AI Act a RODO – jak nowe przepisy łączą się z ochroną danych osobowych

Wprowadzenie do AI Act i RODO

W erze dynamicznego rozwoju sztucznej inteligencji oraz rosnącej cyfryzacji, prawo staje przed wyzwaniem zapewnienia równowagi między innowacyjnością a ochroną praw podstawowych. Dwa kluczowe akty legislacyjne Unii Europejskiej – AI Act (Akt o sztucznej inteligencji) oraz RODO (Rozporządzenie o ochronie danych osobowych, znane również jako GDPR) – odgrywają fundamentalną rolę w tym procesie.

RODO, obowiązujące od 2018 roku, koncentruje się na ochronie danych osobowych osób fizycznych w Unii Europejskiej. Jego celem jest zapewnienie prywatności obywateli poprzez ustanowienie zasad przetwarzania danych, m.in. poprzez wymogi zgody, minimalizacji danych czy prawa dostępu i usunięcia informacji.

Z kolei AI Act, będący pierwszą kompleksową regulacją dotyczącą sztucznej inteligencji w UE, ma na celu wprowadzenie ram prawnych gwarantujących bezpieczne i etyczne wdrażanie systemów AI. Skupia się przede wszystkim na klasyfikacji ryzyka związanego z zastosowaniami AI oraz określeniu obowiązków dla dostawców i użytkowników tych technologii.

Choć AI Act i RODO mają odmienne obszary regulacyjne – odpowiednio: systemy sztucznej inteligencji oraz ochrona danych osobowych – ich wzajemne oddziaływanie staje się szczególnie istotne w kontekście wykorzystywania AI do przetwarzania danych osobowych. W takim przypadku obie regulacje mogą jednocześnie mieć zastosowanie, wymagając od organizacji podejścia holistycznego do zgodności z prawem.

Zakres regulacji – porównanie AI Act i RODO

Choć zarówno AI Act, jak i RODO to rozporządzenia unijne regulujące obszary związane z technologią i ochroną praw podstawowych, ich zakres zastosowania i główne cele znacząco się różnią. Temat tego artykułu pojawia się w niemal każdej sesji szkoleniowej Cognity – czasem w formie pytania, czasem w formie frustracji.

RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych) koncentruje się na ochronie danych osobowych osób fizycznych w Unii Europejskiej. Ma na celu zapewnienie jednostkom kontroli nad swoimi danymi oraz ujednolicenie przepisów o ochronie danych w całej UE. Zakres RODO obejmuje każdy proces przetwarzania danych osobowych – niezależnie od technologii, jaką się przy tym wykorzystuje, w tym także systemy sztucznej inteligencji.

AI Act (Akt o Sztucznej Inteligencji) z kolei skupia się na regulacji systemów sztucznej inteligencji. Jego celem jest ustanowienie ram prawnych, które zapewnią bezpieczne i etyczne stosowanie AI w UE. AI Act klasyfikuje systemy AI według poziomu ryzyka i przypisuje im odpowiednie obowiązki – od zakazów stosowania, przez wymagania dotyczące transparentności, po obowiązki zgodności i oceny ryzyka.

Najważniejsze różnice między tymi aktami to:

• Przedmiot regulacji: RODO dotyczy danych osobowych, niezależnie od technologii; AI Act reguluje systemy sztucznej inteligencji jako całość – także te, które nie przetwarzają danych osobowych.
• Cel: RODO chroni prywatność i prawa jednostki; AI Act ma na celu zapewnienie bezpiecznego funkcjonowania systemów AI w społeczeństwie i gospodarce.
• Zakres podmiotowy: RODO obowiązuje każdego administratora lub podmiot przetwarzający dane osobowe; AI Act ma zastosowanie do twórców, dostawców i użytkowników systemów AI wprowadzanych na rynek UE lub używanych na jej terytorium.

Te fundamentalne różnice sprawiają, że choć oba akty mogą się wzajemnie uzupełniać, ich stosowanie wymaga odmiennego podejścia prawnego i organizacyjnego.

Wspólne obszary i cele obu rozporządzeń

Choć AI Act i RODO (Rozporządzenie o Ochronie Danych Osobowych) różnią się zakresem i celem, ich współistnienie wynika z potrzeby zapewnienia odpowiedzialnego stosowania technologii, które mogą wpływać na prawa jednostki. Oba akty mają na celu ochronę osób fizycznych — AI Act poprzez regulację systemów sztucznej inteligencji, a RODO przez ochronę danych osobowych.

