Opinia EROD modeli sztucznej inteligencji AI i ochrony danych osobowych

Opublikowano:23 czerwca 2025
Aktualizacja:23 sierpnia 2025
Czas czytania16 min.

KATEGORIA: Finanse jutra - trendy i technologie AI Strefa eksperta Regulacje sektora finansowego
TEMAT: AI w instytucjach finansowych / Ochrona danych osobowych / Ustawa o ochronie danych osobowych

Dynamiczny rozwój technologii sztucznej inteligencji (AI) niesie ze sobą wiele możliwości i korzyści dla różnych branż i dziedzin życia. Jednocześnie stawia on przed administratorami danych osobowych (ADO) i inspektorami ochrony danych (IOD) złożone wyzwania w zakresie zapewnienia zgodności przetwarzania danych z ogólnym rozporządzeniem o ochronie danych (RODO). W odpowiedzi na potrzebę harmonizacji przepisów i wyjaśnienia kluczowych kwestii, Europejska Rada Ochrony Danych (EROD) przyjęła opinię w sprawie wykorzystywania danych osobowych do opracowywania i wdrażania modeli sztucznej inteligencji.

Opinia EROD (Opinia 28/2024) została sporządzona na wniosek irlandzkiego organu ochrony danych, mając na celu dążenie do ogólnoeuropejskiej harmonizacji przepisów. EROD podkreśla, że chce wspierać odpowiedzialne innowacje w dziedzinie sztucznej inteligencji poprzez zapewnienie pełnego poszanowania RODO. Dokument ten stanowi cenną wskazówkę dla ADO i IOD, jak bezpiecznie i zgodnie z RODO projektować i wykorzystywać rozwiązania oparte na AI.

Niniejsza opinia analizuje trzy kluczowe zagadnienia:

Reklama

W jakiej sytuacji model AI można uznać za anonimowy?
Czy i w jaki sposób prawnie uzasadniony interes może stanowić podstawę prawną przetwarzania danych na potrzeby rozwoju i wdrażania modeli AI.
Jakie konsekwencje dla legalności przetwarzania danych lub działania modelu ma wykorzystanie danych osobowych przetwarzanych niezgodnie z prawem w fazie jego rozwoju.

Kluczowe informacje warte zapamiętania – Opinia EROD modeli sztucznej inteligencji AI i ochrony danych osobowych:

EROD wskazuje, że model sztucznej inteligencji można uznać za anonimowy, jeśli istnieje bardzo niskie prawdopodobieństwo zidentyfikowania osób, których dane wykorzystano do jego stworzenia, lub wydobycia tych danych z modelu.
Wykorzystanie prawnie uzasadnionego interesu jako podstawy przetwarzania danych w celu rozwoju i wdrażania modeli AI wymaga przeprowadzenia trzystopniowego testu, obejmującego identyfikację interesu, analizę niezbędności przetwarzania oraz test równowagi z prawami osób fizycznych.
Jeśli model AI został opracowany z wykorzystaniem danych osobowych przetwarzanych niezgodnie z prawem, może to wpłynąć na legalność jego późniejszego wdrożenia, chyba że model ten zostanie odpowiednio zanonimizowany.

Obejrzyj na YouTube / Posłuchaj podcastu

Anonimowość modeli AI: Czy model sztucznej inteligencji trenowany na danych osobowych jest anonimowy?

Jednym z fundamentalnych pytań w kontekście AI i RODO jest kwestia anonimowości modeli trenowanych na danych osobowych. EROD jednoznacznie stwierdza, że modele AI trenowane na danych osobowych nie mogą być automatycznie uznane za anonimowe we wszystkich przypadkach.

Ocena tego, czy dany model AI jest anonimowy, powinna być przeprowadzana indywidualnie dla każdego przypadku przez organy ochrony danych (organy nadzorcze – SAs). Aby model został uznany za anonimowy, konieczne jest spełnienie dwóch istotnych warunków:

Powinno istnieć bardzo małe prawdopodobieństwo bezpośredniego (w tym probabilistycznego) lub pośredniego ustalenia tożsamości osób, których dane zostały użyte do opracowania modelu.
Istnieje bardzo małe prawdopodobieństwo, że takie dane osobowe mogą zostać uzyskane z zapytań skierowanych do modelu, zarówno świadomie, jak i przypadkowo.

