Analiza ryzyka ochrony danych osobowych w związku z zastosowaniem systemu AI

Zestawienie podstawowych ryzyk dla ochrony danych osobowych w związku z zastosowaniem systemu AI

A. Ryzyko naruszenia art. 5 ust. 1 lit. a RODO-2023-05-15-001

Zasada przejrzystości przetwarzania zakłada, że dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”).

B. Ryzyko naruszenia art. 5 ust. 1 lit. b RODO-2023-05-15-002

Zasada ograniczenia celu przetwarzania zakłada, że dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”).

C. Ryzyko naruszenia art. 5 ust. 1 lit. c RODO-2023-05-15-003

Zasada minimalizacji danych zakłada, że dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”).

D. Ryzyko naruszenia art. 5 ust. 1 lit. d RODO-2023-05-15-004

Zasada prawidłowości przetwarzania zakłada, że dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”).

E. Ryzyko naruszenia art. 13 ust. 2 lit. f, art. 14 ust. 2 lit. g oraz art. 15 ust. 1 lit. h oraz art. 22 RODO-2023-05-15-005

Uprawnienia osób przysługujące w przypadku 1) prawo do istotnych informacji o zastosowaniu zautomatyzowanego podejmowania decyzji: mechanizmów zautomatyzowanego podejmowania decyzji (w tym o profilowaniu) oraz o zasadach podejmowania decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania; 2) prawo do zakwestionowania tej decyzji; 3) prawo do uzyskania interwencji ludzkiej; 4) prawo do wyrażenia własnego stanowiska.

F. Ryzyko naruszenia art. 22 RODO-2023-05-15-006

Legalność przetwarzania danych w związku ze 1) jest niezbędna do zawarcia lub wykonania umowy zautomatyzowanym podejmowaniem decyzji i prawo osoby do niepodlegania takiej decyzji, chyba że 2) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, lub 3) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

G. Ryzyko braku odpowiednich zabezpieczeń, przeprowadzenia analizy ryzyka naruszeń praw lub wolności osób fizycznych lub braku zapewnienia możliwości ich wykazania

Organizacja systemu ochrony danych osobowych zgodnie z RODO-2023-05-15-007 opiera się na zasadzie adekwatności rozwiązań do ryzyka naruszeń praw lub wolności osób fizycznych oraz konieczności wykazywania wdrożonych rozwiązań i spełnianych obowiązków (art. 5 ust. 1 lit. f i ust. 2, art. 24, 25, 32, 35 RODO), co oznacza: 1) dane osobowe mają być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”), a administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”); 2) uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator ma wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać – środki te mają być w razie potrzeby poddawane przeglądom i uaktualniane; 3) wykazywanie wprowadzenia zabezpieczeń technicznych i organizacyjnych oraz uwzględnianie ochrony danych w fazie projektowania oraz domyślnej ochrony danych; 4) wykazywanie analizy pod kątem oceny skutków dla ochrony danych osobowych.

H. Ryzyko nieprawidłowego powierzenia przetwarzania danych osobowych

Powierzenie przetwarzania danych osobowych to stan faktyczny, z którym RODO-2023-05-15-008 wiąże określone konsekwencje prawne (art. 28 RODO): 1) brak weryfikacji podmiotu przetwarzającego; 2) brak umowy powierzenia przetwarzania danych osobowych lub nieadekwatna jej treść; 3) nieuprawnione lub nieprawidłowe dalsze powierzenie przetwarzania danych osobowych; 4) nieuprawniony transfer danych do państwa trzeciego.

I. Ryzyko braku lub niekompletnego rejestru czynności przetwarzania

Każdy administrator prowadzi rejestr czynności przetwarzania danych osobowych (art. 30 RODO), przy czym: 1) rejestr czynności przetwarzania musi odpowiadać wymogom co do treści określonym w RODO; 2) rejestr czynności musi być aktualny i odpowiadać istniejącemu stanowi faktycznemu.