Podobieństwa i wspólne fundamenty

• Ochrona praw podstawowych: Oba rozporządzenia odwołują się do Karty praw podstawowych UE, koncentrując się na poszanowaniu godności, prywatności i niedyskryminacji.
• Przejrzystość i odpowiedzialność: Zarówno RODO, jak i AI Act wymagają przejrzystości w działaniu systemów – czy to w zakresie przetwarzania danych osobowych, czy też działania algorytmów AI.
• Zarządzanie ryzykiem: Oba akty promują podejście oparte na ocenie ryzyka. RODO wymaga przeprowadzenia oceny skutków dla ochrony danych (DPIA), a AI Act – analizy ryzyka w przypadku systemów wysokiego ryzyka.
• Nadzór i egzekwowanie: W obu przypadkach przewidziano mechanizmy nadzoru – odpowiednio przez organy ochrony danych (np. PUODO) oraz krajowe organy nadzoru AI.

Porównanie kluczowych aspektów

Warto zauważyć, że wiele systemów sztucznej inteligencji przetwarza dane osobowe – np. rozpoznawanie twarzy, analiza emocji czy systemy scoringowe. W takich przypadkach AI Act i RODO nakładają się na siebie, tworząc skomplikowaną, ale potencjalnie komplementarną ramę regulacyjną. Integracja wymogów obu aktów może być wyzwaniem, ale także szansą na budowanie bardziej odpowiedzialnych i zrównoważonych technologii. Aby lepiej zrozumieć, jak skutecznie wdrażać te przepisy w praktyce, warto zapoznać się z Kursem AI Act w praktyce – compliance, ryzyka i obowiązki.

Potencjalne konflikty i wyzwania prawne

Wprowadzenie unijnego rozporządzenia o sztucznej inteligencji (AI Act) stanowi istotny krok w kierunku uregulowania dynamicznie rozwijającej się technologii. Jednakże jego współistnienie z Ogólnym Rozporządzeniem o Ochronie Danych Osobowych (RODO) rodzi szereg potencjalnych konfliktów i wyzwań prawnych, które wymagają szczególnej uwagi ze strony organizacji przetwarzających dane osobowe z wykorzystaniem systemów AI.

Podstawowe różnice między AI Act a RODO wynikają z ich odmiennego zakresu zastosowania i celów:

Na styku tych regulacji pojawiają się liczne wyzwania:

• Rozbieżności definicyjne – pojęcia takie jak „system AI” czy „przetwarzanie danych” mogą mieć różne znaczenia w obu aktach prawnych, co komplikuje ich stosowanie w praktyce.
• Ocena ryzyka – AI Act wprowadza klasyfikację ryzyka systemów AI (np. wysokiego ryzyka), podczas gdy RODO stosuje ocenę skutków dla ochrony danych (DPIA); brak jasnych wytycznych, jak te mechanizmy mają się uzupełniać, może prowadzić do niepewności prawnej.
• Zgoda i przejrzystość – systemy AI mogą działać w sposób trudny do wyjaśnienia (tzw. black-box), co budzi pytania o zgodność z zasadą przejrzystości RODO i uzyskiwaniem świadomej zgody użytkownika.
• Odpowiedzialność prawna – AI Act skupia się na odpowiedzialności dostawców systemów, natomiast RODO na obowiązkach administratorów danych – w przypadku naruszeń trudno określić, kto ponosi odpowiedzialność.

Przykładowo, jeśli firma wdraża system rekrutacyjny AI analizujący CV kandydatów, może podlegać jednocześnie obowiązkom z AI Act (w zakresie przejrzystości algorytmu, zarządzania ryzykiem) oraz RODO (zgoda na przetwarzanie danych, prawo do bycia zapomnianym). Brak spójnego podejścia do spełnienia obu wymogów może skutkować sankcjami z obu reżimów. W czasie szkoleń Cognity ten temat bardzo często budzi ożywione dyskusje między uczestnikami.

Uzupełniające się obowiązki i synergiczne podejście

Chociaż AI Act i RODO (GDPR) różnią się zakresem i celem regulacyjnym, to w praktyce ich stosowanie może prowadzić do komplementarnego i wzajemnie wspierającego się podejścia do ochrony danych osobowych oraz rozwoju bezpiecznej i etycznej sztucznej inteligencji. Uregulowania te odpowiadają na pokrewne wyzwania, ale z różnych perspektyw – RODO skupia się na ochronie danych osobowych i prawach jednostek, natomiast AI Act koncentruje się na ryzykach związanych z technologiami AI, szczególnie w kontekście ich wpływu na prawa podstawowe.