Przy ocenie anonimowości trzeba uwzględnić „wszystkie racjonalnie możliwe środki”, które mogą być zastosowane przez administratora lub inną osobę. EROD wskazuje, że modele mogą „pochłonąć” informacje, w tym dane osobowe, w swoich parametrach, które następnie mogą zostać wydobyte. Badania naukowe wskazują na potencjalne luki w modelach AI, które mogą prowadzić do przetwarzania danych osobowych, np. poprzez ataki na prywatność (Membership Inference Attacks, Model Inversion Attacks).

Reklama

Opinia zawiera wykaz metod (aczkolwiek niewyczerpujący i niewiążący), które mogą pomóc wykazać anonimowość.

Kluczową rolę w wykazaniu anonimowości modelu i zastosowanych środków odgrywa dokumentacja. Organy nadzorcze powinny wziąć pod uwagę dokumentację (np. oceny ryzyka, DPIA, zastosowane środki techniczne). Jeśli administrator nie jest w stanie wykazać skuteczności środków anonimizujących, może to wskazywać na niewypełnienie obowiązków wynikających z zasady rozliczalności (art. 5 ust. 2).

Należy pamiętać, że modele AI zaprojektowane wprost w celu dostarczania danych osobowych dotyczących danych treningowych (np. chatbot naśladujący głos osoby, model odpowiadający na zapytania o konkretne osoby z danych treningowych) nie mogą być uznane za anonimowe, ponieważ z natury przetwarzają dane osobowe.

Uzasadniony interes jako podstawa przetwarzania danych w AI: Analiza opinii EROD

EROD analizuje również możliwość wykorzystania prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO) jako podstawy prawnej przetwarzania danych osobowych na potrzeby rozwoju i wdrażania modeli AI. Administrator, chcąc polegać na tej podstawie, musi przeprowadzić trzystopniowy test:

Reklama

Identyfikacja prawnie uzasadnionego interesu: Interes ten musi być zgodny z prawem, jasno i precyzyjnie określony, oraz rzeczywisty, a nie spekulatywny. Przykłady uzasadnionych interesów mogą obejmować rozwój chatbota do obsługi klienta lub poprawę wykrywania zagrożeń w systemie informatycznym.
Analiza niezbędności przetwarzania: Przetwarzanie danych osobowych musi być niezbędne do realizacji zidentyfikowanego interesu. Oznacza to, że należy rozważyć, czy celu przetwarzania nie można osiągnąć w mniej inwazyjny sposób, w tym bez przetwarzania danych osobowych (np. za pomocą danych syntetycznych lub zanonimizowanych). Ocena niezbędności obejmuje również analizę ilości przetwarzanych danych w kontekście zasady minimalizacji danych (art. 5 ust. 1 lit. c).
Test równowagi: Ocena, czy interesy lub podstawowe prawa i wolności osób, których dane dotyczą, nie przeważają nad uzasadnionym interesem administratora (lub strony trzeciej). Test ten musi być przeprowadzany z uwzględnieniem specyficznych okoliczności każdego przypadku. Przetwarzanie danych w kontekście AI może stwarzać poważne ryzyka dla praw podstawowych, np. prawa do prywatności, swobody wypowiedzi czy niedyskryminacji.

Kluczowym elementem testu równowagi jest ocena rozsądnych oczekiwań osób, których dane dotyczą. Ze względu na złożoność technologii AI, osobom fizycznym może być trudno w pełni zrozumieć różnorodne sposoby wykorzystania ich danych. Przy ocenie tych oczekiwań należy wziąć pod uwagę:

Informacje przekazane osobom, których dane dotyczą.
Kontekst przetwarzania.
Źródło pozyskania danych (np. strona internetowa, serwis, ustawienia prywatności).
Publiczną dostępność danych.
Charakter relacji między osobą a administratorem.
Świadomość osób odnośnie obecności ich danych w internecie.

Samo spełnienie wymogów w zakresie przejrzystości nie jest wystarczające do uznania, że osoby fizyczne mogą zasadnie oczekiwać danego przetwarzania.

