Szybki rozwój narzędzi opartych na sztucznej inteligencji sprawia, że coraz więcej firm sięga po rozwiązania automatyzujące procesy biznesowe i analizę danych. Jak jednak w praktyce zmieniają się obowiązki przedsiębiorców w związku z wejściem w życie AI Act i jego relacją do RODO?
Nowe regulacje UE dotyczące sztucznej inteligencji
Dynamiczny rozwój narzędzi opartych na sztucznej inteligencji sprawił, że w ostatnich latach firmy zyskały bezprecedensowe możliwości automatyzacji wielu procesów. Wraz z pojawieniem się tak przełomowych rozwiązań w prawie nowych technologii nieuchronnie pojawić musi się również nowy zakres odpowiedzialności. W związku z tym unijny prawodawca zdecydował się na aktualizację AI Act, a także wprowadzenie zmian w przepisach dotyczących ochrony danych osobowych. Mają one wskazywać sposób, w jaki przedsiębiorcy powinni projektować, wdrażać i wykorzystywać nowe technologie. Jest to kolejne działanie na drodze do uporządkowania rynku AI poprzez wprowadzenie standardów bezpieczeństwa, zapewnienia transparentności oraz ochrony praw podstawowych, takich jak prawo do prywatności czy niedyskryminacji.
Relacja AI Act do RODO – wspólne obszary regulacji
Relacja pomiędzy sztuczną inteligencją a RODO nie jest przypadkowa. Zarówno AI Act, jak i RODO podlegają równoległemu stosowaniu w odniesieniu do technologii algorytmicznych i mają charakter wzajemnie się uzupełniający. RODO wyznacza ramy legalności przetwarzania danych osobowych. Określa ono podstawy prawne, zakres obowiązków informacyjnych oraz prawa osób, których dane dotyczą. AI Act natomiast koncentruje się na bezpieczeństwie, jakości i sposobie projektowania oraz wdrażania systemów sztucznej inteligencji, w szczególności tych, które mogą wywoływać istotne skutki dla jednostki.
A zatem wykorzystywanie narzędzi AI przez przedsiębiorcę wymaga „podwójnej” analizy zgodności. Musi on nie tylko wykazać legalność przetwarzania danych pracowników, lecz także zapewnić, że sam system AI spełnia wymogi dotyczące jakości danych treningowych, przejrzystości działania, możliwości audytu oraz odpowiedniego nadzoru człowieka. Szczególnego znaczenia nabierają tu zasady privacy by design i privacy by default — ochrona praw pracownika powinna być uwzględniona już na etapie projektowania rozwiązania technologicznego, a nie dopiero w chwili jego wdrożenia.
Systemy wysokiego ryzyka – co oznacza AI Act dla firm?
Akt w sprawie sztucznej inteligencji wszedł w życie w 2025 r. Wprowadził on wtedy przepisy dotyczące tzw. zakazanych praktyk w zakresie AI, a także modeli ogólnego przeznaczenia oraz powołania organów nadzorczych. Kluczową datą rozpoczęcia stosowania przepisów dotyczących systemów wysokiego ryzyka jest jednak 2 sierpnia 2026 r. Zgodnie z art. 6 AI Act system AI może zostać uznany za system wysokiego ryzyka w dwóch głównych przypadkach:
- jeżeli stanowi komponent bezpieczeństwa produktu objętego unijnym prawodawstwem harmonizacyjnym wymienionym w załączniku I do rozporządzenia, a produkt ten podlega procedurze oceny zgodności przez stronę trzecią;
- jeżeli system AI jest wykorzystywany w jednym z obszarów wskazanych w załączniku III, obejmujących m.in. zatrudnienie, edukację, dostęp do usług publicznych i prywatnych, opiekę zdrowotną, egzekwowanie prawa czy sprawowanie wymiaru sprawiedliwości.
Od powyższej daty dostawcy oraz podmioty wykorzystujące takie systemy mają zostać objęci pełnym reżimem obowiązków w zakresie oceny zgodności, zarządzania ryzykiem, dokumentacji technicznej oraz nadzoru nad funkcjonowaniem rozwiązań AI. Regulacja w znacznej części koncentruje się bowiem właśnie na tej kategorii systemów, uznanych za potencjalnie najbardziej ingerujące w prawa i wolności jednostek.
