Biuletyn Informacji Publicznej RPO

• Przedstawiciel Rzecznika Praw Obywatelskich nie może wchodzić w skład Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji, który zgodnie z rządowym projektem ma nadzorować sektor sztucznej inteligencji 
• Byłoby to sprzeczne z rolą organu ochrony prawa, jaką ustrojodawca przewidział dla RPO w Konstytucji, godziłoby także w zasadę niezależności Rzecznika
• Komisja ma wydawać  decyzje administracyjne i postanowienia, które mogą być przedmiotem skarg obywateli do RPO. Wtedy rozpoznawałby on skargę na działania podejmowane m. in. przez jego przedstawiciela. To zaś podważałoby zasadę prawa, że nikt nie może być sędzią we własnej sprawie.
• RPO Marcin Wiącek przesłał sekretarzowi stanu w Ministerstwie Cyfryzacji Dariuszowi Standerskiemu opinię do projektu ustawy o systemach sztucznej inteligencji (nr UC71) 

Rzecznik wnosi o uwzględnienie swych uwag podczas prac legislacyjnych.

Uwagi do art. 7 ust. 2 pkt. 6 i art. 8 ust. 5 projektu ustawy

Projekt przewiduje utworzenie nowego organu - Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji - wyspecjalizowanego w nadzorze nad sektorem sztucznej inteligencji oraz wspierania jego funkcjonowania. Ma być organem nadzoru nad rynkiem, ale również przyczyniać się do wzmacniania branży sztucznej inteligencji i pełnić funkcję podmiotu eksperckiego współpracującego z innymi instytucjami publicznymi w zakresie AI. Jednym z jej członków ma zostać przedstawiciel Rzecznika. 

W ocenie RPO jest to nie do pogodzenia z pozycją ustrojową i kompetencjami, przyznanymi  Rzecznikowi w Konstytucji RP. RPO nie jest organem administracji publicznej, lecz samodzielnym, konstytucyjnym organem ochrony prawa, stojącym na straży wolności i praw człowieka i obywatela określonych w Konstytucji oraz w innych aktach normatywnych. W myśl art. 210 Konstytucji RP RPO jest niezawisły, niezależny od innych organów państwowych i odpowiada jedynie przed Sejmem na zasadach określonych w ustawie. Tryb rozpatrywania spraw należących do jego  kompetencji uregulowano w ustawie o RPO, zgodnie z którymi zarówno o sposobie działania, jak i o podjętych środkach prawnych w danej sprawie Rzecznik decyduje autonomicznie.

Trybunał Konstytucyjny interpretuje niezależność jako pojęcie normatywne, tj. wyznaczające zakaz tworzenia pomiędzy RPO  a innymi organami więzi strukturalnych i funkcjonalnych, które mogłyby prowadzić do zależności Rzecznika od tych organów. Sejmowi, podobnie jak jakiemukolwiek innemu organowi państwa, nie wolno wyznaczać Rzecznikowi jakichkolwiek obowiązków, które nie mieszczą się w jego konstytucyjnych zadaniach i nie znajdują podstaw w ustawie o RPO.

Także  w orzecznictwie sądów administracyjnych ugruntowane jest stanowisko, że rozpatrywanie przez Rzecznika kierowanych do niego wniosków nie następuje w formach przewidzianych w ustawie Prawo o postępowaniu przed sądami administracyjnymi. Nie ulega zatem wątpliwości, że przedstawiciel RPO nie może być częścią organu (Komisji), który wydaje decyzje administracyjne i postanowienia, gdyż byłoby to sprzeczne z rolą organu ochrony prawa, jaką ustrojodawca przewidział dla RPO w Konstytucji. Godziłoby to w zasadę niezależności Rzecznika.

Wyznaczenie na członka Komisji przedstawiciela RPO jest wątpliwe również dlatego, że czynności Komisji i wydawane przez nią decyzje administracyjne i postanowienia mogą być przedmiotem skarg obywateli do RPO. Powodowałoby to, że Rzecznik rozpoznawałby de facto skargi na działania podejmowane m. in. przez jego przedstawiciela. To zaś podważałoby zasadę prawa, zgodnie z którą nikt nie może być sędzią we własnej sprawie.

