Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

AI i rodo przy stosowaniu anonimizacji i pseudonimizacji

21-09-2021 Autor: Mariola Więckowska

W wielu przypadkach AI przetwarza dane osobowe, ponieważ są one niezbędne dla prawidłowego działania procesu. Wówczas organizacja powinna zadbać o spełnienie wymogów rodo, zwłaszcza przy zastosowaniu anonimizacji i pseudonimizacji.

 

Uważa się, że sztuczna inteligencja (dalej: AI) to jedna z kluczowych technologii przyszłości, jednak już obecnie jest szeroko stosowana na całym świecie przez organizacje, które odkrywają zalety uczenia maszynowego (dalej: ML), głębokiego uczenia maszynowego oraz big data. Technologie te dzięki automatycznemu przetwarzaniu danych opartemu na uczeniu maszynowym zastępują ludzkie decyzje oraz pozwalają na przyspieszenie i optymalizację procesów, co zwiększa opłacalność ich stosowania.


Rodo nie powinno być przeszkodą w rozwoju nowych technologii, tylko zapewniać przetwarzanie danych w zgodzie z nim. Tu z pomocą przychodzą m.in. narzędzia służące do anonimizacji i pseudonimizacji. Stosowanie tych narzędzi jest jednak często wyzwaniem dla organizacji, dlatego poniżej znajdują się praktyczne wskazówki dotyczące ich stosowania. Zastosowanie anonimizacji ma oczywistą zaletę: rodo nie ma zastosowania do danych zanonimizowanych, a zatem nic nie stoi na przeszkodzie, aby organizacja mogła stosować AI do przetwarzania danych.

 

Rodo nie ma zastosowania dla danych anonimowych, co powoduje w przypadku AI brak konieczności stosowania wymogów ochrony danych.


Chcąc ustalić, jak w kontekście rodo przetwarzać dane przy wykorzystywaniu AI, warto przeanalizować dwa kroki:

  • Krok 1: Ustalenie, czy organizacja posiada podstawę prawną do przetwarzania danych przez AI.
  • Krok 2: Zastosowanie zasad wypełniania rodo w organizacji, czyli ustalenie, jakie wymogi muszą być spełnione dla konkretnego procesu przetwarzania danych przez AI i jak można je wdrożyć.

Zarówno krok 1, czyli ustalenie podstawy przetwarzania danych przez AI, jak i wdrożenie wymogów rodo w kroku 2 może być dla organizacji wyzwaniem i wiązać się z kosztami finansowymi oraz zwiększeniem zasobów osobowych w procesie. Z pomocą spełnienia tych kroków przychodzi zastosowanie anonimizacji i pseudonimizacji danych (wprost wskazane w art. 32 ust. 1 lit. a rodo jako środek minimalizujący ryzyko przetwarzania danych osobowych).

 

Czy można użyć AI?


Wykorzystanie AI w procesie przetwarzania danych należy rozważać zgodnie z podejściem opartym na ryzyku dla każdego ze wskazanych kroków. Ustalenie podstawy prawnej przetwarzania danych (np. zgoda, umowa, żywotny interes osoby, której dane dotyczą lub innej osoby fizycznej, a może prawnie uzasadniony interes administratora lub strony trzeciej) uzależnia dalsze działania w kroku 2.


Warto pamiętać, że w przypadku przetwarzania danych na podstawie prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f rodo) zgodnie z zasadą rozliczalności należy przeprowadzić test równowagi oceniający, czy interes organizacji lub społeczeństwa jest nadrzędny nad interesem osoby, której dane są przetwarzane przez AI, zwany też testem PUI (prawnie uzasadniony interes). Na wynik ważenia interesu obu stron wpływają m.in. zastosowane środki bezpieczeństwa adekwatne do ryzyka przetwarzania danych. Tu pomocne może być użycie pseudonimizacji danych, której zastosowanie na wczesnym etapie przetwarzania danych może wpłynąć na ocenę PUI i pozwoli wykazać zgodnie z zasadą rozliczalności, że przetwarzanie danych przez AI jest dobrze zabezpieczone.


W kroku 2 organizacja dba o wypełnienie pozostałych wymogów rodo. Watro rozpocząć go od ustalenia i wdrożenia zasad wypełniania praw podmiotów danych, co w złożonych systemach informatycznych wykorzystujących AI może być kosztowne i wiązać się z dużym nakładem pracy. Użycie pseudonimizacji przy przetwarzaniu danych przez AI może wpłynąć na utrudnienie identyfikacji osób lub wcale nie pozwolić na jej identyfikację. W takim przypadku należy przeanalizować ryzyko skorzystania przez administratora z zapisów art. 11 ust. 2 rodo: „kiedy, administrator może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, w miarę możliwości informuje o tym osobę, której dane dotyczą. W takich przypadkach zastosowania nie mają art. 15–20, chyba że osoba, której dane dotyczą, w celu wykonania praw przysługujących jej na mocy tych artykułów dostarczy dodatkowych informacji pozwalających ją zidentyfikować”.


Czy pseudonimizacja może wpłynąć na brak konieczności wypełniania praw podmiotów danych? Tak.

 

[...]

 

Autorka jest ekspertem ochrony danych oraz doświadczonym DPO; pracuje w LexDigital jako Head of Innovation Technologies.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.