Środki łagodzące ryzyko: Praktyczne zalecenia EROD

Jeśli test równowagi wskaże, że przetwarzanie może negatywnie wpływać na prawa i wolności osób fizycznych, administrator powinien rozważyć wdrożenie środków łagodzących ryzyko. Środki te mają na celu ograniczenie negatywnego wpływu przetwarzania i powinny być dostosowane do okoliczności danego przypadku i charakterystyki modelu AI, w tym jego przeznaczenia.

Opinia EROD zawiera listę przykładów środków łagodzących, które mogą być stosowane w różnych fazach cyklu życia modelu AI:

Reklama

Faza rozwoju: Obejmuje działania przed wdrożeniem. Przykłady to:
- Implementacja mechanizmów filtrowania i czyszczenia danych przed treningiem modelu.
- Stosowanie technik minimalizacji danych i pseudonimizacji.
- Wdrożenie procedur testowania modelu pod kątem potencjalnych wycieków danych.
- Regularne audyty bezpieczeństwa.
- Szkolenia dla zespołów AI w zakresie ochrony danych osobowych.
Faza wdrożenia: Obejmuje wykorzystanie modelu po jego opracowaniu. Przykłady to:
- Mechanizmy monitorowania i wykrywania nietypowych wzorców wykorzystania modelu.
- Systemy ostrzegania o potencjalnych próbach ekstrakcji danych osobowych.
- Ograniczenia liczby zapytań do modelu od pojedynczego użytkownika.
- Implementacja wielopoziomowych mechanizmów kontroli dostępu.
- Regularne przeglądy i aktualizacje zabezpieczeń.

Środki łagodzące mogą mieć charakter techniczny (np. filtry wyjściowe, cyfrowe znaki wodne w modelach generatywnych) lub ułatwiać korzystanie z praw przez osoby fizyczne (np. uproszczone procedury usuwania danych z wyników modelu, deduplikacja).

EROD podaje praktyczny przykład chatbota w dziale obsługi klienta. W tym przypadku środki łagodzące mogą obejmować ograniczenie dostępu chatbota tylko do niezbędnych danych klienta, zapobieganie zapisywaniu wrażliwych danych w logach, regularne czyszczenie historii konwersacji, jasne informowanie użytkowników o interakcji z AI oraz możliwość przełączenia na kontakt z człowiekiem.

EROD podkreśla, że środki łagodzące to dodatkowe zabezpieczenia i nie należy ich mylić ze środkami wymaganymi do spełnienia podstawowych obowiązków wynikających z RODO, takich jak minimalizacja danych.

Konsekwencje przetwarzania danych osobowych niezgodnie z prawem w fazie rozwoju modelu AI

Opinia EROD w sprawie modeli AI analizuje również, jaki wpływ ma bezprawne przetwarzanie danych osobowych (tj. niezgodne z art. 5 ust. 1 lit. a i art. 6) w fazie rozwoju modelu AI na legalność jego późniejszego przetwarzania lub działania.

Reklama

EROD wskazuje, że bezprawność pierwotnego przetwarzania może wpłynąć na legalność wdrożenia modelu, chyba że model zostanie należycie zanonimizowany. Organy nadzorcze mają uznaniowe uprawnienia do oceny naruszeń i wyboru odpowiednich środków naprawczych.

W opinii rozważano trzy scenariusze:

