Sztuczna inteligencja coraz częściej wykorzystywana jest przez firmy, instytucje oraz samorządy. Pojawia się zatem kluczowe pytanie: czy każdy administrator danych osobowych, wdrażając narzędzia AI, musi przeprowadzać tzw. DPIA, czyli ocenę skutków dla ochrony danych osobowych? Poniżej znajdziesz praktyczne wyjaśnienie tej kwestii – z odniesieniem do najnowszych przepisów oraz konkretnymi przykładami.
Wykorzystanie sztucznej inteligencji w biznesie oraz w administracji publicznej to już nie przyszłość, lecz teraźniejszość. Automatyzacja decyzji, rozpoznawanie obrazów, analiza tekstów – to tylko niektóre z zastosowań AI, które nierzadko wiążą się z przetwarzaniem danych osobowych. Każdy administrator, zanim wdroży takie rozwiązanie, powinien rozważyć, czy nie ciąży na nim obowiązek przeprowadzenia oceny skutków dla ochrony danych (DPIA – Data Protection Impact Assessment).
Kiedy przeprowadzenie DPIA przy AI jest obowiązkowe?
Nie każde wykorzystanie sztucznej inteligencji automatycznie oznacza obowiązek przeprowadzenia DPIA. Ocena skutków dla ochrony danych jest wymagana wyłącznie wtedy, gdy dany proces generuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Kluczowe jest tu podejście indywidualne i ocena ryzyka konkretnego narzędzia AI. Przykłady takich narzędzi o podwyższonym ryzyku to m.in.:
- systemy zdalnej identyfikacji biometrycznej (np. rozpoznawanie twarzy na odległość),
- systemy oceny i klasyfikacji w edukacji (np. automatyczna analiza egzaminów),
- narzędzia do analizy zachowań pracowników lub klientów,
- systemy podejmujące decyzje wpływające na dostęp do usług publicznych lub prywatnych.
Zasada podwójnego warunku
Zgodnie z komunikatem Prezesa UODO z 17 czerwca 2019 r. administrator powinien przeprowadzić ocenę skutków przetwarzania dla ochrony danych osobowych, jeśli spełnione są przynajmniej dwa warunki z katalogu czynności wskazanych w tym komunikacie (np. przetwarzanie danych na dużą skalę, profilowanie, przetwarzanie danych szczególnych kategorii, zastosowanie nowych technologii).
Jeśli korzystasz z AI, warto przeanalizować, czy Twój projekt spełnia te warunki. Nie każda implementacja AI oznacza obowiązek DPIA – wszystko zależy od oceny ryzyka.
Przykład 1 – Brak obowiązku DPIA
Firma „Novatech” wdraża chatbot oparty o sztuczną inteligencję, który odpowiada na pytania klientów na stronie internetowej. Bot nie gromadzi danych osobowych, nie zapisuje historii rozmów, a jedynie przekazuje ogólne informacje na temat oferty. W tym przypadku obowiązek przeprowadzenia DPIA nie występuje, ponieważ nie dochodzi do przetwarzania danych osobowych w sposób generujący wysokie ryzyko.
Przykład 2 – Obowiązek przeprowadzenia DPIA
Szkoła językowa „LinguaMax” decyduje się na wdrożenie systemu AI, który automatycznie analizuje nagrania z zajęć online, rozpoznaje twarze uczestników, ocenia aktywność i na tej podstawie przydziela punkty za obecność. W takim przypadku DPIA jest konieczna, bo przetwarzanie danych biometrycznych i automatyczna ocena aktywności uczniów stanowi wysokie ryzyko dla praw i wolności osób, których dane dotyczą.
Jak przeprowadzić analizę ryzyka przy wdrażaniu AI?
Administrator danych powinien wykonać szczegółową analizę ryzyka związanego z wdrażanym rozwiązaniem. Warto w tym celu:
- sporządzić listę operacji przetwarzania danych przez AI,
- określić, czy narzędzie korzysta z nowych technologii lub przetwarza dane szczególnej kategorii,
- sprawdzić, czy spełnione są co najmniej dwa warunki z wykazu UODO,
- wziąć pod uwagę najnowsze wytyczne unijne – zwłaszcza z AI Act, nawet jeśli akt nie obowiązuje jeszcze w pełni.
Wskazówka praktyczna 📌
Pamiętaj, że tzw. AI Act (rozporządzenie PEiR (UE) 2024/1689) wprowadza konkretne wytyczne dotyczące kategorii systemów AI o wysokim ryzyku. Do tej grupy zalicza się np. systemy identyfikacji biometrycznej, systemy oceniające przydatność kandydatów w rekrutacji czy rozwiązania stosowane w infrastrukturze krytycznej.
Podsumowanie – co zyskujesz, analizując ryzyko AI?
- Unikasz ryzyka naruszenia przepisów RODO i przyszłego AI Act,
- Chronisz prawa i wolności osób, których dane przetwarzasz,
- Zyskujesz przewagę konkurencyjną, pokazując dbałość o ochronę danych,
- Ograniczasz potencjalne ryzyko kar finansowych.
Nie każda implementacja sztucznej inteligencji wymaga DPIA, ale każda wymaga świadomej i rzetelnej analizy ryzyka!
Podstawa prawna
- art. 35 rozporządzenia PEiR (UE) 2016/679 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO),
- AI Act – rozporządzenie PEiR (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji,
- Komunikat Prezesa UODO z 17.06.2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony.
Tematy porad zawartych w poradniku
- DPIA dla AI
- obowiązki administratora danych AI
- sztuczna inteligencja a RODO
- ocena skutków dla ochrony danych AI
Przydatne linki urzędowe: