W poprzedniej kadencji Parlamentu Europejskiego uchwalono wyjątkowo dużo aktów prawnych z zakresu prawa nowych technologii. Większość z nich ma charakter rozporządzeń unijnych i nosi nazwę „akt”. Są to m.in. akt w sprawie usług cyfrowych, akt w sprawie zarządzania danymi, akt w sprawie sztucznej inteligencji czy akt w sprawie danych.
W tych aktach wprowadzono obowiązek ustanowienia przez ustawodawców krajowych organów nadzoru odpowiedzialnych za stosowanie i egzekwowanie tych przepisów. W przypadku Polski, w związku z istotnymi opóźnieniami w poprzedniej kadencji Sejmu w zakresie przygotowania i procedowania ustaw wdrażających (kompetencyjnych), uchwalenie tych przepisów odbywa się niestety w dużym pośpiechu. Między innymi z uwagi na ryzyko nałożenia przez organy unijne kar pieniężnych za niewdrożenie przez nasz kraj tych regulacji w terminach określonych w poszczególnych aktach.
Niewątpliwie nie sprzyja to wypracowaniu systemowego podejścia do przyjęcia ustaw składających się na pakiet cyfrowy. Świadczy o tym już choćby to, że w ramach prac legislacyjnych nad pierwszymi ustawami wdrażającymi rozporządzenia z zakresu nowych technologii polski rząd zaproponował, aby regulatorami było aż pięć organów (GUS, MC, UKE, UOKiK i UODO). Dodatkowo jest planowane utworzenie nowego organu, tj. Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji. W jej skład mają wejść m.in. „przedstawiciele instytucji kluczowych dla rozwoju sektora technologii sztucznej inteligencji”.
A zatem w Polsce potrzebna jest poważna debata nad systemem regulującym korzystanie z nowych technologii. Jakie problemy możemy napotkać podczas przygotowywania rozwiązań w tym zakresie?
Rozproszenie kompetencji
Już same tytuły poszczególnych unijnych aktów prawnych z zakresu nowych technologii wskazują, w stosunku do jakich to technologii (np. sztucznej inteligencji), rodzaju świadczonych usług (np. usług cyfrowych) czy obszaru funkcjonowania gospodarki cyfrowej (np. zarządzania danymi) prawodawca unijny podjął decyzję o potrzebie ich prawnego uregulowania. Równocześnie w tych aktach prawnych określono cele, które mają one zrealizować, np. „stworzenie bezpiecznego, przewidywalnego i budzącego zaufanie środowiska internetowego”, „utworzenie zharmonizowanych ram wymiany danych i ustanowienie pewnych podstawowych wymogów w zakresie zarządzania danymi” czy „ustanowienie jednolitych ram prawnych, w szczególności w zakresie rozwoju, wprowadzania do obrotu, oddawania do użytku i wykorzystywania systemów sztucznej inteligencji”. Nad realizacją tych celów mają czuwać nowo powołane w każdym państwie członkowskim UE organy nadzoru.
Tymczasem planowane przez polski rząd rozproszenie kompetencji pomiędzy wiele organów administracji może utrudnić lub wręcz uniemożliwić realizację tych celów. Przykładowo trudno sobie wyobrazić rozwój sztucznej inteligencji bez odpowiedniej realizacji zadań w zakresie zapewnienia dostępności danych. Tymczasem zgodnie z projektem ustawy o zarządzaniu danymi, a także z przedstawionymi przez Ministerstwo Cyfryzacji w wykazie prac legislacyjnych rządu założeniami dotyczącymi utworzenia Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji zadania te mają realizować różne organy. Oprócz wspomnianej komisji będą to: prezes UODO, minister cyfryzacji, a nawet prezes GUS.
Wymogi unijne
Warto przypomnieć, jakie wymogi przewidują akty prawne UE wprowadzające obowiązek ustanowienia regulatorów.
Przede wszystkim część przepisów unijnych wymaga zapewnienia niezależności działania takiego organu. W każdym przypadku te organy powinny działać w sposób bezstronny, przejrzysty i terminowy, jednocześnie dysponując niezbędną ekspercką wiedzą. Z pewnością wymaga to zagwarantowania odpowiednich zasobów finansowych, kadrowych i technicznych. Jak powszechnie wiadomo, już teraz niektóre urzędy w Polsce mają problem z należytym wypełnianiem swoich zadań, m.in. z uwagi na brak odpowiedniej liczby ekspertów z zakresu informatyki. Należy w związku z tym postulować, aby w ramach przygotowywania projektów budżetu państwa w najbliższych latach uwzględniono adekwatne wydatki na organizację pracy organów regulacyjnych ds. nowych technologii. Ma to znaczenie z punktu widzenia nie tylko należytej kontroli adresatów różnych obowiązków, lecz także stymulowania rozwoju innowacji.
Ustawodawca krajowy musi też zdecydować, czy kompetencje do nadzoru nad przestrzeganiem danego aktu prawnego powierzyć jednemu organowi, czy też powinno być ich więcej. W tym drugim przypadku trzeba wyznaczyć jeden z tych organów jako koordynatora. Żeby zapewnić bezpieczeństwo obrotu, niezbędne jest, aby zadania koordynatora i innych właściwych organów były jasno zdefiniowane.
Należy w związku z tym postulować, aby, jeśli zostanie wybrany model z wieloma organami regulacyjnymi, w ustawach wdrażających określono konkretne unijne przepisy, nad którymi dany organ ma sprawować nadzór. To pozwoli uniknąć stanu niepewności prawnej co do właściwości rzeczowej tych organów. Tego rodzaju rozwiązanie przyjęto już w niektórych państwach UE w przypadku ustaw wdrażających akt o usługach cyfrowych. Warto również przewidzieć szczególne przepisy kolizyjne na wypadek, gdy kilka organów uzna się za właściwe w sprawie albo żaden z nich nie uzna się za właściwy.