Ten sam administrator przetwarza bezprawnie dane w fazie rozwoju, dane pozostają w modelu (model nie jest anonimowy), a następnie ten sam administrator wykorzystuje model (np. w fazie wdrożenia). Ocena legalności późniejszego przetwarzania wymaga analizy przypadku, w tym ustalenia, czy fazy rozwoju i wdrożenia stanowią oddzielne cele przetwarzania.
Administrator przetwarza bezprawnie dane w fazie rozwoju, dane pozostają w modelu (model nie jest anonimowy), a następnie inny administrator wykorzystuje model w fazie wdrożenia. W tym scenariuszu należy ocenić role administratorów (np. czy są współadministratorami) oraz zbadać, w jakim stopniu administrator wdrażający model analizuje legalność danych źródłowych. Stopień wymaganej analizy może zależeć od ryzyka związanego z przetwarzaniem w fazie wdrożenia. Deklaracja zgodności z AI Act nie jest ostatecznym dowodem na zgodność z RODO.
Administrator przetwarza bezprawnie dane w fazie rozwoju, ale następnie zapewnia, że model zostaje należycie zanonimizowany przed wdrożeniem. Jeśli można wykazać, że późniejsze działanie modelu AI nie wiąże się z przetwarzaniem danych osobowych, RODO nie ma zastosowania do jego działania. W takim przypadku bezprawność pierwotnego przetwarzania danych treningowych nie wpływa na legalność późniejszego działania modelu. Jednakże, RODO ma zastosowanie do przetwarzania wszelkich danych osobowych w fazie wdrożenia (np. danych wprowadzanych przez użytkowników). W tym konkretnym aspekcie (przetwarzanie danych wprowadzanych w fazie wdrożenia) legalność tego przetwarzania nie jest naruszona przez bezprawność danych treningowych, jeśli model został skutecznie zanonimizowany.

EROD, AI Act i rola organów nadzorczych

Opinia EROD powstała w kontekście dążenia do harmonizacji przepisów w UE oraz przewidywanych przepisów Aktu o sztucznej inteligencji (AI Act).

EROD podkreśla, że organy nadzorcze w państwach członkowskich powinny odgrywać istotną rolę w egzekwowaniu AI Act. Sugeruje, by organy ochrony danych w poszczególnych krajach członkowskich pełniły funkcję organów nadzoru rynku w rozumieniu AI Act. Uzasadnieniem dla tej sugestii jest doświadczenie i specjalistyczna wiedza organów nadzorczych w zakresie wpływu AI na prawa podstawowe, w szczególności na prawo do ochrony danych osobowych. Pełnienie tej funkcji przez organy nadzorcze wzmocniłoby koordynację między różnymi organami regulacyjnymi, zwiększyło pewność prawa dla interesariuszy oraz usprawniło nadzór i egzekwowanie zarówno AI Act, jak i przepisów RODO. Termin wyznaczenia organów nadzoru rynku upływa 2 sierpnia 2025 r..

Reklama

Rada proponuje także, aby organy nadzorcze stały się punktami kontaktowymi dla opinii publicznej i odpowiedników na szczeblu państw członkowskich w kontekście AI Act.

Praktyczne wskazówki i obowiązki dla ADO i IOD

Opinia EROD w sprawie modeli AI wzmacnia przekonanie, że zasady RODO mają fundamentalne znaczenie na każdym etapie cyklu życia modeli AI. ADO i IOD powinni zwracać szczególną uwagę na następujące aspekty:

Legalność, rzetelność i przejrzystość (art. 5 ust. 1 lit. a): Przetwarzanie danych powinno być zrozumiałe dla osób fizycznych. Informacje (art. 12-14) o przetwarzaniu danych w AI powinny być dostępne i łatwe do zrozumienia, uwzględniając złożoność technologii. W przypadku automatycznego podejmowania decyzji, w tym profilowania, wymagane jest przekazanie istotnych informacji o logice i przewidywanych konsekwencjach przetwarzania (art. 13(2)(f), art. 14(2)(g)).
Ograniczenie celu i minimalizacja danych (art. 5 ust. 1 lit. b, c): Dane osobowe wykorzystywane w AI powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów przetwarzania. Cel przetwarzania musi być jasno i precyzyjnie określony. Należy ocenić, czy celu nie można osiągnąć przetwarzając mniejszą ilość danych lub stosując dane syntetyczne/zanonimizowane.
Prawa osób, których dane dotyczą (Rozdział III): Wszystkie prawa muszą być respektowane. W przypadku przetwarzania danych na podstawie uzasadnionego interesu, należy zapewnić możliwość skorzystania z prawa do sprzeciwu (art. 21).
Ocena skutków dla ochrony danych (DPIA – art. 35): DPIA jest kluczowym elementem rozliczalności, szczególnie gdy przetwarzanie danych w kontekście modeli AI wiąże się z wysokim ryzykiem dla praw i wolności osób fizycznych.
Domyślna ochrona danych (Data Protection by Design and Default – art. 25): Zasady ochrony danych powinny być uwzględniane już na etapie projektowania modeli AI.
Rozliczalność (art. 5 ust. 2): Administratorzy muszą być w stanie wykazać zgodność z RODO. Wymaga to dokumentowania procesów i decyzji dotyczących zgodności przetwarzania danych w kontekście AI.

