TSUE wprowadza szereg istotnych wytycznych, które znacząco wpływają na sposób projektowania i funkcjonowania systemów AI w zgodzie z zasadami ochrony danych osobowych. Wyrok C-203/22 ma kluczowe znaczenie dla administratorów danych stosujących systemy, które muszą spełniać wymagania wynikające rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 z 13.6.2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji) (Dz.Urz. UE L z 2024 r. Nr 131, s. 1689; dalej: AIAct).

Sprawa rozpatrywana przez TSUE dotyczyła osoby fizycznej, CK, która zwróciła się do spółki Dun & Bradstreet Austria GmbH o udzielenie informacji dotyczących zasad, na podstawie których została oceniona jej zdolność kredytowa. CK żądała ujawnienia kryteriów, algorytmów oraz danych wejściowych wykorzystanych w procesie profilowania, który skutkował przypisaniem jej określonej oceny punktowej. Na podstawie tej oceny operator telekomunikacyjny odmówił jej zawarcia umowy. Dun & Bradstreet Austria GmbH nie przekazała szczegółowych informacji, powołując się na konieczność ochrony tajemnicy przedsiębiorstwa.

Trybunał w swoim orzeczeniu jednoznacznie wskazał, że prawo dostępu do informacji o zasadach podejmowania decyzji w drodze zautomatyzowanego przetwarzania danych osobowych jest bezpośrednią konsekwencją prawa dostępu do danych osobowych, zagwarantowanego w art. 15 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO). TSUE podkreślił, że informacja udzielona osobie, której dane dotyczą, musi umożliwiać jej realne zrozumienie mechanizmu, który doprowadził do podjęcia wobec niej określonej decyzji.

W szczególności Trybunał zauważył, że administrator wykorzystujący zautomatyzowane przetwarzanie danych powinien być przygotowany, aby wyjaśnić osobom, których dane dotyczą, w jaki sposób podejmowane są decyzje na podstawie ich danych osobowych. Wyjaśnienia te powinny obejmować nie tylko wskazanie, że decyzja została podjęta automatycznie, ale także przedstawienie w przystępnej formie zasad działania stosowanego algorytmu, przyczyn przypisania określonych wartości punktowych oraz znaczenia poszczególnych zmiennych.

TSUE wyraźnie zaznaczył, że samo podanie algorytmu i kryteriów określenia wartości poszczególnych czynników jest niewystarczające. Przedstawienie skomplikowanego wzoru matematycznego, kodu źródłowego lub specjalistycznej dokumentacji technicznej, choć teoretycznie odpowiadające strukturze decyzji, nie spełnia wymagań RODO, jeśli informacje te pozostają niezrozumiałe dla osoby, której dane dotyczą. Przekazywana informacja powinna być zwięzła, przejrzysta i w pełni zrozumiała, dostosowana do poziomu wiedzy odbiorcy, tak aby umożliwić mu rzeczywiste zrozumienie i potencjalne zakwestionowanie decyzji.

Szczególnie istotne było rozstrzygnięcie Trybunału w zakresie kolizji prawa dostępu do informacji z ochroną tajemnicy przedsiębiorstwa. TSUE wskazał, że fakt, iż określone informacje mogą stanowić tajemnicę przedsiębiorstwa, nie może być używany jako pretekst do całkowitej odmowy dostępu do informacji wymaganych przez RODO. W takich przypadkach administrator powinien ograniczyć się do ujawnienia niezbędnych informacji sądowi lub innemu uprawnionemu organowi nadzorczemu, który będzie mógł zweryfikować zgodność przetwarzania danych z przepisami ochrony danych osobowych. Trybunał zaznaczył przy tym, że administratorzy muszą w każdym przypadku poszukiwać rozwiązań proporcjonalnych, takich jak przedstawienie informacji w formie pseudonimizowanej lub w sposób ograniczający ryzyko ujawnienia wrażliwych aspektów algorytmu, ale bez naruszania istoty prawa dostępu.

W świetle powyższego, Trybunał przyjął interpretację wzmacniającą pozycję osoby, której dane dotyczą, w zautomatyzowanych procesach decyzyjnych. Orzeczenie stanowi jasny sygnał dla administratorów danych, że prawo do uzyskania informacji o logice stosowanych algorytmów oraz o przewidywanych skutkach decyzji nie jest prawem iluzorycznym, lecz ma umożliwić rzeczywiste dochodzenie praw przysługujących na podstawie RODO.

Beck Akademia - praktyczne szkolenia online - sprawdź aktualny harmonogram Sprawdź

Wpływ wyroku na projektowanie systemów AI

Dla administratorów danych projektujących systemy podejmowania decyzji automatycznych wyrok stanowi jasne przesłanie: systemy te muszą być od podstaw projektowane z myślą o wyjaśnialności. Obejmuje to obowiązek dokumentowania procesów decyzyjnych, identyfikacji kluczowych zmiennych, zapewnienia możliwości wygenerowania indywidualnych wyjaśnień oraz wprowadzenia procedur umożliwiających weryfikację poprawności decyzji.

