Jakub Groszkowski: Ochrona danych osobowych jest kluczowa w dobie rozwoju sztucznej inteligencji [WYWIAD]

Wioleta Matela-Marszałek, Infor.pl: Czy w kontekście ochrony danych osobowych powinniśmy się bać tak szybkiego jak obecnie rozwoju sztucznej inteligencji?

Jakub Groszkowski, Zastępca Prezesa Urzędu Ochrony Danych Osobowych: Czasy, w których żyjemy są bardzo dynamiczne. Nie jesteśmy tylko obserwatorami rozwoju technologicznego, ale wręcz jego aktywnymi uczestnikami i od tego nie ma odwrotu. Rozmawiamy w momencie, w którym dyskusja związana z nowymi technologiami nie dotyczy tego „Czy je wprowadzać?”, ale „Jak wprowadzać, aby zapewnić człowiekowi bezpieczeństwo?”. Wydaje się, że ustawodawcy zarówno krajowi jak i unijni, starają się zapewnić poczucie bezpieczeństwa i na bieżąco regulują najważniejsze kwestie odnoszące się do naszych praw i wolności. Jednym z takich rozwiązań jest ogólne rozporządzenie o ochronie danych, czyli RODO. Ten unijny akt prawny nieco zmienił dotychczasowe podejście do ochrony danych osobowych. RODO przyniosło wiele dobrego i wprowadziło, standardy z zakresu ochrony danych osobowych, na których wzorowały się inne państwa na świecie, tworząc własne akty prawne.

Filozofia RODO wymaga przede wszystkim zapewnienia bezpieczeństwa danych osób fizycznych. Rozporządzenie nakłada na administratorów wiele obowiązków, takich jak m.in.: szacowanie ryzyka, określanie z jakimi danymi ma do czynienia, czy oceny zastosowanych środków technicznych i organizacyjnych. Wymaga od nich aktywności na tym polu. To wszystko po to, abyśmy mogli czuć się bezpiecznie. 

Warto wskazać, że motyw drugi RODO stanowi, że zasady i przepisy, które dotyczą ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, nie mogą naruszać podstawowych praw i wolności, a w szczególności prawa do ochrony danych osobowych. Motyw ten stanowi także, najogólniej rzecz ujmując, iż RODO ma się przyczyniać do wolności, bezpieczeństwa i sprawiedliwości oraz pomyślności ludzi. I ta idea przewodnia przyświeca działaniom jakie podejmuje Urząd Ochrony Danych Osobowych.

Niewątpliwie ochrona danych osobowych jest kluczowym zagadnieniem w dobie dynamicznego rozwoju sztucznej inteligencji. I choć sztuczna inteligencja, podobnie jak wiele innych nowych technologii, może stanowić zagrożenie dla prywatności i ochrony danych osobowych, to podejmując odpowiednie działania i środki ostrożności możemy ograniczyć ryzyko, korzystając z możliwości i zalet SI. Wiele zależy od sposobu, w jaki jest wykorzystywana oraz jakie środki ochrony danych zostały wdrożone. RODO nie zostało uchwalone aby ograniczać i blokować rozwój, ale po to żeby w trakcie rozwoju np. nowych technologii to człowiek i jego prawa były w centrum uwagi. 

Jakie potencjalne zagrożenia wiążą się z wdrażaniem nowych technologii?

Pamiętajmy, że rozwój nowych technologii jest często uwarunkowany dostępem do olbrzymich ilości danych, co stawia duże wyzwania dla prywatności i ochrony danych osobowych. Oczywiście wynikające z tego zagrożenia mogą się różnić w zależności od branży, czy rodzaju zastosowanej technologii. Wśród najbardziej realnych zagrożeń wymienia się możliwość naruszenia praw podstawowych, w tym związanych z ochroną danych osobowych czy prywatnością. 

UODO wielokrotnie przestrzegał, że utrata kontroli nad danym osobowymi, a więc nad tym, kto i jakie dane o nas przetwarza – niezależnie od tego, czy związana jest z nowymi technologiami czy nie – może godzić w wolność człowieka. 

Wiedza o tym, kto przetwarza nasze dane osobowe, w jakim celu, na jakiej podstawie prawnej, dostęp do jakich danych uzyskuje i czy służą one profilowaniu, w dzisiejszych czasach jest szczególnie ważna. Odnosi się to bowiem do podstawowych praw osób fizycznych, jakie gwarantuje RODO i które wymaga, aby informacje na ten temat były przekazywane osobom, których dane dotyczą, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie. Często, niestety, my sami jako użytkownicy nie jesteśmy tego świadomi. Dla przykładu, wiele aplikacji czy stron internetowych dzięki wykorzystaniu skomplikowanych algorytmów lub mechanizmów sztucznej inteligencji, które analizując informacje odnoszące się do różnych sfer życia konsumenta, odwiedzanych przez niego stron internetowych, dokonywanych zakupów, może manipulować poprzez rozbudzanie u tej osoby potrzeb kolejnych zakupów odpowiadających jej zainteresowaniom, podróżom itd. Użytkownicy często nie są świadomi do jak wielu danych o nas mają dostęp administratorzy wykorzystujący takie rozwiązania. Należy pamiętać, że pobierając aplikację na telefon, która wystarczy, że jest stale aktywna, umożliwia podmiotowi zarządzającemu, aby zyskał dostęp do wielu informacji na temat użytkownika telefonu. Często aplikacje korzystają z danych zapisanych w telefonie czy łączą się z kolejnymi usługami i aplikacjami, które również dostarczają informacji na temat aktywności osoby użytkującej aparat telefoniczny, w tym lokalizacji, galerii zdjęć, kalendarza, historii wyszukiwania itp. To powoduje, że takie narzędzie ma nie tylko dostęp do bardzo wielu danych. W wielu przypadkach niemal całe życie użytkownika jest zapisane w jego telefonie. Brak odpowiednich zabezpieczeń stosowanych przez administratora i nieprzestrzeganie przepisów dotyczących ochrony danych osobowych, takich jak RODO, może prowadzić do ujawnienia danych, w tym danych osobowych i naruszenia prywatności, co z kolei może narazić właściciela tych danych np. na kradzież tożsamości czy innych nadużyć. Kolejne zagrożenie jakie dostrzegamy, to możliwość dyskryminacji np. przez systemy sztucznej inteligencji, szczególnie w sytuacji, kiedy analizie zostają poddane niekompletne lub niewystarczające dane.

Warto również wspomnieć o zwiększeniu ilości kampanii socjotechnicznych, manipulowania informacjami, czy szerzenia dezinformacji (np. przy wykorzystaniu technologii deepfake). Walka z dezinformacją stanowi ogromne wyzwanie, które wymaga ciągłego rozwoju odpowiednich narzędzi i strategii, dlatego jest to wspólny wysiłek wszystkich instytucji europejskich. 

Podstawową zasadą jak się przed nimi bronić jest kierowanie się zdrowym rozsądkiem podczas udostępniania danych osobowych.

W jaki sposób na to wyzwanie reagują europejskie organy ochrony danych? 

Europejska Rada Ochrony Danych, w ramach swojej strategii na lata 2021–2023 określiła cztery filary działania, a jednym z nich jest podejście do nowych technologii, które zakłada, że ochrona danych osobowych pomaga zapewnić rozwój społeczeństwa, technologii i nowych modeli biznesowych zgodnie z wartościami, takimi jak wolność, autonomia i godność ludzka. 

EROD w ostatnich latach przyjęła szereg wytycznych odnoszących się do nowych technologii m.in.: w sprawie wirtualnych asystentów głosowych, dotyczące zwodniczych wzorców projektowych w interfejsach platform mediów społecznościowych i podpowiedziała, jak je rozpoznawać i ich unikać, czy też w sprawie stosowania technologii rozpoznawania twarzy w dziedzinie egzekwowania prawa. Są to odpowiednio Wytyczne 02/2021, Wytyczne 03/2022 i Wytyczne 05/2022.

