Czym jest AI Act i co wprowadza?
Z dniem 2 lutego 2025 r. wchodzą w życie przepisy aktu o sztucznej inteligencji (AI Act), które wprowadzają zakazy dotyczące stosowania szczególnie niebezpiecznych systemów AI na terenie Unii Europejskiej. To kluczowa zmiana dla firm i organizacji wykorzystujących technologie oparte na AI. W artykule wyjaśniamy, jakie praktyki zostaną zakazane oraz co to oznacza dla przedsiębiorców.
Celem AI Act jest zapewnienie, by technologie AI dostępne na rynku unijnym były bezpieczne i zgodne z prawami podstawowymi, a jednocześnie wspierały innowacyjność. Rozporządzenie opiera się na podejściu bazującym na ryzyku i nakłada na przedsiębiorców szereg nowych obowiązków, których nieprzestrzeganie zagrożone jest karami sięgającymi nawet 35 milionów euro. W tym artykule wyjaśniamy, co to oznacza dla Twojej firmy
Zakazane praktyki AI – czego dotyczy art. 5 AI Act?
Od 2 lutego 2025 r. na terenie całej Unii Europejskiej zacznie obowiązywać zakaz wprowadzania do obrotu i stosowania systemów AI, które uznano za stwarzające niedopuszczalne ryzyko. Zgodnie z art. 5 AI Act, do zakazanych praktyk należą między innymi :
- Manipulacja podprogowa: Systemy wykorzystujące techniki podprogowe, działające poza świadomością człowieka w celu istotnego zakłócenia jego zachowania w sposób, który powoduje lub może powodować szkodę.
- Wykorzystywanie słabości: Systemy AI, które wykorzystują słabości określonej grupy osób ze względu na ich wiek, niepełnosprawność fizyczną lub psychiczną, lub sytuację społeczno-ekonomiczną.
- Scoring społeczny (Social Scoring): Systemy oceniające lub klasyfikujące wiarygodność osób fizycznych na podstawie ich zachowań społecznych lub cech osobowości, prowadzące do niekorzystnego traktowania w kontekstach niezwiązanych z pierwotnym celem zbierania danych.
- Zdalna identyfikacja biometryczna „w czasie rzeczywistym”: Wykorzystywanie takich systemów w przestrzeni publicznej przez organy ścigania (z bardzo wąskimi, ściśle określonymi wyjątkami, np. poszukiwanie ofiar przestępstw).
- Nieukierunkowane pozyskiwanie wizerunków twarzy: Masowe pobieranie wizerunków z internetu lub monitoringu (CCTV) w celu tworzenia lub rozszerzania baz danych do rozpoznawania twarzy.
- Rozpoznawanie emocji w miejscu pracy i w instytucjach edukacyjnych: Z wyjątkiem sytuacji, gdy jest to uzasadnione względami medycznymi lub bezpieczeństwa.
- Kategoryzacja biometryczna: Klasyfikowanie osób na podstawie ich danych biometrycznych w celu wywnioskowania wrażliwych informacji, takich jak rasa, poglądy polityczne, orientacja seksualna czy przynależność do związków zawodowych.
Kto za co odpowiada? Role i obowiązki w AI Act
AI Act precyzyjnie rozdziela odpowiedzialność pomiędzy różnych uczestników rynku. Kluczowe jest, aby Twoja firma prawidłowo zidentyfikowała swoją rolę (lub role), ponieważ od tego zależy katalog nałożonych na nią obowiązków. Poniższa tabela przedstawia syntetyczne zestawienie najważniejszych zadań dla dostawców, użytkowników, importerów i dystrybutorów systemów AI wysokiego ryzyka.
Tabela: Najważniejsze obowiązki wg AI Act i kto za nie odpowiada
| Obszar Obowiązków | Dostawca | Użytkownik | Importer | Dystrybutor |
| System Zarządzania Ryzykiem | Projektuje, wdraża i utrzymuje system przez cały cykl życia AI. Identyfikuje, szacuje i minimalizuje ryzyka dla zdrowia, bezpieczeństwa i praw podstawowych. | Stosuje się do zaleceń, monitoruje działanie systemu pod kątem nieprzewidzianych ryzyk i informuje o nich dostawcę. | Weryfikuje, czy dostawca wdrożył odpowiedni system zarządzania ryzykiem. | Sprawdza podstawową zgodność; nie ma obowiązku dogłębnej analizy systemu zarządzania ryzykiem. |
| Zarządzanie Danymi i Jakość Danych | Zapewnia, że dane używane do trenowania i testowania modelu są odpowiedniej jakości, kompletne, wolne od uprzedzeń i zgodne z RODO | Zapewnia, że dane wejściowe, nad którymi ma kontrolę, są adekwatne i odpowiednie dla zamierzonego celu systemu | – | – |
| Dokumentacja Techniczna | Tworzy i utrzymuje szczegółową dokumentację techniczną (zgodnie z Załącznikiem IV do AI Act), która pozwala ocenić zgodność systemu. | Korzysta z dokumentacji (zwłaszcza z instrukcji obsługi) w celu zapewnienia zgodnego i bezpiecznego użytkowania systemu. | Weryfikuje, czy dostawca sporządził wymaganą dokumentację. Przechowuje kopię deklaracji zgodności i certyfikatów przez 10 lat. | Weryfikuje istnienie wymaganej dokumentacji i instrukcji obsługi. |
| Ocena Zgodności i Oznakowanie CE | Przeprowadza ocenę zgodności (samodzielnie lub z udziałem jednostki notyfikowanej), sporządza deklarację zgodności UE i umieszcza oznakowanie CE na systemie. | – | Weryfikuje, czy dostawca przeprowadził ocenę zgodności i umieścił oznakowanie CE. Nie może wprowadzić na rynek produktu bez tych elementów. | Sprawdza, czy system posiada oznakowanie CE i towarzyszy mu deklaracja zgodności. |