Administratorzy muszą także zadbać o to, by mechanizmy wyjaśnialności były dostosowane do poziomu wiedzy przeciętnego odbiorcy. Wyjaśnienia muszą być proste, klarowne i zrozumiałe. Brak implementacji mechanizmów wyjaśnialności może skutkować naruszeniem art. 15 i 22 RODO oraz narażać administratorów na poważne konsekwencje prawne, w tym sankcje finansowe. Systemy muszą również zapewniać możliwość ingerencji człowieka w podejmowany proces decyzyjny oraz umożliwiać korektę lub anulowanie decyzji podjętej wyłącznie w sposób automatyczny.

Wyrok TSUE zmusza projektantów systemów AI do zmiany podejścia na bardziej proaktywne: konieczne jest uwzględnienie wymogów transparentności na etapie tworzenia algorytmu, nie zaś dopiero na etapie jego wdrażania.

Odniesienie do AI Act

Analizując wyrok TSUE w kontekście nieobowiązującego w pełnym zakresie AIAct, można zauważyć, że obie regulacje zmierzają do podobnego celu: zapewnienia wysokiego poziomu przejrzystości i ochrony praw podstawowych. AI Act przewiduje obowiązki dotyczące wyjaśnialności dla systemów wysokiego ryzyka, w tym konieczność udokumentowania procesu decyzyjnego, zapewnienia nadzoru i łatwości zrozumienia dla użytkownika.

W szczególności, zgodnie z art. 13 AIAct, systemy wysokiego ryzyka powinny być projektowane i rozwijane w sposób umożliwiający ich przejrzystość. Użytkownik końcowy powinien być informowany o funkcjonowaniu systemu, jego ograniczeniach oraz możliwych konsekwencjach decyzji. Wprowadzenie takich standardów na poziomie unijnym powoduje, że wyrok C-203/22 staje się fundamentem przyszłych obowiązków prawnych, co nie zwalnia dostawców takich rozwiązań z etycznego podejścia.

Z perspektywy praktycznej oznacza to, że organizacje powinny już teraz dostosowywać swoje systemy AI nie tylko do RODO, ale również do przyszłych wymagań AIAct, budując mechanizmy audytowalności, odpowiedzialności algorytmicznej oraz programy zapewniania jakości danych wykorzystywanych przez algorytmy.

Iuscase - zarządzanie kancelarią prawną w jakości C.H.Beck. Wypróbuj bezpłatnie! Sprawdź

Konsekwencje dla polskich administratorów danych

W Polsce, mimo braku przepisów szczegółowo regulujących kwestię tajemnicy przedsiębiorstwa w kontekście prawa dostępu, administratorzy danych muszą respektować pełny zakres praw wynikających z RODO. Oznacza to konieczność udzielania informacji o zasadach podejmowania decyzji automatycznych w taki sposób, aby zapewnić osobie, której dane dotyczą, realną możliwość ich zakwestionowania.

Organizacje powinny przeprowadzić przegląd swoich systemów AI, przygotować odpowiednie polityki zarządzania ryzykiem algorytmicznym, stworzyć procedury wyjaśnialności decyzji oraz zadbać o odpowiednie szkolenia dla pracowników odpowiedzialnych za obsługę takich systemów. Szczególne znaczenie będzie miało zapewnienie niedyskryminacji algorytmicznej oraz mechanizmów przeciwdziałających efektowi czarnej skrzynki (black-box effect), gdy wewnętrzne mechanizmy działania systemu są ukryte lub nieznane. Jednym z praktycznych kroków będzie wprowadzenie w organizacjach polityk przejrzystości, które formalizują obowiązki w zakresie projektowania, testowania i monitorowania systemów podejmowania decyzji automatycznych.

Podsumowanie

Wyrok C-203/22 potwierdza, że standardy w zakresie ochrony danych osobowych i przejrzystości systemów podejmowania decyzji automatycznych powinny być na wysokim poziomie. Zarówno w kontekście aktualnych przepisów RODO, jak i wstępnie obowiązującego AIAct, organizacje muszą dostosować swoje praktyki, aby zapewnić pełną wyjaśnialność i skuteczne gwarancje ochrony praw jednostek.

Administratorzy danych, projektując systemy AI, powinni uwzględniać od początku wymogi dotyczące wyjaśnialności, przejrzystości oraz umożliwienia zakwestionowania decyzji. Wymogi te nie tylko minimalizują ryzyko prawne, ale stanowią fundament budowy zaufania społecznego do rozwiązań opartych na sztucznej inteligencji. Dostosowanie się do tych standardów nie jest już opcjonalne — staje się podstawowym warunkiem odpowiedzialnego i zgodnego z prawem stosowania nowoczesnych technologii.

Wszystkie aktualności n.ius® po zalogowaniu. Nie posiadasz dostępu? Kup online, korzystaj od razu! Sprawdź

Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →