• Prezes UODO pozytywnie ocenił rezygnację z rozwiązań, które – w ocenie – organu mogłyby ingerować w kompetencje organu ochrony danych przewidziane w art. 74 ust. 8 AIAct.
  • Uwagi dotyczą przede wszystkim braku szczegółowych zasad współpracy pomiędzy Komisją Rozwoju i Bezpieczeństwa Sztucznej Inteligencji a organem ochrony danych osobowych.
  • UODO oczekuje ustawowego zagwarantowania prawa do przedstawiania stanowisk dotyczących przetwarzania danych osobowych w sprawach rozpatrywanych przez Komisję.

Uwagi Prezesa UODO do projektu ustawy o systemach sztucznej inteligencji

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski przekazał do Kancelarii Sejmu uwagi do projektu ustawy o systemach sztucznej inteligencji (UC71), przyjętego przez Radę Ministrów 31.3.2026 r. Pismo zostało skierowane do zastępcy Szefa Kancelarii Sejmu Dariusza Salamończyka. Uwagi organu nadzorczego dotyczą przede wszystkim relacji pomiędzy projektowaną Komisją Rozwoju i Bezpieczeństwa Sztucznej Inteligencji a Prezesem UODO jako organem właściwym w sprawach ochrony danych osobowych.

Stanowisko Prezesa UODO zostało przedstawione w kontekście stosowania zarówno rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO), jak i rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 z 13.6.2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji) (Dz.Urz. UE L z 2024 r., s. 1689; dalej: AIAct). Organ nadzorczy podkreślił, że zgłaszane uwagi mają na celu zapewnienie zgodności projektowanych rozwiązań z przepisami unijnymi dotyczącymi ochrony danych osobowych oraz systemów sztucznej inteligencji.

Wyłączna kompetencja Prezesa UODO w części obszarów nadzoru nad AI

Prezes UODO pozytywnie ocenił zmianę projektu polegającą na rezygnacji z wcześniejszych rozwiązań dotyczących współpracy Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji z organem ochrony danych w zakresie spraw wskazanych w art. 74 ust. 8 AIAct. Organ nadzorczy wskazał, że przepis rozporządzenia unijnego ustanawia wyłączną kompetencję krajowego organu ochrony danych jako organu nadzoru rynku w odniesieniu do określonych systemów AI wysokiego ryzyka.

Chodzi w szczególności o systemy AI wykorzystywane do celów ścigania przestępstw, kontroli granicznej, wymiaru sprawiedliwości oraz części systemów wskazanych w załączniku III do AIAct. W ocenie Prezesa UODO pozostawienie tych kompetencji organowi ochrony danych odpowiada literalnemu brzmieniu przepisów unijnych.

W porównaniu z wcześniejszymi wersjami projektu oznacza to rezygnację z wcześniejszych propozycji dotyczących ustawowego uregulowania współpracy Komisji z Prezesem UODO w zakresie spraw wskazanych w art. 74 ust. 8 AIAct.

Nowe technologie – Sprawdź aktualną listę szkoleń Sprawdź

Brak szczegółowych zasad współpracy między Komisją AI a UODO

Najistotniejsze zastrzeżenia Prezesa UODO dotyczą projektowanych przepisów regulujących współpracę Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji z organem ochrony danych osobowych.

Organ nadzorczy zwrócił uwagę, że projektowana regulacja ogranicza się do ogólnego wskazania obowiązku współpracy pomiędzy organami, bez określenia zasad jej wykonywania. Dotyczy to zarówno projektowanego art. 20 ust. 1 pkt 3 ustawy, jak i dodawanego do ustawy o ochronie danych osobowych art. 59a, zgodnie z którym „Prezes Urzędu współpracuje z Komisją Rozwoju i Bezpieczeństwa Sztucznej Inteligencji”.

W ocenie Prezesa UODO projektowane przepisy dotyczące współpracy pomiędzy Komisją Rozwoju i Bezpieczeństwa Sztucznej Inteligencji a organem ochrony danych osobowych mają charakter ogólny i ograniczają się w istocie do powtórzenia obowiązku współpracy wynikającego bezpośrednio z AIAct. Organ nadzorczy zwrócił uwagę, że projekt nie określa szczegółowych zasad wykonywania tej współpracy, w tym sposobu wymiany informacji pomiędzy organami, charakteru ich współdziałania ani rozwiązań pozwalających ograniczyć ryzyko powstawania sporów kompetencyjnych. Prezes UODO podkreślił jednocześnie, że kwestie te powinny zostać doprecyzowane na poziomie ustawowym, zwłaszcza w kontekście nadzoru nad przetwarzaniem danych osobowych w ramach funkcjonowania tzw. piaskownic regulacyjnych AI.

