Przetwarzanie danych osobowych w systemach AI

Spis treści:

1. Przetwarzanie danych osobowych
2. Przetwarzanie informacji cyfrowych na potrzeby trenowania
3. Przejrzystość procesów przetwarzania
4. Podstawy prawne przetwarzania danych osobowych przez systemy AI
5. Prawnie uzasadniony interes administratora
6. Świadoma i dobrowolna zgoda
7. Przejrzystość przetwarzania a obowiązki administratora wobec podmiotów
8. Podsumowanie

Mimo że o sztucznej inteligencji i jej wykorzystaniu w każdym sektorze gospodarki i niemal każdym aspekcie życia mówi się od dawna, dopiero niedawno doczekała się prawnej regulacji na poziomie unijnym. Znalazło się w niej doprecyzowanie, czym są systemy sztucznej inteligencji, a pośrednio także – jak należy rozumieć samo pojęcie sztucznej inteligencji.

Rozporządzenie regulujące wykorzystanie AI przede wszystkim przez podmioty prywatne (akt w sprawie sztucznej inteligencji, dalej także: AI Act [1]) zostało uchwalone 13 czerwca 2024 r. W art. 3 pkt 1 tego rozporządzenia prawodawca unijny zdefiniował system sztucznej inteligencji jako:

system maszynowy, który został zaprojektowany do działania z różnym poziomem autonomii po jego wdrożeniu oraz który może wykazywać zdolność adaptacji po jego wdrożeniu, a także który – na potrzeby wyraźnych lub dorozumianych celów – wnioskuje, jak generować na podstawie otrzymanych danych wejściowych wyniki, takie jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne lub wirtualne.

W innych definicjach podkreśla się przede wszystkim zdolność uczenia się i wnioskowania na podobieństwo inteligencji naturalnej. Upowszechnienie wykorzystania sztucznej inteligencji generatywnej i dużych modeli językowych w ostatnich latach sprawiło, że styczność z rozwiązaniami AI stała się dla przeciętnego użytkownika sieci bardziej zauważalna. Wiele z nich już od dawna towarzyszy nam w codziennym życiu, jak choćby filtry antyspamowe, personalizowane wyświetlanie reklam i innych rekomendacji itd.

Przetwarzanie danych osobowych

Nie ulega wątpliwości, że wśród informacji przetwarzanych przez systemy wykorzystujące sztuczną inteligencję mogą znaleźć się także dane osobowe zdefiniowane w art. 4 pkt 1 rodo, a więc dane o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Podmiotem decydującym o celach i środkach przetwarzania tych danych w takim przypadku jest zwykle dostawca bazujący w swoim produkcie lub usłudze na sztucznej inteligencji lub podmiot wykorzystujący taki system.

Choć AI Act reguluje ogólnie m.in. wprowadzanie do obrotu, oddawanie do użytku oraz wykorzystywanie systemów AI w Unii [2], to w zakresie, w jakim dochodzi do przetwarzania danych osobowych w związku ze sztuczną inteligencją prawodawca unijny w art. 2 ust. 7 AI Act jednoznacznie wskazał, że niniejsze rozporządzenie nie ma wpływu na rozporządzenia (UE) 2016/679 [3]. Oznacza to, że przepisy rodo mają zastosowanie do przetwarzania danych osobowych w systemach sztucznej inteligencji, a akt o sztucznej inteligencji w zasadzie nie wprowadza w tym zakresie regulacji szczególnych [4]. Zapewnienie zgodności z prawem przetwarzania tych danych będzie polegało na zastosowaniu przepisów rodo. Może okazać się to niełatwe z uwagi na specyfikę funkcjonowania rozwiązań bazujących na sztucznej inteligencji.

Niektóre aspekty związane z przetwarzaniem danych osobowych w związku z wykorzystaniem AI nie będą różniły się na gruncie przepisów o ochronie takich danych od każdego innego przetwarzania. Przykładowo operacje na danych polegające na pobieraniu opłat od użytkownika oprogramowania dystrybuowanego jako usługa (SaaS) będą podlegały tym samym uregulowaniom niezależnie od tego, czy oprogramowanie jest oparte na rozwiązaniach
np. uczenia maszynowego czy nie. Zarówno cel przetwarzania w postaci rozliczenia świadczonej usługi, jak i podstawa prawna, tj. wykonanie umowy zawartej z tą osobą fizyczną, której dane dotyczą będą tożsame.

