Spis treści:
- Administracja w erze automatyzacji
- Ramy prawne stosowania AI w administracji
- Odpowiedzialność za decyzje podejmowane przy udziale AI
- Wyzwania etyczne i praktyczne
- Rekomendacje dla administracji publicznej
Administracja publiczna w całej Europie wkracza w etap cyfrowej transformacji, której kolejnym krokiem staje się wykorzystanie sztucznej inteligencji. Systemy uczące się wspierają już urzędy w klasyfikowaniu pism, analizie danych statystycznych, predykcji ryzyka, a nawet w komunikacji z obywatelami. Zmienia to sposób funkcjonowania instytucji publicznych.
Proces cyfryzacji administracji publicznej przeszedł w ostatnich latach z etapu informatyzacji dokumentów do fazy inteligentnej automatyzacji. Coraz częściej systemy informatyczne nie tylko wspierają urzędników w wykonywaniu zadań, ale także samodzielnie analizują dane, klasyfikują sprawy bądź generują propozycje decyzji. Wdrażanie takich rozwiązań ma wymiar nie tylko technologiczny, lecz także prawny i ustrojowy, ponieważ dotyka samej istoty wykonywania władzy publicznej.
Administracja w erze automatyzacji
W wielu państwach europejskich administracja korzysta już z algorytmów uczenia maszynowego do usprawnienia procesów decyzyjnych. W Holandii system SyRI (System Risk Indication) służył do wykrywania nadużyć w świadczeniach socjalnych, we Francji algorytmy wspierają proces selekcji wniosków o przyjęcie na studia (system Parcoursup), a w Estonii – tzw. algorytmiczny sędzia rozstrzyga drobne spory administracyjne o niewielkiej wartości. Polska nie pozostaje w tyle: systemy klasyfikacji pism, automatyczne rejestry i chatboty w urzędach (np. w ZUS czy NFZ) stają się elementem codziennego funkcjonowania państwa.
Z punktu widzenia efektywności działania administracji automatyzacja przynosi wymierne korzyści. Redukuje czas obsługi spraw, eliminuje błędy ludzkie, umożliwia analizę dużych zbiorów danych (big data) i ułatwia planowanie polityk publicznych. Sztuczna inteligencja pozwala także na lepsze zarządzanie zasobami – od automatycznego planowania tras odbioru odpadów po prognozowanie zapotrzebowania na usługi medyczne. W dobie ograniczeń kadrowych i presji na cyfrową efektywność takie rozwiązania wydają się nieuniknione.
Jednakże z perspektywy prawnej każda forma automatyzacji w administracji musi mieć solidne podstawy prawne. Organ administracji działa wyłącznie na podstawie i w granicach prawa (art. 7 Konstytucji RP). Oznacza to, że algorytm nie może stać się samodzielnym „podmiotem decyzyjnym”, ponieważ nie posiada kompetencji nadanych ustawowo. W praktyce wdrożenie systemu AI w urzędzie musi przybrać formę narzędzia wspomagającego, a nie autonomicznego decydenta. Rolą człowieka – urzędnika pozostaje zawsze zatwierdzenie, kontrola lub interpretacja wyniku generowanego przez system.
Z perspektywy ustrojowej pojawia się także pytanie, czy nadmierna automatyzacja nie prowadzi do erozji legitymacji decyzji administracyjnych. Obywatel, który otrzymuje decyzję wydaną na podstawie analizy algorytmu, może mieć ograniczone możliwości jej zrozumienia, zakwestionowania czy sprawdzenia, jakie dane wpłynęły na wynik. To z kolei narusza zasadę jawności działania administracji i prawo do bycia wysłuchanym. Zaufanie do władzy publicznej wymaga, by decyzje były nie tylko szybkie, ale i zrozumiałe, a tego nie da się osiągnąć bez zapewnienia przejrzystości działania algorytmów.
Automatyzacja stawia nowe wyzwania organizacyjne. Urzędy muszą nie tylko pozyskać systemy AI, ale także zapewnić odpowiednie kompetencje kadrowe. Pojawia się potrzeba nowych ról, takich jak AI Compliance Officer czy urzędowy audytor algorytmiczny, odpowiedzialny za monitorowanie zgodności z prawem i etyką.
