Uwagi PUODO do projektu ustawy o systemach sztucznej inteligencji

Prezes UODO, Mirosław Wróblewski zgłosił uwagi do przedstawionego mu do zaopiniowania przez ministra cyfryzacji projektu ustawy o systemach sztucznej inteligencji (UC71).

Przedstawiona przez projektodawcę koncepcja sprawowania nadzoru nad systemami sztucznej inteligencji w Polsce wymaga – w ocenie Prezesa UODO – istotnej modyfikacji i dostosowania do postanowień RODO. Jednocześnie konieczne jest doprecyzowanie statusu Prezesa UODO (jego przedstawiciela) w mającej powstać Komisji w sposób gwarantujący niezależne wykonywanie przez niego zadań wynikających z aktów prawa krajowego i unijnego, w tym orzecznictwa TSUE.

Prezes UODO zwrócił uwagę, że zapewniając w porządku krajowym stosowanie aktów prawa unijnego dotyczących sztucznej inteligencji nie można pomijać uprawnień organu nadzorczego i jego wiodącej roli w zakresie ochrony danych osobowych. Wynikają one z RODO, jak i z unijnego Aktu w sprawie sztucznej inteligencji (AI Act).

 1. Rola PUODO jako organu nadzorczego w zakresie nadzoru nad systemami AI przetwarzającymi dane osobowe

Prawa podstawowe, których gwarancje ochrony wynikają z Karty praw podstawowych Unii Europejskiej oraz Traktatu o funkcjonowaniu Unii Europejskiej, podlegają szczególnemu nadzorowi w zakresie zastosowań sztucznej inteligencji. Jednym z tych praw jest prawo do ochrony danych osobowych. Jego przestrzeganie podlega kontroli niezależnego organu, którym w polskim systemie prawa jest wyłącznie Prezes Urzędu Ochrony Danych Osobowych.

Projekt ustawy, kształtując nadzór nad systemami sztucznej inteligencji w Polsce, powinien uwzględniać szczególną pozycję organu nadzorczego do spraw ochrony danych osobowych, wynikającą zarówno z przepisów rozporządzenia AI Act, jak i RODO. Standard ten nie znalazł jednak wyrazu w przepisach projektowanej ustawy, z których nie wynika, że Prezes Urzędu Ochrony Danych Osobowych jest organem wyłącznie właściwym w sprawach ochrony danych osobowych przetwarzanych w ramach systemów sztucznej inteligencji i do niego wyłącznie należy podejmowanie decyzji z zakresu nadzoru nad takimi sprawami.

2. Rola przedstawiciela PUODO w Komisji zajmującej się sztuczną inteligencją w kontekście wymagań dotyczących prywatności

Udział przedstawiciela Prezesa UODO w pracach Komisji byłyby zatem możliwy wyłącznie w charakterze eksperta i przy założeniu nieobjęcia problematyki przetwarzania danych osobowych procesem decyzyjnym Komisji, jest to bowiem wyłączna kompetencja Prezesa UODO. Te gwarancje powinny zostać zapisane w ustawie. Ma to istotne znaczenie w związku z projektowanym przepisem (art. 9 projektu) wskazującym, że członkowie Komisji wspierają Przewodniczącego Komisji w wykonywaniu zadań ustawowych, w szczególności w sprawach będących we właściwości podmiotu, którego są przedstawicielami. Zaś na wniosek Przewodniczącego przedstawiają działania w zakresie rozwijania, wprowadzania, stosowania, kontrolowania lub nadzorowania systemów sztucznej inteligencji w podmiocie, którego są przedstawicielami.

Wskazać należy, że przedstawiciel Prezesa UODO – z racji potrzeby zachowania niezależności, wynikającej wprost z prawa UE – nie może być zobowiązany mocą jakichkolwiek przepisów, w tym projektowanej ustawy, do podejmowania działań na rzecz innego organu ani dostosowywania się do rozstrzygnięć, które potencjalnie mogłyby wkraczać w zakres jego kompetencji.

3. Rola PUODO jako organu nadzoru rynku w świetle art. 74 ust. 8 Aktu w sprawie sztucznej inteligencji

Projektowana ustawa nie odzwierciedla także kompetencji Prezesa Urzędu Ochrony Danych Osobowych wynikających wprost z Aktu w sprawie sztucznej inteligencji. Rodzi to obawy o zgodność projektu ustawy z przepisami rozporządzenia, czyli Aktu w sprawie  sztucznej inteligencji. Zgodnie z wyraźną dyspozycją art. 74 ust. 8 tej regulacji, państwa członkowskie wyznaczają na organy nadzoru rynku swoje organy nadzorcze ds. ochrony danych.

Z przepisu tego wynika, że aby organ nadzorczy do spraw ochrony danych osobowych sprawował nadzór w odniesieniu do systemów określonych w tym przepisie (w tym systemów AI wysokiego ryzyka w zakresie, w jakim systemy te są wykorzystywane do celów ścigania przestępstw, kontroli granicznej oraz w kontekście wymiaru sprawiedliwości i demokracji) – wymagana jest decyzja ustawodawcy krajowego. Rozporządzenie co prawda jest aktem obowiązującym bezpośrednio, jednak w tym przypadku prawodawca unijny zdecydował, że stosowne działania powinno się podjąć się na poziomie krajowym.

Ustawodawca krajowy jest zatem związany tą regulacją – nie może wyznaczyć innego organu niż organ wskazany w art. 74 ust. 8 Aktu w sprawie sztucznej inteligencji, jeżeli nie chce narazić się na zarzut nieprawidłowego wdrożenia przepisów unijnych, to musi takie działanie podjąć.

4.  Rola PUODO w świetle art. 77 Aktu w sprawie sztucznej inteligencji

Zgodnie z art. 77 ust. 1 aktu w sprawie sztucznej inteligencji krajowe organy lub podmioty publiczne, które nadzorują lub egzekwują przestrzeganie praw podstawowych, w odniesieniu do wykorzystywania systemów AI wysokiego ryzyka, mają prawo wnosić o przedstawienie wszelkiej dokumentacji potrzebnej do skutecznego wypełniania ich mandatów.

Zgodnie natomiast z art. 77 ust. 2 Aktu w sprawie  sztucznej inteligencji każde państwo członkowskie wskazuje te organy i podaje ich wykaz do wiadomości publicznej. Przekazują to też Komisji Europejskiej i pozostałym państwom członkowskim. Tymczasem w upublicznionym przez Ministerstwo Cyfryzacji wykazie nie został wskazany organ nadzorczy ds. ochrony danych.

 5. Ryzyka duplikacji i dualizmu (w tym dotyczących kontroli sądowej, SOKiK)

Przepisy RODO dotyczą nadzoru nad sprawami z zakresu przetwarzania danych osobowych regulowanymi przepisami Aktu w sprawie sztucznej inteligencji. Jest to zatem materią, która podlega kompetencjom PUODO. Już obecnie organy nadzorcze – w tym Prezes UODO – podejmują działania wobec operatorów systemów sztucznej inteligencji, którzy nie spełniają swoich obowiązków w procesach przetwarzania danych w zakresie, w jakim wykorzystywane są w uczeniu algorytmów w ramach interakcji z usługami takimi, jak Chat GPT.

W związku z tym, kolejnym istotnym zagadnieniem, do którego należy się odnieść, są te przepisy projektowanej ustawy, które dotyczą nakładania się kompetencji wynikających z obu unijnych regulacji, tj. RODO i AI Act. Żaden z tych aktów nie stanowi o pierwszeństwie jego stosowania wobec drugiego.

Zapewniając w porządku krajowym stosowanie aktów prawa unijnego dotyczących sztucznej inteligencji nie można zatem pomijać uprawnień Prezesa UODO i jego wiodącej roli w zakresie ochrony danych osobowych.

Wszystkie zgłoszone przez organ nadzorczy uwagi znajdują się w zamieszczonej poniżej opinii do projektu ustawy o systemach sztucznej inteligencji.

DOL.401.354.2024