Równocześnie kwestia wykorzystywania przez systemy AI dużych zbiorów informacji wciąż budzi wiele obaw o prywatność i ochronę danych osobowych. Instytucje finansowe, które w swojej działalności korzystają z rozwiązań sztucznej inteligencji, mogą się zatem zastanawiać, czy nowa regulacja w zakresie AI zmieni znane im zasady ochrony danych osobowych ustanowione przez przepisy ogólnego rozporządzenia o ochronie danych (dalej: RODO). W poniższym artykule przedstawimy, w jaki sposób przepisy AI Act mogą wpłynąć na przetwarzanie danych osobowych przez instytucje finansowe.
Współautorkami tekstu są:
- Alicja Guzy, Manager EY Law
- Weronika Judka, Associate EY Law
Jak w praktyce instytucje finansowe mogą przetwarzać dane w systemach AI?
Sztuczna inteligencja znajduje szerokie zastosowanie w instytucjach finansowych. Jednym z przykładów są systemy AI wykorzystywane do personalizacji interakcji z klientami poprzez zaawansowane systemy CRM (ang. customer relationship management), które pozwalają na analizę zachowań klientów na podstawie ich danych i aktywności. Pozwala to instytucjom finansowym m.in. dostosować oferty produktów do indywidualnych potrzeb klientów. Kolejnymi przykładami są chatboty i wirtualni asystenci, którzy umożliwiają szybką i efektywną obsługę zapytań klientów i często rozwiązują standardowe problemy bez konieczności angażowania pracownika banku.
Sztuczna inteligencja może także analizować ogromne ilości danych, w tym historię kredytową, dochody oraz zachowania zakupowe, aby w czasie rzeczywistym ocenić ryzyko kredytowe i podjąć decyzję o przyznaniu finansowania. Wszystkie te działania przyczyniają się do zwiększenia efektywności operacyjnej, poprawy doświadczenia klienta i minimalizacji ryzyka dla instytucji finansowych. Równocześnie każde z tych zastosowań w celu dostarczenia instytucjom finansowym jak najlepszego rezultatu AI wykorzystuje różnego rodzaje dane osobowe, takie jak informacje o dochodach, imię, przeglądane strony internetowe czy adres IP.
Czy RODO reguluje kwestię przetwarzania danych w systemach AI?
RODO skupia się na szeroko rozumianej ochronie osób fizycznych, których dane osobowe są przetwarzane, a także na przyznaniu tym osobom szeregu praw, które mają zapewnić im adekwatną ochronę w zakresie ich prywatności. W świetle RODO przetwarzanie danych osobowych odnosi się do wszelkich operacji, które są wykonywane na tych danych (np. ich zbieranie, analizowanie czy usuwanie).
Nie ma przy tym znaczenia, czy dane będą zbierane lub w inny sposób przetwarzane manualnie, czy w sposób zautomatyzowany, tj. przy wykorzystaniu różnego rodzaju środków technicznych oraz rozwiązań technologicznych. RODO będzie odnosiło się do technologii sztucznej inteligencji w każdym przypadku, w którym z jej wykorzystaniem będzie się wiązało przetwarzanie danych osobowych. Co istotne, RODO znajdzie zastosowanie do przetwarzania danych na każdym etapie życia AI.
Czy przepisy AI Act faktycznie wpłyną na ochronę danych z RODO w instytucjach finansowych?
Tak jak opisywaliśmy w pierwszym artykule przygotowanym przez EY Law, AI Act będzie pierwszym unijnym dokumentem, który kompleksowo ureguluje kwestie rozwoju i stosowania sztucznej inteligencji. Chociaż AI Act skupia się w dużej mierze na ryzyku związanym ze sztuczną inteligencją oraz ustanowieniem ram bezpiecznego wykorzystania i tworzenia systemów AI, może on w pewnym zakresie wpływać na zasady ochrony danych z RODO.
- Niezależność reżimów
AI Act w swojej treści bezpośrednio odnosi się do kwestii relacji z RODO, wskazując, że AI Act nie wpłynie na stosowanie obowiązujących już unijnych aktów w zakresie przetwarzania danych osobowych takich jak RODO. W konsekwencji RODO i AI Act pozostają niezależnymi reżimami prawnymi i należy je stosować równolegle. AI Act nie będzie tworzyć szczególnych reguł przetwarzania danych, które będą stosowane do systemów AI w miejsce przepisów RODO. Co do zasady nie będzie także samodzielną podstawą do przetwarzania danych osobowych. RODO nadal będzie kluczową regulacją z zakresu ochrony danych osobowych również w kontekście ich przetwarzania w ramach systemów AI. Warto natomiast mieć na względzie, że AI Act i RODO, choć będą funkcjonować jako odrębne ramy prawne, mogą w pewnym stopniu się uzupełniać w kontekście przetwarzania danych osobowych za pomocą systemów sztucznej inteligencji.
- Zautomatyzowane podejmowanie decyzji z art. 22 RODO a nadzór ludzki nad AI
Co do zasady RODO ogranicza możliwość wydawania decyzji, które zostały oparte wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, jeśli decyzja wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Wyłącznie zautomatyzowana decyzja może być natomiast wydana osobie m.in. wtedy, kiedy jest dopuszczona prawem krajowym oraz gdy osoba, której decyzja dotyczy, ma zapewnioną możliwość uzyskania interwencji ludzkiej co do jej wyniku ze strony administratora danych osobowych.
