Prywatność i dane osobowe w procesach automatyzacji w biznesie
Bartosz Mysiak print
Robotyzacja i automatyzacja to element rozwiniętych gospodarek już od kilkudziesięciu lat. Dalszy rozwój tych dziedzin przez wdrażanie sztucznej inteligencji i innych form automatyzacji jest procesem nieuniknionym i dającym unikalną szansę na skok technologiczny oraz poprawienie wydajności nie tylko w odniesieniu do poszczególnych przedsiębiorców, ale także państw. Świadomość tego mają wszystkie globalne potęgi.
USA, Unia Europejska i Chiny w ostatnich latach ogłosiły strategie i wprowadziły pierwsze akty prawne, które mają za zadanie promować m.in. rozwój sztucznej inteligencji i automatyzacji na szeroką skalę. Każdy ze światowych graczy ma nadzieję na zostanie liderem w tej dziedzinie, jednak podejście do tego tematu jest różne. O ile można założyć, że Chiny skoncentrują wysiłki na maksymalizacji efektywności produkcyjnej i finansowej, o tyle w państwach zachodnich dostrzega się pewne zagrożenia związane z coraz szerszym wykorzystywaniem maszyn, robotów i programów komputerowych, zarówno w gospodarce, jak i w innych dziedzinach życia.
Ogólne zagrożenia
Państwa europejskie, mimo że zauważają szanse wynikające z postępu technicznego, biorą pod uwagę ryzyka związane z tym procesem. Automatyzacja stanowi bez wątpienia zagrożenie dla miejsc pracy, których utrzymywanie i generowanie stanowi fundament najważniejszych strategii unijnych. Z kolei wdrażanie sztucznej inteligencji może zagrozić prawu do prywatności (np. przez zbieranie i przetwarzanie danych bez wiedzy osoby zainteresowanej), skutkować dyskryminacją (nawet niezamierzoną) oraz utrudnić korzystanie z praw pracowniczych lub konsumenckich. Istotnym wyzwaniem jest również to, że coraz szersze stosowanie sztucznej inteligencji wiąże się z powstawaniem bardzo rozbudowanych baz danych. Dlatego wraz z rozwojem technologicznym uchybienia w przedsiębiorstwach w zakresie bezpieczeństwa mogą wywoływać coraz groźniejsze skutki – zarówno z perspektywy firm, jak i jednostek, których dane są w tych firmach przetwarzane.
Podstawowe wytyczne
W polskim i unijnym prawodawstwie brakuje obecnie kompleksowej regulacji określającej zasady robotyzacji i automatyzacji. Dlatego każde przedsiębiorstwo, przed przystąpieniem do rewolucyjnych ruchów na tym polu, powinno przeanalizować swoje plany pod kątem m.in. prawa pracy, praw konsumenta, ochrony danych osobowych oraz właściwych dla firmy przepisów sektorowych. Wspólnym mianownikiem tych regulacji jest zapewnienie jednostce minimum praw i gwarancji, przede wszystkim przez poszanowanie prywatności, zapewnienie środków bezpieczeństwa i nadzoru człowieka nad procesami automatycznymi (zgodnie z zasadą – im większa automatyzacja, tym więcej testów i wymagań), zapewnienie możliwości odwołania się od decyzji podjętej automatycznie, zagwarantowanie przejrzystości automatycznego procesu oraz rzetelne informowanie jednostki o zasadach wykorzystywania danych, jak i o zakresie przetwarzanych danych. Należy ponadto założyć, że w stosunku do wszelkich innowacyjnych przedsięwzięć związanych z automatyzacją wymagane będzie umożliwienie publicznym organom nadzorczym „prześwietlenia” założeń planowanego projektu, a także – w miarę możliwości – uzgodnienie go z instytucjami i organizacjami odpowiedzialnymi za ochronę praw jednostki. Może to objąć konsultacje m.in. z organizacjami zajmującymi się ochroną praw pracowniczych, ochroną konsumentów, osób niepełnosprawnych lub dzieci.
Wymogi prawa pracy
Bez wątpienia wiele wyzwań w związku z procesem automatyzacji pojawia się w konfrontacji z przepisami prawa pracy. Kodeks pracy wskazuje m.in. zakres danych, jakie mogą być przetwarzane w ramach stosunku pracy. Ściśle uregulowane zostały w nim również m.in. zasady monitoringu wizyjnego pracowników oraz urządzeń, z których korzystają. Projektując proces automatyzacji, który bezpośrednio lub pośrednio dotyczy personelu firmy, należy mieć na uwadze powyższe ograniczenia. Wszelkie działania wykraczające poza ramy kodeksu pracy powinny być oparte na dobrowolności i nie powodować niekorzystnych skutków po stronie pracowników. Dość łatwo bowiem można spotkać się z zarzutem, że zgoda pracownika na określone zasady została wymuszona przez pracodawcę i z tego względu nie może zostać uznana za skuteczną. Co istotne, konieczne jest podjęcie działań zapewniających, że nowe rozwiązania nie będą prowadziły do dyskryminacji. Należy na to zwrócić uwagę zwłaszcza przy wdrażaniu rozwiązań z zakresu sztucznej inteligencji. Przykładowo oprogramowanie, które mierzy efektywność i sugeruje decyzje w zakresie awansów, podwyżek czy zwolnień, może nie uwzględniać szczególnego położenia niektórych grup i np. powodować dyskryminację osób niepełnosprawnych, chorych lub sprawujących opiekę nad dziećmi. Z powyższych względów wprowadzenie automatycznych procesów w zakresie spraw pracowniczych powinno podlegać szczególnemu nadzorowi.