Piaskownice regulacyjne i przetwarzanie danych osobowych

W stanowisku organu nadzorczego szczególne miejsce zajmuje problematyka piaskownic regulacyjnych przewidzianych w AIAct. Prezes UODO wskazał, że zgodnie z art. 57 ust. 10 rozporządzenia  organy ochrony danych powinny zostać włączone w działalność sandboxów AI w zakresie, w jakim rozwiązania te wiążą się z przetwarzaniem danych osobowych.

W opinii organu ochrony danych udział ten powinien zostać powiązany z ustawowym określeniem zasad współpracy pomiędzy Komisją a Prezesem UODO. Ma to znaczenie zwłaszcza z perspektywy realizacji zadań obu organów oraz zapewnienia prawidłowego nadzoru nad przetwarzaniem danych osobowych w środowiskach testowych systemów AI.

W porównaniu ze stanem sprzed projektowanej ustawy Prezes UODO wskazał, że projekt nie określa szczegółowych zasad współpracy pomiędzy organami w obszarze funkcjonowania piaskownic regulacyjnych AI.

Status Prezesa UODO jako organu ochrony praw podstawowych

Prezes UODO odniósł się również do projektowanego art. 19 ust. 3 ustawy, zgodnie z którym przedstawiciele organów i podmiotów wskazanych w art. 77 ust. 1 AIAct będą mogli uczestniczyć w posiedzeniach Komisji bez prawa głosu.

Organ nadzorczy przypomniał, że został wskazany w wykazie organów ochrony praw podstawowych publikowanym przez Ministerstwo Cyfryzacji jako podmiot nadzorujący lub egzekwujący przestrzeganie obowiązków wynikających z prawa Unii w zakresie ochrony praw podstawowych przy wykorzystywaniu systemów AI wysokiego ryzyka.

Prezes UODO pozytywnie ocenił samą możliwość uczestnictwa w posiedzeniach Komisji, wskazując, że rozwiązanie to może sprzyjać sprawnej współpracy między organami, w szczególności poprzez możliwość wymiany informacji. Jednocześnie, organ nadzorczy uznał za pożądane wyraźne ustawowe umocowanie swojej roli jako organu ochrony praw podstawowych. W ocenie Prezesa UODO przepisy powinny przewidywać również możliwość przedstawiania uzasadnionego stanowiska dotyczącego aspektów przetwarzania danych osobowych w sprawach rozpatrywanych przez Komisję.

Prezes UODO wskazał ponadto, że stanowisko organu ochrony danych powinno być brane pod uwagę przy wydawaniu decyzji administracyjnych przez Komisję. W tym zakresie organ odwołał się do orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej, w tym do wyroku w sprawie Meta Platforms (wyrok TSUE z 4.10.2024 r., C-446/21, Legalis).

Doprecyzowanie zasad przetwarzania danych przez Komisję

W piśmie wskazano również elementy projektu ocenione pozytywnie przez organ nadzorczy. Dotyczy to w szczególności doprecyzowania zakresu przetwarzania danych osobowych przez Komisję, w tym danych szczególnych kategorii oraz danych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO.

Prezes UODO pozytywnie odniósł się także do doprecyzowania zasad retencji danych osobowych przetwarzanych przez Komisję. Projekt przewiduje, że dane przetwarzane w ramach postępowań prowadzonych przez Komisję będą usuwane po upływie 10 lat od zakończenia postępowania, o ile odrębne przepisy nie stanowią inaczej.

Na zakończenie Prezes UODO wyraził nadzieję, że uwzględnienie zgłoszonych uwag przyczyni się do stworzenia regulacji zgodnej zarówno z AIAct, jak i RODO.

Wszystkie aktualności n.ius® po zalogowaniu. Nie posiadasz dostępu? Kup online, korzystaj od razu! Sprawdź

Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →