Czy zasady zawarte w Konstytucji RP chronią jednostkę przed stosowaniem sztucznej inteligencji?

• Konstytucja RP a AI Act
• Ryzyko utraty kontroli jednostki nad danymi osobowymi
• Odpowiedzialność prawna za nielegalne przetwarzanie danych osobowych

Konstytucja RP a AI Act

Rozkwit technologii opartych na sztucznej inteligencji uległ w ostatnich latach znaczącemu przyrostowi, co rodzi szereg pytań o zagrożenia dla ochrony praw człowieka. Niemniej jednak, należy tu podkreślić, iż zgodnie z art. 47 i 51 Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. (dalej jako: Konstytucja RP), jednostka ma zagwarantowane prawo do prywatności i ochrony danych osobowych, co powoduje, że AI Act musi być zgodny z tymi przepisami, aby nie naruszać fundamentalnych praw obywatelskich. Oznacza to, że państwo ma obowiązek chronić te dobra przed nieuprawnioną ingerencją, ze strony organów publicznych, jak i osób prywatnych. Ochrona ta obejmuje szeroki zakres sfer życia, takich jak prywatność, korespondencja, dane osobowe czy cześć. Władze publiczne mogą gromadzić jedynie niezbędne dane, a każdy ma prawo dostępu, sprostowania lub usunięcia nieprawdziwych informacji o sobie. Zasady te określają ustawy.

Ryzyko utraty kontroli jednostki nad danymi osobowymi

Systemy SI gromadzą i analizują ogromne ilości danych osobowych, co może prowadzić do utraty kontroli jednostki nad własnymi danymi. Ochrona danych osobowych i sztuczna inteligencja (AI) są ze sobą nierozerwalnie związane, ponieważ wiele systemów AI działa w oparciu o dane osobowe, co rodzi konieczność stosowania przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako: RODO). Dane te są wykorzystywane przez przedsiębiorstwa i organy administracji publicznej bez wiedzy i zgody użytkowników, co budzi wątpliwości, co do zgody i kontroli nad danymi osobowymi. Wykorzystanie SI do cenzury i kontroli informacji może prowadzić do kontroli nad przepływem informacji w sieci. Algorytmy analizujące treści mogą być wykorzystywane do filtrowania, ocenzurowania lub manipulacji treściami online, co zagraża wolności słowa i dostępowi do informacji. Automatyzacja i autonomiczność systemów coraz to prowadzą do nadużyć lub manipulacji ze strony cyberprzestępców lub państwa. Ataki z wykorzystaniem SI, fałszywe informacje generowane przez generatory tekstu lub manipulacja obrazami, mogą mają wpływać w ochronę wolności i bezpieczeństwa jednostki. SI oparte na uczeniu maszynowym, są podatne na wprowadzenie uprzedzeń i stereotypów już istniejących w społeczeństwie, co prowadzi do dyskryminacji w procesach podejmowania decyzji.

Wprowadzenie SI do dziedzin życia, ma możliwości poprawy bezpieczeństwa i jakości życia jednostki. Jednak istniejące ryzyko naruszenia prywatności i bezpieczeństwa danych osobowych, zmusza do zapewnienia zgodności z prawem, przejrzystości działania systemów AI oraz ochrony wrażliwych danych, takich jak dane biometryczne.

Odpowiedzialność prawna za nielegalne przetwarzanie danych osobowych

Przestępstwo bezprawnego przetwarzania danych jest obecnie regulowane w art. 107 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej jako: ustawa). Nie jest to oczywiście nowy rodzaj przestępstwa. Podobna regulacja istniała już na gruncie ustawy o ochronie danych osobowych z 1997 r. Obecna jej treść w nieznacznie zmienionym brzmieniu została wprowadzona wraz z wejściem w życie RODO. Przedmiotem ochrony objętym art. 107 ustawy jest prawo jednostki do ochrony danych osobowych.

Jest to jednak pewne uproszczenie, które wprowadzając sankcję za niedopuszczalne przetwarzanie pewnych informacji ma chronić prawa i wolności osób fizycznych związane z takim przetwarzaniem. Prawo to jest wyrazem szerszego prawa do informacyjnego samostanowienia i stanowi element prawa do prywatności. Podmiotem tego przestępstwa może być każda osoba fizyczna (przepisy o ochronie danych nie stosuje się do osób zmarłych). Należy przyjąć, że zabronione jest przetwarzanie choćby jednej danej osobowej, jeśli takie przetwarzanie jest nielegalne. Zakres czynów, które mogą być objęte tym przepisem jest także bardzo szeroki, co wynika z definicji przetwarzania w rozumieniu art. 4 pkt 2 RODO, bowiem każda operacja na danych osobowych może zostać zakwalifikowana jako przetwarzanie.

Prawodawca w art. 107 ust. 1 ustawy wskazuje na dwie odmiany przestępstwa bezprawnego przetwarzania danych osobowych. Pierwsza, dotyczy sytuacji, kiedy podmiot przetwarza dane, choć przetwarzanie danych nie jest dopuszczalne. Druga obejmuje przypadki, kiedy podmiot nie jest uprawniony do przetwarzania danych. Choć te sytuacje wydają się do siebie podobne, w rzeczywistości odnoszą się do roli jaką dana osoba popełniająca przestępstwo może pełnić w procesie przetwarzania danych osobowych. W art. 107 ust. 2 ustawy zawarto typ kwalifikowany tego przestępstwa, który odnosi się do rodzaju przetwarzanych danych, a mianowicie do danych szczególnych kategorii (tzw. danych wrażliwych).

Każdy podmiot przetwarzając dane osobowe, jeśli takie przetwarzanie podlega regulacji RODO, może zasadniczo występować w jednej z dwóch ról:

1. administratora danych (współadministratora danych) albo
2. podmiotu przetwarzającego (procesora).

Podmioty te mogą zaś udzielić osobom fizycznym stosownego upoważnienia (polecenia) do przetwarzania danych. Legalność przetwarzania danych osobowych w rozumieniu art. 6 ust. 1 RODO jest oceniana przez pryzmat występowania w roli administratora danych. Ocena legalności przetwarzania danych osobowych przez pozostałe podmioty (procesora, upoważnioną osobę fizyczną) zależy od decyzji uprawnionego podmiotu i podjęcia w tym zakresie określonych działań, tj. zawarcia przez administratora z procesorem umowy powierzenia przetwarzania danych, o której mowa w art. 28 RODO lub udzielenia osobie fizycznej działającej w imieniu administratora / procesora upoważnienia (polecenia), o którym mowa w art. 32 ust. 4 RODO. Ocena legalności przetwarzania danych osobowych przez każdy z powyżej opisanych podmiotów będzie zależała od roli jaką ten podmiot pełni w ramach danego procesu przetwarzania danych osobowych.

Zatem w myśl art. 107 ust. 1 i 2 ustawy należy wskazać, że z nielegalnym (bezprawnym) przetwarzaniem danych osobowych będziemy mieć do czynienia w dwóch sytuacjach. Pierwsza z nich będzie zachodziła wtedy, gdy dana osoba fizyczna – działając jako administrator (współadministrator) danych – nie będzie mogła wykazać legalności przetwarzania danych osobowych w rozumieniu art. 6 ust. 1 RODO, jak również nie zostaną spełnione dodatkowe warunki określone w art. 9 ust. 2 RODO (dane szczególnych kategorii, tzw. dane wrażliwe) i art. 10 RODO (dane dotyczące karalności) – w tym wypadku „przetwarzanie będzie niedopuszczalne”.