RODO, Dane Osobowe i Sztuczna Inteligencja AI

utworzone przez | czwartek, 29.05.2025, 14:37 | Blog

RODO, Dane Osobowe i Sztuczna Inteligencja AI

W erze cyfrowej, gdzie gromadzenie i wymiana danych osobowych znacząco wzrosły, a technologia, w tym sztuczna inteligencja (SI), umożliwia ich wykorzystywanie na niespotykaną dotąd skalę, kluczowe jest zrozumienie zasad ochrony tych danych. Ogólne Rozporządzenie o Ochronie Danych (RODO) wprowadza zharmonizowane ramy prawne w Unii Europejskiej, określając czym są dane osobowe, jakie zasady rządzą ich przetwarzaniem, jakie prawa przysługują osobom, których dane dotyczą, oraz jakie obowiązki spoczywają na podmiotach przetwarzających dane.

W kontekście rozwoju SI, RODO adresuje wyzwania związane z profilowaniem i zautomatyzowanym podejmowaniem decyzji, nakładając na administratorów danych szczególne wymogi i dając osobom fizycznym konkretne uprawnienia, w tym prawo do uzyskania wyjaśnień i interwencji człowieka.

Czym są dane osobowe w świetle RODO?

Zgodnie z RODO, dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (“osobie, której dane dotyczą”). Osoba jest możliwa do zidentyfikowania, gdy można ją bezpośrednio lub pośrednio zidentyfikować na podstawie identyfikatora.

Co może być identyfikatorem?

Identyfikatorami mogą być w szczególności:

  • imię i nazwisko
  • numer identyfikacyjny
  • dane o lokalizacji
  • identyfikator internetowy

Dodatkowe czynniki identyfikujące

Identyfikacja może nastąpić także na podstawie jednego lub kilku szczególnych czynników określających tożsamość osoby fizycznej:

  • fizyczną
  • fizjologiczną
  • genetyczną
  • psychiczną
  • ekonomiczną
  • kulturową
  • społeczną

Definicja ta jest szeroka i obejmuje nawet proste informacje, które odnoszą się do konkretnej osoby, nawet jeśli nie bezpośrednio.

Szczególne kategorie danych osobowych

Istnieją również szczególne kategorie danych osobowych, które z racji swego charakteru są szczególnie wrażliwe i wymagają wzmożonej ochrony. Do takich danych należą m.in. dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne (przetwarzane w celu identyfikacji), a także dane dotyczące zdrowia, seksualności lub orientacji seksualnej. Przetwarzanie tych danych jest co do zasady zabronione, chyba że spełniony jest jeden z określonych w RODO warunków, np. osoba wyraziła wyraźną zgodę lub przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym w dziedzinie zdrowia publicznego czy do celów badań naukowych lub historycznych.

Kluczowe zasady przetwarzania danych osobowych według RODO

Zgodnie z RODO (Art. 5), dane osobowe muszą być przetwarzane z poszanowaniem następujących zasad:

  • Zgodność z prawem, rzetelność i przejrzystość: Dane muszą być przetwarzane zgodnie z prawem, w sposób uczciwy i zrozumiały dla osoby, której dane dotyczą. Rzetelność obejmuje poszanowanie interesów osób, których dane dotyczą.
  • Ograniczenie celu: Dane muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie mogą być przetwarzane dalej w sposób z tymi celami niezgodny. Dalsze przetwarzanie do celów archiwalnych, naukowych, historycznych lub statystycznych jest uznawane za zgodne z pierwotnymi celami.
  • Minimalizacja danych: Przetwarzane dane powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów przetwarzania.
  • Prawidłowość: Dane powinny być poprawne i w razie potrzeby aktualizowane; administrator musi podjąć działania, aby nieprawidłowe dane zostały niezwłocznie usunięte lub sprostowane.
  • Ograniczenie przechowywania: Dane powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów przetwarzania. Dłuższe przechowywanie jest dopuszczalne tylko do celów archiwalnych, naukowych, historycznych lub statystycznych z odpowiednimi zabezpieczeniami.
  • Integralność i poufność: Dane muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
  • Rozliczalność: Administrator danych jest odpowiedzialny za przestrzeganie wszystkich powyższych zasad i musi być w stanie to wykazać.