Wspólne stosowanie AI Act i RODO wymaga od organizacji holistycznego podejścia do compliance, w którym obowiązki wynikające z jednego aktu uzupełniają wymogi drugiego. Kluczowe przykłady synergii obejmują:

• Ocena skutków: RODO wprowadza obowiązek przeprowadzenia oceny skutków dla ochrony danych (DPIA), natomiast AI Act przewiduje ocenę ryzyka dla systemów wysokiego ryzyka. Te dwa procesy mogą być integrowane w ramach jednego cyklu zarządzania ryzykiem.
• Transparentność: AI Act promuje przejrzystość działania systemów AI, co może wspierać realizację obowiązków informacyjnych wynikających z RODO, np. art. 13 i 14.
• Prawa jednostki: Zastosowanie AI nie może ograniczać praw osób fizycznych gwarantowanych przez RODO, takich jak prawo dostępu czy sprzeciwu wobec profilowania. AI Act może dodatkowo wzmacniać mechanizmy kontroli, np. w kontekście systemów biometrycznych.
• Zarządzanie danymi: Wymogi AI Act dotyczące jakości danych treningowych i testowych mogą współgrać z zasadami RODO, takimi jak minimalizacja danych, celowość, czy ograniczenie przechowywania.

Warto zauważyć, że skuteczna integracja obowiązków z obu regulacji może być ułatwiona poprzez zastosowanie wspólnych mechanizmów zarządzania zgodnością, np. wdrożenie zintegrowanych polityk ochrony danych i etyki AI lub powołanie zespołów ds. compliance łączących kompetencje prawne, technologiczne i etyczne. W tym kontekście pomocne może być również praktyczne przygotowanie zespołów poprzez udział w specjalistycznych szkoleniach, takich jak Kurs RODO w praktyce: bezpieczeństwo danych osobowych w organizacji.

Współdziałanie AI Act i RODO nie oznacza więc powielania obowiązków, lecz raczej tworzy ramy umożliwiające budowę systemów AI, które są jednocześnie innowacyjne, zgodne z prawem i respektujące prawa człowieka.

Przykłady zastosowań AI przetwarzającej dane osobowe

Sztuczna inteligencja (AI) coraz częściej wykorzystuje dane osobowe w różnych sektorach gospodarki i administracji publicznej. Poniżej przedstawiono wybrane przykłady typowych zastosowań systemów AI, które podlegają jednocześnie przepisom Rozporządzenia o ochronie danych osobowych (RODO) oraz wymogom nadchodzącego Rozporządzenia o sztucznej inteligencji (AI Act).

• Rekrutacja i zarządzanie HR: Systemy AI analizują CV, listy motywacyjne, a także dane behawioralne kandydatów w procesach rekrutacyjnych. Przetwarzanie obejmuje dane identyfikujące, jak również informacje o wykształceniu, doświadczeniu czy wynikach testów psychometrycznych.
• Systemy scoringowe w finansach: Algorytmy używane przez banki i instytucje pożyczkowe do oceny zdolności kredytowej klientów wykorzystują dane osobowe, takie jak historia kredytowa, dochody, wiek czy miejsce zamieszkania.
• Personalizacja usług w e-commerce: Platformy handlu elektronicznego stosują AI do analizy preferencji zakupowych i zachowań użytkowników, aby dostosować rekomendacje produktów, co często wiąże się z przetwarzaniem danych osobowych takich jak historia zakupów, lokalizacja czy dane logowania.
• Narzędzia wspomagające diagnostykę w medycynie: Systemy oparte na AI analizują dane pacjentów, w tym wyniki badań medycznych czy historię leczenia, aby wspomagać lekarzy w podejmowaniu decyzji klinicznych. Dane te mają charakter wrażliwy i podlegają szczególnej ochronie na gruncie RODO.
• Nadzór wideo i rozpoznawanie twarzy: Systemy bezpieczeństwa wykorzystujące AI do rozpoznawania twarzy zbierają i przetwarzają dane biometryczne w celu identyfikacji osób, co budzi szczególne obawy z punktu widzenia prywatności i zgodności z przepisami.
• Asystenci głosowi i chatboty: Interakcje użytkowników z cyfrowymi asystentami często obejmują przetwarzanie danych osobowych (np. imion, zapytań lokalizacyjnych, informacji kontaktowych), co wymaga odpowiedniego zabezpieczenia i przejrzystości działania systemu AI.

Poniższa tabela zestawia przykłady zastosowań AI z kategoriami danych osobowych, które są w nich typowo przetwarzane:

W każdym z powyższych przypadków kluczowe jest nie tylko zapewnienie zgodności z przepisami RODO, ale również ocena ryzyka zgodnie z wymaganiami AI Act, zwłaszcza w kontekście zastosowań uznanych za wysokiego ryzyka.

