Tylko cztery urzędy resort cyfryzacji poprosił o włączenie się w kontrolę nad AI. Pominięto m.in. prezesa UODO, który – jak dowiaduje się DGP – zgłosi się na ochotnika.

Rzecznik praw dziecka, główny inspektor pracy i rzecznik praw pacjenta zostali wyznaczeni jako organy zajmujące się ochroną praw podstawowych, które będą miały wgląd w dokumentację systemów AI wysokiego ryzyka. Listę stworzył resort cyfryzacji. To obowiązek, który na kraje członkowskie nakłada unijne rozporządzenie – akt o sztucznej inteligencji (AI Act). Wykazy są zgłaszane do Komisji Europejskiej.

Aby znaleźć się na liście, organ musiał potwierdzić gotowość do podjęcia tych zadań. Spośród urzędów, do których zwróciło się o to Ministerstwo Cyfryzacji, odmówił rzecznik praw obywatelskich. W odwrotnej sytuacji znalazł się prezes Urzędu Ochrony Danych Osobowych. Jemu resort takiej propozycji nie złożył. „W polskim porządku prawnym nie istnieje jednolity wykaz podmiotów, o których mowa w art. 77” – wyjaśniają urzędnicy MC.

PUODO zgłosi się jednak na ochotnika. – Uważamy, że wykaz, o którym mowa w art. 77 ust. 2 aktu w sprawie sztucznej inteligencji, wymaga uzupełnienia i wskazania w nim prezesa Urzędu Ochrony Danych Osobowych – stwierdza Karol Witowski, p.o. rzecznik prasowy urzędu, w odpowiedzi na nasze pytania. – Prezes UODO zamierza zwrócić się w tej sprawie do MC z własnej inicjatywy – deklaruje.

Duży błąd

Odpowiednika UODO na swojej liście wskazała m.in. Irlandia. Łącznie wyznaczyła ona dziewięć organów, w tym An Coimisiún Toghcháin (czyli lokalną Państwową Komisję Wyborczą) czy Environmental Protection Agency, która zajmuje się ochroną środowiska.

– Pominięcie prezesa UODO jest moim zdaniem bardzo dużym problemem – mówi dr Mirosław Gumularz, radca prawny z kancelarii NTL, ekspert w dziedzinie ochrony danych i przewodniczący Społecznego Zespołu Ekspertów przy PUODO. – AI Act w bardzo wielu miejscach odwołuje się do ochrony danych. Chociażby na etapie trenowania algorytmów. Ocena ryzyka, której dokonuje dostawca, czy wpływu na prawa podstawowe (której dokonuje podmiot stosujący) dotyczy m.in. kwestii ochrony danych osobowych – argumentuje.

Podkreśla, że kompetencje prezesa UODO dotyczą ochrony praw podstawowych: o ochronie danych osobowych mówi art. 8 Karty praw podstawowych UE.

– Brak prezesa UODO będzie miał negatywny skutek z perspektywy art. 77 ust. 1 AI Act w zakresie uprawnień do występowania o informacje wskazane w tym przepisie, które dotyczą niektórych systemów AI wysokiego ryzyka – podkreśla ekspert i dodaje, że AI Act te uprawnienia mógłby rozszerzać. – Dodatkowo zgodnie z projektem ustawy o systemach AI (oraz treścią samego AI Act) Komisja Europejska informuje wskazane organy, jeżeli stwierdzi, że system sztucznej inteligencji stwarza ryzyko dla praw podstawowych – mówi dr Gumularz.

Lista jest otwarta

– Rozumiem, że działanie ministerstwa było motywowane założeniem, że dla UODO przewidziana jest inna rola w tym systemie ze względu na relacje AI Act i RODO – komentuje Wojciech Klicki z Fundacji Panoptykon, członek Społecznego Zespołu Ekspertów przy PUODO. – Nie przeszkadzałoby to jednak w rozszerzeniu listy o ten i inne podmioty. Pocieszające jest to, że można to zrobić w każdej chwili – dodaje.

Rzeczywiście, MC ma jeszcze taką możliwość. I, jak deklaruje kierownictwo resortu, będzie z niej korzystało.

Klicki podkreśla, że mimo budującej postawy UODO to brak rzecznika praw obywatelskich wśród podmiotów, które pilnują przestrzegania praw podstawowych i w związku z tym mogą uzyskać dostęp do dokumentacji systemów AI wysokiego ryzyka, jest kluczowy. Panoptykon zaapelował do RPO, by zmienił zdanie. Na razie apel pozostaje bez odpowiedzi.