Prawa osób, których dane dotyczą

RODO wzmacnia prawa osób fizycznych w stosunku do ich danych osobowych. Do kluczowych praw należą:

Prawo dostępu do danych

Osoba, której dane dotyczą, ma prawo uzyskać od administratora potwierdzenie, czy jej dane są przetwarzane, a jeśli tak, uzyskać dostęp do tych danych oraz szereg informacji dotyczących przetwarzania (cele, kategorie danych, odbiorcy, planowany okres przechowywania, prawa, źródło danych, informacje o zautomatyzowanym podejmowaniu decyzji/profilowaniu). Administrator ma obowiązek dostarczyć osobie kopię przetwarzanych danych. Prawo do uzyskania kopii może być ograniczone, jeśli naruszałoby prawa i wolności innych osób lub prawa własności intelektualnej administratora.

Prawo do usunięcia danych (“prawo do bycia zapomnianym”)

Jest to kluczowy instrument pozwalający osobie fizycznej na większą kontrolę nad informacjami o sobie udostępnionymi w sieci. Osoba, której dane dotyczą, ma prawo żądać od administratora niezwłocznego usunięcia jej danych osobowych, a administrator ma taki obowiązek w określonych sytuacjach.

Kiedy można żądać usunięcia danych?

Przykładowe sytuacje, w których powstaje obowiązek usunięcia danych to, gdy:

  • dane nie są już niezbędne do celów, w których zostały zebrane.
  • osoba wycofała zgodę na przetwarzanie, a nie ma innej podstawy prawnej przetwarzania.
  • osoba wniosła sprzeciw wobec przetwarzania, a nie ma nadrzędnych prawnie uzasadnionych podstaw do przetwarzania.
  • dane były przetwarzane niezgodnie z prawem.
  • dane muszą zostać usunięte w celu wywiązania się z obowiązku prawnego administratora.
  • dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego dziecku.

Jeśli administrator upublicznił dane, które ma obowiązek usunąć, powinien podjąć racjonalne kroki, by poinformować innych administratorów przetwarzających te dane o konieczności usunięcia linków, kopii i odniesień do tych danych.

Wyjątki od prawa do bycia zapomnianym

Prawo to nie ma zastosowania, jeśli przetwarzanie danych jest niezbędne m.in.:

  • do korzystania z prawa do wolności wypowiedzi i informacji.
  • do wywiązania się z prawnego obowiązku lub wykonania zadania w interesie publicznym/sprawowania władzy publicznej.
  • ze względów interesu publicznego w dziedzinie zdrowia publicznego.
  • do celów archiwalnych w interesie publicznym, badań naukowych lub historycznych, lub celów statystycznych, jeśli prawo to uniemożliwi lub poważnie utrudni realizację tych celów.
  • do ustalenia, dochodzenia lub obrony roszczeń prawnych.

Należy pamiętać, że egzekwowanie prawa do usunięcia danych, zwłaszcza tych upublicznionych, może być technicznie trudne i kosztowne. Wyrok TSUE w sprawie Google Spain SL z 2014 r. stanowił ważny krok w uznaniu tego prawa w kontekście wyszukiwarek internetowych.

Prawo do sprzeciwu

Osoba fizyczna ma prawo wnieść sprzeciw wobec przetwarzania danych opartego na interesie publicznym lub prawnie uzasadnionym interesie administratora (w tym profilowania na tej podstawie), chyba że administrator wykaże nadrzędne prawnie uzasadnione podstawy do przetwarzania lub podstawy do ustalenia, dochodzenia lub obrony roszczeń. Szczególnie istotne jest prawo do sprzeciwu wobec przetwarzania danych na potrzeby marketingu bezpośredniego (w tym profilowania w tym celu) – w takim przypadku danych nie wolno już przetwarzać do tych celów. O prawie tym należy wyraźnie poinformować najpóźniej przy pierwszej komunikacji.

Sztuczna Inteligencja, profilowanie i zautomatyzowane decyzje a RODO

Rozwój sztucznej inteligencji (SI) niesie za sobą nowe wyzwania dla ochrony danych osobowych. SI, definiowana m.in. jako system wykazujący inteligentne zachowanie poprzez analizę danych i podejmowanie działań z pewną autonomią w celu osiągnięcia celów, jest coraz szerzej stosowana, np. w handlu internetowym do profilowania klientów.