Jednocześnie, nie budzi wątpliwości możliwość zgłaszania przez RPO kandydatów do Społecznej Rady ds. Sztucznej Inteligencji, która będzie pełniła funkcje opiniodawczo-doradcze na rzecz Komisji.

Uwagi do art. 26 ust. 7 projektu ustawy

Przepis ten zwalnia Komisję oraz podmioty, o których mowa w art. 7 ust. 2 ustawy, z realizacji niektórych obowiązków wynikających z rozporządzenia  RODO podczas przetwarzania danych, o których mowa w art. 26 ust. 3 ustawy, czyli m.in. danych osobowych pozyskanych w związku z nadzorem nad systemami sztucznej inteligencji dotyczących użytkowników systemów informacyjnych oraz użytkowników telekomunikacyjnych urządzeń końcowych. 

Wśród tych obowiązków, z których zwolniona może być Komisja i wskazane w przepisie podmioty, znajdują się obowiązki, o których stanowi art. 15 (prawo dostępu do danych), art. 16 (prawo do sprostowania danych), art. 18 ust. 1 lit. a (prawo do ograniczenia przetwarzania danych osobowych w sytuacji, gdy osoba, której dane dotyczą kwestionuje prawidłowości przetwarzania danych osobowych) i d (prawo do ograniczenia przetwarzania danych osobowych w sytuacji, gdy osoba, której dane dotyczą wniosła sprzeciw wobec przetwarzania) oraz art. 19 zdanie drugie (obowiązek zawiadomienia o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych) RODO. 

Warunkiem zwolnienia z tych obowiązków jest uznanie, że ich realizacja uniemożliwiłaby wypełnienie zadań Komisji, przy czym ustawodawca nie zawęził we wskazanym przepisie celów przetwarzania danych do realizacji jedynie określonych zadań. 

Zadania Komisji, o których stanowi art. 11 ust. 1 projektowanej ustawy, zakreślono szeroko. Obejmują nie tylko sprawowanie kontroli przestrzegania przepisów aktu o AI , ale także np. realizację projektów edukacyjnych czy prowadzenie działań informacyjnych. Projekt pozwala na wyłączenie stosowania powołanych wyżej gwarancji poprzez odwołanie się do ogólnej klauzuli niemożności realizacji zadań przez Komisję, przy czym to ona sama każdorazowo dokonywałaby oceny istnienia podstawy do niestosowania wskazanych przepisów RODO. Z uzasadnienia nie wynika, dlaczego projektodawca zdecydował się na tak szerokie wyłączenie.

Tymczasem w art. 2 ust. 7 aktu o AI wskazano, że „prawo Unii w zakresie ochrony danych osobowych, prywatności i poufności komunikacji stosuje się do danych osobowych przetwarzanych w związku z prawami i obowiązkami ustanowionymi w niniejszym rozporządzeniu. Niniejsze rozporządzenie nie ma wpływu na rozporządzenia (UE) 2016/679 lub (UE) 2018/1725, ani na dyrektywy 2002/58/WE lub (UE) 2016/680, bez uszczerbku dla art. 10 ust. 5 i art. 59 niniejszego rozporządzenia”. Dodatkowo z motywu 10 aktu o AI wynika, że „[p]odstawowe prawo do ochrony danych osobowych jest gwarantowane w szczególności przez rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 i (UE) 2018/1725 oraz dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680. (…). Te unijne akty prawne stanowią podstawę zrównoważonego i odpowiedzialnego przetwarzania danych, w tym w przypadku gdy zbiory danych zawierają połączenie danych osobowych i nieosobowych. Celem niniejszego rozporządzenia nie jest wpływanie na stosowanie obowiązującego prawa Unii regulującego przetwarzanie danych osobowych, w tym na zadania i uprawnienia niezależnych organów nadzoru właściwych do monitorowania zgodności z tymi instrumentami. W zakresie, w jakim projektowanie, rozwój lub wykorzystywanie systemów AI wiąże się z przetwarzaniem danych osobowych, niniejsze rozporządzenie nie wpływa też na wynikające z prawa Unii lub prawa krajowego obowiązki w dziedzinie ochrony danych osobowych spoczywające na dostawcach i podmiotach stosujących systemy AI, którzy pełnią funkcję administratorów danych lub podmiotów przetwarzających. Należy również wyjaśnić, że osoby, których dane dotyczą, zachowują wszystkie prawa i gwarancje przyznane im na mocy takiego prawa Unii. w tym prawa związane z całkowicie zautomatyzowanym podejmowaniem decyzji w indywidualnych sprawach, w tym z profilowaniem. Ustanowione w niniejszym rozporządzeniu zharmonizowane przepisy dotyczące wprowadzania do obrotu, oddawania do użytku i wykorzystywania systemów AI powinny ułatwiać skuteczne wdrażanie i umożliwiać korzystanie przez osoby, których dane dotyczą, z praw i innych środków ochrony prawnej zagwarantowanych na podstawie prawa Unii dotyczącego ochrony danych osobowych i innych praw podstawowych”.