RPO odpisał ministerstwu, że jego umocowanie prawne nie pozwala na ochronę praw podstawowych w przypadku wykorzystywania systemów AI przez podmioty prywatne. Natomiast podjęcie się obowiązków związanych ze sztuczną inteligencją wykorzystywaną przez podmioty publiczne wymagałoby „nie tylko wiedzy z zakresu prawa nowych technologii (którym eksperci Biura RPO zajmowali się dotychczas w niewielkim stopniu), ale także specjalistycznej wiedzy z takich dyscyplin jak informatyka, ochrona zdrowia, ekonomia czy psychologia”.

– Po części rozumiem argumenty rzecznika związane z brakiem zasobów – mówi Wojciech Klicki. Dodaje jednak: – To bardzo niepokojące, bo zastosowań AI przez administrację publiczną będzie coraz więcej. Wzrośnie więc także ryzyko ingerencji w prawa podstawowe. RPO powinien podążać z duchem czasu i postarać się o odpowiednie kompetencje. Jeżeli nie udaje mu się wywalczyć większych środków, to może trzeba dokonać przesunięcia w ramach istniejącego budżetu biura RPO.

Nieobecni bez wglądu

Jakie znaczenie ma wpis na listę?

– Jeśli ktoś zgłosi rzecznikowi skargę związaną np. z zastosowaniem systemu AI wysokiego ryzyka przez ZUS do wykrywania nieprawidłowości, to do jej rozpatrzenia potrzebna będzie możliwość wglądu w ten system – wyjaśnia Wojciech Klicki.

Podmioty z wykazu prowadzonego przez MC będą mogły w takiej sytuacji wystąpić o dokumentację systemu AI na podstawie AI Act, przy czym mają ją otrzymać w przystępnym języku i formacie.

– Natomiast wydaje mi się, że w przypadku rozpatrywania skargi obywatela na naruszenie praw człowieka (np. zakazu dyskryminacji) wynikające z zastosowania AI rzecznik nie miałby podstaw do wglądu w całą dokumentację systemu – uważa.

Podobnie, jeśli Polska będzie wykorzystywać wobec migrantów systemy rozpoznawania twarzy, które zaliczają się do systemów AI wysokiego ryzyka (AI Act, załącznik III). RPO mógłby wnioskować do Straży Granicznej jako podmiotu stosującego o dostęp do dokumentacji takiego systemu. Dostałby wgląd w dokumentację techniczną – aby sprawdzić, czy na poziomie konstrukcji nie prowadzi do uprzedzeń np. ze względu na kolor skóry – oraz dokumenty przedstawiające proces zarządzania jakością. ©℗

PIIT chce wsparcia rozwoju AI w Polsce

Kolejnym etapem realizacji przez Polskę obowiązków wynikających z AI Act będzie wdrożenie krajowych przepisów dotyczących m.in. zasad działania właściwych organów czy przeprowadzania kontroli. Zrealizuje to ustawa o systemach sztucznej inteligencji, którą trzeba przyjąć do 2 sierpnia 2025 r.

Niedawno zakończyły się konsultacje dotyczące jej projektu (nr z wykazu: UC71). W stanowisku Polskiej Izby Informatyki i Telekomunikacji (PIIT) pojawia się wiele uwag odnośnie do nowego organu nadzoru rynku – Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji. Izba uważa m.in., że:

Rola komisji powinna się ujawniać „przede wszystkim w odniesieniu do wsparcia rozwoju AI w Polsce”. Nie chodzi tylko o bezpośrednie zachęty finansowe, lecz także o inne mechanizmy wspierania innowacji, „wdrażania AI w każdej sferze, kształcenia kadr i podnoszenia społecznej świadomości”. Komisja powinna np. „wspierać obecność AI w zamówieniach publicznych, w procedurach wydatkowania środków z funduszy europejskich”.

▪ Kontrole nie powinny się skupiać na systemach AI, lecz na ich konkretnych zastosowaniach. Ten sam system może być bowiem wykorzystywany na różne sposoby.

▪ Należy wprowadzić środki zaskarżenia w odniesieniu do wielu przewidzianych w projekcie form działania komisji bądź jej przewodniczącego: zaleceń pokontrolnych, ostrzeżeń itp. ©℗