EROD ocenia także projekty unijnych aktów prawnych. W ostatnich latach swoje zdanie nt. planowanych zmian w prawie Rada wyraziła w wielu sprawach, były to m.in.: Wspólna opinia EROD i EIOD 5/2021 w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji („Akt w sprawie sztucznej inteligencji”), czy też „Oświadczenie w sprawie pakietu usług cyfrowych i strategii w zakresie danych”. To tylko nieliczne przykłady działań, które są rezultatem współpracy organów nadzorczych, w tym UODO, w ramach EROD. W planach są prace nad kolejnymi dokumentami regulującymi przepisy zawarte w akcie w sprawie sztucznej inteligencji a RODO, czy technologią Blockchain. 

Ostatnim przykładem wspólnych działań organów nadzorczych jest utworzenie grupy zadaniowej w celu wspierania współpracy i wymiany informacji na temat ewentualnych działań w zakresie egzekwowania prawa prowadzonych przez organy nadzorcze w związku z działaniem Chatu GPT, w której UODO także bierze udział. Grupa ta została powołana w celu wspierania współpracy i wymiany informacji na temat ewentualnych działań w zakresie egzekwowania prawa, prowadzonych przez organy nadzorcze w zakresie przetwarzania danych przez spółkę Open AI, twórcę Chatu GPT.

Zauważamy także, że organy nadzorcze same podejmują działania w zakresie nowych technologii i obserwujemy je z dużą uwagą. Wspomnę choćby o najnowszej decyzji norweskiego organu nadzorczego, który tymczasowo zakazał spółce Meta stosowania reklamy behawioralnej na platformach Facebook i Instagram. Co prawda decyzja tego organu dotyczy tylko użytkowników w Norwegii, ale Norwegowie poinformowali, że rozważają zwrócenie się do EROD z wnioskiem o wydanie w trybie pilnym wiążącej decyzji w tej sprawie tak, aby zapewnić spójne stosowanie RODO na poziomie europejskim.

Zatem organy nadzorcze wiedzą, że ochrona danych osobowych pomaga zapewnić rozwój technologii i nowych modeli biznesowych, ale też społeczeństwa zgodnie z wartościami, takimi jak wolność, autonomia i godność ludzka. Ważne jest, aby nasze działania, w trosce o dobro obywateli, były zharmonizowane, dlatego tak istotna stała się spójna współpraca w ramach EROD.

A jak do sprawy podchodzi Urząd Ochrony Danych Osobowych?

Zagadnienie dotyczące relacji pomiędzy ochroną danych osobowych a nowymi technologiami, w tym sztuczną inteligencją, od dawna jest przedmiotem zainteresowania Urzędu Ochrony Danych Osobowych. Z jednej strony aktywnie uczestniczymy w pracach w tym zakresie na forum europejskim, a z drugiej staramy się upowszechniać wiedzę o wyzwaniach ochrony danych osobowych w związku ze zmianami jakie wywołuje cyfryzacja. Dla lepszego zrozumienia nowych technologii, potencjału jej wykorzystania, korzyści i zagrożeń Urząd podejmuje wiele inicjatyw edukacyjnych i naukowych. W tym celu w strukturze Urzędu działa Departament Nowych Technologii. Jednym z rezultatów aktywności UODO jest zorganizowanie we współpracy z Kancelarią Prezesa Rady Ministrów oraz Grupą Roboczą ds. Sztucznej Inteligencji cyklu spotkań dotyczących wykorzystania danych osobowych w budowaniu sztucznej inteligencji. Oprócz organizowania wydarzeń kierowanych do ekspertów, temat sztucznej inteligencji był także przedstawiany uczniom w ramach ogólnopolskiego programu edukacyjnego UODO „Twoje dane – Twoja sprawa”. Przed nami kolejne wydarzenie. Najnowsza inicjatywa, jaką organ nadzorczy zamierza w tym celu zorganizować  to konferencja dotycząca rozwoju nowych technologii. Do udziału w wydarzeniu, które zaplanowaliśmy na wrzesień br., zapraszamy ekspertów reprezentujących zarówno sektor prywatny, jak i publiczny. Wśród zagadnień, które zamierzamy przedyskutować znajdują się: bezpieczeństwo informacji w erze cyfrowej, upowszechnienie nowych technologii i ich wpływ na życie codzienne Polaków czy wyzwania dla ochrony danych związane z postępem technologicznym. Podczas konferencji omówimy, jak projektować systemy sztucznej inteligencji w zgodzie z RODO, jak wyznaczyć relacje pomiędzy tym rozporządzeniem a Aktem o sztucznej inteligencji. Jestem przekonany, że organizowane przez UODO wydarzenia przyczynią się do przyjęcia m.in. rozwiązań prawnych, które sprawią, że nowe technologie będą jednocześnie służyć potrzebom człowieka oraz zaspokajać interesy biznesu. To są przykładowe aktywności UODO, jeśli chodzi o działalność edukacyjno-informacyjną. 