Ponadto prawodawca unijny pozostawił ustawodawcy krajowemu podjęcie decyzji, czy utworzyć nowy organ nadzoru, czy poszerzyć kompetencje już istniejącego organu bądź organów. Polski ustawodawca próbuje podążać obiema tymi ścieżkami naraz.
Wariant poszerzenia kompetencji przyjęto w projektach ustaw wdrażających akt w sprawie usług cyfrowych czy akt w sprawie zarządzania danymi. Proponuje się także znaczne poszerzenie kompetencji prezesa UODO, i to zarówno w obszarze sztucznej inteligencji (ma to być organ nadzoru rynku nad niektórymi rodzajami systemów AI), jak i zarządzania danymi (organ właściwy w sprawach usług pośrednictwa danymi oraz organizacji altruizmu danych). Jednocześnie pojawiła się – już w wykazie prac legislacyjnych rządu – zapowiedź utworzenia nowego organu – Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji. Na razie ogólnie przewidziano, że w składzie komisji mają zasiadać przedstawiciele instytucji kluczowych dla rozwoju sektora technologii sztucznej inteligencji. Wymaga to więc doprecyzowania, jeśli chodzi o reprezentatywność tych instytucji, ale także o kompetencje i tryb korzystania z nich przez organ kolegialny.
Uprawnienia organów
Podstawowymi kompetencjami organów regulacyjnych są oczywiście uprawnienia nadzorcze. Równocześnie w projektach ustaw wdrażających kompetencje organów są poszerzane o wykonywanie innych zadań.
Z punktu widzenia nowych technologii szczególne znaczenie mają uprawnienia do dokonywania – fakultatywnej lub obligatoryjnej – certyfikacji. Ta kompetencja organów nadzorczych jest przewidziana m.in. w akcie o usługach cyfrowych czy akcie w sprawie sztucznej inteligencji. Postulujemy w związku z tym, aby w ustawach wdrażających te przepisy oparto się na tych samych standardach certyfikacji. Wprowadzi to cenny element pewności prawnej i ułatwi realizację obowiązków przez podmioty zobowiązane do ich wykonywania.
Dla zapewnienia odpowiedniej realizacji zadań przez organy regulacyjne kluczowe znaczenie ma oczywiście również odpowiednie ukształtowanie przepisów proceduralnych. Dotyczy to w szczególności postępowań w sprawie nakładania sankcji za naruszenia przepisów aktów, które w istotny sposób wpłyną na funkcjonowanie rynku.
W przypadku gdy nadzór nad danym aktem prawnym ma sprawować więcej niż jeden organ, jest pożądane, aby w postępowaniach dotyczących naruszenia przepisów tego aktu, w tym w postępowaniach kontrolnych, obowiązywała jednolita procedura niezależnie od tego, przed którym organem toczy się sprawa. Co więcej, warto rozważyć jak najdalej idące ujednolicanie generalnych zasad proceduralnych dla aktów z całego pakietu cyfrowego, ponieważ w pewnym zakresie konstrukcja działania tych organów jest zbliżona (np. sprawy skargowe czy nakładanie kar).
Ponadto w unijnych aktach prawnych dotyczących nowych technologii jest przewidziana możliwość dochodzenia roszczeń odszkodowawczych za naruszenie przepisów rozporządzeń. W związku z tym koniecznie trzeba określić, jaka jest wzajemna relacja postępowań wszczętych przed sądem cywilnym w sytuacji, gdy sprawa dotycząca tego samego naruszenia rozporządzenia została już wszczęta przed jednym z organów administracji wyznaczonych jako właściwe.
Wreszcie – należy powrócić do dyskusji o utworzeniu wyspecjalizowanego sądu sprawującego kontrolę nad działaniem organów regulacyjnych, mającego szersze niż sądy administracyjne kompetencje do przeprowadzania postępowania dowodowego. Zaniechanie stworzenia takiego sądu do rozpoznawania indywidualnych spraw z zakresu RODO już wywołało krytykę, ponieważ oznacza to zbyt zawężoną kontrolę organu ds. ochrony danych osobowych. Z pewnością za niewystarczającą należy uznać propozycję z założeń projektu ustawy o systemach sztucznej inteligencji, aby taki sąd obejmował swoją właściwością tylko część spraw dotyczących AI.
Przewaga czy kula u nogi?
Potrzebujemy kompleksowego i spójnego podejścia do tworzenia krajowych przepisów, które implementują cały pakiet aktów o nowych technologiach. Powinniśmy skorzystać z doświadczeń uzyskanych podczas wdrażania RODO (zarówno tych pozytywnych, jak i negatywnych), ponieważ wiele rozwiązań z pakietu jest wzorowanych na tym akcie.
Właściwe wprowadzenie ładu instytucjonalnego w Polsce może zapewnić polskim adresatom nowych przepisów przewagę, jeśli krajowe przepisy będą jednolite, transparentne i odpowiadające wszystkim opisanym wyzwaniom. Jednocześnie niespełnienie tych warunków, np. fragmentaryczne wdrożenie poszczególnych aktów, będzie powodować utrudnienia na rynku, a nawet może się stać kulą u nogi w procesie rozwijania cyfrowych produktów i usług. ©℗
Właściwe wprowadzenie ładu instytucjonalnego w Polsce może zapewnić polskim adresatom nowych przepisów przewagę, jeśli krajowe przepisy będą jednolite, transparentne i odpowiadające wszystkim opisanym wyzwaniom