Przetwarzanie informacji cyfrowych na potrzeby trenowania

Istnieje jednak rodzaj operacji na danych, która jest właściwa dla systemów sztucznej inteligencji, wręcz niezbędna dla funkcjonowania rozwiązań opartych na uczeniu maszynowym. Mowa o przetwarzaniu informacji cyfrowych na potrzeby trenowania [5], testowania i walidacji modeli sztucznej inteligencji. W jego ramach do trenowanego modelu wprowadza się ogromne ilości danych (kwalifikowane jako tzw. big data, czyli zbiory zbyt duże, różnorodne i dynamicznie zmienne, aby można było je efektywnie przetwarzać tradycyjnymi metodami [6]).

Często to od wolumenu danych zależy skuteczność systemu sztucznej inteligencji rozumiana jako zdolność do osiągania wyznaczonego celu. Im więcej rekordów zostało wprowadzonych do trenowanego systemu, tym dokładniejsza predykcja lub trafniejsza rekomendacja. Źródłem danych mogą być m.in. powszechnie dostępne zasoby internetu.

Metody takie jak web scraping opierają się na szybkim, efektywnym i zautomatyzowanym gromadzeniu ogromnych ilości danych ze stron internetowych, aby przedstawić je w bardziej ustrukturyzowanym i łatwiejszym do użycia formacie. Automatyzacja sprawia, że proces ten jest ekonomicznie opłacalny dla podmiotów prywatnych, zwłaszcza przedsiębiorstw.

Coraz częściej pojawia się też koncepcja pozyskiwania danych z sektora publicznego. Ma to ułatwić rozwój technologiczny i przynieść korzyści całemu społeczeństwu. Na tym podejściu opiera się m.in. dyrektywa w sprawie otwartych danych i ponownego wykorzystania danych sektora publicznego [7] oraz akt w sprawie zarządzania danymi [8]. Podmioty publiczne także mogą pozyskiwać dane, co jest realizowane m.in. przez uchwalony i oczekujący na wejście w życie unijny akt w sprawie danych [9]. Dane te niekoniecznie będą służyły z założenia celom indentyfikacyjnym, tak jak numer PESEL lub numer karty klienta, ale często będą to również informacje opisujące jakieś cechy i właściwości osoby fizycznej, np. płeć, poziom wykształcenia czy preferencje zakupowe. Co ważne, będą one pozbawione kontekstu, a przede wszystkim relacji z innymi danymi pozwalającymi samodzielnie lub łącznie na identyfikację osoby fizycznej. Nie będą już zatem stanowiły przedmiotu ochrony przepisów rodo, ponieważ będę to dane anonimowe.

Ocena, czy mamy do czynienia z danymi osobowymi, może być utrudniona w przypadku, w którym przetwarzanie wykracza poza podstawowe operacje, takie jak gromadzenie i przechowywanie danych. Przy rozwoju algorytmów sztucznej inteligencji powiązania pomiędzy rekordami bazy danych podlegają dynamicznym zmianom. Przykładowo w trakcie budowania profilu użytkownika jakiegoś systemu algorytm może w pierwszym kroku przypisać osobie jakąś cechę na podstawie innych posiadanych przez nią właściwości, a następnie – bez ingerencji zewnętrznej – wykluczyć prawidłowość takiego przypisania i to powiązanie usunąć. Będzie to czynność nienależąca do kategorii błędów, ale oczekiwany i potrzebny etap działania algorytmu, prawidłowo realizującego swoje zadanie. W tym sensie czasowe (a niekiedy wręcz efemeryczne) przetwarzanie błędnych danych o osobie fizycznej nie jest przetwarzaniem sporadycznym, o którym mowa m.in. w art. 27 ust. 2 lit. a i art. 30 ust. 5 rodo.

Przejrzystość procesów przetwarzania

Uczenie się” algorytmu na podstawie wprowadzonych danych może podlegać nadzorowi osób fizycznych (twórców rozwiązania) bądź nie. Wówczas po stronie administratora powstaje problem pełnej przejrzystości procesów przetwarzania. Często dokładne prześledzenie, jakim sposobem algorytm doszedł od przesłanek do wniosków nie jest w ogóle możliwe.