Skoro zatem sam akt o AI nie przewiduje wyłączenia stosowania przepisów rozporządzenia 2016/679, to wątpliwości może budzić wprowadzenie bez podania bliższego uzasadnienia ww. rozwiązania do ustawy, której głównym celem jest dostosowanie ustawodawstwa krajowego do aktu o AI i stworzenie systemu sprawowania nadzoru nad systemami sztucznej inteligencji.

Uwagi do art. 45 ust. 1 i 2 ustawy

Przepis ten przewiduje wgląd kontrolującego w dokumenty podmiotu kontrolowanego, które mogą być objęte tajemnicą adwokacką/radcowską. Przewidziano możliwość złożenia oświadczenia przez kontrolowanego, że określone pisma i dokumenty zawierają informacje objęte tajemnicą adwokacką, czego skutkiem powinno być pozostawienie przez kontrolujących tych dokumentów w miejscu kontroli. 

Jednocześnie kontrolujący mógłby zapoznać się pobieżnie z pismem lub dokumentem, w sposób pozwalający na ustalenie autora, adresata, tytułu oraz przedmiotu pisma lub dokumentu oraz daty jego sporządzenia. Mógłby także żądać od podmiotu kontrolowanego lub osoby przez niego upoważnionej dodatkowych ustnych wyjaśnień w przedmiocie złożonego oświadczenia. A jeżeli budzi ono wątpliwości, kontrolujący niezwłocznie, nie później niż po zakończeniu kontroli, przekazuje pismo lub dokument, którego wątpliwość dotyczy, sądowi ochrony konkurencji i konsumentów, w sposób zapewniający należyte zabezpieczenie przed ujawnieniem jego treści. Ostatecznie to sąd decyduje o możliwości przekazania tych dokumentów podmiotowi kontrolującemu. 

Mimo tego mechanizmu kontrolnego, sama możliwość nawet pobieżnego zapoznania się z pismami i dokumentami zawierającymi informacje objęte tajemnicą adwokacką, może budzić poważne wątpliwości. Tajemnica adwokacka służy ochronie interesów klienta. Stanowi gwarancję poszanowania relacji zaufania klienta do adwokata, bez której nie można sobie wyobrazić prawidłowej reprezentacji i prawidłowo funkcjonującego wymiaru sprawiedliwości. Ochrona tajemnicy adwokackiej stanowi jeden z najistotniejszych, jeśli nie najważniejszy obok należytej reprezentacji interesów klienta, obowiązków zawodowy adwokata.

Stworzenie zatem możliwości osobom nieupoważnionym zapoznania się z pismem lub dokumentem objętymi tajemnicą adwokacką ingeruje w relację pomiędzy pełnomocnikiem i klientem oraz narusza tajemnicę korespondencji. W ocenie RPO pozostawienie tego przepisu w takim kształcie jest trudne do pogodzenia z tymi  zasadami, jak i z zasadą demokratycznego państwa prawnego (art. 2 Konstytucji RP).

VII.501.187.2024