Będzie przegląd przepisów, a być może propozycja nowych regulacji dotyczących profilowania. Wezwał do tego Parlament Europejski
Co mówi RODO / DGP
Wirtualny asystent na stronie internetowej kancelarii prawnej ocenia, czy zajmie się ona naszym problemem, bank decyduje, czy przyzna kredyt i na jakich warunkach, na podstawie osiągniętego scoringu, a portal społecznościowy wyświetla reklamy, bazując na tym, co oglądał użytkownik. Każdy z nas jest profilowany i nie da się już od tego uciec. Wraz z rozwojem sztucznej inteligencji proces ten będzie postępował. Właśnie dlatego Parlament Europejski uważa, że konieczny jest przegląd regulacji dotyczących profilowania.

Postulaty parlamentu

„PE z zadowoleniem przyjmuje potencjał zautomatyzowanego podejmowania decyzji w celu świadczenia konsumentom innowacyjnych i udoskonalonych usług, w tym nowych usług cyfrowych, takich jak wirtualni asystenci i wirtualni doradcy; uważa jednak, że (...) konsumenci (...) powinni być należycie poinformowani o tym, w jaki sposób ten system działa, jak dotrzeć do człowieka dysponującego uprawnieniami decyzyjnymi oraz w jaki sposób można kontrolować i korygować decyzje podejmowane przez system” – napisano w rezolucji przegłosowanej w ubiegłym tygodniu i skierowanej do Komisji Europejskiej. Ta ma dokonać przeglądu prawa, sprawdzić, na ile ono się sprawdza i – jeśli będzie taka potrzeba – zaproponować nowe regulacje.
PE wskazał na konieczność monitorowania skuteczności istniejących regulacji w kontekście rozwoju technologii. Problemów jest sporo. Większość współczesnych systemów sztucznej inteligencji oparta jest na automatycznym wyszukiwaniu korelacji w ogromnych zbiorach danych. Może to prowadzić do dyskryminacji mniejszości, szczególnie jeżeli do analizy wykorzystano dane nieodpowiedniej jakości lub niedostatecznie sprawdzony algorytm – zwraca uwagę dr Zbigniew Okoń, radca prawny i partner w kancelarii Maruta Wachta.
W rezolucji podkreślono konieczność uwzględnienia w procesach biznesowych kontroli pozwalającej na wychwycenie i korektę błędów, zapewnienia, aby w kwestiach istotnych człowiek nadal mógł zmienić decyzję podjętą przez maszynę i aby osoby dotknięte błędem mogły dochodzić roszczeń.
– Interesującym pomysłem jest wyposażenie regulatorów rynku w uprawnienia pozwalające na kontrolę tego, czy stosowane algorytmy są należycie wytłumaczalne i bezstronne – dodaje prawnik.

Niewiele wiemy

Profilowanie jest dzisiaj regulowane przede wszystkim w RODO. Artykuł 22 unijnego rozporządzenia pozwala osobie, której dane są przetwarzane, na wyrażenie sprzeciwu wobec zautomatyzowanego podejmowania decyzji. Od tej reguły są jednak wyjątki. Nie można zakazać profilowania, gdy jest to niezbędne do zawarcia lub realizacji umowy lub gdy osoba podlegająca zautomatyzowanemu podejmowaniu decyzji wyrazi na to zgodę. Trzeci wyjątek dotyczy sytuacji, gdy zgoda na profilowanie wynika z prawa unijnego lub krajowego. Z tej ostatniej możliwości skorzystał polski ustawodawca, pozwalając na nie w przypadku podejmowania decyzji kredytowych przez banki. Wywołało to ożywioną dyskusję podczas prac nad krajową ustawą o ochronie danych osobowych (t.j. Dz.U. z 2019 r., poz. 1781 ze zm.).
Ostatecznie ustawowa zgoda została obwarowana dodatkowym uprawnieniem dla klientów. Mogą żądać od banku informacji, co zdecydowało o takiej, a nie innej ocenie ich zdolności kredytowej.
Problem w tym, że przepisy sobie, a praktyka sobie.
– Testowaliśmy nowe uprawnienia jako klienci banków. Wyjaśnienia ocen kredytowych, jakie otrzymywaliśmy, były bardzo rozczarowujące. Nie wynika z nich ani to, jakie czynniki i dane osobowe bank wziął pod uwagę, ani jaka była „logika” ostatecznego rozstrzygnięcia – ocenia Katarzyna Szymielewicz, prezeska Fundacji Panoptykon.
Wskazując wprost, banki mówią na temat profilowania tyle, ile same chcą powiedzieć.
– Pewne regulacje na temat zautomatyzowanego podejmowania decyzji można znaleźć również w innych aktach unijnych. Chociażby w niedawno uchwalonej dyrektywie 2019/2161 w sprawie lepszego egzekwowania i unowocześnienia unijnych przepisów dotyczących ochrony konsumenta, która przy sprzedaży na odległość i poza lokalem przedsiębiorstwa nakłada obowiązek informowania o tym, że cena towaru lub usługi została indywidualnie dostosowana w oparciu o zautomatyzowane podejmowanie decyzji – zauważa dr Zbigniew Okoń.

