Slajd nr 1 Slajd nr 1
Tło strzałki Strzałka
Header na wersje mobilna
Header na wersje tabletową Header na wersje laptopową
przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Prawny
  3. Ochrona danych
  4. Uczenie maszynowe a prawne aspekty wykorzystania danych

Uczenie maszynowe a prawne aspekty wykorzystania danych

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Uczenie maszynowe oparte jest na dostępie do dużej liczby danych, w tym danych osobowych. Przeczytaj poniższy artykuł i dowiedz się, jakie prawne uwarunkowania należy uwzględnić przy wykorzystaniu danych osobowych dla potrzeb uczenia maszynowego!

Czym jest sztuczna inteligencja i uczenie maszynowe?

Unia Europejska w dokumencie „A definition of AI: main capabilities and disciplines” wskazuje, że przez systemy sztucznej inteligencji (AI) należy rozumieć systemy oprogramowania (a być może także sprzętu) zaprojektowane przez człowieka, które przy złożonym celu działają w wymiarze fizycznym lub cyfrowym poprzez postrzeganie otoczenia przez pozyskiwanie danych, interpretację zebranych danych ustrukturyzowanych lub nieustrukturyzowanych, wnioskowanie na wiedzy lub przetwarzaniu informacji pochodzących z tych danych i decydowaniu o najlepszych działaniach, które należy podjąć, aby osiągnąć dany cel. Systemy AI mogą albo używać reguł symbolicznych, albo uczyć się modelu numerycznego, a także dostosowywać swoje zachowanie, analizując, jak ich poprzednie działania wpływają na środowisko.

Zgodnie z powyższym dokumentem sztuczna inteligencja jako dyscyplina naukowa obejmuje kilka podejść i technik, takich jak uczenie maszynowe, których przykładami są:

  • uczenie głębokie;
  • uczenie się przez wzmacnianie;
  • rozumowanie maszynowe, które obejmuje planowanie, harmonogramowanie, reprezentację i wnioskowanie wiedzy, wyszukiwanie i optymalizację;
  • robotyka, która obejmuje sterowanie, percepcję, czujniki i siłowniki, a także integrację wszystkich innych technik z systemami cyberfizycznymi.

Obowiązki informacyjne w związku z wykorzystaniem danych do uczenia maszynowego

Obowiązkiem administratora danych osobowych przetwarzanych w ramach systemu AI wykorzystującego uczenie maszynowe jest poinformowanie osoby, której dane dotyczą, o podstawie prawnej, w oparciu na której jej dane osobowe są przetwarzane w celu trenowania algorytmu.

RODO dopuszcza następujące podstawy prawne przetwarzania danych osobowych:

  • zgoda osoby, której dane dotyczą, na przetwarzanie jej danych osobowych w jednym lub większej liczbie określonych celów;
  • niezbędność przetwarzania do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  • niezbędność przetwarzania do wypełnienia obowiązku prawnego ciążącego na administratorze;
  • niezbędność przetwarzania do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  • niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Ustalenie, czy administrator posiada odpowiednią podstawę prawną do przetwarzania danych do celów rozwijania systemu uczenia maszynowego, jest punktem wyjścia dla legalnego przetwarzania danych w ramach ML. Administrator danych przetwarzanych w ramach systemu AI powinien odpowiednio dobrać jedną z powyższych podstaw i poinformować o niej osobę, której dane dotyczą.

Administrator informuje osobę, której dane dotyczą, nie tylko o podstawie przetwarzania jej danych, lecz także powinien wypełnić pozostałe wynikające z RODO obowiązki informacyjne.

Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas ich pozyskiwania podaje jej wszystkie następujące informacje:

  • swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  • gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  • cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
  • jeżeli przetwarzanie odbywa się na podstawie uzasadnionego interesu – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  • gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.

Poza powyższymi informacjami podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  • jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, dodatkowo informacje o źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych. W takim wypadku informacje administrator podaje w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych, a jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

Przykład 1.

Wykorzystanie danych do uczenia maszynowego stanowi zautomatyzowane przetwarzanie, które może być także kwalifikowane jako profilowanie. Czy przepisy prawa wiążą z tym faktem dodatkowe obowiązki? 

Tak, zgodnie z RODO osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Administrator powinien wdrożyć właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji. Decyzje nie mogą opierać się na szczególnych kategoriach danych osobowych, chyba że zastosowanie mają wyjątki wynikające z RODO i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.

Pozostałe obowiązki administratora danych przetwarzanych w ramach uczenia maszynowego

Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Ocena skutków dla ochrony danych jest wymagana w szczególności w przypadku systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną.

Przetwarzanie danych osobowych w celu uczenia maszynowego z dużym prawdopodobieństwem należy zakwalifikować jako powodujące wysokie ryzyko naruszenia praw i wolności osób fizycznych – w związku z czym ocena skutków dla ochrony danych powinna być przeprowadzona przez administratora.

Istotnym obowiązkiem administratora przetwarzającego dane osobowe w celu uczenia maszynowego jest przestrzeganie tzw. zasady minimalizacji danych czyli przetwarzanie danych w sposób adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane.

Twórca systemu AI opartego o uczenie maszynowe powinien już w fazie budowy systemu wdrażać odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą. Administrator powinien także wdrożyć odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

Polecamy:

Sztuczna inteligencja (AI) – jak korzystać z niej zgodnie z prawem?

Cyberbezpieczeństwo - ustawa o krajowym systemie c...
Bezpieczeństwo skrzynek elektronicznych - jakie są...
Kwiecień 2024
28
Niedziela
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT 7K
  • VAT UE (elektroniczna)
  • PIT 28
  • PIT 36
  • PIT 36L
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  3. Wymeldowanie z pobytu stałego - jak wymeldować siebie lub inną osobę?
  4. Profil zaufany a podpis elektroniczny. Czym się różnią?
  5. 7 zasad, które warto znać, jak zaliczyć wpłatę otrzymaną od kontrahenta
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Akt o Usługach Cyfrowych jako pomoc w ochronie danych w sieci

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

KSeF, VIDA, akcyza, VAT tematami 8. Kongresu Podatkowego Lewiatan
semKRK#22 BIG - marketing internetowy
Ochrona danych osobowych 2018-2024 - wyzwania w cyfrowej rzeczywistości
XVIII Kongres ICV POLSKA (Controlling Intelligence Adventure 2024)
Open Source Day już 18 kwietnia w Warszawie! Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów