Szybki rozwój technologii opartych na sztucznej inteligencji, uczeniu maszynowym i skomplikowanych algorytmach sprawia, że dane osobowe stają się paliwem dla rozwoju gospodarki w XXI wieku.

Czy RODO zapewnia ochronę danych adekwatną do skali zagrożeń związanych z rozwojem technologicznym? Z takim pytaniem zwróciła się do Europejskiej Rady Ochrony Danych (EROD) jedna z posłanek do Parlamentu Europejskiego, Sophie i’nt Veld. Chodziło konkretnie o tzw. nieuczciwe algorytmy, których zastosowanie może prowadzić do negatywnych skutków dla jednostki, np. naruszenie jej prawa do równego traktowania.

W odpowiedzi na powyższe zapytanie EROD stwierdziła, że każde przetwarzanie danych z użyciem algorytmów podlega pod regulacje RODO.

Rozporządzenie obejmuje swoim zasięgiem zarówno tworzenie, jak i stosowanie większości współczesnych algorytmów. Z kolei neutralność technologiczna RODO sprawia, że rozwiązania, które są dopiero w fazie projektowania, także muszą uwzględniać wymogi rozporządzania.

Punktem wyjścia dla firmy wykorzystującej w swoich innowacyjnych produktach lub usługach algorytmy bazujące na przetwarzaniu danych osobowych, powinny być naczelne zasady ochrony tych danych. Są one wskazane w art. 5 RODO. Szczególnie istotne w tym kontekście jest zasada minimalizacji danych.

Równie ważna jest zasada przejrzystości, która w praktyce jest realizowana w drodze spełnienia obowiązku informacyjnego. Z przypadku rozwiązań bazujących na uczeniu maszynowym opis stosowanych mechanizmów w sposób jasny i zrozumiały dla osoby, której dane dotyczą, może być pewnym wyzwaniem.

Z kolei praktycznymi narzędziami na uniknięcie lub zminimalizowanie potencjalnych zagrożeń związanych z algorytmami będą, wedle wskazań EROD:

1. podejście oparte na ryzyku,

2. ochrony danych w fazie projektowania (privacy by design),

3. domyślna ochrona danych (privacy by default).

W przypadku gdy w ramach danego rozwiązania stosowane są złożone algorytmy konieczna może się okazać ocena skutków dla ochrony danych (DPIA). Mechanizmem bezpieczeństwa jest również prawo jednostki do tzw. „ludzkiej interwencji”. Zgodnie z art. 22 RODO, co do zasady niedozwolone jest podejmowanie w stosunku do jednostki decyzji, która byłaby oparta wyłącznie na zautomatyzowanym przetwarzaniu.

W praktyce bardzo istotne w kontekście sposób działania algorytmu uczenia maszynowego będzie jakość danych wejściowych. Jeżeli dane jakie zostaną wprowadzone do systemu będą stronnicze, to wynik działania algorytmu także będzie dotknięty wadą braku obiektywizmu.

Właściwa implementacja ogólnych zasad przetwarzania i poszczególnych narzędzi ochrony danych tych rozwiązań powinna zapewnić zgodność przetwarzania z prawem, jego transparentność oraz brak dyskryminacji osób, których dane dotyczą.

W niektórych przypadkach, w związku z wysokim ryzykiem dla ochrony danych, konieczne mogą okazać się uprzednie konsultacje z organem nadzorczym. Od momentu rozpoczęcia stosowania RODO, do wybranych organów nadzorczych państw członkowskich Unii Europejskiej wpłynęły wnioski o przeprowadzenie takich konsultacji.

Przepisy RODO zawierają regulacje, które ograniczają swobodę przetwarzania danych osobowych w ramach algorytmów. Rozporządzenie tworzy ramy prawne i przewiduje narzędzia, które mają zapewnić efektywny nadzór nad zgodnością nowoczesnej technologii z podstawowymi zasadami przetwarzania i ochrony danych. Najważniejsze pytanie brzmi, czy firmy będą przestrzegać powyższych wymogów. Dotyczy to również, a może w szczególności technologicznych start-up’ów, które dynamiczny rozwój ma związek z przetwarzaniem dużych wolumenów danych.

Mało prawdopodobne, aby administrator, który nie będzie realizować podstawowych praw lub żądań jednostki przysługujących jej na podstawie RODO, mógł usprawiedliwić się argumentem, że było to trudne od strony technicznej.