Nie można nie wspomnieć, że w tym roku w ramach planu kontroli sektorowych Urząd weryfikuje sposób przetwarzania danych osobowych przy użyciu internetowych oraz mobilnych aplikacji. 

Zatem wyzwań związanych z nowoczesnymi technologiami jest wiele i Urząd Ochrony Danych Osobowych nie tylko bacznie przygląda się nowościom rynkowym i wprowadzeniu kolejnych regulacji w tym zakresie, ale też podejmuje działania związane z monitorowaniem procesów przetwarzania danych osobowych w związku z nowymi technologiami. 

Dlaczego ważna jest współpraca z ekspertami?

Głównym zadaniem UODO jest zapewnienie skutecznej ochrony danych osobowych obywateli i realizacja ich prawa do prywatności. Prezes UODO jako organ musi być rzecznikiem ochrony danych człowieka. I to jest nasz pierwszorzędny cel, aby działania UODO jeszcze bardziej służyły obywatelom i broniły ich praw. Dlatego organ nadzorczy podejmuje działania wszędzie tam, gdzie widzimy potrzebę i konieczność naszego zaangażowania. Powołaliśmy Instytut Prawa Ochrony Danych Osobowych we współpracy z Akademią Ekonomiczno-Humanistyczną w Warszawie w celu wymiany wiedzy i doświadczeń w obszarze nauk związanych z ochroną danych. Do współpracy naukowo-badawczej zaprosiliśmy wybitnych ekspertów ze Stowarzyszenia Prawa Nowych Technologii. 
Organ nadzorczy prowadzi postępowania na skutek skarg, bada naruszenia ochrony danych osobowych, ale także aktywnie działa na polu legislacyjnym, zgłaszając swoje uwagi do projektów zmian prawa tak, aby były one zgodne z RODO, ale i nie dochodziło do nadmiernego przetwarzania danych oraz kieruje wystąpienia do właściwych ministrów, gdy dostrzega potrzebę interwencji legislacyjnej w celu stworzenia spójnych przepisów i zapewnienia zgodnego z RODO poziomu ochrony danych. Urząd współpracuje także z europejskimi organami ochrony danych osobowych i aktywnie uczestniczy w pracach Europejskiej Rady Ochrony Danych, o czym już wspominałem. 

Jesteśmy świadomi, że przyspieszenie transformacji cyfrowej i powszechność „e-rozwiązań” czy „e-usług” w większości branż dostarcza ich użytkownikom oczywiście wiele korzyści, ale niesie także za sobą zagrożenia, np. w formie zwiększonej aktywności cyberprzestępców. Pojawiają się coraz to nowsze zagrożenia, dlatego Urząd jest otwarty na rozmowę i współpracę z podmiotami, którym zależy na zapewnieniu bezpieczeństwa danych osobowych. Spotykamy się z przedstawicielami administracji rządowej i samorządowej, administratorami i inspektorami ochrony danych. Wspieramy inicjatywy branżowe służące opracowywaniu kodeksów postępowania. Przeprowadzone rozmowy pozwalają na zrozumienie, z jakimi problemami, ale i wyzwaniami w zakresie ochrony danych osobowych mierzą się przedstawiciele wielu branż. To bardzo cenna wymiana doświadczeń. 

Mamy też nadzieję, że zbliżające się wrześniowe wydarzenie poświęcone rozwojowi nowych technologii, stanie się takim forum wymiany poglądów na temat nowych regulacji i zmian legislacyjnych w zakresie usług cyfrowych czy cyberbezpieczeństwa. Wydarzenie to, biorąc pod uwagę szerokie spectrum podejmowanych tematów, z pewnością będzie kompasem dla wszystkich zainteresowanych ochroną danych osobowych i nowymi technologiami.

Bardzo dziękuję za rozmowę.