Dlaczego nadzór nad sztuczną inteligencją powinien sprawować Urząd Ochrony Danych Osobowych, a nie samodzielnie powołany nadzorca Ministerstwa Cyfryzacji?

„Zmieniają się czasy, a Wy ciągle w komisjach” - dlaczego nadzór nad danymi i sztuczną inteligencją powinien sprawować Urząd Ochrony Danych Osobowych (PUODO), a nie samodzielnie powołany nadzorca Ministerstwa Cyfryzacji.

15 października Ministerstwo Cyfryzacji przedstawiło projekt ustawy o „Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji”, mylnie zatytułowany „ustawą o systemach sztucznej inteligencji”. Niejasność celów ustawodawcy widać nie tylko w tytule, ale i w nazwie instytucji, którą Ministerstwo chce powołać. Komisja, zgodnie z nazwą, ma zarazem rozwijać, jak i zapewniać bezpieczeństwo systemów sztucznej inteligencji (AI) - co przywodzi na myśl fikcyjną „Ligę Kobiet” z kultowej polskiej komedii „Seksmisja”, której dewizą było: „Liga rządzi, Liga radzi, Liga nigdy nie zdradzi”.

Powołanie nowego organu rządowego to zawsze wydarzenie monumentalne, uzasadniające lata uroczystych obchodów - wygodną alternatywę dla merytorycznej pracy. Powstają nowe stanowiska, często zarezerwowane dla osób z politycznymi koneksjami. Przez pierwsze lata nowa organizacja może skupić się na samoorganizacji - poznawaniu rozkładu biur i zapamiętywaniu imion współpracowników - zamiast na swoim właściwym celu. Mimo tych „zalet” pomysł tworzenia nowego organu kolegialnego jest słabym substytutem rozszerzenia kompetencji istniejącej instytucji.

Systemy sztucznej inteligencji przetwarzają dane, a my mamy już organ ds. danych: Urząd Ochrony Danych Osobowych (PUODO). Co więcej, znaczna część danych przetwarzanych przez systemy AI to dane osobowe, które wprost podlegają jurysdykcji PUODO. Wróćmy do sedna sprawy.

Ramy prawne: unijny Akt o sztucznej inteligencji

Potrzeba krajowych regulacji dotyczących AI wynika z unijnego Aktu o sztucznej inteligencji (AIA). Zgodnie z art. 70 ust. 1 AIA państwa członkowskie muszą wyznaczyć co najmniej jeden niezależny organ nadzoru rynku. Polski projekt ustawy przewiduje dwunastoosobową „Komisję Rozwoju i Bezpieczeństwa Sztucznej Inteligencji”, składającą się z Przewodniczącego, dwóch Zastępców Przewodniczącego i dziewięciu członków. Co ciekawe, projekt precyzuje, że Przewodniczący nie jest członkiem Komisji.

Proces powoływania budzi dalsze wątpliwości co do niezależności. Przewodniczącego i zastępców wybiera Prezes Rady Ministrów, natomiast dziewięciu członków powołują indywidualnie różni urzędnicy, w tym Minister Cyfryzacji, Prezes PUODO i inni. Większość powołanych musi godzić te obowiązki z pracą podstawową, a projekt nie nakłada wymogów eksperckich dla tych ról.

Nakładające się kompetencje

Komisja ma być organem nadzorczym monitorującym, przesłuchującym i karzącym podmioty wykorzystujące lub wprowadzające do obrotu systemy AI w kraju. Jej zakres istotnie pokrywa się jednak z zakresem PUODO, zwłaszcza w odniesieniu do systemów AI przetwarzających dane osobowe. Sam AIA podkreśla, że regulacja AI nie powinna kolidować z ogólnym rozporządzeniem o ochronie danych (RODO).

Rozszerzenie kompetencji PUODO o nadzór nad AI ma wyraźne zalety:

1. Ciągłość i ekspertyza: PUODO już teraz zajmuje się zautomatyzowanym podejmowaniem decyzji i ryzykami związanymi z danymi na gruncie RODO. Prowadzi również sprawy dotyczące systemów AI w Polsce, wspierany przez dedykowany zespół ekspertów.
2. Efektywność kosztowa: Wzmocnienie istniejącej instytucji pozwala uniknąć powielania struktur, zatrudniania personelu i dublowania procesów.
3. Usprawniony nadzór: Jeden organ zmniejsza ryzyko sprzecznych interpretacji i równoległych postępowań, co służy zarówno rynkowi, jak i pewności prawa.

Ryzyka odrębnej Komisji ds. AI

System podwójnego nadzoru wprowadza zbędne komplikacje:

1. Rozmyta odpowiedzialność: Jednoosobowe kierownictwo PUODO zapewnia jasną odpowiedzialność, podczas gdy organ kolegialny ją rozprasza.
2. Nieefektywne odwołania: Sprzeczne decyzje PUODO i Komisji ds. AI zmuszałyby przedsiębiorców do przewlekłych batalii prawnych, podważając pewność regulacyjną.
3. Chaos rynkowy: Globalni gracze mogliby wykorzystywać rozbieżności między organami, a koszty zgodności obciążałyby przede wszystkim mniejsze podmioty krajowe.

Wnioski

Systemy AI przetwarzają dane; mamy już „chirurga” od danych - PUODO. Tworzenie drugiego organu nadzorczego o nakładających się kompetencjach, wątpliwej niezależności i rozmytej odpowiedzialności tylko komplikuje sprawę. Jak pewien mistrz wakeboardingu doradzał w sprawie kontuzji kolana: „Chodź za każdym razem do tego samego chirurga. Niech się uczy”. Dla Polski tym chirurgiem od danych jest PUODO. Unikajmy dzielenia odpowiedzialności i trzymajmy się sprawdzonej wiedzy.

Maciej Gawroński