zdjęcie pochodzi z freepick.com

Sztuczna inteligencja to niezwykle dynamicznie rozwijająca się dziedzina technologii, która bez wątpienia wymagała zapewnienia bezpieczeństwa i rzetelności systemów bazujących na AI. Od sierpnia 2024 r. przedsiębiorcy na terenie całej UE funkcjonują w tym zakresie w rzeczywistości zdefiniowanej przez Rozporządzenie o Sztucznej Inteligencji (AI Act).

Kogo dotyczy AI Act?

AI Act nie jest wyłącznie prawem skierowanym wobec gigantów technologicznych. To regulacja, która wprost dotyka także małe i średnie przedsiębiorstwa, zwłaszcza te korzystające z narzędzi analitycznych, algorytmów decyzyjnych, chatbotów czy systemów do oceny pracowników i klientów, działające w EOG. Rozporządzenie znajdzie zastosowanie również dla podmiotów z siedzibą poza EOG ilekroć podmiot udostępnia swoje usługi dla Europy.

Zasada klasyfikacji ryzyka

Podstawowym obowiązkiem przedsiębiorcy jest przypisanie systemu AI do jednej z kategorii ryzyka. AI ACT wyróżnia cztery kategorie ryzyka zastosowania systemów opartych na sztucznej inteligencji:

• kategoria niskiego ryzyka (kategoria ta obejmuje systemy, które nie stanowią znaczącego zagrożenia),
• kategoria średniego ryzyka (do tej kategorii zaliczamy popularne w ostatnich miesiącach chatboty takie jak np. ChatGPT),
• kategoria wysokiego ryzyka (kategoria ta obejmuje technologie, które mogą wywierać wpływ na bezpieczeństwo i prawa podstawowe użytkownika),
• kategoria niedopuszczalnego ryzyka (kategoria obejmuje systemy stwarzające ogromne ryzyko dla bezpieczeństwa; jako przykład można podać systemy przeznaczone do dokonywania oceny społecznej).

Jeżeli system zostanie zakwalifikowany jako kategoria wysokiego ryzyka, konieczne jest wdrożenie licznych wymogów, w tym dokumentacji technicznej, rejestru działania, przejrzystości, kontroli nad ryzykiem oraz oceny wpływu na prawa użytkowników. AI Act wymaga też informowania użytkownika, że ma do czynienia z AI, a w przypadku systemów wysokiego ryzyka, zapewnienia nadzoru człowieka, który może zareagować i wstrzymać jego działanie.

Obowiązki rejestrowe i notyfikacyjne

Dostawcy oraz niektóre podmioty stosujące systemy wysokiego ryzyka muszą zarejestrować je w unijnym rejestrze. Obowiązek ten obejmuje także przedsiębiorców wdrażających zewnętrzne rozwiązania, jeśli są one modyfikowane lub integrowane z własnym środowiskiem. Istotne zmiany wymagają zgłoszenia. Rozporządzenie zakłada też obowiązek stałego monitorowania działania systemu, szczególnie gdy przetwarzane są dane osobowe lub podejmowane decyzje wobec ludzi – wówczas regulacja współistnieje z RODO.

Naruszenie AI Act. Kara do 35 milionów euro, a może więcej?

Za naruszenia przepisów AI Act przedsiębiorcy narażeni są na wysokie sankcje finansowe, w wysokości do 35 mln euro lub 7% globalnego obrotu przedsiębiorstwa.  To realne i bez wątpienia dotkliwe ryzyko, które wymaga wdrożenia od przedsiębiorstw zapewnienia odpowiednich standardów dot. sztucznej inteligencji, monitorowania ryzyk i ciągłej dbałości o zgodność w tym zakresie. W praktyce oznacza to konieczność włączenia odpowiednich procedur AI Compliance do stałej strategii przedsiębiorstwa w zakresie zarządzania ryzykiem, niezależnie od tego, jak zaawansowane są systemy funkcjonujące i wdrożone w danej organizacji.

Artykuł został współtworzony przez Patrycję Michalik, która pełni rolę legal assistant w LAW SIMPLE.