Immanentną cechą wnioskowania, które ma przeprowadzać sztuczna inteligencja, jest to, że nie jest to proces zaprojektowany przez człowieka, zapisany w kodzie programu, ale wykreowany w czasie rozwoju modelu. Ten problem nabiera szczególnego znaczenia w przypadku tzw. uczenia głębokiego, które nie jest nadzorowane przez człowieka. Dlatego często jednoznaczne stwierdzenie, na podstawie jakich przesłanek AI decyduje o zwracanym wyniku, nie jest możliwe nawet dla twórców modelu. Na gruncie ochrony danych osobowych oznacza to, że samo ustalenie, jakie kategorie danych podlegają przetwarzaniu, może sprawiać administratorowi trudność, podobnie jak jednoznaczne określenie i opisanie językiem rozumianym przez przeciętną osobę fizyczną, której dane dotyczą.

Zgodnie z art. 2 ust. 8 Aktu w sprawie sztucznej inteligencji przepisów tego rozporządzenia

nie stosuje się do żadnej działalności badawczej, testowej ani rozwojowej dotyczącej systemów AI lub modeli AI przed wprowadzeniem ich do obrotu lub oddaniem ich do użytku.

Jest to zatem przypadek zastosowania rodo przed Aktem o sztucznej inteligencji. Nie ulega jednak wątpliwości, że przetwarzanie danych na potrzeby rozwoju modelu może być kontynuowane także po jego wprowadzeniu do obrotu. Skoro jedną z najczęściej podkreślanych cech sztucznej inteligencji jest jej zdolność uczenia się i modyfikowania zwracanych wyników pod wpływem interakcji z otoczeniem, np. z nieograniczonym kręgiem osób korzystających z jakiegoś rozwiązania online, to informacje wprowadzane przez te osoby mogą i często służą do zaktualizowania zbioru, na którym dane rozwiązanie bazuje. W ten sposób to, co z puntu widzenia użytkownika jest jedną operacją wprowadzania danych do systemu, z punktu widzenia administratora ma dwa odrębne cele:

• algorytm ma wykonać swoje zadanie na życzenie użytkownika (np. udzielić rekomendacji);
• algorytm ma wyciągnąć wnioski na przyszłość.

To ostatnie wymaga zaktualizowania bazy danych, z jakich korzysta model.

Podstawy prawne przetwarzania danych osobowych przez systemy AI

Dane mogą być przetwarzane zgodnie z przepisami o ochronie danych osobowych tylko wtedy, gdy administrator właściwie wybierze jedną z podstaw z art. 6 ust. 1 rodo. Na potrzeby omówienia szerokiego zastosowania sztucznej inteligencji a priori można wykluczyć podstawy wymienione w art. 6 ust. 1 lit. c–e rodo. Znajdują one ograniczone zastosowanie albo ze względów podmiotowych, albo z uwagi na szczególny cel.

Potrzeba wykonania umowy lub podjęcia czynności przed jej zawarciem także nie znajdzie zastosowania. Wynika to z tego, że podczas rozwoju systemu AI podmiot danych nie jest jeszcze beneficjentem żadnego świadczenia, a tym bardziej stroną umowy, chyba że przedmiotem tej umowy będzie właśnie udostępnienie danych na potrzeby tworzenia modelu. Do szczegółowego rozważenia pozostają zatem dwie podstawy, jakie mogą znaleźć najszersze zastosowanie, tj. zgoda i prawnie uzasadniony interes administratora.

Prawnie uzasadniony interes administratora

Ze względu na wielość zastosowań sztucznej inteligencji w różnych gałęziach gospodarki i przez różne podmioty nie sposób stworzyć wyczerpującego katalogu uzasadnionych prawnie interesów w gromadzeniu danych na potrzeby rozwoju i pełnego wykorzystania potencjału AI, na jakie może powołać się administrator. Jednocześnie regułą ogólną ograniczającą zastosowanie tej podstawy jest to, że nie mogą pojawić się nadrzędne nad nim interesy lub prawa i wolności osób, których dane dotyczą. Europejska Rada Ochrony Danych wymienia w tym kontekście choćby interes w samostanowieniu i zachowaniu kontroli nad własnymi danymi osobowymi [10].