Dane firmowe
Rozwój technologiczny, a w szczególności wykorzystywanie sztucznej inteligencji, wiąże się z koniecznością używania coraz bardziej rozbudowanych baz danych. Jeżeli przedsiębiorstwo w procesie automatyzacji wykorzystuje bazy z danymi na temat osób prawnych, konieczna jest weryfikacja, czy proces ten jest dozwolony w świetle zawartych umów, a także czy jego wykorzystanie nie narazi na ujawnienie informacji poufnych innego przedsiębiorstwa. W przypadku danych osób fizycznych będących przedsiębiorcami muszą być ponadto brane pod uwagę wymagania wynikające z ogólnego rozporządzenia o ochronie danych (RODO), które mają zastosowanie do osób samozatrudnionych w pełnym zakresie.
Prywatność, godność i prawa konsumenckie
W relacjach z klientami będącymi osobami fizycznymi wdrożenie rozwiązań automatycznych może napotkać kolejne ograniczenia. Stosowanie automatycznych systemów śledzenia i analizy zachowania może skutkować zarzutem naruszenia prywatności i godności, również w przypadku wykonania czynności w sposób anonimowy (np. zabawki i urządzenia domowe podsłuchujące lub podglądające użytkowników). Dodatkowo wymagana jest szczególna uwaga w relacjach z konsumentami. Przykładowo stosowanie chatbotów przedstawiających ofertę firmy lub systemów umożliwiających automatyczną analizę reklamacji klientów może zostać uznane za dozwolone, o ile takie rozwiązania spełnią szereg wymagań prawnych, w tym nie utrudnią klientom egzekucji przysługujących im praw, nie będą wprowadzać w błąd i umożliwią zadanie pytania lub złożenie skargi również w tradycyjny sposób. Dotyczy to w szczególności sytuacji, gdy sprawa klienta będzie na tyle nietypowa, że zostanie błędnie rozpatrzona przez algorytm.
RODO
Automatyzacja z wykorzystaniem danych osobowych może być wprowadzana wyłącznie z pełnym zastosowaniem zasad wynikających z RODO. Oznacza to, że w każdym takim projekcie osoba, której dane dotyczą, powinna być kompleksowo poinformowana o zakresie i celu przetwarzania jej danych.
Procesy automatyczne zazwyczaj wiążą się z profilowaniem, czyli zautomatyzowanym przetwarzaniem danych w celu oceny czynników osobowych (w szczególności efektów pracy, sytuacji ekonomicznej, zdrowia, zainteresowań, wiarygodności). Osoba, której dane dotyczą, powinna zostać poinformowana o profilowaniu i jego konsekwencjach. Ponadto podejmowanie decyzji wobec zainteresowanego (np. o udzieleniu pożyczki, złożeniu spersonalizowanej oferty itp.) na podstawie profilowania jest dozwolone wyłącznie wtedy, gdy wymaga tego prawo, gdy jest to konieczne do wykonania umowy lub gdy została udzielona zgoda.
W praktyce powyższe zasady oznaczają, że profilowanie jest dozwolone w szczególnych sytuacjach wskazanych przepisami lub gdy jest to niezbędne do wykonania umowy z daną osobą – pod warunkiem rzetelnego poinformowania o zasadach i skutkach profilowania. W pozostałych przypadkach, np. gdy profilowanie jest wykorzystywane do celów marketingowych lub analitycznych (jak np. rozwijanie możliwości sztucznej inteligencji na podstawie klienckiej bazy danych), działanie to wymaga udzielenia dobrowolnej zgody. W takiej sytuacji należy również zapewnić prawo do uzyskania ludzkiej interwencji, do wyrażenia własnego stanowiska oraz do poznania uzasadnienia decyzji opartych na profilowaniu.
Wdrażanie innowacyjnych rozwiązań w zakresie automatyzacji może budzić obawy osób zainteresowanych i wkraczać w obszar, w którym przepisy nie są jednoznaczne. Dlatego warto wcześniej dogłębnie przeanalizować plany pod kątem prawnym i wdrożyć wynikającą z RODO zasadę „privacy by design” (uwzględnienie prywatności już w fazie projektowania). Zaniedbanie w tym zakresie może nie tylko spowodować wstrzymanie projektu, lecz również narazić na kary finansowe (do 20 mln euro na podstawie przepisów RODO), a także skutkować roszczeniami osób, których prawa zostały naruszone.
Bartosz Mysiak
Radca prawny w kancelarii LSW Leśnodorski Ślusarek i Wspólnicy. Specjalizuje się w zagadnieniach dotyczących prawa własności intelektualnej, prawa nowych technologii, prawa mediów i reklamy oraz ochrony danych osobowych. W praktyce zawodowej koncentruje się na obsłudze przedsiębiorstw w branży e-commerce i nowych technologii, interaktywnych agencji reklamowych oraz podmiotów powiązanych z nauką i badaniami – w szczególności przez opiniowanie innowacyjnych projektów oraz sporządzanie i negocjowanie złożonych kontraktów.
source: Automatyka 3/2021