Na poziomie strategicznym wdrażanie AI wymaga wreszcie nowego podejścia do zarządzania ryzykiem – zgodnego z metodykami ISO 31000, 27005 czy 42001. Administracja powinna traktować każdy system AI jak zasób o wysokim potencjale ryzyka, podlegający regularnej ocenie skutków (impact assessment), testom transparentności i procedurom zarządzania incydentami.
Ramy prawne stosowania AI w administracji
Na poziomie unijnym kluczowe znaczenie będzie miało rozporządzenie w sprawie sztucznej inteligencji (AI Act), które ustanawia kompleksowy system nadzoru nad rozwojem i stosowaniem AI. Administracja jako tzw. użytkownik systemu wysokiego ryzyka będzie zobowiązana do wdrożenia szeregu mechanizmów zapewniających bezpieczeństwo i przejrzystość, takich jak rejestracja systemu, prowadzenie dokumentacji technicznej bądź zapewnienie nadzoru ludzkiego.
Na gruncie prawa krajowego podstawowym punktem odniesienia pozostaje kpa i zasady ogólne działania administracji, w tym zasada praworządności, zaufania i jawności. Zgodnie z nimi każdy uczestnik postępowania ma prawo wiedzieć, kto i na jakiej podstawie prawnej podejmuje decyzję w jego sprawie. Oznacza to, że wykorzystanie algorytmu nie może prowadzić do sytuacji, w której obywatel nie jest w stanie zidentyfikować rzeczywistego decydenta.
Z kolei na gruncie rodo kluczowe znaczenie ma art. 22, który wprost zakazuje podejmowania decyzji wywołujących skutki prawne wobec osoby fizycznej wyłącznie na podstawie zautomatyzowanego przetwarzania, w tym profilowania, chyba że istnieje wyraźna podstawa prawna i odpowiednie zabezpieczenia praw jednostki. W praktyce oznacza to konieczność stosowania tzw. human in the loop, czyli ludzkiego nadzoru nad decyzjami wspieranymi przez systemy AI.
Odpowiedzialność za decyzje podejmowane przy udziale AI
Najpoważniejsze wątpliwości budzi kwestia odpowiedzialności organu za decyzje, które zostały podjęte z wykorzystaniem systemu AI. Nawet jeśli decyzja formalnie jest podpisana przez urzędnika, to w wielu przypadkach faktyczny wpływ na jej treść ma algorytm dokonujący analizy danych lub rekomendacji.
Odpowiedzialność administracji pozostaje jednak niepodzielna. Organ odpowiada za każdą decyzję, niezależnie od tego, czy została ona oparta na analizie człowieka czy na rekomendacji systemu. Z punktu widzenia obywatela nie ma znaczenia, kto (lub co) dokonał oceny; liczy się jedynie, że decyzja została wydana w imieniu państwa. Dlatego kluczowe znaczenie ma zachowanie tzw. śladu audytowego (audit trail), czyli dokumentowania procesu decyzyjnego w sposób umożliwiający jego weryfikację.
W praktyce niezbędne jest stworzenie mechanizmu „wyjaśnialności algorytmicznej”, który pozwoli urzędnikowi i stronie postępowania zrozumieć, dlaczego system zaproponował określone rozwiązanie. Brak takiej przejrzystości może prowadzić do naruszenia prawa do obrony i efektywnego środka odwoławczego, gwarantowanego przez art. 45 Konstytucji RP.
Wyzwania etyczne i praktyczne
Kolejnym problemem jest zjawisko tzw. czarnej skrzynki (black box) – niemożności pełnego wytłumaczenia sposobu działania złożonych modeli uczenia maszynowego. W administracji publicznej stanowi to poważne wyzwanie, ponieważ uzasadnienie decyzji jest nie tylko elementem rzetelnego postępowania, ale i konstytucyjnym obowiązkiem organu. Z tego względu systemy stosowane w urzędach muszą być projektowane w duchu zasady explainability, czyli możliwości objaśnienia zasad ich działania.