EROD w opinii skupiła się na anonimowości, uzasadnionym interesie i konsekwencjach bezprawnego przetwarzania danych treningowych, ale warto pamiętać o innych ważnych aspektach RODO, które mogą mieć zastosowanie, choć nie zostały szczegółowo przeanalizowane:

Przetwarzanie szczególnych kategorii danych (art. 9), w tym danych upublicznionych.
Automatyczne podejmowanie decyzji i profilowanie (art. 22).
Zasada kompatybilności celów przetwarzania (art. 6 ust. 4).

Dalsze prace EROD w sprawie AI i rozwój wytycznych

EROD przyznaje, że jej opinia stanowi ramy oceny, ale nie jest wyczerpująca ze względu na złożoność i szybki rozwój technologii AI oraz szeroki zakres wniosku irlandzkiego organu nadzorczego.

Reklama

Europejska Rada Ochrony Danych kontynuuje prace nad bardziej szczegółowymi wytycznymi dotyczącymi przetwarzania danych osobowych przy wykorzystaniu sztucznej inteligencji. Przyszłe publikacje mają objąć m.in. takie kwestie jak web scraping, które często wykorzystywane jest do zbierania danych treningowych dla modeli AI.

Podsumowanie i rekomendacje EROD dla ADO/IOD

Opinia EROD w sprawie modeli AI to ważny i oczekiwany dokument, który dostarcza organom nadzorczym ram do oceny zgodności z RODO w dynamicznie rozwijającym się obszarze sztucznej inteligencji, a administratorom i inspektorom ochrony danych – cennych wskazówek.

Kluczowe przesłanie opinii to konieczność indywidualnej, dogłębnej analizy każdego przypadku wykorzystania modeli AI pod kątem zgodności z przepisami o ochronie danych osobowych. Nie ma prostych odpowiedzi ani uniwersalnych rozwiązań.

Dla ADO i IOD oznacza to konieczność proaktywnego podejścia:

Reklama

Stosowanie zasad RODO, w tym minimalizacji danych, przejrzystości, legalności i domyślnej ochrony danych, na każdym etapie cyklu życia modelu AI – od projektowania po wdrożenie.
Staranne przeprowadzanie testu uzasadnionego interesu, z uwzględnieniem niezbędności i testu równowagi praw i wolności osób, których dane dotyczą.
Wdrażanie adekwatnych i dostosowanych do ryzyka środków łagodzących.
Szczegółowe dokumentowanie wszystkich analiz i podjętych decyzji w zakresie zgodności z RODO.
Śledzenie dalszych publikacji i wytycznych EROD, które będą rozwijać poruszone zagadnienia.

Integracja AI i ochrony danych osobowych wymaga ciągłej uwagi i dostosowywania się do rozwijającego się krajobrazu prawnego i technologicznego. Opinia EROD stanowi solidny punkt wyjścia dla tych działań.

Tekst opinii w sprawie wykorzystywania danych osobowych do opracowywania i wdrażania modeli sztucznej inteligencji.

