Blog

Sztuczna inteligencja (AI) stanowi coraz istotniejsze narzędzie w wielu branżach, w tym także w obsłudze prawnej. Dynamiczny rozwój tej technologii niesie za sobą nowe wyzwania, wymagając kompleksowego podejścia do kwestii prawnych związanych z jej zastosowaniem. W niniejszym artykule analizujemy kluczowe aspekty prawne dotyczące asystentów AI, zakres regulacji ich dotyczących oraz ograniczenia wynikające z obowiązującego prawa.

Prawne aspekty AI - regulacje

Kluczowym aktem prawnym w tym zakresie jest obecnie tzw. AI Act – unijne rozporządzenie mające na celu zapewnienie m.in. transparentności, odpowiedzialności czy klasyfikacji ryzyka związanego z wykorzystaniem AI.

Czy chatboty podlegają AI Act?

Zastosowanie AI Act wobec chatbotów zależy od ich funkcjonalności i ustalenia poziomu ryzyka. Jeśli chatboty są wykorzystywane między innymi do zautomatyzowanych procesów decyzyjnych mających wpływ na prawa i wolności użytkowników, np. w procesach rekrutacyjnych, ocenie zdolności kredytowej czy selekcji kandydatów do świadczeń socjalnych – mogą zostać zaklasyfikowane jako systemy wysokiego ryzyka.

Jakie są ograniczenia prawne prawne dla AI?

1. AI Act 

Ograniczenia prawne dla sztucznej inteligencji w Unii Europejskiej wynikają przede wszystkim z AI Act, który wprowadza czteropoziomową klasyfikację ryzyka – od systemów zakazanych, przez wysokiego ryzyka (np. AI w rekrutacji, medycynie czy sądownictwie), po ograniczone i minimalne ryzyko. Systemy AI wysokiego ryzyka podlegają m.in. ścisłym wymogom zgodności, audytom i nadzorowi. 

2. Ochrona danych osobowych

W przypadku AI należy także spełniać wymogi RODO (GDPR), zapewniając zgodność z przepisami dotyczącymi ochrony danych osobowych. Wyzwania pojawiają się zwłaszcza w zakresie anonimizacji i wykorzystywania danych do trenowania modeli AI.

3. Dyskryminacja i uprzedzenia algorytmiczne

Modele AI mogą nieświadomie utrwalać lub wzmacniać uprzedzenia, prowadząc do dyskryminacyjnych decyzji. Może to mieć znaczenie np. w kontekście przepisów prawa pracy, szczególnie w obszarach rekrutacji, oceny pracowników czy przyznawania awansów. 

Oczywiście skutki naruszenia niektórych z ograniczeń mogą skutkować nie tylko odpowiedzialnością prawną, ale  także negatywnymi konsekwencjami wizerunkowymi dla podmiotów wdrażających takie systemy AI.

4. Własność intelektualna a chatboty

W kontekście automatyzacji obsługi klienta za pomocą AI, ochrona własności intelektualnej może obejmować różnorodne aspekty. Od zabezpieczenia algorytmów i kodu źródłowego, przez ochronę danych i baz klientów, po wykorzystywane licencje.

Jednocześnie, z uwagi na to, że zgodnie z naszym prawem, generalnie twórcą może być tylko człowiek to sama kwestia praw do treści generowanych przez AI jest to właściwie zagadnienie na odrębny artykuł. Pomijając zresztą problematykę twórcy to jednak zwykle w tym przypadku będą to narzędzia służące do obsługi klienta, a więc również mało prawdopodobny jest scenariusz, gdzie w ogóle powstałoby coś twórczego.

‍

5.  Cyberbezpieczeństwo

Systemy AI są podatne na ataki cybernetyczne, co może prowadzić do wycieku danych, manipulacji wynikami analiz oraz zakłócenia ich działania. Ochrona przed tego rodzaju zagrożeniami wymaga stosowania zaawansowanych środków zabezpieczających.

‍

W przypadku wdrażania AI w firmie warto skonsultować się z prawnikiem AI, który pomoże zadbać o zgodność z obowiązującymi przepisami oraz zminimalizować ryzyka prawne.