Nowe obowiązki obejmują m.in. wdrożenie systemu zarządzania ryzykiem, zapewnienie odpowiedniej jakości danych treningowych, sporządzenie dokumentacji technicznej oraz przeprowadzenie oceny zgodności przed wprowadzeniem systemu do obrotu. Konieczne jest także zapewnienie nadzoru człowieka oraz prowadzenie rejestru zdarzeń związanych z działaniem systemu. Podmioty stosujące takie rozwiązania muszą korzystać z nich zgodnie z instrukcjami dostawcy, monitorować ich funkcjonowanie oraz reagować na incydenty w zakresie, w jakim sprawują nad nimi kontrolę. W konsekwencji status „wysokiego ryzyka” oznacza, że przedsiębiorca przygotować musi się na wyższe koszty wdrożenia i utrzymania systemu oraz znacząco szerszy zakres obowiązków prawnych. Dlatego też w zapewnianiu zgodności z AI Act nieoceniona może okazać się profesjonalna obsługa prawna.
Dane osobowe w systemach AI
Dane osobowe według RODO to wszelkie informacje umożliwiające identyfikację osoby fizycznej. Obejmują m.in. datę urodzenia, imię i nazwisko, adres zamieszkania czy identyfikator internetowy. Niektóre z danych mają charakter wrażliwy. Są to m.in. przekonania religijne, poglądy polityczne i dane dotyczące zdrowia.
Choć treść RODO nie ulega zasadniczej nowelizacji, to zmienia się jego praktyczne znaczenie. Kierunek interpretacji przepisów, rosnące wymagania organów nadzorczych (przede wszystkim Prezesa Urzędu Ochrony Danych Osobowych) oraz wytyczne na poziomie unijnym powodują podwyższenie standardów w zakresie bezpieczeństwa przetwarzania danych, prowadzenia dokumentacji oraz zarządzania incydentami cyberbezpieczeństwa.
W kontekście wdrażania systemów AI w firmie administratorzy danych muszą liczyć się z bardziej wnikliwą oceną stosowanych środków. Szczególnie istotne będzie przeprowadzanie analizy ryzyka oraz, w przypadkach tego wymagających, dokonanie oceny skutków dla ochrony danych (DPIA), zwłaszcza gdy przetwarzanie obejmuje profilowanie lub zautomatyzowane podejmowanie decyzji.
Mając na względzie nowe przepisy dla firm technologicznych, warto zwrócić uwagę również na takie działania jak aktualizacja polityk ochrony danych, weryfikacja umów powierzenia przetwarzania, wzmocnienia zabezpieczeń IT czy ścisła współpraca działów prawnych, compliance i IT. Wszystkie te środki stają się elementem strategicznego zarządzania ryzykiem technologicznym w organizacji.
Na styku ochrony danych osobowych i prawa pracy wskazać należy na problem automatyzacji decyzji kadrowych. Ograniczenie w tym zakresie polega na uniemożliwieniu podejmowania takowych decyzji wyłącznie w oparciu o wynik działania algorytmu oraz obowiązek stworzenia mechanizmów umożliwiających weryfikację i zakwestionowanie takich rozstrzygnięć. Wykorzystanie AI do monitorowania aktywności zatrudnionych czy analizy ich wydajności wymaga dodatkowo oceny proporcjonalności i adekwatności zastosowanych środków. Nawet najbardziej zaawansowane narzędzia analityczne nie zwalniają pracodawcy z obowiązku poszanowania godności i prywatności pracownika.
Jak przygotować firmę na nowe wymogi prawne?
Przygotowanie firmy na nowe wymogi prawne związane z AI Act i RODO wymaga systematycznego działania. Przede wszystkim warto przeprowadzić audyt zgodności wykorzystywanych systemów AI, aby ocenić, które z nich mogą być klasyfikowane jako wysokiego ryzyka. Należy wprowadzić procedury zarządzania ryzykiem, dokumentować procesy i zapewnić nadzór człowieka tam, gdzie jest to wymagane. Równocześnie istotne jest sprawdzenie zgodności przetwarzania danych osobowych z RODO, co polegać może na przeprowadzeniu analiz ryzyka, oceny skutków dla ochrony danych i aktualizacji polityk wewnętrznych. Ważne jest także szkolenie pracowników oraz zapewnienie ścisłej współpracy działów IT, prawnego i compliance. To właśnie takie działania pozwalają zwiększyć kontrolę nad sposobem wykorzystania nowych technologii w firmie.