W świetle tego, że dane są agregowane automatycznie w wielkiej liczbie z powszechnie dostępnych źródeł, sytuacja konkretnego właściciela danych może znacznie odbiegać od założeń przyjętych w ramach analizy dokonanej przed rozpoczęciem przetwarzania. Całe spektrum możliwości istnienia nadrzędnych interesów lub praw osób fizycznych nie wydaje się możliwe do przewidzenia nie tylko ze względu na liczbę rekordów, ale także dynamiczny charakter operacji na danych, podczas których zmiana charakteru przetwarzanych danych i ich relacji do praw i wolności jednostki następuje często bez świadomości administratora. Odpowiedzią na to wyzwanie powinno być równie dynamiczne modelowanie zbioru danych i mechanizmów stosowanych do jego przetwarzania. Nie uchyla to jednak podstawowego ryzyka immanentnie związanego z ocennym charakterem tej przesłanki i możliwością nieprawidłowego przetwarzania danych osobowych, pomimo wprowadzenia rozwiązań zwiększających kontrolę nad procesem.

Świadoma i dobrowolna zgoda

W przypadku zgody jako podstawy przetwarzania danych w systemach sztucznej inteligencji pojawia się kilka zagadnień mogących w praktyce generować problemy po stronie administratora.

1. Konieczność zachowania tożsamości między źródłem danych a osobą wyrażającą zgodę. Z jednej strony samo zgromadzenie takiej liczby zgód przy zachowaniu zasad rozliczalności, aby móc wytrenować model, jest sporym wyzwaniem organizacyjnym i nie jest prawdopodobne, aby można było obyć się w takim przypadku bez częściowej lub całkowitej automatyzacji. Z drugiej natomiast strony, aby odebrać zgodę od tej osoby, która ma prawo dysponować danymi, należy ją zidentyfikować. Potrzeba ta nie uzasadnia jednak pobierania od podmiotu danych informacji nadmiarowych, których przetwarzanie naruszałoby zasadę minimalizacji danych.
2. Możliwość łatwego cofnięcia zgody w każdym momencie, bez wpływu na legalność przetwarzania dokonanego przed tym faktem. Łatwość wycofania zgody jest, co do zasady, proporcjonalna do łatwości jej udzielenia. Jeśli administratorowi zależy na zbudowaniu jak największej bazy rekordów, udzielenie zgody nie powinno stanowić dla osób fizycznych nawet drobnej niewygody. Oznacza to, że również zmiana decyzji powinna być łatwa do zamanifestowania, zwłaszcza przy projektowaniu procesu w duchu privacy by design [11]. Nie ulega wątpliwości, że działa to destabilizująco na cały proces, a uszczuplanie zasobu danych negatywnie wpływa na jakość wyników. Dodatkowo w przypadku procesów, które tak dynamicznie operują na danych, jak choćby wspomniane na wstępie uczenie głębokie, ustalenie dokładnego momentu cofnięcia zgody będzie miało kluczowy wpływ na prawidłowe określenie, do którego momentu przetwarzanie było jeszcze legalne. Ponownie więc automatyzacja wydaje się nieuniknioną koniecznością.
3. Nie tylko w procesie trenowania modelu, ale także na skutek jego działania po wprowadzeniu na rynek, osobie fizycznej mogą zostać przypisane nowe cechy lub właściwości. Z uwagi na to zgoda na przetwarzanie danych powinna obejmować oba te zakresy, choć kwestią otwartą pozostaje to, czy zawsze będzie to możliwe. Wymóg natomiast, aby zgoda była świadoma i dobrowolna, kładzie jeszcze większy nacisk na zachowanie przez administratora przejrzystości przetwarzania.

Przejrzystość przetwarzania a obowiązki administratora wobec podmiotów

Przejrzystość to jedna z podstawowych zasad ochrony danych osobowych. Jest rozumiana jako transparentność przetwarzania dla osób, których dane dotyczą. Jej konkretyzacji służą przede wszystkim liczne obowiązki informacyjne oraz dostosowanie komunikacji do poziomu zrozumienia osoby, której dane dotyczą, zwłaszcza jeśli jest ona dzieckiem [12]. Wymóg zachowania pełnej przejrzystości przetwarzania może stanowić wyzwanie z uwagi na opisane na wstępie cechy systemów sztucznej inteligencji i sposób ich tworzenia.

Transparentność procesów z punktu widzenia administratora warunkuje prawidłowe wykonanie innych obowiązków, w tym przede wszystkim informacyjnych, które mogą mieć charakter czynny. Nie wymaga zainicjowania przez podmiot danych, aktualizuje się dopiero na skutek otrzymanego przez administratora wniosku, co umożliwia m.in. art. 15 ust. 1 rodo. Nie można udzielić innej osobie informacji, których się nie ma.