Profilowanie i zautomatyzowane podejmowanie decyzji

Profilowanie to dowolna forma zautomatyzowanego przetwarzania danych osobowych służąca do oceny czynników osobowych osoby fizycznej, np. jej sytuacji ekonomicznej, zdrowia, preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji. RODO reguluje zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie, które wywołuje skutki prawne lub w podobny sposób znacząco wpływa na osobę.

Prawa w kontekście automatyzacji

Osoba, której dane dotyczą, ma co do zasady prawo do tego, by nie podlegać decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu (w tym profilowaniu), która wywołuje wobec niej skutki prawne lub podobnie znacząco na nią wpływa. Przykłady to automatyczne odrzucenie wniosku o kredyt lub elektroniczne metody rekrutacji bez interwencji człowieka.

Decyzje oparte wyłącznie na automatyzacji są dopuszczalne tylko w określonych przypadkach, np. gdy są niezbędne do zawarcia lub wykonania umowy, dopuszczone prawem Unii lub państwa członkowskiego (np. do celów zapobiegania oszustwom) lub gdy osoba wyraziła wyraźną zgodę. Nawet wtedy muszą być stosowane odpowiednie zabezpieczenia, takie jak:

  • informowanie osoby, której dane dotyczą.
  • prawo do uzyskania interwencji człowieka.
  • prawo do wyrażenia własnego stanowiska.
  • prawo do uzyskania wyjaśnienia co do podstaw podjętej decyzji.
  • prawo do zakwestionowania decyzji.

Przetwarzanie oparte wyłącznie na automatyzacji nie powinno dotyczyć dzieci.

Wyzwania prawne związane z SI

Zastosowanie SI rodzi wyzwania prawne, np. w zakresie odpowiedzialności za działania SI. Obecne przepisy, często odnoszące się do winy człowieka, są trudne do zastosowania w przypadku autonomicznych algorytmów. Pojawiają się propozycje regulacji, w tym na poziomie UE, dotyczące odpowiedzialności cywilnej za czyny SI. Dyskusje obejmują także konieczność zapewnienia transparentności systemów SI, np. możliwości audytowania i wyjaśniania procesu decyzyjnego.

Obowiązki administratorów i podmiotów przetwarzających

RODO nakłada konkretne obowiązki na podmioty przetwarzające dane.

Role w procesie przetwarzania

Główne role to:

  • Administrator: Osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Administrator odpowiada za zgodność przetwarzania z RODO (zasada rozliczalności).
  • Podmiot przetwarzający: Osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Umowa powierzenia przetwarzania danych

Przetwarzanie danych przez podmiot przetwarzający musi być uregulowane umową lub innym aktem prawnym sporządzonym na piśmie (w tym elektronicznie), który jest wiążący. Umowa ta powinna nie tylko powtarzać przepisy RODO, ale zawierać szczegółowe informacje o sposobie spełnienia wymogów i poziomie ochrony danych, uwzględniając charakter i ryzyko przetwarzania. Powinna określać np. rodzaj danych osobowych w sposób szczegółowy, a nie tylko ogólne kategorie RODO. Administrator powinien informować podmiot przetwarzający o ryzykach związanych z przetwarzaniem.

Bezpieczeństwo przetwarzania

Zarówno administrator, jak i podmiot przetwarzający, muszą wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku przetwarzania. Podmiot przetwarzający pomaga administratorowi w zapewnieniu zgodności z tym wymogiem.

Naruszenia ochrony danych osobowych

W przypadku naruszenia ochrony danych osobowych (np. ataku hakerskiego), administrator ma obowiązek zgłosić je organowi nadzorczemu (w Polsce Prezesowi Urzędu Ochrony Danych Osobowych) bez zbędnej zwłoki, w miarę możliwości, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jeśli zgłoszenie następuje po 72 godzinach, musi być wyjaśniona przyczyna opóźnienia. Podmiot przetwarzający po stwierdzeniu naruszenia zgłasza je administratorowi bez zbędnej zwłoki. Administrator musi także zawiadomić osobę, której dane dotyczą, o naruszeniu bez zbędnej zwłoki, jeśli może ono powodować wysokie ryzyko naruszenia jej praw lub wolności. Zawiadomienie powinno być jasne i prostym językiem opisywać charakter naruszenia i zastosowane środki. Administrator dokumentuje wszelkie naruszenia.