Zapewnienie zgodności z AI Act i RODO – dobre praktyki

Zapewnienie zgodności z AI Act oraz RODO staje się kluczowym wyzwaniem dla organizacji, które rozwijają i wdrażają systemy sztucznej inteligencji przetwarzające dane osobowe. Choć każde z rozporządzeń koncentruje się na innym obszarze – RODO na ochronie danych osobowych, a AI Act na regulacji systemów AI – istnieje wiele obszarów, w których ich wymagania się uzupełniają. Poniżej przedstawiono dobre praktyki, które mogą pomóc w zapewnieniu zgodności z oboma aktami prawnymi.

• Ocena ryzyka i zgodności – Regularne przeprowadzanie ocen skutków dla ochrony danych (DPIA) zgodnie z RODO oraz oceny ryzyka zgodnie z AI Act (np. klasyfikacja ryzyka systemu AI) pozwala zidentyfikować i ograniczyć potencjalne naruszenia prawa.
• Zasada privacy by design i ethics by design – Już na etapie projektowania systemów AI warto uwzględnić ochronę prywatności (RODO) oraz odpowiedzialność i przejrzystość działania algorytmów (AI Act).
• Transparentność i informowanie użytkowników – Organizacje powinny jasno informować osoby, których dane są przetwarzane, o tym, że mają do czynienia z systemem AI, w jakim celu jest on wykorzystywany i jakie dane są analizowane.
• Ograniczenie zbierania danych – Zgodność z zasadą minimalizacji danych (RODO) powinna iść w parze z ograniczaniem zbędnych informacji w systemach AI, co również zmniejsza ryzyko błędów i uprzedzeń algorytmu.
• Szkolenia i świadomość – Pracownicy rozwijający i wdrażający systemy AI powinni mieć odpowiednią wiedzę na temat przepisów RODO i AI Act, by móc świadomie podejmować decyzje zgodne z prawem.
• Monitorowanie i dokumentacja – Utrzymywanie aktualnej dokumentacji procesów przetwarzania danych oraz działania algorytmów AI pomaga w wykazaniu zgodności (zasada rozliczalności) i przygotowaniu się na ewentualne kontrole.
• Współpraca z inspektorem ochrony danych (DPO) – Włączenie DPO w proces opracowywania i wdrażania systemów AI pozwala na wcześniejsze wykrycie ryzyk i zaplanowanie skutecznych środków zaradczych.

Stosowanie tych dobrych praktyk nie tylko wspiera zgodność z RODO i AI Act, ale także buduje zaufanie użytkowników do technologii AI i wzmacnia kulturę etycznego przetwarzania danych w organizacji.

Wnioski i rekomendacje dla organizacji

Wprowadzenie rozporządzenia AI Act w połączeniu z istniejącym RODO tworzy nową rzeczywistość prawną dla podmiotów wykorzystujących sztuczną inteligencję w przetwarzaniu danych osobowych. Choć oba akty prawne mają odmienne cele — RODO skupia się na ochronie danych osobowych, a AI Act na regulacji systemów AI pod kątem ryzyka — ich współistnienie wymaga spójnego i przemyślanego podejścia ze strony organizacji.

Aby zapewnić zgodność z obiema regulacjami, organizacje powinny już teraz rozważyć podjęcie następujących działań:

• Przeprowadzenie audytu stosowanych systemów AI – celem jest identyfikacja przypadków, w których sztuczna inteligencja przetwarza dane osobowe, oraz ocena poziomu ryzyka z tym związanego.
• Wdrożenie zasady „privacy by design” i „AI by design” – projektowanie systemów AI z uwzględnieniem ochrony danych osobowych oraz zgodności z wymogami AI Act.
• Ustanowienie zespołów multidyscyplinarnych – współpraca działów prawnych, IT, compliance oraz RODO pozwoli lepiej identyfikować ryzyka i spełniać wymagania obu rozporządzeń.
• Aktualizacja polityk wewnętrznych i procedur – dokumentacja powinna zawierać jasne zasady dotyczące wykorzystania AI i przetwarzania danych, w tym ocenę skutków dla ochrony prywatności (DPIA) oraz ocenę ryzyka AI.
• Szkolenia pracowników – podniesienie świadomości zespołów odpowiedzialnych za rozwój i wdrażanie AI w zakresie nowych wymogów regulacyjnych.

Organizacje, które już teraz rozpoczną przygotowania do spełnienia wymogów AI Act i wzmocnią swoje działania w zakresie ochrony danych zgodnie z RODO, zyskają przewagę konkurencyjną oraz ograniczą ryzyko prawne i reputacyjne związane z niezgodnością. W Cognity uczymy, jak skutecznie radzić sobie z podobnymi wyzwaniami – zarówno indywidualnie, jak i zespołowo.

Tworzenie prostych agentów AI – poradnik krok po kroku z przykładami 01 lipca 2025

Możliwości i ograniczenia AI 29 czerwca 2025