Wytyczne EIOD dla EUIs – przetwarzanie danych osobowych w kontekście genAI

Europejski Inspektor Ochrony Danych (EIOD) opublikował wytyczne zawierające praktyczne wskazówki dla instytucji, organów, biur i agencji UE (EUIs) dot. przetwarzania danych osobowych w kontekście korzystania przez EUIs z systemów generatywnej AI (GenAI). Wytyczne mają zapewnić przestrzeganie przez EUIs obowiązków związanych z ochroną danych, w szczególności tych określonych w Rozporządzeniu (UE) 2018/1725 dot. przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii Europejskiej.

Wytyczne mają charakter kierunkowy i ogólny, pozostawiając otwarte niektóre z analizowanych kwestii. Z uwagi na szybką ewolucję systemów AI, w tym rozwój stosowanych narzędzi, środków i technologii, wytyczne zostały sporządzone w sposób technologicznie neutralny.

W raporcie EIOD podkreśla się, że wytyczne stanowią jedynie pierwszy krok w kierunku opracowania bardziej kompleksowych wskazówek, niemniej już na tym etapie ich tworzenia pojawiają się aspekty zasługujące na uwagę:

  • EIOD przestrzega przed wykorzystywaniem technik web scrapingu do zbierania danych osobowych. Osoby, których dane dotyczą mogą utracić kontrolę nad nimi, gdy są one zbierane bez ich wiedzy, wbrew ich oczekiwaniom i w celach różnych od tych, dla których pierwotnie zostały zebrane. Dodatkowo, przetwarzanie danych osobowych dostępnych publicznie podlega unijnym przepisom dot. ochrony danych – w związku z tym, wykorzystanie takich technik do zbierania danych z witryn internetowych, zwłaszcza do trenowania modeli, może naruszać zasady ich ochrony.
  • Wykorzystanie dużych ilości danych do szkolenia systemu genAI niekoniecznie zagwarantuje lepsze rezultaty. Do ich osiągnięcia niezbędne jest staranne zaprojektowanie dobrze ustrukturyzowanych zbiorów danych, kładąc nacisk na jakość nad ilością. Ponadto, sam proces szkolenia powinien być odpowiednio nadzorowany i poddawany regularnym weryfikacjom.
  • Korzystanie z systemów genAI niekoniecznie zawsze implikuje automatyczne podejmowanie decyzji. Te systemy mogą jednak do tego służyć, dlatego istnieje potrzeba zastosowania zabezpieczeń mających chronić prawa jednostki. Konieczne jest, by EUIs zapewniły osobom interwencje człowieka oraz możliwość odwoływania się od decyzji.
  • Potencjalne uprzedzenia w systemach genAI mogą prowadzić do niesprawiedliwego traktowania i dyskryminacji. Aby temu zapobiec, istotne jest korzystanie z reprezentatywnych zbiorów danych oraz wprowadzenie mechanizmów zapewniających nadzór i korektę uprzedzeń.

EIOD zapowiada aktualizację wytycznych w ciągu roku od opublikowaniu omawianego dokumentu.

Treść wytycznych dostępna pod linkiem: First EDPS Orientations for EUIs using Generative AI