W sektorze finansowym jako przykłady takiej decyzji można wskazać ocenę zdolności kredytowej oraz scoring kredytowy osoby wnioskującej o kredyt w banku, jeśli decyzja jest podejmowana w całości przez zautomatyzowane środki techniczne (np. specjalne oprogramowanie). Na gruncie polskiego prawa Prawo bankowe dopuszcza, aby banki oraz inne instytucje pożyczkowe i kredytowe przetwarzały dane w sposób wyłącznie zautomatyzowany w celu oceny zdolności kredytowej danej osoby oraz dokonania analizy ryzyka kredytowego. Instytucje kredytowe i pożyczkowe muszą natomiast zapewnić potencjalnym kredytobiorcom możliwość uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji w tym zakresie.
AI Act wprowadzi podobny do RODO wymóg nadzoru człowieka nad systemem AI, jeśli jest on uznany za system wysokiego ryzyka. Co więcej, AI Act wymaga, aby nadzór był sprawowany przez osobę, która posiada niezbędne kompetencje, w tym ukończone szkolenia i odpowiednie uprawnienia. AI Act określa systemy, które są wykorzystywane do celów oceny zdolności kredytowej osób fizycznych lub ustalenia ich punktowej oceny kredytowej jako AI wysokiego ryzyka. W sektorze ubezpieczeniowym systemami AI wysokiego ryzyka będą również te przeznaczone do oceny ryzyka i ustalania cen w odniesieniu do osób fizycznych w przypadku ubezpieczenia na życie i ubezpieczenia zdrowotnego. W takim przypadku, jeśli instytucja finansowa nie zapewni nadzoru ludzkiego nad wynikiem decyzji wydanej przez AI, narazi się na kary finansowe przewidziane zarówno przez RODO w zakresie praw osób, których dane będą przetwarzane, jak i za niespełnienie wymogów AI Act.
- Ocena skutków dla ochrony danych a ocena skutków AI na prawa podstawowe
Istotnym podobieństwem pomiędzy AI Act a RODO jest również obowiązek przeprowadzenia oceny skutków systemów AI wysokiego ryzyka dla przestrzegania praw podstawowych. AI Act wprost wymaga, aby ocena skutków sztucznej inteligencji pod kątem wpływu, jaki system może wywrzeć na podstawowe prawa (np. prawo do prywatności), została przeprowadzona m.in. przez podmioty stosujące:
- AI służące do oceny zdolności kredytowej lub scoringu kredytowego oraz
- AI wykorzystywane do ustalania cen dla osób fizycznych w zakresie ubezpieczenia na życie i zdrowotnego.
Ocena skutków systemu AI dla przestrzegania praw podstawowych jest w dużym stopniu zbliżona do znanej z RODO oceny skutków przetwarzania dla ochrony danych osobowych (ang. data protection impact assessment, dalej: DPIA). Podobieństwo to znalazło odzwierciedlenie również w przepisach AI Act: jeśli któryś z elementów składających się na ocenę systemu AI wysokiego ryzyka został już przeanalizowany w ramach DPIA wymaganej przez RODO, ocena skutków systemu AI na podstawowe prawa będzie stanowiła uzupełnienie DPIA. Tym samym instytucje FinTech oraz InsurTech, które korzystają ze wspominanych wyżej systemów AI, będą musiały z jednej strony zadbać o ocenę wpływu przetwarzania danych osobowych w AI w świetle RODO, a z drugiej – dokonać oceny skutków samego systemu AI dla praw podstawowych (włączając w to prawo do prywatności).
- Kary
Instytucje finansowe, które przetwarzają dane osobowe w systemach AI, będą musiały spełnić obowiązki nałożone przez AI Act oraz te wynikające z przepisów RODO. Zgodność z obydwoma aktami ma o tyle istotne znaczenie, że w przypadku, w którym przetwarzanie danych w systemie AI byłoby równocześnie niezgodne z przepisami AI Act oraz RODO (np. w zakresie legalności przetwarzania danych wrażliwych przez AI), bank, czy inna instytucja finansowa, byłby narażony na kary pieniężne za naruszenie z jednej strony RODO, a z drugiej – AI Act.
Podsumowanie
Choć AI Act i RODO będą funkcjonować jako odrębne ramy prawne, ich wzajemne uzupełnianie się w kontekście przetwarzania danych osobowych za pomocą systemów AI może w pewnych przypadkach stwarzać po stronie instytucji finansowych konieczność zapewnienia zgodności z dwoma obowiązkami w zakresie danych osobowych. Będzie to szczególnie ważne dla instytucji finansowych, które w swojej działalności wykorzystują systemy AI klasyfikowane jako stwarzające wysokie ryzyko. Należy jednak pamiętać, że RODO wciąż będzie wyznaczać główne obowiązki w kontekście przetwarzania danych osobowych w systemie AI i związanej z tym ochrony praw osób, których dane dotyczą.
Warto również zauważyć, że oprócz konieczności zapewnienia zgodności z wymogami dotyczącymi danych osobowych na gruncie obydwu aktów niektóre zasady ochrony osób fizycznych zapewnione w RODO są podobne na gruncie AI Act, jednak nie dotyczą bezpośrednio danych osobowych. Przykładem jest wyjątkowo istotne zagadnienie przejrzystości. Podobnie jak w przypadku danych osobowych, które muszą być przetwarzane w sposób przejrzysty dla osoby, której dane dotyczą, zachowanie transparentności w kontekście interakcji systemów AI z osobami fizycznymi jest istotnym zagadnieniem dla instytucji finansowych. Szczegółowej analizy tego wymogu dokonamy w naszym kolejnym artykule.