Kolejnym ryzykiem jest stronniczość danych (data bias). Jeśli model uczący został wytrenowany na historycznych danych odzwierciedlających nieuświadomione uprzedzenia, istnieje ryzyko powielania błędów i nierównego traktowania obywateli. W administracji może to prowadzić do naruszenia zasady równości wobec prawa (art. 32 Konstytucji RP). Dlatego konieczne staje się wprowadzenie okresowych audytów danych i weryfikacji modeli przez niezależnych ekspertów.
Rekomendacje dla administracji publicznej
Każdy etap wdrożenia AI musi być objęty kontrolą, dokumentacją i nadzorem człowieka.
1. Opracowanie strategii wykorzystania AI w danej jednostce, która jasno określi, po co dany system jest wdrażany, jakie procesy ma usprawnić oraz jakie ryzyka może generować.
Dokument taki – często określany mianem polityki AI – powinien wskazywać odpowiedzialne osoby, procedury reagowania na błędy i mechanizmy weryfikacji poprawności działania algorytmu. W praktyce może on stanowić załącznik do polityki bezpieczeństwa informacji lub zarządzania ryzykiem, zapewniając spójność z już obowiązującymi normami ISO 27001 czy ISO 42001. Warto, by dokument ten był nie tylko formalnością, ale rzeczywistym narzędziem zarządzania – planem wdrożenia, monitorowania i rozwoju sztucznej inteligencji w administracji.
2. Klasyfikacja systemu pod względem ryzyka zgodnie z AI Act.
Administracja publiczna, jako tzw. użytkownik systemu, ma obowiązek określić, czy stosowane rozwiązanie ma charakter niskiego, ograniczonego czy wysokiego ryzyka. W przypadku systemów wysokiego ryzyka, czyli takich, które mogą wpływać na prawa lub obowiązki obywateli, np. scoring, analiza wniosków bądź weryfikacja uprawnień, konieczne jest wdrożenie szczególnych środków ostrożności. Obejmuje to m.in. prowadzenie rejestru zastosowań systemu, dokumentowanie danych uczących i wyników, zapewnienie nadzoru ludzkiego oraz wykonanie oceny ryzyka etycznego i prawnego (AI Impact Assessment). Klasyfikacja ta powinna być częścią każdej procedury przedwdrożeniowej, podobnie jak ocena skutków dla ochrony danych (DPIA) wymagana przez rodo.
3. Zapewnienie zgodności z zasadami prawa administracyjnego.
System sztucznej inteligencji może wspierać procesy decyzyjne, ale nie może samodzielnie kształtować sytuacji prawnej jednostki. Każdy wynik generowany przez algorytm musi być traktowany jako opinia techniczna lub rekomendacja, natomiast decyzja administracyjna powinna być zawsze zatwierdzona przez osobę posiadającą stosowne upoważnienie. Z tego względu urzędy powinny tworzyć rejestry decyzji wspieranych przez AI, umożliwiające kontrolę nad skalą wykorzystania algorytmów i ocenę ich skutków. Warto również zadbać o możliwość audytu algorytmicznego – procedury, która pozwoli odtworzyć proces decyzyjny w razie skargi obywatela lub wniosku o udostępnienie informacji publicznej. Brak takiego audytu może utrudnić obronę legalności decyzji i narazić organ na zarzut naruszenia zasady jawności postępowania.
4. Ochrona danych osobowych i etyki danych.
Każdy system wykorzystujący sztuczną inteligencję przetwarza dane – często wrażliwe lub szczególnie chronione – dlatego jego wdrożenie musi być poprzedzone oceną skutków dla ochrony danych zgodnie z art. 35 rodo. Obywatel powinien zostać poinformowany o tym, że jego sprawa jest rozpatrywana przy udziale algorytmu, a system musi zapewnić możliwość interwencji człowieka i zakwestionowania decyzji zautomatyzowanej. Zasady minimalizacji danych, ograniczenia celu i rzetelności przetwarzania powinny być stosowane nie tylko na etapie projektowania systemu, ale także podczas jego eksploatacji i uczenia modelu. Coraz częściej systemy administracji publicznej w innych krajach opracowują również kodeksy etyki danych publicznych, w których określają zasady uczciwego, przejrzystego i odpowiedzialnego korzystania z danych. Polska administracja może sięgać do wzorców, takich jak brytyjski Algorithmic Transparency Standard bądź wytyczne OECD dotyczące etyki AI w sektorze publicznym.
