Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Przetwarzanie danych w systemach AI

21-09-2021 Autor: Katarzyna Syska

Wiele systemów sztucznej inteligencji wykorzystuje dane osobowe na różnych etapach cyklu życia systemów, w tym na etapie trenowania modelu czy też na etapie korzystania z systemu AI. Wówczas do takiego przetwarzania danych znajdą zastosowanie przepisy rodo.

 

Dane osobowe mogą być przetwarzane w systemach sztucznej inteligencji w różny sposób i na różnych etapach w cyklu życia systemu AI, np.:

  • wykorzystywane do trenowania i testowania systemu AI;
  • „zawarte w modelu stworzonym przez system AI;
  • „używane do dalszego rozwoju i ulepszania modelu;
  • „używane jako dane wejściowe dla systemu AI, na podstawie których system generuje wynik działania i może tworzyć dodatkowe dane, np. prognozy dotyczące danej osoby.

W każdej z tych sytuacji przetwarzanie danych osobowych odbywa się w sposób zautomatyzowany, a zatem zastosowanie znajdą przepisy rodo, w tym te dotyczące przejrzystości i informowania osób, których dane dotyczą.

Skupimy się na informowaniu podmiotów danych o przetwarzaniu ich danych osobowych w systemie sztucznej inteligencji w dwóch różnych sytuacjach:

  • „w której dane osobowe są wykorzystywane do trenowania lub testowania systemu AI – przykładem może być wykorzystywanie nagrań ludzkiego głosu do trenowania systemu rozpoznającego mowę lub wykorzystywanie informacji o treściach oglądanych przez użytkowników na platformie streamingowej w celu trenowania systemu prognozującego zainteresowania użytkowników;
  • „w której dane osobowe są wykorzystywane jako dane wejściowe i na ich podstawie system AI ma wygenerować wynik działania, np. wykorzystanie danych o tym, jakie treści oglądał dany użytkownik, aby wyświetlić mu propozycje treści, którymi może być zainteresowany.

Rozróżnienie tych sytuacji wynika z tego, że inny jest w nich wpływ na prywatność osoby, której dane dotyczą. W pierwszym przypadku działanie systemu (trenowanie lub testowanie modelu) nie ma bezpośredniego wpływu na prawo do prywatności i ochrony danych osobowych podmiotu danych. System AI tylko „uczy się” na podstawie danych osobowych, ale nie generuje żadnego wyniku czy też nie podejmuje decyzji, która by dotyczyła konkretnej osoby. Natomiast w drugiej sytuacji dochodzi do wygenerowania wyniku działania systemu AI, który dotyczy bezpośrednio osoby, której dane dotyczą.

 

Dane do trenowania lub testowania AI

Mogą pojawiać się wątpliwości dotyczące tego, czy konieczne jest spełnianie obowiązku informacyjnego w odniesieniu do przetwarzania danych osobowych w ramach trenowania lub testowania systemu AI, biorąc pod uwagę brak bezpośredniego wpływu takiego przetwarzania na osoby, których dane dotyczą. Należy jednak zauważyć, że wykorzystywanie danych osobowych do trenowania lub testowania systemu AI stanowi odrębny cel ich przetwarzania. Dlatego też, zgodnie z zasadą przejrzystości i rzetelności, osoba, której dane dotyczą, powinna być o takim celu przetwarzania danych poinformowana.

Jeśli chodzi o wskazanie celu przetwarzania,należy przekazać, że dane będąwykorzystywane do trenowania lub testowaniasystemu AI. Wydaje się, że niewystarczająca byłaby sama informacja, żenieokreślone dane podmiotu danych mogą być wykorzystywane do trenowania lub testowania nieokreślonego systemu AI. Aby informacja ta była przejrzysta, powinno się wskazać, chociażby ogólnie, kategorie danych, które będą wykorzystywane w tym celu, oraz przeznaczenie systemu AI. Przykładowo, jeśli trenowany jest system rozpoznawania twarzy, można wskazać, że wykorzystywane będą obrazy zawierające wizerunek twarzy podmiotu danych, a celem trenowanego systemu jest utworzenie wzorców biometrycznych oraz odróżnianie ludzkich twarzy od innych obiektów na obrazach czy też rozpoznawanie twarzy konkretnych osób na obrazach.

Jeśli dane osobowe były zebrane w innym celu, to aby wykorzystać je do trenowania lub testowania systemu AI, konieczne jest poinformowanie podmiotów danych o dodatkowym celu przetwarzania danych, jakim jest trenowanie lub testowanie systemu AI. Na marginesie należy zaznaczyć, że konieczne jest zapewnienie, aby nowy cel przetwarzania był zgodny z poprzednim lub też uzyskać zgodę podmiotu danych na takie przetwarzanie (zgodnie z art. 6 ust. 4 rodo). Jeśli dane osobowe wykorzystywane do trenowania lub testowania systemu AI nie były zebrane bezpośrednio od podmiotu danych, konieczne jest przekazanie dodatkowych informacji wskazanych w art. 14 rodo, tj. informacji o zakresie danych oraz o źródle danych.

W przypadku zbierania danych nie bezpośrednio od podmiotu danych należy też pamiętać o terminie spełnienia obowiązku informacyjnego. Zgodnie z art. 14 ust. 3 rodo informacje powinny być przekazane w rozsądnym terminie, najpóźniej w czasie miesiąca od zebrania danych. Należy też odnieść się do faktycznej możliwości spełnienia obowiązku informacyjnego wobec osób, których dane mają być wykorzystywane do trenowania lub testowania systemu AI. Oczywiście jeśli administrator danych dysponuje danymi kontaktowymi tych osób, powinien przekazać im informacje wskazane w art. 13–14 rodo bezpośrednio.

Często jednak administrator nie posiada danych kontaktowych tych osób. Dane treningowe lub testowe uzyskane od innego podmiotu mogły zostać spseudonimizowane lub pozbawione danych kontaktowych, zgodnie z zasadą minimalizacji danych. W takich przypadkach bezpośrednie przekazanie podmiotowi danych informacji o przetwarzaniu może być niemożliwe lub wymagać nieproporcjonalnego wysiłku. Zgodnie z art. 14 ust. 5 lit. b rodo w takiej sytuacji administrator jest zwolniony z obowiązku informacyjnego. Jednakże zgodnie ze wskazanym przepisem administrator musi podjąć odpowiednie środki w celu ochrony praw, wolności i interesów podmiotów danych, w tym udostępnić informacje o przetwarzaniu publicznie. Administrator powinien zatem opracować informacje o przetwarzaniu danych (klauzulę informacyjną) nawet w sytuacji, w której nie może jej bezpośrednio przekazać podmiotom danych. Klauzula informacyjna powinna być udostępniona publicznie, np. na stronie internetowej administratora.

 

[...]

 

Autorka jest adwokatką specjalizującą się w prawie ochrony danych osobowych. Współpracuje z kancelarią Traple Konarski Podrecki i Wspólnicy.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.