Legalność danych wykorzystywanych do trenowania modeli sztucznej inteligencji stanowi dziś jedno z kluczowych wyzwań dla przedsiębiorców wdrażających rozwiązania oparte na AI. Z perspektywy praktycznej to nie sam algorytm, lecz pochodzenie i charakter danych treningowych w największym stopniu przesądzają o tym, czy dany projekt może zostać bezpiecznie i zgodnie z prawem uruchomiony w środowisku regulowanym. Dane te podlegają bowiem jednoczesnej ocenie na gruncie RODO, prawa autorskiego AI Act, co powoduje, że ryzyka prawne mogą się kumulować już na bardzo wczesnym etapie projektu. Poniżej przedstawiamy najważniejsze obszary, na które przedsiębiorcy – a w szczególności banki i instytucje finansowe – powinni zwrócić uwagę przy planowaniu i wdrażaniu systemów sztucznej inteligencji.
RODO
Na tle regulacji takich jak AI Act czy Data Act, RODO wyróżnia się tym, że nie skupia się na samej technologii, lecz na ochronie osoby fizycznej i jej praw. Z perspektywy RODO nie ma znaczenia czy dane osobowe są wykorzystywane do trenowania modeli sztucznej inteligencji, personalizacji usług czy podejmowania decyzji automatycznych – jeżeli pozwalają one na identyfikację osoby, muszą być przetwarzane zgodnie z ogólnymi zasadami ochrony danych. Ma to szczególne znaczenie w przypadku systemów AI, które z natury operują na dużych zbiorach danych, często obejmujących informacje o klientach.
W praktyce oznacza to, że również projekty oparte na sztucznej inteligencji muszą respektować podstawowe zasady RODO, takie jak minimalizacja danych i przejrzystość. Powinno się wykorzystywać wyłącznie te dane, które są rzeczywiście niezbędne do realizacji jasno określonego celu, a jednocześnie w sposób zrozumiały informować klientów o tym, jak i w jakim zakresie ich dane są wykorzystywane przez algorytmy. Osoby, których dane dotyczą, zachowują przy tym prawo do sprzeciwu wobec przetwarzania, w tym profilowania, a w przypadku, gdy przetwarzanie opiera się na zgodzie – także prawo do jej cofnięcia.
Szczególnie istotnym zagadnieniem w kontekście AI jest zautomatyzowane podejmowanie decyzji. Zgodnie z RODO, osoba fizyczna nie powinna podlegać decyzjom opartym wyłącznie na automatycznym przetwarzaniu, jeżeli wywołują one wobec niej istotne skutki prawne lub w podobny sposób na nią wpływają. W sektorze finansowym dotyczy to w szczególności decyzji kredytowych i scoringowych. W praktyce oznacza to konieczność zapewnienia realnego udziału człowieka w procesie decyzyjnym oraz możliwości zakwestionowania wyniku działania algorytmu.
RODO wymaga również, aby ochrona danych była uwzględniana już na etapie projektowania systemów AI. Choć nie oznacza to obowiązku ujawniania szczegółowych rozwiązań technicznych, przedsiębiorca używający AI powinien być w stanie – przynajmniej na podstawowym poziomie – wyjaśnić na jakich zasadach zapadła decyzja oraz jakie dane miały na nią wpływ. Tylko w ten sposób sztuczna inteligencja może realnie wspierać procesy biznesowe, nie podważając praw klientów ani zaufania.
W tym kontekście warto podkreślić, że publiczna dostępność danych nie oznacza automatycznie legalności ich przetwarzania. Dotyczy to w szczególności sytuacji, w których dane są wykorzystywane do profilowania wywołującego skutki prawne, jak ma to miejsce na przykład przy decyzjach kredytowych. Praktyka organów nadzorczych jednoznacznie pokazuje, że masowe pozyskiwanie danych osobowych w drodze web scrapingu, bez spełnienia obowiązków informacyjnych i bez jasnej podstawy prawnej, wiąże się z wysokim ryzykiem regulacyjnym.
