Wprowadzenie sztucznej inteligencji do procesów biznesowych stało się koniecznością, ale jednocześnie niesie ze sobą szereg obowiązków prawnych. W Polsce przedsiębiorcy muszą pogodzić wymagania RODO z nadchodzącym rozporządzeniem AI Act, które zacznie obowiązywać w najbliższych latach.
Podstawowe zasady RODO w kontekście systemów AI
RODO wymaga, aby przetwarzanie danych osobowych odbywało się na podstawie jednej z legalnych przesłanek. W przypadku algorytmów uczących się na dużych zbiorach danych najczęściej stosowaną podstawą jest zgoda lub uzasadniony interes administratora. Należy jednak pamiętać o zasadzie minimalizacji danych oraz o prawie do wyjaśnienia decyzji podjętej w sposób zautomatyzowany.
Przejrzystość i informowanie użytkowników
Osoby, których dane są przetwarzane przez systemy AI, muszą otrzymać jasną informację o tym, w jaki sposób ich dane są wykorzystywane. Obejmuje to zarówno cele przetwarzania, jak i informacje o zautomatyzowanym podejmowaniu decyzji.
AI Act – nowe obowiązki dla dostawców i użytkowników
Rozporządzenie AI Act wprowadza klasyfikację systemów według poziomu ryzyka. Systemy wysokiego ryzyka, takie jak te stosowane w rekrutacji czy ocenie zdolności kredytowej, będą podlegały szczególnie rygorystycznym wymaganiom. Przedsiębiorcy muszą przeprowadzić ocenę ryzyka jeszcze przed wdrożeniem rozwiązania.
Kategorie ryzyka według AI Act
- Systemy niedopuszczalne – całkowity zakaz stosowania
- Systemy wysokiego ryzyka – pełna dokumentacja i nadzór
- Systemy ograniczonego ryzyka – obowiązek informowania użytkownika
- Systemy minimalnego ryzyka – brak dodatkowych wymogów
Praktyczne kroki wdrożeniowe w polskiej firmie
Pierwszym krokiem jest przeprowadzenie audytu istniejących i planowanych rozwiązań opartych na AI. Następnie należy zaktualizować rejestry czynności przetwarzania oraz polityki prywatności. Warto również przeszkolić pracowników odpowiedzialnych za wdrażanie nowych technologii.
Dokumentacja wymagana przez oba akty prawne
Poza standardową dokumentacją RODO należy przygotować ocenę wpływu na ochronę danych (DPIA) oraz dokumentację techniczną wymaganą przez AI Act. Oba zestawy dokumentów powinny być przechowywane przez co najmniej pięć lat.
Najczęstsze błędy popełniane przez przedsiębiorców
Wiele firm pomija obowiązek informowania o zautomatyzowanym podejmowaniu decyzji lub stosuje niewystarczające podstawy prawne przetwarzania danych treningowych. Innym częstym problemem jest brak aktualizacji polityk prywatności po wdrożeniu nowego narzędzia AI.
Przedsiębiorcy powinni regularnie monitorować wytyczne organów nadzorczych oraz przygotowywać się na kontrole, które mogą dotyczyć zarówno zgodności z RODO, jak i z AI Act.
Komentarze (0)
Brak komentarzy. Bądź pierwszy!