Potrzebne doprecyzowanie

Nasi rozmówcy są zgodni, że przegląd regulacji dotyczących profilowania i ocena ich skuteczności są wskazane.
– Zaczyna przeważać stanowisko, że człowiek powinien zawsze odpowiadać za system o charakterze autonomicznym, gdyż to od niego zależy, czy pozwoli tym systemom nie tylko zarekomendować odpowiednie działania, ale także je wykonać bez potrzeby wcześniejszego zatwierdzenia. Widać także trend szerokiego patrzenia na kwestię odpowiedzialności za takie systemy. Ich użytkownik ma bowiem mniejszy wpływ na sposób działania niż np. ich producent, który może zdalnie, często bez wiedzy użytkownika, zaktualizować lub zmienić sposób ich działania – ocenia Tomasz Zalewski, partner w kancelarii Bird & Bird i prezes Fundacji LegalTech Polska.
Jego zdaniem nie będzie zgody na systemy, których sposób działania nie będzie możliwy do analizy i wytłumaczenia.
– Nie oznacza to jednak, że regulacje będą tamowały rozwój takich systemów, zwłaszcza tych opartych na sztucznej inteligencji. Uważam, że wręcz przysłużą się ich rozwojowi, gdyż pozwolą na ograniczenie obaw i ryzyk związanych z korzystaniem z tych narzędzi – dodaje Tomasz Zalewski.
Zdaniem Katarzyny Szymielewicz czas pokazał, że gwarancje, jakie daje nam RODO, w tym prawo do wyjaśnienia decyzji podejmowanych automatycznie, powinny zostać doprecyzowane.
– Wobec perspektywy sztucznej inteligencji w każdej lodówce potrzebujemy reguł, które wyjdą poza to, co jest w RODO i zabezpieczą nas – jako społeczeństwo – przed ryzykami związanymi z tą technologią – przekonuje.
Uważa, że UE powinna wprowadzić obowiązkową ocenę oddziaływania systemów, które wykorzystują automatyczną analizę danych (nie zawsze osobowych, ale zwykle dotyczących ludzi, np. big data).
– Potrzebujemy też standardów przejrzystości dla algorytmów i konkretnych wskazówek, jak ma wyglądać wyjaśnienie automatycznie podjętej decyzji. Krok w tym kierunku już zrobił brytyjski organ ochrony danych, publikując ciekawe wytyczne dotyczące wyjaśnialności. Teraz czekamy na Komisję Europejską – podkreśla.
Konsumenci coraz częściej zwyczajnie nie wiedzą, co zawierają urządzenia, które kupują, jak je obsługiwać i konfigurować, by zbytnio nie ingerowały w prywatność. Dlatego też PE postuluje nałożenie na producentów obowiązków informowania o sposobach korzystania z produktów wyposażonych w zautomatyzowane zdolności decyzyjne.
– Problem ten dobrze ilustruje głośny przypadek, gdy asystentka głosowa poradziła swojej użytkowniczce, aby „dźgnęła się w serce i zabiła dla dobra planety”. Choć ponoć taka odpowiedź była wynikiem nieprawidłowej konfiguracji urządzenia, a producent przeprosił i poinformował, że usterka została już usunięta – zauważa dr Zbigniew Okoń.