AI w urzędach i ministerstwach. Dotarliśmy do dokumentu UODO

Do pisma wysłanego przez Mirosława Wróblewskiego, prezesa Urzędu Ochrony Danych Osobowych do Ministerstwa Cyfryzacji udało nam się dotrzeć, dzięki uprzejmości instytucji.

Przypomnijmy, że w Grupie Roboczej ds. Sztucznej Inteligencji (GRAI) przy Ministerstwie Cyfryzacji ruszyły prace nad przygotowaniem nowej Polityki AI dla Polski. Jednocześnie ukazało się sprawozdanie z realizacji „Polityki dla rozwoju Sztucznej Inteligencji w Polsce od roku 2020” w okresie 2020-2023, które przenalizowaliśmy.

Wskazanie podstawy prawnej

W dokumencie prezes UODO zaleca przegląd aktualnych przepisów w celu zagwarantowania podstaw prawnych Polityki AI:

„Na podstawie przedmiotowego sprawozdania z realizacji „Polityki dla rozwoju Sztucznej Inteligencji w Polsce od roku 2020” w okresie 2020-2023 i przedstawionych w nim kierunkowych podsumowań wnioskować należy, że już aktualnie obowiązujące przepisy i realizowane działania wymagają przeglądu przepisów i dostosowania ich norm, celem zagwarantowania podstaw prawnych dla realizacji zadań w interesie publicznym lub w ramach sprawowania władzy publicznej nawet w części opartych na rozwiązaniach sztucznej inteligencji” – czytamy w piśmie.

Prezes UODO o AI Act

Podobne uwagi PUODO ma do wdrażania Aktu o sztucznej inteligencji, który został właśnie opublikowany w Dzienniku Urzędowym UE i wkrótce zacznie obowiązywać:

„Niezbędne jest dokonanie analizy wzajemnych relacji pomiędzy AI Act a już obowiązującymi w krajowym porządku prawnym przepisami o ochronie danych osobowych poprzez rozważenie, wybranie i zastosowanie rozwiązań zapewniających wyważenie oraz balans interesów jednostek (podmiotów danych), grup jednostek i zidentyfikowanych celów realizowanych przez podmioty publiczne” – napisał PUODO w dokumencie, do którego udało nam się dotrzeć.

„Niezwykle istotnym procesem będzie waluacja przepisów istniejących, ale i zaprojektowanie przepisów prawa zgodnych z rozporządzeniem 2016/679 oraz aktem o sztucznej inteligencji, celem ustalenia podstaw prawnych, zadań, kompetencji oraz wynikających z przepisów granic działania administratorów będących podmiotami publicznymi. Konieczne jest zatem wyważenie oraz odpowiednie określenie w przepisach krajowych podstawy prawnej do przetwarzania danych osobowych w przepisach o właściwej randze dla stanowienia praw i obowiązków w oparciu o cele projektów (ratio legis), o ile ta podstawa prawna nie będzie wynikała bezpośrednio z wdrażanego rozporządzenia” – dodaje PUODO.

Polityka AI zakłada otwarcie danych

Wśród głównych celów dotychczasowej Polityki na 2027 rok znalazł się „wydajny i szybki dostęp do danych” w instytucjach i ich wykorzystywanie przez wszystkich uczestników życia gospodarczego” (cel 1.2.2). Wśród priorytetów nie wskazano bezpieczeństwa. W Polityce AI zabrakło też analizy ryzyk i scenariuszy na wypadek sytuacji krytycznej.

Cel 1.2.2 odnosi się do danych publicznych. Co oznacza ten termin? Wyjaśnia to Paula Skrzypecka, starsza prawniczka w kancelarii Creativa Legal, w rozmowie z CyberDefence24.pl: „Danymi publicznymi, o których mowa w tym dokumencie (Polityka AI – red.) są dane wytworzone przez urząd administracji publicznej (lub na jego zlecenie), które są dostępne dla każdego zainteresowanego do wykorzystania, przetwarzania i udostępniania w dowolnych celach (reguluje to Ustawa z dnia 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego) – tłumaczy ekspertka w rozmowie z naszą redakcją.

„Z tej perspektywy wdrożenie i popularyzacja wykorzystania AI - w tym generatywnej AI - w sektorze publicznym – jeśli mówimy o operacjach na danych publicznych – należy oceniać pozytywnie” – dodaje prawniczka.

Sztuczna inteligencja i zagrożenia w kontekście danych

Wśród jednostek realizujących cel 1.2.2 wskazano m.in. GUS, ZUS, NASK, Ministerstwo Finansów. Warto zaznaczyć, że instytucje i ministerstwa mają dostęp do wrażliwych danych, dlatego przy wprowadzaniu narzędzi sztucznej inteligencji, należy zachować szczególną ostrożność.

O zagrożeniach związanych z wprowadzeniem AI do instytucji publicznych mówi też Paula Skrzypecka: „Pamiętajmy, że efekty data miningu, analiz czy struktur tworzonych przez AI (a które z uwagi na przepisy ustawy o otwartych danych czy unijnego Data Actu lub Data Governance Actu) mogą już być nośnikiem informacji istotnych wywiadowczo czy po prostu ważnych z punktu widzenia zarządzania infrastrukturą krytyczną. I mogą trafić do sektora prywatnego. To sprawia, że efekty pracy AI powinny podlegać systemowemu monitoringowi, nie tylko pod kątem realizacji Polityki jako takiej, ale przede wszystkim użyteczności tych danych – komentuje prawniczka.

„Druga kwestia – opieranie się wyłącznie na efektach zautomatyzowanych analiz może znacząco obniżyć jakość procesów decyzyjnych i samych decyzji, które mogą w oparciu o nie zapadać” – zwraca uwagę ekspertka.

Będziemy śledzić, czy uwagi zgłoszone przez instytucje i ekspertów znajdą odzwierciedlenie w nowej Polityce AI i podczas wdrażaniu Aktu o sztucznej inteligencji.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].