Urząd Ochrony Danych Osobowych o danych osobowych w kontekście AI
Przetwarzanie danych osobowych z wykorzystaniem AI nie jest wykluczone. Niemniej jednak algorytmy i systemy sztucznej inteligencji muszą zapewniać odpowiednio wysoki poziom bezpieczeństwa danych osobowych. Na ten aspekt wskazuje Urząd Ochrony Danych Osobowych.
Jak definiuje się AI w regulacjach unijnych
Czym są systemy sztucznej inteligencji? W przepisach unijnych podjęta zostanie próba ich zdefiniowania. W tzw. AI Act czyli projekcie rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji i zmieniające niektóre akty ustawodawcze Unii wskazano, że sztuczna inteligencja (AI, SI) oprogramowanie opracowane przy wykorzystaniu określonych technik i podejść, które może dla danego zestawu celów określonych przez człowieka generować wyniki (treści, przewidywania, zalecenia lub decyzje) wpływające na środowiska, z którymi wchodzi w interakcję. Przepisy te będą regulować funkcjonowanie sztucznej inteligencji w sposób ukierunkowany na człowieka.
Z kolei w rekomendacjach OECD sztuczną inteligencję opisano jako systemy oparte na koncepcji maszyny, która może przewidywać, rekomendować oraz podejmować decyzje mające wpływ na środowisko rzeczywiste lub wirtualne.
AI nie może godzić w prywatność i ochronę danych osobowych
Urząd Ochrony Danych Osobowych nie neguje dopuszczalności przetwarzania danych osobowych z wykorzystaniem sztucznej inteligencji m.in. w medycynie, transporcie, przemyśle lub finansach. Niemniej jednak zwraca uwagę na konieczność poszanowania prywatności i ochrony danych osobowych.
ChatGPT a ocena skutków według RODO
Według UODO szczególny nacisk należy położyć na ocenę skutków dla ochrony danych (DPIA). Otóż administrator chcący korzystać z takich narzędzi jak:
-
ChatGPT,
-
Bing,
-
Google Bard,
-
Chatsonic
powinni:
-
stosować podejście oparte na ryzyku,
-
przeprowadzić ocenę skutków dla ochrony danych przed rozpoczęciem przetwarzania danych z wykorzystaniem sztucznej inteligencji (stanowisko takie wyartykułował przedstawiciel Departamentu Nowych Technologii).
W przeprowadzeniu DPIA warto skorzystać z norm :
-
/iSO/IEC 29134 – ocena skutków dla prywatności/Information technology — Security techniques – Guidelines for privacy impact assessment,
-
ISO/IEC27001,
-
ISO/IEC 27002,
-
ISO/IEC 27701.
-
Biuletyn UODO (maj 2023 r.)
- Czym zajmuje się kancelaria radcowska?
- Zgoda marketingowa – czy także od firmy lub instytucji
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Zgoda na przetwarzanie danych osobowych do celów reklamy behawioralnej – jak powinna wyglądać
- Organizacja konkursu dla uczniów – umowa powierzenia przetwarzania danych pomiędzy szkołą a organem prowadzącym
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
