego powodu ciążą na nim także obowiązki pojawiające się w każdym przypadku przetwarzania danych, takie jak:

- zapewnienie, że przetwarzanie danych osobowych odbywa się na odpowiedniej podstawie prawnej,

- przekazanie osobom, których dane dotyczą, zestawu informacji, w tym tych o sposobie przetwarzania ich danych osobowych, celach przetwarzania danych oraz prawach związanych z przetwarzaniem danych,

- umożliwienie osobom, których dane dotyczą, skorzystania z prawa dostępu, sprostowania, ograniczenia przetwarzania lub usunięcia danych,

- stosowanie odpowiednich środków technicznych i organizacyjnych w celu zabezpieczenia posiadanych danych osobowych,

- zapewnienie, aby transfer danych osobowych poza Europejski Obszar Gospodarczy odbywał się na podstawie odpowiedniego mechanizmu prawnego.

Korzystanie z programów sztucznej inteligencji może znacząco utrudnić wykonywanie niektórych obowiązków administratorów danych osobowych, zwłaszcza w zakresie obowiązku minimalizacji zakresu przetwarzanych danych.

Problem z przechowywaniem promptów

Korzystając z programów generatywnej sztucznej inteligencji użytkownik zazwyczaj naprowadza program na odpowiednie rozwiązania, tworząc prompty – podpowiedzi, na podstawie których program tworzy nową treść. Program zapamiętuje prompt i na tej podstawie udoskonala swoje procesy wnioskowania.

Problem może pojawić się, gdy w promptach zostaną zawarte informacje stanowiące dane osobowe. Zgodnie z art. 5 ust. 1 lit. e RODO dane osobowe w formie umożliwiającej identyfikację osoby, której dotyczą, nie powinny być przechowywane dłużej, niż jest to niezbędne do realizacji celów, dla których zostały one zebrane. W przypadku programów AI często zdarza się, że usunięcie promptu nie jest możliwe bez konieczności ponownego wytrenowania programu.

Ten problem powinien zostać uwzględniony już na etapie projektowania mechanizmów uczenia się przez AI, tak aby zredukować ryzyko gromadzenia nadmiernej ilości danych osobowych przez zbyt długi czas.

Prawo do sprzeciwu i weryfikacji przez człowieka

Stosowanie mechanizmów opartych o sztuczną inteligencję w tak istotnych dziedzinach jak bankowość, medycyna czy ubezpieczenia może sprawić, że decyzje dotyczące życia każdego z nas coraz częściej będą podejmowane w sposób zautomatyzowany. Z tego względu podmioty posługujące się tego typu rozwiązaniami powinny zapewnić osobom, których dane są przetwarzane, możliwość zakwestionowania tej decyzji.

Zgodnie z art. 22 osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Administrator powinien umożliwić podmiotom danych wykonanie tego prawa, w szczególności poprzez stworzenie organizacyjnych mechanizmów pozwalających na zakwestionowanie decyzji podjętej w sposób zautomatyzowany i wyrażenie swojego stanowiska. W praktyce przejawia się to zazwyczaj w zweryfikowaniu decyzji AI przez człowieka.

Osoba, której dane dotyczą, może również sprzeciwić się przetwarzaniu danych w sposób zautomatyzowany. Wówczas administrator ma obowiązek zaprzestać przetwarzania danych w ten sposób.

Powyższe prawo nie jest absolutne. Nie przysługuje w przypadku, gdy zautomatyzowane przetwarzanie danych jest niezbędne do wykonania umowy lub gdy wprost dopuszcza to przepis unijny lub przepis państwa członkowskiego.

Zdaniem autorów

Magdalena Wielgosz prawnik, KWKR Konieczny Wierzbicki and Partners Law Firm

Mariusz Purgał adwokat KWKR Konieczny Wierzbicki and Partners Law Firm

Planując wdrożenie w firmie oprogramowania opartego na sztucznej inteligencji przede wszystkim należy uważnie zweryfikować, czy dostawca rozwiązań AI wdrożył środki pozwalające na ochronę danych przekazywanych programowi sztucznej inteligencji. Ponadto, wykorzystanie programu AI do podejmowania decyzji mających wymierny skutek na sytuację osób fizycznych będzie niosło za sobą obowiązek przeprowadzenia DPIA – analizy, której celem jest określenie możliwych skutków przetwarzania danych w sferze praw i wolności osób, których dane dotyczą. Sporządzając DPIA należy zastanowić się, w jaki konkretnie sposób dane są wykorzystywane, jakim celom one służą, czy sposób przetwarzania jest adekwatny do założonych celów. Należy również rozważyć możliwe negatywne konsekwencje przetwarzania dla osób, których dane dotyczą, oraz środki, jakie podmiot wdraża w celu zminimalizowania tego ryzyka.

Gdy już podejmiemy decyzję o wdrożeniu w organizacji rozwiązania opartego na AI, warto określić zasady jego wykorzystania przez nas personel.

Użytkownicy AI powinni mieć na uwadze, że korzystając z tego rodzaju systemów nie należy wprowadzać do programu sztucznej inteligencji informacji prawnie chronionych (jak tajemnica przedsiębiorstwa) czy danych osobowych, które nie są niezbędne do wykonania zadania przez AI.

Powinniśmy również stworzyć system jasno określonych zasad pozwalających osobom, których dane są wprowadzane do systemu, na uzyskanie weryfikacji decyzji podjętej przez AI i dokonanej przez człowieka. Te zasady należy w jasny i przejrzysty sposób przekazać osobom, których dane są przez nas wprowadzane do oprogramowania oraz tym korzystającym z programu AI. Trzeba również pamiętać, że w przypadku przetwarzania za pomocą AI danych osobowych niektórych grup – na przykład pracowników – mogą pojawiać się szczególne obowiązki związane z ochroną osób, których dotyczą dane.