5. Bezpieczeństwo techniczne systemów AI.
Modele uczące mogą być podatne na ataki typu data poisoning, polegające na wprowadzeniu do danych uczących nieprawidłowych informacji, lub model inversion, umożliwiający odtworzenie danych wejściowych na podstawie wyników działania systemu. Dlatego systemy te powinny być objęte pełnym cyklem zarządzania bezpieczeństwem informacji, zgodnym z normami ISO 27005 i ISO 22301. Należy włączyć je do rejestru aktywów informacyjnych, objąć analizą ryzyka i planem ciągłości działania, a także ustanowić procedury reagowania na incydenty dotyczące nieprawidłowego działania algorytmu. W świetle dyrektywy NIS 2 systemy AI stosowane w usługach publicznych mogą być traktowane jako element infrastruktury krytycznej, co oznacza dodatkowe obowiązki w zakresie raportowania incydentów i stosowania zabezpieczeń technicznych.
6. Odpowiednie postanowienia umowne z dostawcami rozwiązań AI.
Administracja, jako użytkownik systemu, często nie ma pełnego dostępu do kodu źródłowego ani danych uczących, dlatego w umowach należy przewidywać klauzule gwarantujące prawo do audytu, wglądu w dokumentację techniczną oraz aktualizacji systemu zgodnie z przepisami prawa. Dostawca powinien ponosić odpowiedzialność za błędy algorytmu i być zobowiązany do informowania o incydentach bezpieczeństwa lub zmianach w modelu, które mogą wpływać na wyniki. Warto także wprowadzać do specyfikacji zamówień publicznych tzw. klauzule algorytmiczne, które nakładają na wykonawcę obowiązek zapewnienia przejrzystości i możliwości wyjaśnienia sposobu działania modelu.
7. Budowanie kompetencji.
Urzędy muszą inwestować w rozwój wiedzy zarówno wśród informatyków, jak i prawników czy menedżerów. Prawnicy powinni rozumieć zasady działania systemów uczących się, aby potrafili ocenić ich zgodność z prawem, informatycy zaś muszą znać podstawowe zasady prawa administracyjnego i ochrony danych. Dobrym rozwiązaniem może być tworzenie interdyscyplinarnych zespołów ds. nadzoru nad AI, które łączą kompetencje techniczne i prawne, a ich zadaniem jest monitorowanie zgodności systemów z przepisami i etyką. W administracjach niektórych państw członkowskich UE, takich jak Finlandia czy Estonia, funkcjonują już komisje algorytmiczne pełniące rolę wewnętrznych organów kontrolnych.
8. Koncepcja „AI compliance by design”.
Oznacza ona, że zgodność z prawem, bezpieczeństwo i etyka muszą być wbudowane w system już na etapie jego projektowania, a nie dopiero po wdrożeniu. W praktyce oznacza to udział prawnika, inspektora ochrony danych i specjalisty ds. bezpieczeństwa informacji w procesie tworzenia i testowania modelu, prowadzenie dokumentacji audytowej oraz regularne przeglądy działania systemu po jego uruchomieniu. Takie podejście nie tylko minimalizuje ryzyko naruszeń, ale też buduje kulturę odpowiedzialności i transparentności w administracji publicznej.
Autor
Mateusz Jakubik
Autor jest prawnikiem; Audytorem wiodącym ISO/IEC 27001, BCMS ISO 22301 oraz ISO/IEC 42001/2023 oraz Audytorem wewnętrznym ISO/IEC 27701. Compliance Officer w Bonnier Business Polska oraz CIO w ODO Szkolenia. Jest wykładowcą z zakresu prawa ochrony danych, nowych technologii oraz cyberbezpieczeństwa. Pełni funkcję IOD w jednostkach sektora publicznego i prywatnego..
