AI Act a RODO: gdzie się nakładają i czym się różnią
Wiele firm pyta, czy skoro mają wdrożone RODO, to AI Act ich nie dotyczy albo jest tym samym w nowym opakowaniu. To dwa różne akty, które stosuje się równolegle. RODO chroni dane osobowe, a AI Act reguluje systemy sztucznej inteligencji i podchodzi do nich jak do produktu, którego bezpieczeństwo trzeba zapewnić. Zgodność z jednym nie oznacza automatycznie zgodności z drugim.
W tym artykule wyjaśniamy po polsku, gdzie oba akty się nakładają, a gdzie różnią, i co z tego wynika dla firmy, która używa AI do przetwarzania danych ludzi.
Dwa różne cele
RODO, czyli rozporządzenie (UE) 2016/679, chroni osoby fizyczne w związku z przetwarzaniem ich danych osobowych. Punktem odniesienia jest dana osobowa i prawa człowieka, którego ona dotyczy. AI Act, czyli rozporządzenie (UE) 2024/1689, to regulacja oparta na ryzyku, która dotyczy systemów AI niezależnie od tego, czy akurat przetwarzają dane osobowe. Punktem odniesienia jest tu system i ryzyko, jakie stwarza. Dlatego oba akty mogą obowiązywać jednocześnie, ale odpowiadają na inne pytania.
Gdzie się nakładają
Nakładanie pojawia się wtedy, gdy system AI przetwarza dane osobowe, a to bardzo częsty przypadek, na przykład w rekrutacji, obsłudze klienta czy ocenie wniosków. Wówczas:
- z RODO wynika obowiązek posiadania podstawy prawnej przetwarzania, minimalizacji danych, poszanowania praw osób i, w razie wysokiego ryzyka dla osób, przeprowadzenia oceny skutków dla ochrony danych (DPIA),
- z AI Act wynikają wymogi dotyczące jakości i zarządzania danymi, nadzoru człowieka, przejrzystości, a dla systemów wysokiego ryzyka także oceny skutków dla praw podstawowych.
W praktyce te obowiązki się uzupełniają: RODO pilnuje danych, AI Act pilnuje sposobu działania systemu.
DPIA a FRIA: dwie różne oceny
Łatwo pomylić dwie oceny skutków. DPIA z art. 35 RODO dotyczy ryzyka dla ochrony danych osobowych. FRIA, czyli ocena skutków dla praw podstawowych z art. 27 AI Act, dotyczy szerszego wpływu systemu wysokiego ryzyka na prawa osób i wykonują ją niektóre podmioty stosujące. To osobne narzędzia, choć mogą się zazębiać. AI Act przewiduje, że jeśli firma i tak ma obowiązek wykonać DPIA, ocena z AI Act może ją uzupełniać, zamiast dublować pracę.
Dane wrażliwe i decyzje automatyczne
Dwa punkty warto znać. Po pierwsze, AI Act w art. 10 dopuszcza w ograniczonym zakresie przetwarzanie szczególnych kategorii danych po to, by wykrywać i korygować stronniczość systemów wysokiego ryzyka, ale z zabezpieczeniami, co trzeba czytać razem z art. 9 RODO. Po drugie, RODO w art. 22 daje osobie prawo, by co do zasady nie podlegać decyzji opartej wyłącznie na automatycznym przetwarzaniu, jeśli wywołuje ona istotne skutki. AI Act dokłada do tego wymóg nadzoru człowieka nad systemami wysokiego ryzyka. Te reguły działają obok siebie.
Inne akty, inne organy
Różne są też organy. Nad RODO w Polsce czuwa Prezes Urzędu Ochrony Danych Osobowych (UODO). Nad AI Act ma czuwać nowy urząd, o którym piszemy w artykule o ustawie o systemach sztucznej inteligencji i KRiBSI. Praktyczny wniosek: przygotowanie do AI Act warto powiązać z istniejącymi procesami RODO, na przykład włączyć je do polityki AI w firmie, ale nie można założyć, że jedno załatwia drugie.
Chcesz zobaczyć, gdzie u Ciebie AI i dane osobowe spotykają się najmocniej? Darmowy skan strony pokazuje publiczne sygnały ryzyka w 2 minuty, a pełny audyt z raportem porządkuje obowiązki z obu obszarów.
Najczęstsze pytania (FAQ)
Czy zgodność z RODO wystarczy, żeby spełnić AI Act?
Nie. To dwa różne akty o różnych celach. RODO chroni dane osobowe, a AI Act reguluje systemy AI i ich ryzyko. System zgodny z RODO może nadal nie spełniać wymogów AI Act, na przykład w zakresie nadzoru człowieka, przejrzystości czy jakości danych.
Czym różni się DPIA od FRIA?
DPIA z RODO ocenia ryzyko dla ochrony danych osobowych, a FRIA z AI Act ocenia wpływ systemu wysokiego ryzyka na prawa podstawowe. To osobne oceny, które mogą się uzupełniać, gdy firma i tak wykonuje DPIA.
Czy AI Act dotyczy tylko systemów przetwarzających dane osobowe?
Nie. AI Act dotyczy systemów AI niezależnie od tego, czy przetwarzają dane osobowe. RODO wchodzi do gry dopiero wtedy, gdy w grę wchodzą dane osobowe, ale AI Act może obowiązywać także bez nich.
Który organ zajmuje się AI Act, a który RODO?
W Polsce nad RODO czuwa UODO, a nad AI Act ma czuwać Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI) powoływana przez ustawę o systemach sztucznej inteligencji.
Źródła
Sprawdź swoją firmę pod AI Act
Bezpłatny skan strony: 3 publiczne sygnały ryzyka w 2 minuty, bez rejestracji.
Zrób darmowy skanTen artykuł to analiza edukacyjna, przygotowana z pomocą AI pod nadzorem człowieka, nie porada prawna. Sporne przypadki wymagają konsultacji z radcą prawnym.