W ostatnich latach wiele firm nauczyło się pracować z analizą ryzyka wynikającą z RODO. Ocena skutków dla ochrony danych, czyli DPIA, stała się standardowym narzędziem w projektach technologicznych obejmujących dane osobowe.
Pojawienie się regulacji AI Act wprowadza jednak nowy element. W przypadku części systemów sztucznej inteligencji wymagane będzie przeprowadzenie Fundamental Rights Impact Assessment, czyli analizy wpływu na prawa podstawowe. Na pierwszy rzut oka może się wydawać, że to zupełnie nowy proces. W praktyce jednak wiele jego elementów jest bardzo zbliżonych do tego, co firmy już robią w ramach DPIA. Dlatego coraz częściej pojawia się pytanie: czy analiza DPIA wystarczy, aby spełnić wymagania AI Act.
Czym jest DPIA w praktyce
DPIA, czyli ocena skutków dla ochrony danych, jest jednym z kluczowych narzędzi w systemie RODO. Jej celem jest identyfikacja ryzyk dla osób, których dane są przetwarzane.
Analiza taka powinna być przeprowadzana wtedy, gdy przetwarzanie danych może powodować wysokie ryzyko dla praw i wolności osób fizycznych.
Najczęściej DPIA obejmuje takie elementy jak:
- opis procesu przetwarzania danych
- cele przetwarzania
- identyfikację zagrożeń dla prywatności
- analizę prawdopodobieństwa wystąpienia ryzyka
- środki ograniczające ryzyko
Typowe przypadki wymagające DPIA to między innymi:
- systemy monitoringu
- profilowanie użytkowników
- przetwarzanie danych w dużej skali
- wykorzystanie nowych technologii
W ostatnich latach wiele firm zaczęło stosować DPIA także przy wdrażaniu narzędzi opartych na sztucznej inteligencji.
Czym jest Fundamental Rights Impact Assessment
AI Act wprowadza dodatkowy rodzaj analizy ryzyka dla niektórych systemów sztucznej inteligencji. Chodzi o Fundamental Rights Impact Assessment, czyli ocenę wpływu systemu AI na prawa podstawowe.
Analiza taka ma szerszy zakres niż DPIA.
Jej celem jest zbadanie, czy wykorzystanie systemu AI może naruszać takie prawa jak:
- prawo do prywatności
- zakaz dyskryminacji
- prawo do równego traktowania
- wolność wypowiedzi
- prawo do ochrony danych osobowych
W praktyce analiza FRIA koncentruje się nie tylko na danych, ale także na społecznych skutkach działania algorytmu.
Ciekawostka regulacyjna: AI Act wprowadza tę analizę głównie dla systemów wysokiego ryzyka, na przykład stosowanych w rekrutacji, edukacji czy dostępie do usług finansowych.
Główne różnice między DPIA a FRIA
Choć oba procesy są do siebie podobne, mają różne punkty ciężkości.
DPIA skupia się przede wszystkim na ochronie danych osobowych.
FRIA analizuje szerszy kontekst praw podstawowych.
Najważniejsze różnice można podsumować w kilku punktach.
Zakres analizy
DPIA obejmuje:
- przetwarzanie danych osobowych
- ryzyka dla prywatności
- zgodność z zasadami RODO
FRIA obejmuje dodatkowo:
- wpływ algorytmu na prawa obywatelskie
- możliwość dyskryminacji
- wpływ na decyzje dotyczące ludzi
Perspektywa oceny
DPIA analizuje głównie proces przetwarzania danych.
FRIA analizuje działanie systemu AI jako całości, w tym sposób podejmowania decyzji przez algorytm.
Kontekst regulacyjny
DPIA wynika z przepisów dotyczących ochrony danych.
FRIA jest elementem systemu nadzoru nad sztuczną inteligencją.
Czy DPIA można wykorzystać przy FRIA
Dobra wiadomość dla firm jest taka, że wiele elementów DPIA można wykorzystać przy przygotowaniu analizy wymaganej przez AI Act.
Oba procesy mają bardzo podobną strukturę.
W praktyce analiza FRIA może bazować na elementach takich jak:
- opis systemu i jego funkcji
- opis przetwarzanych danych
- analiza ryzyka dla użytkowników
- środki ograniczające ryzyko
W wielu organizacjach DPIA może być punktem wyjścia dla szerszej analizy wpływu systemu AI.
Warto jednak pamiętać, że FRIA wymaga rozszerzenia tej analizy o dodatkowe aspekty.
Jak połączyć oba procesy w praktyce
Coraz więcej firm próbuje zintegrować analizę DPIA z oceną ryzyka wynikającą z AI Act.
Najczęściej odbywa się to w kilku krokach.
Krok pierwszy. Wspólna identyfikacja systemu AI
Pierwszym etapem jest dokładne opisanie systemu.
Powinno to obejmować między innymi:
- funkcję systemu
- sposób podejmowania decyzji przez algorytm
- źródła danych wykorzystywanych przez model
- kontekst wykorzystania systemu
Ten etap jest bardzo podobny w DPIA i FRIA.
Krok drugi. Analiza ryzyk
W kolejnym etapie identyfikowane są potencjalne zagrożenia.
W przypadku DPIA będą to ryzyka dla prywatności i danych osobowych.
FRIA wymaga rozszerzenia analizy o takie kwestie jak:
- możliwość dyskryminacji
- ryzyko błędnych decyzji systemu
- wpływ na prawa obywatelskie
Krok trzeci. Środki ograniczające ryzyko
Ostatni etap polega na zaprojektowaniu zabezpieczeń.
Mogą to być na przykład:
- nadzór człowieka nad działaniem systemu
- procedury weryfikacji decyzji algorytmu
- testowanie systemu pod kątem uprzedzeń
- transparentność wobec użytkowników
W praktyce wiele z tych mechanizmów jest już stosowanych w ramach dobrych praktyk RODO.
Czy istniejące procedury w firmie można wykorzystać
Dla wielu organizacji najważniejsza informacja jest taka, że nie trzeba budować całego procesu od zera.
Firmy, które mają dobrze wdrożone procedury RODO, posiadają już wiele elementów potrzebnych w kontekście AI Act.
Można wykorzystać między innymi:
- procesy zarządzania ryzykiem
- procedury DPIA
- rejestr czynności przetwarzania
- system zarządzania incydentami
- polityki bezpieczeństwa danych
Najczęściej konieczne jest jedynie rozszerzenie istniejących analiz o aspekty związane z działaniem algorytmów.
Nowy etap zarządzania technologią
Wraz z wejściem w życie AI Act organizacje będą musiały spojrzeć na analizę ryzyka technologicznego w szerszy sposób. RODO koncentrowało się głównie na ochronie danych osobowych. AI Act rozszerza tę perspektywę na prawa podstawowe i społeczne skutki działania algorytmów. Dlatego coraz więcej ekspertów mówi o nowym podejściu do compliance technologicznego. Zamiast wielu oddzielnych analiz pojawia się koncepcja zintegrowanej oceny ryzyka technologii. W takim modelu DPIA i analiza wymagana przez AI Act nie konkurują ze sobą. Raczej stają się elementami jednego procesu zarządzania ryzykiem w świecie sztucznej inteligencji.