Rola Inspektora Ochrony Danych (IOD)

IOD, jeśli został wyznaczony, ma za zadanie monitorować przestrzeganie RODO, analizować i sprawdzać przetwarzanie danych oraz rekomendować działania. Powinien raportować bezpośrednio najwyższemu kierownictwu administratora. Pracownicy powinni mieć możliwość zgłaszania IOD zauważonych problemów i nieprawidłowości.

Audyty i weryfikacja zgodności

Podmiot przetwarzający musi udostępnić administratorowi wszelkie informacje niezbędne do wykazania zgodności z obowiązkami RODO i umożliwić administratorowi lub upoważnionemu audytorowi przeprowadzanie audytów, w tym inspekcji.

Przekazywanie danych osobowych poza EOG

RODO reguluje przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych (poza Europejski Obszar Gospodarczy). Jest to obszar szczególnie ważny w kontekście globalnego przepływu danych, ułatwianego przez technologię.

Warunki przekazywania

Przekazanie danych poza EOG jest dopuszczalne w oparciu o różne podstawy, np.:

  • Decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony danych w danym państwie trzecim.
  • Zastosowanie odpowiednich zabezpieczeń, takich jak standardowe klauzule umowne.

Nawet zdalny dostęp do danych z państwa trzeciego lub przechowywanie danych w chmurze zlokalizowanej poza EOG jest uznawane za przekazanie.

Środki uzupełniające i transparentność

W przypadku przekazywania danych do państw trzecich, gdzie przepisy prawa (np. dotyczące dostępu organów publicznych do danych) mogą nie zapewniać stopnia ochrony merytorycznie równoważnego z prawem UE, konieczne może być zastosowanie dodatkowych środków uzupełniających. Mogą to być np. środki techniczne (szyfrowanie, pseudonimizacja), środki organizacyjne (jasny podział obowiązków, polityki wewnętrzne, regularne audyty, minimalizacja danych), czy zobowiązania umowne nakładające na odbiorcę danych obowiązek informowania o żądaniach dostępu od organów publicznych i prawnego ich kwestionowania, jeśli jest to możliwe w danym porządku prawnym.

Niezależnie od podstawy przekazania, osoba, której dane dotyczą, ma prawo zostać poinformowana o zamiarze przekazania danych do państwa trzeciego oraz o zastosowanych zabezpieczeniach.

Podsumowanie

RODO stanowi kompleksowy system ochrony danych osobowych, który definiuje kluczowe pojęcia, ustanawia zasady przetwarzania danych oraz przyznaje osobom fizycznym szereg praw, takich jak prawo dostępu, usunięcia danych (prawo do bycia zapomnianym) czy sprzeciwu. W obliczu szybkiego rozwoju technologicznego, w szczególności w zakresie sztucznej inteligencji, przepisy RODO mają zastosowanie do nowych form przetwarzania danych, w tym profilowania i zautomatyzowanego podejmowania decyzji, zapewniając osobom fizycznym konkretne zabezpieczenia i uprawnienia. RODO reguluje także przekazywanie danych osobowych poza Europejski Obszar Gospodarczy, wymagając odpowiedniego stopnia ochrony lub stosowania zabezpieczeń, co ma kluczowe znaczenie w zglobalizowanym świecie. Zrozumienie tych zasad i obowiązków jest niezbędne zarówno dla podmiotów przetwarzających dane (administratorów i podmiotów przetwarzających), jak i dla osób, których dane dotyczą, aby zapewnić należytą ochronę prywatności w cyfrowej rzeczywistości.

Źródła

Przeczytaj również:

  1. Co to są testy penetracyjne (pentest)?
  2. Ransomware: Groźne zagrożenie w cyberprzestrzeni
  3. Cyberbezpieczeństwo: Kompletny Przewodnik – Chroń Siebie i Swój Biznes w Sieci
  4. Rozporządzenie DORA (Digital Operational Resilience Act)
  5. NIS2: Dyrektywa UE, która zmienia cyberbezpieczeństwo
  6. Czym są testy penetracyjne (pentesty) i dlaczego są ważne?