materiały partnera
Sztuczna inteligencja przestała być domeną wyłącznie firm technologicznych. Korzystają z niej działy HR przy rekrutacji, banki przy ocenie zdolności kredytowej, ubezpieczyciele przy wycenie polis, a nawet producenci przy automatyzacji. Wraz z tym pojawiło się unijne rozporządzenie 2024/1689, znane jako AI Act. Jego przepisy wchodzą w życie etapami, dlatego najbliższe miesiące to dla wielu firm moment na przejście od teorii do konkretnych działań porządkujących wykorzystanie AI.
AI Act to pierwsza tak szeroka regulacja sztucznej inteligencji wprowadzona przez Unię Europejską. Rozporządzenie weszło w życie 1 sierpnia 2024 roku i stosuje się bezpośrednio we wszystkich państwach członkowskich, niezależnie od stanu prac nad krajowymi ustawami wdrażającymi. Polski projekt ustawy o systemach sztucznej inteligencji wciąż przechodzi proces legislacyjny, ale jego brak nie zwalnia przedsiębiorców z obowiązków wynikających wprost z prawa unijnego.
Rozporządzenie Ai Act opiera się na podejściu uzależniającym zakres obowiązków od poziomu ryzyka. Systemy zostały podzielone na cztery grupy:
Klasyfikacja decyduje o tym, jakie wymogi musi spełnić dana firma. Praktyki niedopuszczalne, takie jak scoring społeczny, manipulacja behawioralna wykorzystująca słabości grup wrażliwych czy określone formy biometrycznej kategoryzacji, są w UE zakazane. Zakaz ten obowiązuje już od 2 lutego 2025 roku.
Najwięcej praktycznych konsekwencji dla biznesu wiąże się z kategorią systemów wysokiego ryzyka. Zalicza się tu narzędzia stosowane przy rekrutacji i ocenie pracowników, decyzjach o awansie lub rozwiązaniu umowy, scoringu kredytowym, wycenie ryzyka w ubezpieczeniach na życie i zdrowotnych, a także w obszarze edukacji, infrastruktury krytycznej czy wybranych usług publicznych.
Systemy ograniczonego ryzyka, takie jak chatboty czy generatory treści, podlegają głównie obowiązkom informacyjnym. Zatem użytkownik musi wiedzieć, że ma do czynienia z AI lub że dana treść została wygenerowana automatycznie.
Zakres obowiązków zależy przede wszystkim od roli, jaką podmiot pełni w łańcuchu dostaw. Inne wymogi dotyczą dostawcy systemu (czyli podmiotu, który opracowuje lub zleca opracowanie systemu i wprowadza go pod własną nazwą), inne – podmiotu stosującego system AI, czyli organizacji, która używa gotowego narzędzia w swojej działalności.
Dostawcy systemów wysokiego ryzyka muszą wdrożyć system zarządzania jakością, prowadzić szczegółową dokumentację techniczną, zapewnić odpowiednią jakość danych treningowych, umożliwić nadzór człowieka nad działaniem systemu, dbać o cyberbezpieczeństwo, a także zarejestrować system w unijnej bazie danych. Po wdrożeniu narzędzia na rynek mają obowiązek prowadzić jego monitoring oraz zgłaszać poważne incydenty właściwym organom.
Podmioty stosujące systemy AI, choć obciążone w mniejszym stopniu, również muszą działać w sposób udokumentowany. Należy korzystać z systemu zgodnie z instrukcją dostawcy, zapewnić nadzór człowieka, prowadzić rejestry zdarzeń, w określonych przypadkach informować osoby, których decyzje będą dotyczyły, a niekiedy przeprowadzić ocenę wpływu na prawa podstawowe.
Kary przewidziane w AI Act są surowe. W przypadku najpoważniejszych naruszeń przewyższają te znane z RODO. Za stosowanie zakazanych praktyk grozi kara do 35 milionów euro lub 7% rocznego światowego obrotu. Za naruszenie wymogów dotyczących systemów wysokiego ryzyka i innych obowiązków regulacyjnych do 15 milionów euro lub 3% obrotu. Za przekazywanie organom nadzoru nieprawdziwych lub wprowadzających w błąd informacji przewidziano kary do 7,5 miliona euro lub 1% obrotu.
Warto pamiętać, że AI Act nie jest regulacją statyczną. Trwają prace nad wytycznymi Komisji Europejskiej, normami zharmonizowanymi oraz krajową ustawą wdrażającą. Kolejne miesiące przyniosą uszczegółowienia, które wpłyną na zakres obowiązków firm. Stałe śledzenie tych zmian ułatwi reagowanie z wyprzedzeniem, zanim brak zgodności stanie się problemem.
