Spis treści
EROD i EIOD o „Cyfrowym Omnibusie” w sprawie AI - uproszczenia tak, ale nie kosztem praw podstawowych
Prace nad wdrażaniem aktu w sprawie sztucznej inteligencji wchodzą w kluczową fazę, a wraz z nimi narasta napięcie pomiędzy potrzebą uproszczeń regulacyjnych a koniecznością zachowania gwarancji ochrony praw podstawowych. Wspólna opinia przyjęta 20 stycznia podczas 114. posiedzenia plenarnego przez Europejska Rada Ochrony Danych oraz Europejski Inspektor Ochrony Danych jest jednym z najważniejszych głosów w tej debacie.
Opinia dotyczy wniosku Komisja Europejska określanego jako „Cyfrowy Omnibus w sprawie AI”, którego celem jest uproszczenie wdrażania części zharmonizowanych zasad wynikających z Akt w sprawie AI. Intencją Komisji jest zapewnienie sprawniejszego i bardziej jednolitego stosowania nowych przepisów w praktyce, zwłaszcza w kontekście szybko rozwijającego się rynku technologii opartych na sztucznej inteligencji.
EROD i EIOD nie kwestionują potrzeby takich działań. Wręcz przeciwnie – wprost wskazują, że obecne środowisko AI jest skomplikowane, dynamiczne i generuje wyzwania wdrożeniowe. Jednocześnie jednak stanowczo podkreślają, że uproszczenia administracyjne nie mogą prowadzić do osłabienia standardów ochrony praw podstawowych osób fizycznych.
Uproszczenia a ryzyko rozmycia odpowiedzialności
W swojej opinii EROD i EIOD przyjmują wyważone stanowisko. Z jednej strony dostrzegają potrzebę zmniejszania obciążeń dla organizacji, w tym dla MŚP oraz podmiotów innowacyjnych. Z drugiej – wskazują, że niektóre z proponowanych zmian mogą w praktyce doprowadzić do rozmycia mechanizmów rozliczalności, które stanowią jeden z filarów regulacji AI w Unii Europejskiej.
W ocenie organów ochrony danych innowacyjność i efektywność nie stoją w sprzeczności z odpowiedzialnością dostawców i podmiotów stosujących systemy AI. Kluczowe jest jednak to, aby uproszczenia służyły lepszemu zrozumieniu obowiązków, a nie ich faktycznemu ograniczaniu.
Na ten aspekt zwróciła uwagę Anu Talus, Przewodnicząca EROD, podkreślając, że współpraca między organami ochrony danych, Urzędem ds. AI oraz organami nadzoru rynku jest niezbędna, aby zapewnić pewność prawa i jednocześnie chronić prawa podstawowe osób fizycznych. W jej ocenie organy ochrony danych muszą zachować centralną rolę wszędzie tam, gdzie systemy AI wiążą się z przetwarzaniem danych osobowych.
Szczególne kategorie danych i ryzyko nadmiernego rozszerzenia wyjątków
Jednym z najbardziej wrażliwych punktów opinii jest odniesienie się do propozycji rozszerzenia możliwości przetwarzania szczególnych kategorii danych osobowych, takich jak dane dotyczące zdrowia czy pochodzenia etnicznego. Wniosek Komisji przewidywałby możliwość wykorzystywania takich danych w celu wykrywania i korygowania stronniczości w systemach AI, i to nie tylko w odniesieniu do systemów wysokiego ryzyka.
EROD i EIOD nie negują samej idei przeciwdziałania stronniczości algorytmicznej. Wskazują jednak, że tak daleko idące uprawnienie wymaga bardzo precyzyjnego ograniczenia. Dane wrażliwe powinny być wykorzystywane wyłącznie w ściśle określonych sytuacjach, w których ryzyko negatywnych skutków stronniczości jest rzeczywiście poważne i odpowiednio udokumentowane.
W przeciwnym razie istnieje realne zagrożenie, że wyjątek stanie się regułą, a ochrona danych szczególnych kategorii – iluzoryczna.
Rejestracja systemów AI wysokiego ryzyka – filar przejrzystości
Organy ochrony danych zdecydowanie odradzają także proponowane zniesienie obowiązku rejestracji systemów AI, które obiektywnie mieszczą się w kategoriach wysokiego ryzyka, nawet jeśli dostawca sam uzna je za „niewysokiego ryzyka”. Zdaniem EROD i EIOD takie rozwiązanie osłabiłoby fundamenty systemu rozliczalności przewidzianego w akcie w sprawie AI.
