Sztuczna inteligencja przestała być rozwiązaniem zarezerwowanym wyłącznie dla największych podmiotów technologicznych. Coraz częściej wspiera codzienne funkcjonowanie małych i średnich przedsiębiorstw, organizacji oraz instytucji publicznych. Widzimy to w automatyzacji obsługi klienta, analizie danych sprzedażowych, wsparciu procesów kadrowych czy w systemach rekomendacyjnych. Każde z tych zastosowań wiąże się jednak z przetwarzaniem danych osobowych, a to oznacza konieczność uwzględnienia wymogów wynikających z RODO już na etapie projektowania i wdrażania rozwiązań opartych na AI.
W praktyce kluczowe znaczenie ma nie sama technologia, lecz zakres i charakter danych, które są analizowane przez algorytmy. Systemy sztucznej inteligencji mogą przetwarzać dane identyfikacyjne klientów, dane kontaktowe, informacje dotyczące historii zakupów, a także dane pracowników, w tym dane związane z oceną efektywności czy przebiegiem zatrudnienia. W określonych branżach pojawia się również ryzyko przetwarzania danych szczególnych kategorii, takich jak dane zdrowotne. Każda z tych sytuacji wymaga indywidualnej oceny pod kątem zgodności z przepisami o ochronie danych osobowych.
Czy korzystanie z AI jest zgodne z RODO? – podstawy prawne i obowiązki administratora danych
Korzystanie ze sztucznej inteligencji samo w sobie nie jest sprzeczne z RODO. Warunkiem jest jednak spełnienie podstawowych zasad przetwarzania danych osobowych, w tym zasady legalności, przejrzystości, minimalizacji danych oraz ograniczenia celu. Oznacza to konieczność jednoznacznego określenia, w jakim celu dane są przetwarzane przez system AI, na jakiej podstawie prawnej się to odbywa oraz przez jaki okres dane będą wykorzystywane.
W przypadku narzędzi opartych na algorytmach uczących się szczególnego znaczenia nabiera obowiązek informacyjny. Osoby, których dane dotyczą, powinny wiedzieć, że ich dane są przetwarzane przy wykorzystaniu sztucznej inteligencji, a także rozumieć ogólne zasady działania takiego systemu. Nie chodzi przy tym o ujawnianie kodu źródłowego, lecz o przekazanie informacji pozwalających na realną ocenę skutków przetwarzania danych.
W sytuacjach, w których AI prowadzi do zautomatyzowanego podejmowania decyzji lub profilowania wywołującego skutki prawne albo w podobny sposób istotnie wpływającego na osobę fizyczną, pojawiają się dodatkowe obowiązki, w tym konieczność przeprowadzenia oceny skutków dla ochrony danych (DPIA).
Automatyczne profilowanie, a prawa kandydatów w rekrutacji AI
Jednym z obszarów, w którym sztuczna inteligencja jest coraz częściej wykorzystywana, są procesy rekrutacyjne. Narzędzia AI wspierają wstępną selekcję CV, analizę kompetencji czy ocenę dopasowania kandydatów do określonych wymagań stanowiskowych. Tego rodzaju rozwiązania niemal zawsze wiążą się z profilowaniem, a niekiedy również z podejmowaniem decyzji w sposób zautomatyzowany.
Z perspektywy RODO kluczowe znaczenie ma zapewnienie kandydatom przejrzystej informacji o tym, że w procesie rekrutacyjnym wykorzystywane są narzędzia AI. Należy wskazać, na jakim etapie system analizuje dane, jakie kryteria są brane pod uwagę oraz czy i w jakim zakresie decyzje algorytmu podlegają weryfikacji przez człowieka. Niedopełnienie tych obowiązków może prowadzić do naruszenia praw osób, których dane dotyczą, a w konsekwencji do odpowiedzialności administratora danych.
Obowiązki firm korzystających ze sztucznej inteligencji
Wdrożenie rozwiązań opartych na sztucznej inteligencji wymaga odpowiedniego przygotowania organizacyjnego i prawnego. W praktyce oznacza to konieczność aktualizacji klauzul informacyjnych, polityk prywatności oraz wewnętrznych procedur związanych z ochroną danych osobowych. Dokumentacja powinna jasno odzwierciedlać fakt korzystania z AI oraz wskazywać, jakie dane są przetwarzane, w jakim celu i na jakiej podstawie prawnej.
Istotnym elementem jest również analiza ryzyka i – w uzasadnionych przypadkach – przeprowadzenie oceny skutków dla ochrony danych. Pozwala to zidentyfikować potencjalne zagrożenia związane z przetwarzaniem danych przez algorytmy oraz wdrożyć środki minimalizujące ryzyko naruszenia praw i wolności osób fizycznych. Takie podejście sprzyja nie tylko zgodności z przepisami, ale także budowaniu zaufania w relacjach z klientami, pracownikami i partnerami biznesowymi.