Rozwój sztucznej inteligencji (AI) w medycynie przynosi ogromne korzyści, jednak wiąże się także z istotnymi wyzwaniami prawnymi. Jednym z kluczowych aspektów pozostaje ochrona danych medycznych, szczególnie w kontekście przepisów RODO oraz unijnego rozporządzenia o sztucznej inteligencji (AI Act).

W świetle RODO posługujemy się pojęciem danych dotyczących zdrowia, które oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia.

Regulacje dotyczące AI w medycynie – AI Act

W 2024 roku Unia Europejska przyjęła Rozporządzenie Parlamentu Europejskiego i Rady (UE) o sztucznej inteligencji (AI Act), które ustanawia jednolite zasady dla projektowania, wdrażania i nadzoru nad systemami AI w UE.  Fakt, że produkt oparty na AI zostanie uznany za wyrób medyczny, może skutkować zakwalifikowaniem go jako system wysokiego ryzyka. AI Act ma bowiem zastosowanie niezależnie od innych aktów prawnych – nawet jeśli system podlega już innym zharmonizowanym przepisom sektorowym, jak np. rozporządzenia 2017/745 (MDR).

Kluczowe wymagania wynikające z AI Act dla sektora medycznego (ale nie tylko) obejmują m.in.:

• wdrożenie systemu zarządzania jakością;
• obowiązek zapewnienia nadzoru ludzkiego nad działaniem systemu AI;
• wymóg przejrzystości i informowania o użyciu systemu – wdrożenie odpowiednich środków technicznych i organizacyjnych celem zapewnienia zgodności z ich przeznaczeniem;
• jakość i adekwatność danych wykorzystywanych przez system;
• obowiązek prowadzenia dokumentacji technicznej oraz zgłaszania incydentów związanych z działaniem systemu AI

Ochrona danych medycznych a sztuczna inteligencja

Przetwarzanie tych danych wymaga szczególnej staranności ze względu na ich wrażliwy charakter. Zgodnie z RODO dane dotyczące zdrowia należą do szczególnych kategorii danych osobowych, których przetwarzanie co do zasady jest zabronione, przy czym RODO przewiduje w tym zakresie wyjątki. W tym kontekście prawnik AI odgrywa kluczową rolę, pomagając placówkom medycznym wdrażać rozwiązania zgodne z przepisami prawa.

Systemy AI wdrażane w placówkach medycznych muszą być projektowane i stosowane przy zapewnieniu bezpieczeństwa i poufności danych pacjentów. Coraz więcej instytucji medycznych korzysta z narzędzi AI do przetwarzania danych pacjentów, co wymaga zastosowania odpowiednich środków technicznych i organizacyjnych, takich jak szyfrowanie czy kontrola dostępu.

RODO a AI – aspekty prawne

RODO nakłada na administratorów danych obowiązki, w tym m.in. zasadę minimalizacji danych, zapewnienia ich odpowiedniego zabezpieczenia czy przejrzystości przetwarzania. Zgoda pacjenta na przetwarzanie danych medycznych z wykorzystaniem AI musi być wyraźna, dobrowolna, świadoma, konkretna i możliwa do wycofania.

Jednak zgoda nie jest jedyną podstawą legalności przetwarzania takich danych. Art. 9 ust. 2 RODO dopuszcza przetwarzanie danych dotyczących zdrowia m.in. w następujących przypadkach, np.: gdy przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, lub ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, np. ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi.

Ważne jest także uwzględnienie regulacji dotyczących profilowania oraz zautomatyzowanego podejmowania decyzji, szczególnie w kontekście systemów AI wykorzystywanych do wspomagania diagnozy lub leczenia. Jeśli decyzje podejmowane są wyłącznie automatycznie i wywołują skutki prawne lub istotnie wpływają na pacjenta, stosowanie art. 22 RODO jest obligatoryjne.

Czy można przetwarzać dane medyczne przy użyciu AI?

Tak, przetwarzanie danych dotyczących zdrowia przy użyciu systemów AI jest dopuszczalne, ale tylko w granicach wyznaczonych przez RODO oraz inne obowiązujące przepisy. Kluczowe jest zapewnienie legalności, rzetelności i przejrzystości przetwarzania, a także wdrożenie odpowiednich środków bezpieczeństwa.