Przykładowo art. 14 ust. 1 lit. d rodo zobowiązuje do podania kategorii przetwarzanych danych. Nie ma przy tym znaczenia, czy chodzi o dane zgromadzone z publicznie dostępnych źródeł czy dane wtórnie wygenerowane (jak choćby we wspomnianym procesie budowania profilu użytkownika systemu). Identyfikacja informacji jako danych osobowych i ujęcie ich w ramach kategorii powinna odbywać się w zasadzie podczas ich zbierania, zwłaszcza wtedy, gdy gromadzenie to odbywa się automatycznie (np. w ramach web scrapingu). Od tego momentu rozpoczyna także bieg termin na udzielenie informacji osobie, której dane dotyczą. Co do zasady administrator powinien dotrzeć z informacją do odbiorcy w „rozsądnym czasie”, nie później niż w ciągu miesiąca. Skoro prawodawca nie zdecydował się na wyłączenie tego obowiązku tylko ze względu na wielkość zbioru danych, to ocena, czy wypełnienie go będzie wiązało się z „niewspółmiernie dużym wysiłkiem” może być dokonana jedynie ad casum [13].

Jednocześnie nie sposób pominąć tego, że każda komunikacja z podmiotem danych prowadzona na podstawie art. 13–22 i 34 powinna respektować zasady ogólne zawarte w art. 12 ust. 1 rodo, tj. wymóg posługiwania się prostym językiem, w sposób przejrzysty i zrozumiały, a jednocześnie zwięzły. Realizacja tego obowiązku napotyka na pewne przeszkody w przypadku technologii tak nowych i jednocześnie tak skomplikowanych jak sztuczna inteligencja. Sporządzenie opisu działania AI spełniającego wymagania z tego przepisu może okazać się dla administratora wyzwaniem, skoro nie może bazować na pewnej podstawowej wiedzy, jakiej można się spodziewać od przeciętnego adresata takiej komunikacji. Adresatem tym może być bowiem każdy z podmiotów danych pozyskanych z ogólnie dostępnych źródeł. Nie jest to zatem grono ograniczone do osób posiadających wiedzę specjalną z zakresu technologii związanych z tworzeniem oprogramowania. Poziom ogólnej świadomości społecznej w tym zakresie nie wydaje się na chwilę obecną na tyle duży, aby móc przyjąć domniemanie znajomości zasad funkcjonowania np. uczenia głębokiego czy sensu nadzoru nad uczeniem maszynowym. Przestrzeganie reguł komunikacji z osobami, których dane dotyczą, będzie wymagało więcej wysiłku. Możliwość spełnienia wszystkich warunków z tego przepisu może być trudna.

Brak przejrzystości i niedostateczna wiedza o sposobach przetwarzania informacji mogą stanowić pierwotne przyczyny szerokiego kręgu naruszeń. Dotyczy to nie tylko opisanych wyżej obowiązków związanych z informowaniem, ale także z wykonywaniem innych praw podmiotów danych, zwłaszcza w tych przypadkach, w których należy podjąć decyzję co do nadrzędności praw osób fizycznych nad własnym interesem, np. po otrzymaniu sprzeciwu wobec przetwarzania danych. Problemy praktyczne może generować konieczność udzielenia dostępu do danych na podstawie art. 15 ust. 1 rodo, jeśli dane te pojawią się jako wtórne, wytworzone bądź wywnioskowane przez algorytm w toku jego trenowania czy działania lub choćby usuwania tych, które osoba fizyczna uważa za błędne.

Podsumowanie

Stosowanie przepisów o ochronie danych osobowych w pełnym zakresie może powodować pewne problemy praktyczne po stronie administratora stosującego do przetwarzania danych oprogramowanie oparte na sztucznej inteligencji, choć wyczerpujące omówienie ich wszystkich nie było możliwe w ramach niniejszego artykułu. Wynika to z właściwości tej technologii, która cechuje się znaczną dynamiką i niekiedy nieoczywistym i trudnym do precyzyjnego określenia sposobem działania, który utrudnia zachowanie pełnej przejrzystości wszystkich operacji na danych.

Odpowiedzią na trudności z wykonaniem wszystkich obowiązków, zwłaszcza tych limitowanych brakiem pewnych informacji o przetwarzaniu po stronie administratora, są pojawiające się wśród przedstawicieli doktryny postulaty uproszczenia pewnych obowiązków lub uchylenia ich wobec dostawców stosujących sztuczną inteligencję w procesie przetwarzania danych osobowych. Z opcji, jakimi już obecnie dysponują dostawcy systemów AI, najbardziej obiecujące wydaje się wprowadzenie pewnej automatyzacji w procesach przetwarzania. Zwiększa ona tym samym stopień kontroli nad tym, co i jakimi sposobami podlega przetwarzaniu. Być może automatyzacja ta będzie polegała na zastosowaniu sztucznej inteligencji np. jako narzędzia do klasyfikowania danych jako osobowych i przypisywania ich do konkretnej kategorii. Wszechstronność zastosowań w przypadku AI jest niemal nieograniczona.

 

Przypisy:

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji).
2. Art. 1 ust. 2 lit. a AI Act.
3. Zgodnie z motywem 10 AI Act „W zakresie, w jakim projektowanie, rozwój lub wykorzystywanie systemów AI wiąże się z przetwarzaniem danych osobowych, niniejsze rozporządzenie nie wpływa też na wynikające z prawa Unii lub prawa krajowego obowiązki w dziedzinie ochrony danych osobowych spoczywające na dostawcach i podmiotach stosujących systemy AI, którzy pełnią funkcję administratorów danych lub podmiotów przetwarzających”.
4. Wyjątek w tym zakresie stanowi art. 10 ust. 5, mający jednak ograniczone zastosowanie do kategorii systemów AI wysokiego ryzyka oraz art. 59, odnoszący się do tzw. piaskownicy regulacyjnej w zakresie AI.
5. Do nich odnosi się Europejska Rada Ochrony Danych w odpowiedzi na jedno z pytań zawarte w Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models z 17 grudnia 2024 r.
6. Wg definicji amerykańskiego Narodowego Instytutu Nauki i Technologii (NIST): „Big Data składa się z obszernych zbiorów danych, charakteryzujących się przede wszystkim objętością, różnorodnością, szybkością i/lub zmiennością, które wymagają skalowalnej architektury do wydajnego przechowywania, przetwarzania i analizy” [tłumaczenie własne] – W. Chang, N. Grady, NIST Big Data Interoperability Framework: Volume 1, Definitions, Special Publication (NIST SP), Gaithersburg, MD, tinyurl.com/mrmfk8sy [dostęp: 04.11.2024].
7. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1024 z dnia 20 czerwca 2019 r. w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego (DzUrz UE L 172 z 26.06.2019).
8. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/868 z dnia 30 maja 2022 r. w sprawie europejskiego zarządzania danymi i zmieniające rozporządzenie (UE) 2018/1724 (akt w sprawie zarządzania danymi) (DzUrz UE L 152 z 03.06.2022). Zgodnie z motywem 6 tego aktu: „Koncepcja, że dane wygenerowane lub zgromadzone przez podmioty sektora publicznego lub inne podmioty na koszt budżetów publicznych powinny przynosić korzyści społeczeństwu, od dawna była częścią polityki Unii”.
9. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (akt w sprawie danych) (Dz Urz UE L 2854 z 22.12.2023).
10. Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models z 17 grudnia 2024 r., s. 24.
11. Art. 25 ust. 1 rodo.
12. Na temat relacji przejrzystości i wyjaśnialności zob. G. Bar, Przejrzystość, w tym wyjaśnialność, jako wymóg prawny dla systemów Sztucznej Inteligencji, [w:] Prawo nowych technologii – dane osobowe i prywatność, cyberbezpieczeństwo, handel elektroniczny, innowacje, internet i media, prawo IT, red. X. Konarski, Warszawa 2025, s. 75 i n.
13. W literaturze trafnie podkreśla się, że znaczne koszty i wysiłek organizacyjny nie przesądzają o możliwości zastosowania art. 14 ust. 5 lit. b rodo (zob. G.Z. Kolasa, Sztuczna inteligencja (AI) vs. ochrona danych osobowych (rodo) – jak zapewnić zgodność rozwiązań AI z podstawowymi mechanizmami systemu ochrony danych osobowych w ramach Unii Europejskiej?, „Acta Iuridica Resoviensia” 2024, nr 1, s. 125).

---

Autor

Katarzyna Załęska

Autorka jest radcą prawnym; koordynatorem Sekcji Praktyków Prawa Cywilnego i członkiem Komisji Nowych Technologii przy Okręgowej Izbie Radców Prawnych we Wrocławiu; prelegentką. Specjalizuje się w ochronie danych osobowych, prawie IT i nowych technologii.