W praktyce mogłoby to stworzyć niebezpieczny bodziec do nadużywania wyjątków i unikania publicznej kontroli. Rejestracja systemów wysokiego ryzyka nie jest bowiem celem samym w sobie, lecz narzędziem zapewniającym przejrzystość, możliwość nadzoru oraz realną ochronę osób, których dotyczą decyzje podejmowane lub wspierane przez AI.
Piaskownice regulacyjne - innowacja pod warunkiem nadzoru
Wspólna opinia pozytywnie ocenia pomysł tworzenia unijnych piaskownic regulacyjnych w obszarze AI. EROD i EIOD widzą w nich szansę na wspieranie innowacji i testowanie nowych rozwiązań w kontrolowanym środowisku. Jednocześnie jednak podkreślają, że piaskownice nie mogą stać się „strefami obniżonych standardów”.
Aby zapewnić pewność prawa i ochronę danych osobowych, organy ochrony danych powinny być bezpośrednio zaangażowane w nadzór nad przetwarzaniem danych w ramach takich inicjatyw. EROD powinna uzyskać rolę doradczą oraz status obserwatora w Europejskiej Radzie ds. Sztucznej Inteligencji, co pozwoli na zachowanie spójności podejścia na poziomie unijnym.
Równocześnie EROD i EIOD akcentują potrzebę jasnego rozgraniczenia kompetencji nowo tworzonego Urzędu ds. AI oraz istniejących organów ochrony danych. Nadzór nad systemami AI opartymi na modelach ogólnego przeznaczenia nie może prowadzić do nakładania się kompetencji ani osłabienia niezależnego nadzoru sprawowanego przez EIOD wobec instytucji unijnych.
Kompetencje w zakresie AI – odpowiedzialność pozostaje po stronie organizacji
Istotnym elementem opinii jest również podkreślenie znaczenia kompetencji personelu w zakresie AI. EROD i EIOD jednoznacznie wskazują, że obowiązek zapewnienia odpowiedniego poziomu wiedzy i umiejętności nie może zostać „przerzucony” na Komisję Europejską czy państwa członkowskie.
Każde dodatkowe działania na poziomie UE powinny uzupełniać, a nie zastępować odpowiedzialność dostawców i podmiotów stosujących systemy AI. To organizacje, które faktycznie rozwijają i wdrażają AI, muszą posiadać realne kompetencje pozwalające ocenić ryzyka, skutki i zgodność swoich rozwiązań z prawem.
Obawy wobec opóźniania regulacji wysokiego ryzyka
Na zakończenie EROD i EIOD wyrażają wyraźne zaniepokojenie propozycją odroczenia stosowania kluczowych przepisów dotyczących systemów AI wysokiego ryzyka. W kontekście dynamicznego rozwoju technologii sztucznej inteligencji organy ochrony danych wzywają współprawodawców do ponownego rozważenia harmonogramu wdrażania przepisów.
W ich ocenie przynajmniej część obowiązków, w szczególności tych związanych z przejrzystością, powinna wejść w życie zgodnie z pierwotnym planem. Ewentualne opóźnienia powinny zostać ograniczone do absolutnego minimum, aby nie tworzyć luki regulacyjnej w obszarze, który już dziś wywiera istotny wpływ na prawa i wolności jednostek.
Wnioski
Wspólna opinia EROD i EIOD nie jest głosem sprzeciwu wobec innowacji ani próbą blokowania rozwoju AI w Europie. Jest natomiast wyraźnym przypomnieniem, że upraszczanie regulacji nie może oznaczać ich rozwadniania. Akt w sprawie AI ma być narzędziem budującym zaufanie do technologii – a zaufania tego nie da się osiągnąć bez egzekwowalnych gwarancji ochrony praw podstawowych.
Dla organizacji rozwijających i stosujących AI to sygnał, że nadchodzące zmiany nie zwalniają z odpowiedzialności. Przeciwnie – wymagają jeszcze większej świadomości, dojrzałości regulacyjnej i umiejętnego poruszania się na styku innowacji, prawa i ochrony danych osobowych.