W przypadku gdy system AI kwalifikuje się jako narzędzie wysokiego ryzyka (co dotyczy większości systemów medycznych), niezbędne jest przeprowadzenie oceny skutków dla ochrony danych (Data Protection Impact Assessment – DPIA), zgodnie z art. 35 RODO.

Jak AI wpływa na ochronę danych pacjentów?

AI może znacznie zwiększyć efektywność procesów medycznych, umożliwiając szybszą analizę danych, ograniczenie błędów i usprawnienie zarządzania dokumentacją. Jednak równocześnie wiąże się z ryzykami, takimi jak nieautoryzowany dostęp do danych, błędy algorytmiczne czy brak przejrzystości działania.

Dlatego systemy AI powinny być nadzorowane przez człowieka (tzw. human oversight) i projektowane zgodnie z zasadą „privacy by design” oraz „privacy by default”.

‍

Właściwe wdrożenie AI w podmiotach medycznych wymaga współpracy z ekspertami z zakresu obsługi prawnej branży IT, którzy pomogą zadbać o zgodność procesów z obowiązującymi regulacjami prawnymi.

‍

Urząd Ochrony Konkurencji i Konsumentów (UOKiK) ujawnił trwającą niemal dekadę zmowę cenową pomiędzy spółką Jura Poland a czołowymi sieciami handlowymi: RTV Euro AGD, Media Markt i Media Expert. W wyniku nielegalnego porozumienia konsumenci byli pozbawieni możliwości zakupu ekspresów do kawy marki Jura w konkurencyjnych cenach.

‍

Prezes UOKiK, Tomasz Chróstny, nałożył łącznie ponad 66 milionów złotych kar na zaangażowane podmioty. Najwyższe sankcje finansowe otrzymały:

• Terg (Media Expert) – 30 065 250 zł
• Jura Poland – 12 212 000 zł
• Euro-net (RTV Euro AGD) – 10 500 450 zł
• Media Saturn Online (Media Markt online) – 6 772 000 zł
• Media Saturn Holding Polska (Media Markt stacjonarnie) – 6 549 000 zł

‍

Dodatkowo Joanna Luto, prezes zarządu Jura Poland w czasie trwania zmowy, została osobiście ukarana grzywną w wysokości 243 750 zł.

‍

Na czym polegała zmowa?

‍

Od lipca 2013 do listopada 2022 roku Jura Poland – wyłączny importer ekspresów tej szwajcarskiej marki – wraz z kluczowymi dystrybutorami, ustalała sztywne ceny odsprzedaży. Dotyczyło to nie tylko cen standardowych, ale również promocji, gratisów i warunków wyprzedaży. Firmy monitorowały się nawzajem i egzekwowały ustalenia – m.in. poprzez groźby wstrzymania dostaw lub zakończenia współpracy. Tego typu działania naruszały podstawowe zasady konkurencji i uderzały bezpośrednio w konsumentów.

‍

Co to oznacza dla przedsiębiorców?
‍

Decyzja UOKiK to jasny sygnał: zmowy cenowe będą surowo karane – zarówno na poziomie firm, jak i osób fizycznych. To ostrzeżenie dla wszystkich przedsiębiorców, że ustalanie cen z konkurencją lub partnerami handlowymi może się skończyć milionowymi karami i utratą reputacji. UOKiK pokazuje, że odpowiedzialność za praktyki ograniczające konkurencję ponoszą nie tylko firmy, ale też konkretne osoby zarządzające. Dla menedżerów to wyraźna informacja, że muszą znać i przestrzegać zasad prawa konkurencji.

‍

Akurat ta sytuacja jest ewidentna, ale też do naruszenia może dojść w sposób nieumyślny. Warto szkolić pracowników, szczególnie działy sprzedaży, marketingu i zarządy. Szkolenia takie mogą obejmować np. zakazy dotyczące zmów cenowych oraz rozgraniczenie uczciwej konkurencji od zachowań, które mogą być ścigane przez UOKiK lub być podstawą do wytoczenia powództwa przez pokrzywdzonego konkurenta.

‍

Jeśli przedsiębiorstwo uczestniczyło w niedozwolonym porozumieniu, może skorzystać z programu łagodzenia kar (leniency), zgłaszając proceder do UOKiK i współpracując z urzędem. To może pozwolić uniknąć sankcji lub je znacząco obniżyć.

‍