Glosariusz kluczowych terminów

Administrator Danych Osobowych (ADO): Osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
AI Act: Przewidywany Akt o sztucznej inteligencji Unii Europejskiej, mający na celu regulację rozwoju, wprowadzania do obrotu i stosowania systemów AI.
Dane Osobowe: Wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
DPIA (Ocena Skutków dla Ochrony Danych): Proces oceny prawdopodobieństwa i wagi ryzyka przetwarzania danych osobowych dla praw i wolności osób fizycznych, wymagany w przypadku przetwarzania wysokiego ryzyka.
Domyślna ochrona danych (Data Protection by Design and Default): Zasada RODO wymagająca uwzględnienia zasad ochrony danych już na etapie projektowania systemów i procesów przetwarzania, a także zapewnienia domyślnej ochrony danych.
EROD (Europejska Rada Ochrony Danych): Niezależny organ europejski, który zapewnia spójne stosowanie RODO w całej Unii Europejskiej, wydając wytyczne, opinie i zalecenia.
Inspektor Ochrony Danych (IOD): Osoba wyznaczona przez administratora lub podmiot przetwarzający, odpowiedzialna za monitorowanie przestrzegania przepisów o ochronie danych osobowych i doradzanie w tej kwestii.
Minimalizacja Danych: Zasada RODO (art. 5 ust. 1 lit. c) nakazująca, aby dane osobowe były adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
Model Inversion Attacks: Ataki na prywatność, których celem jest odtworzenie danych treningowych na podstawie odpowiedzi modelu AI.
Membership Inference Attacks: Ataki na prywatność, których celem jest ustalenie, czy dane konkretnej osoby zostały użyte do treningu modelu AI.
Organy Nadzorcze (SAs): Niezależne organy publiczne ustanowione w państwach członkowskich UE, odpowiedzialne za monitorowanie stosowania RODO.
Prawnie Uzasadniony Interes: Jedna z podstaw prawnych przetwarzania danych osobowych zgodnie z art. 6 ust. 1 lit. f RODO, wymagająca przeprowadzenia trzystopniowego testu.
Przejrzystość: Zasada RODO (art. 5 ust. 1 lit. a) nakazująca, aby przetwarzanie danych było zrozumiałe dla osób fizycznych, a informacje o przetwarzaniu były łatwo dostępne i zrozumiałe.
Pseudonimizacja: Przetwarzanie danych osobowych w taki sposób, że nie można ich już przypisać konkretnej osobie fizycznej bez użycia dodatkowych informacji, pod warunkiem, że te dodatkowe informacje są przechowywane oddzielnie i objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi przypisanie ich zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Rozliczalność: Zasada RODO (art. 5 ust. 2) nakazująca administratorom danych być w stanie wykazać zgodność przetwarzania z przepisami RODO.
RODO (Ogólne Rozporządzenie o Ochronie Danych): Rozporządzenie Unii Europejskiej regulujące ochronę danych osobowych osób fizycznych na terenie UE.
Sztuczna Inteligencja (AI): Systemy komputerowe zdolne do wykonywania zadań wymagających ludzkiej inteligencji, takich jak uczenie się, rozwiązywanie problemów, rozumienie języka naturalnego czy rozpoznawanie obrazów.
Test Równowagi: Część testu prawnie uzasadnionego interesu, polegająca na ocenie, czy interesy lub podstawowe prawa i wolności osób, których dane dotyczą, nie przeważają nad uzasadnionym interesem administratora.

Często zadawane pytania: Opinia EROD modeli sztucznej inteligencji AI i ochrony danych osobowych

Jaką rolę powinny odgrywać organy nadzorcze w egzekwowaniu AI Act?

Według Europejskiej Rady Ochrony Danych (EROD), organy nadzorcze w państwach członkowskich powinny odgrywać kluczową rolę w egzekwowaniu przepisów AI Act. EROD sugeruje, że krajowe organy ochrony danych (takie jak UODO w Polsce) mogą pełnić funkcję organów nadzoru rynku wyznaczonych do tego celu do 2 sierpnia 2025 roku. Organy te mają już doświadczenie i wiedzę specjalistyczną dotyczącą wpływu AI na prawa podstawowe, zwłaszcza prawo do ochrony danych osobowych, co wzmocniłoby koordynację, pewność prawa i egzekwowanie zarówno AI Act, jak i RODO.

Nadzór nad jakimi systemami AI EROD rekomenduje przekazać organom ochrony danych?

EROD rekomenduje, aby organy ochrony danych zostały wyznaczone jako organy nadzoru rynku przede wszystkim dla systemów sztucznej inteligencji wysokiego ryzyka. Dotyczy to systemów wykorzystywanych w kluczowych obszarach, takich jak egzekwowanie prawa, zarządzanie granicami, wymiar sprawiedliwości i procesy demokratyczne. Rada sugeruje również rozważenie rozszerzenia tego zakresu na inne sektory, które mogą mieć znaczący wpływ na prawa i wolności osób fizycznych.