Na marginesie warto również odnotować stanowisko Trybunału Sprawiedliwości UE, który uznał, że tworzenie scoringów kredytowych w oparciu o automatyczne przetwarzanie danych – w tym mechanizmy przypominające AI – może stanowić „zautomatyzowaną decyzję” w rozumieniu art. 22 RODO, jeżeli wywiera istotny wpływ na sytuację klienta. Oznacza to, że takie systemy podlegają pełnym wymogom ochrony danych osobowych, w tym prawu do wyjaśnień i sprzeciwu.
Prawo autorskie
Kolejnym istotnym obszarem ryzyka jest prawo autorskie. Trenowanie modeli AI na cudzych treściach w Unii Europejskiej może co prawda korzystać z wyjątku text and data mining, jednak w przypadku podmiotów komercyjnych ma on charakter warunkowy. Jeżeli podmiot uprawniony z praw autorskich wyraźnie zastrzegł brak zgody na takie wykorzystanie, dostawca technologii nie może legalnie używać danych do trenowania modelu. W praktyce oznacza to, że wykorzystywanie treści objętych paywallem, baz danych o niejasnym pochodzeniu lub zbiorów pozyskanych z naruszeniem regulaminów serwisów internetowych wiąże się z rosnącym ryzykiem sporów cywilnych, a także ryzykiem finansowym i reputacyjnym
AI Act
AI Act wprowadza w Unii Europejskiej nowe podejście do regulacji sztucznej inteligencji, oparte na klasyfikacji systemów AI według poziomu ryzyka, jakie mogą one stwarzać dla użytkowników i rynku. Dla przedsiębiorców oznacza to przede wszystkim konieczność zrozumienia, że nie każdy system AI podlega tym samym wymogom, a zakres obowiązków zależy od tego, do jakich celów dana technologia jest wykorzystywana. W przypadku systemów uznanych za wysokiego ryzyka, kluczowe znaczenie mają m.in. legalność i jakość danych treningowych, odpowiednia dokumentacja, przejrzystość działania systemu oraz zapewnienie nadzoru człowieka nad jego funkcjonowaniem. W praktyce brak kontroli nad pochodzeniem danych lub sposób działania modelu typu „black box” może uniemożliwić zgodne z prawem wdrożenie systemu, niezależnie od jego potencjalnych korzyści biznesowych.
DORA
Systemy AI wspierające kluczowe procesy bankowe, dostarczane przez zewnętrznych vendorów, podlegają rygorom zarządzania ryzykiem ICT. Bank musi mieć możliwość audytu dostawcy, znać łańcuch poddostawców oraz posiadać realny plan wyjścia z danej usługi. Model trenowany na nieznanych lub nieudokumentowanych danych jest w praktyce nieaudytowany, co może prowadzić do naruszenia obowiązków wynikających z DORA, nawet jeśli z perspektywy biznesowej działa poprawnie.
Podsumowując, ten sam błąd popełniony na etapie doboru danych treningowych może jednocześnie prowadzić do naruszenia RODO, prawa autorskiego, AI Act oraz DORA. W praktyce sektor finansowy coraz wyraźniej zmierza w kierunku modeli trenowanych na danych własnych, danych licencjonowanych lub danych syntetycznych, przy jednoczesnym wzmocnieniu kontraktowej kontroli nad dostawcami technologii.
Z perspektywy banków i instytucji finansowych kluczowy wniosek jest jeden: projekt AI nie zaczyna się od wyboru algorytmu, lecz od odpowiedzi na pytanie, czy legalność danych treningowych da się obronić przed regulatorem. Jeżeli na to pytanie nie ma jednoznacznej odpowiedzi, ryzyko prawne projektu może okazać się nieakceptowalne, niezależnie od jego potencjalnych korzyści biznesowych.
Nasza kancelaria zapewnia kompleksowe wsparcie prawne dla firm wdrażających sztuczną inteligencję zgodnie z nowymi regulacjami unijnymi. Więcej o sztucznej inteligencji przeczytasz również na naszym blogu: https://brzoziewskakedziora.pl/blog/