J. Ryzyko niemożliwości wykazania lub nieadekwatnego wykazania dokonania prawnej i etycznej oceny rozwiązań informatycznych z zastosowaniem sztucznej inteligencji – kwestie dokumentacyjne w kontekście ochrony danych osobowych

Projektowanie rozwiązań z użyciem AI będzie wymagało każdorazowo dokonania oceny w zakresie: 1) czy dla osoby, której dane dotyczą, przetwarzanie danych osobowych będzie dokonywane w sposób przejrzysty, a więc czy została poinformowana o wszystkich procesach przetwarzania jej danych osobowych; 2) czy dane osobowe będą wykorzystywane wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach, dla których zostały zebrane, oraz czy przetwarzanie danych dokonywane przez administratora nie wykracza poza cele zakomunikowane osobie, której dane dotyczą; 3) czy dane osobowe gromadzone przez AI i przetwarzane w związku z jej wykorzystaniem będą adekwatne w stosunku do tych celów i czy nie będą nadmierne; 4) czy zgromadzone dane będą prawidłowe, jeśli ich zbierania lub weryfikacji będzie dokonywała AI; 5) czy osoba, której dane dotyczą, jest w stanie ocenić szczegółowe zasady podejmowania decyzji mające zastosowanie w jej sprawie lub potencjalne wyniki ich zastosowania; 6) jakie dane będą reprezentowane jako dane wejściowe dla danego mechanizmu zautomatyzowanego podejmowania decyzji; 7) czy określony zbiór danych jest przekładany i przetwarzany na konkretne wyniki i jest zrozumiały, czy wybór i konstrukcja odpowiednich cech danych, na których opiera się konkretna decyzja, oraz zbiór zasad opisujących, w jaki sposób określony zbiór danych jest przetwarzany i przekładany, umożliwia osobie, której dane dotyczą, ocenę, dlaczego podjęto decyzję o określonej (a nie innej) treści; 8) czy zastosowany mechanizm zautomatyzowanego podejmowania decyzji współdziała z innymi operacjami przetwarzania danych oraz czy wyniki jego zastosowania mogłyby być lub będą wykorzystane także w innych celach i w innym zakresie; 9) czy osoby, których dane dotyczą, otrzymują jednoznaczne informacje co do tego, jakie podmioty są zaangażowane w proces podejmowania decyzji i odpowiedzialne za ostateczny rezultat; 10) w jaki sposób zapewniony jest warunek efektywności prawa do interwencji ludzkiej, tzn. uczestnictwo osoby fizycznej w procesie jest zapewnione w ten sposób, że osoba biorąca w nim udział jest wyposażona w kompetencję do zmiany decyzji podejmowanej w sposób zautomatyzowany oraz ma uprawnienie do przeprowadzenia ponownej oceny wszystkich zebranych danych oraz uwzględnienia istotnych informacji dodatkowych dostarczonych przez osobę, której dane dotyczą, jeżeli algorytm takie informacje bezpodstawnie pominął; 11) w jaki sposób zapewniony jest warunek efektywności prawa do interwencji ludzkiej, tzn. czy osoba przeprowadzająca interwencję posiada specjalistyczną wiedzę na temat mechanizmów zautomatyzowanego podejmowania decyzji oraz logiki operacyjnej zastosowanych algorytmów; 12) w jaki sposób zapewniony jest warunek efektywności prawa do interwencji ludzkiej, tzn. czy osoba przeprowadzająca interwencję ma możliwość odtworzenia i wyjaśnienia osobie, której dane dotyczą, w jaki sposób dane wejściowe zostały przetworzone i przełożone na decyzję o określonej treści, a zatem czy ma możliwość ocenić jakość zbioru danych wejściowych, zweryfikować działanie zastosowanego algorytmu, przeprowadzić analizę scenariusza alternatywnego; 13) czy zapewnione zostało prawo do wyrażenia własnego stanowiska przez osobę, której dane dotyczą, tzn. w jaki sposób realizowany będzie obowiązek po stronie administratora do uwzględnienia tego stanowiska w procesie podejmowania decyzji oraz odniesienia się do niego.