Reklama

W jaki sposób organy nadzorcze mogą ułatwić wdrożenie AI Act?

Rada proponuje, aby organy nadzorcze stały się punktami kontaktowymi dla opinii publicznej i odpowiedników na szczeblu państw członkowskich. Ustanowienie jasnych procedur współpracy między organami nadzoru rynku a innymi organami nadzorującymi systemy sztucznej inteligencji ma na celu ułatwienie zrozumienia i stosowania nowych przepisów, zwiększając pewność prawa dla wszystkich zainteresowanych stron.

Kiedy model AI można uznać za anonimowy w świetle opinii EROD?

Opinia EROD podkreśla, że ocena anonimowości modelu AI musi być przeprowadzana indywidualnie przez organy ochrony danych dla każdego przypadku. Aby model mógł zostać uznany za anonimowy, muszą być spełnione dwa główne warunki: musi być bardzo mało prawdopodobne (1) bezpośrednie lub pośrednie zidentyfikowanie osób, których dane wykorzystano do stworzenia modelu, oraz (2) wydobycie takich danych osobowych z modelu za pomocą zapytań. Ocena ta powinna uwzględniać wszystkie „rozsądnie prawdopodobne środki” mogące prowadzić do identyfikacji.

Czy prawnie uzasadniony interes może stanowić podstawę prawną przetwarzania danych w kontekście AI?

Tak, EROD bada opcję użycia prawnie uzasadnionego interesu jako podstawy prawnej do przetwarzania danych, zarówno w fazie rozwoju, jak i implementacji modeli AI. Aby było to możliwe, administrator danych musi przeprowadzić trzystopniowy test: (1) zidentyfikować prawnie uzasadniony interes (musi być zgodny z prawem, jasno określony i rzeczywisty), (2) wykazać niezbędność przetwarzania dla realizacji tego interesu, oraz (3) przeprowadzić test równowagi między interesem administratora a prawami i wolnościami osób, których dane dotyczą. Przetwarzanie musi być uznane za bezwzględnie niezbędne, a równowaga praw musi być zachowana.

Jakie kryteria należy wziąć pod uwagę przy ocenie rozsądnych oczekiwań osób, których dane dotyczą, w kontekście AI?

Ze względu na złożoność technologii AI, EROD zwraca uwagę, że osobom fizycznym może być trudno zrozumieć sposób wykorzystania ich danych. Przy ocenie rozsądnych oczekiwań należy wziąć pod uwagę takie kryteria jak: czy dane osobowe były publicznie dostępne, charakter relacji między osobą fizyczną a administratorem, charakter usługi, kontekst, w którym dane zostały zebrane, źródło pozyskania danych oraz to, czy osoby fizyczne są świadome dostępności ich danych w internecie.

Reklama

Reklama

TEMATY:

# AI w instytucjach finansowych # Ochrona danych osobowych # Ustawa o ochronie danych osobowych

Michał Koński

Jestem autorem bloga Bankowe ABC i specjalistą z dwudziestoletnim doświadczeniem w zakresie analizy ryzyka kredytowego, zdobytym w Ford Credit Europe, będącym częścią Ford Motor Company. Moja wiedza obejmuje szeroki wachlarz produktów finansowych sektora motoryzacyjnego, w tym Trade Cycle Management, wymogi prawne, operacyjne, ocenę ryzyka, raportowanie oraz marketing.

Posiadam wieloletnie doświadczenie w prowadzeniu prac analitycznych IT, zwłaszcza w analizie biznesowej i systemowej dotyczącej systemów do obsługi wniosków i przygotowywania dokumentacji kredytowej. Moje umiejętności obejmują tworzenie i dostosowywanie procedur bankowych oraz wewnętrznych instrukcji, a także narzędzi wspomagających proces oceny ryzyka kredytowego. Wdrażałem kluczowe regulacje prawne takie jak Rekomendacja T, Ustawa o Kredycie Konsumenckim, RODO oraz Ustawa o Przeciwdziałaniu Praniu Pieniędzy.