| Rejestracja w Bazie Danych UE | Rejestruje autonomiczne systemy AI wysokiego ryzyka w publicznej bazie danych UE przed wprowadzeniem ich do obrotu lub oddaniem do użytku. | – | – | – |
| Przejrzystość i Informacje dla Użytkowników | Dostarcza jasne, kompletne i zrozumiałe instrukcje obsługi, opisujące możliwości, ograniczenia, przeznaczenie i prawidłowe użytkowanie systemu. | Stosuje system zgodnie z instrukcją. W stosownych przypadkach informuje osoby fizyczne, że wchodzą w interakcję z systemem AI. | Zapewnia, że systemowi towarzyszą wymagane instrukcje i dokumentacja. | Zapewnia, że systemowi towarzyszą wymagane instrukcje i dokumentacja. |
| Nadzór Ludzki | Projektuje systemy tak, aby umożliwiały skuteczny nadzór ludzki, w tym możliwość interwencji lub zatrzymania systemu przez człowieka. | Zapewnia skuteczny nadzór ludzki podczas korzystania z systemu, powierzając go osobom o odpowiednich kompetencjach i uprawnieniach. | – | – |
| Dokładność, Odporność i Cyberbezpieczeństwo | Zapewnia, że system osiąga odpowiedni poziom dokładności, odporności na błędy i ataki cybernetyczne przez cały cykl życia. | Monitoruje działanie systemu pod kątem anomalii i nieprawidłowości. Zapewnia bezpieczeństwo danych wejściowych. | Zapewnia, że warunki przechowywania i transportu nie zagrażają odporności i bezpieczeństwu systemu. | Zapewnia, że warunki przechowywania i transportu nie zagrażają odporności i bezpieczeństwu systemu. |
Cena niezgodności: Przewodnik po karach finansowych
AI Act wprowadza jedne z najwyższych kar finansowych w historii unijnego prawodawstwa, przewyższające w niektórych przypadkach nawet te znane z RODO. Wysokość sankcji zależy od rodzaju naruszenia i jest obliczana jako wyższa z dwóch kwot: stałej sumy w euro lub procenta całkowitego rocznego światowego obrotu firmy z poprzedniego roku obrotowego.
- Do 35 milionów EUR lub 7% światowego obrotu: za naruszenie zakazu stosowania niedozwolonych praktyk AI (art. 5).
- Do 15 milionów EUR lub 3% światowego obrotu: za naruszenie większości obowiązków dotyczących systemów wysokiego ryzyka (m.in. w zakresie zarządzania ryzykiem, jakości danych, dokumentacji, przejrzystości, nadzoru ludzkiego), a także obowiązków dla dostawców modeli AI ogólnego przeznaczenia (GPAI).
- Do 7,5 miliona EUR lub 1,5% światowego obrotu: za dostarczenie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji organom nadzorczym lub jednostkom notyfikowanym.
Tak dotkliwe kary jednoznacznie wskazują, że unijny prawodawca traktuje zgodność z AI Act jako absolutny priorytet. Ignorowanie nowych przepisów może prowadzić do konsekwencji finansowych zagrażających stabilności nawet największych organizacji.
AI Literacy – Nowy obowiązek dla firm
Niezależnie od kategorii ryzyka stosowanych systemów AI, AI Act nakłada na dostawców i użytkowników jeden uniwersalny obowiązek, który również zacznie być stosowany od 2 lutego 2025 r. Zgodnie z art. 4, podmioty te muszą podjąć kroki w celu zapewnienia, że ich personel i inne osoby zajmujące się obsługą i monitorowaniem systemów AI posiadają odpowiedni poziom kompetencji w zakresie sztucznej inteligencji (tzw. AI Literacy).
W praktyce oznacza to konieczność organizowania szkoleń i programów podnoszących świadomość na temat:
- Możliwości i ograniczeń technologii AI.
- Ryzyk dla praw podstawowych, jakie mogą generować systemy AI.
- Obowiązków wynikających z AI Act.
Choć początkowo obowiązek ten nie był objęty sankcjami, Komisja Europejska zasygnalizowała zamiar wprowadzenia kar za jego niewypełnienie, podkreślając jego wagę dla budowania kultury odpowiedzialnego korzystania z AI.
Co oznacza AI Act dla Twojej firmy?
Dostosowanie do wymogów AI Act to złożony proces, który warto rozpocząć jak najwcześniej. Oto kluczowe kroki, które Twoja firma powinna podjąć już teraz:
- Inwentaryzacja i audyt systemów AI: Zidentyfikuj wszystkie systemy AI wykorzystywane lub tworzone w Twojej organizacji. Dokonaj ich wstępnej klasyfikacji ryzyka zgodnie z kryteriami AI Act.
- Identyfikacja roli w łańcuchu wartości: Ustal, czy Twoja firma jest dostawcą, użytkownikiem, importerem czy dystrybutorem każdego z zidentyfikowanych systemów. Zwróć szczególną uwagę na ryzyko nieświadomego wejścia w rolę dostawcy.
- Analiza luk w zgodności: Dla systemów zidentyfikowanych jako wysokiego ryzyka, przeprowadź szczegółową analizę porównawczą obecnych procesów z wymogami AI Act (np. w zakresie zarządzania ryzykiem, dokumentacji, nadzoru ludzkiego).
- Szkolenie pracowników: Zaplanuj i wdróż programy szkoleniowe, aby spełnić wymóg AI Literacy i zbudować świadomość nowych regulacji w całej organizacji.
- Dostosowanie polityk wewnętrznych: Zaktualizuj lub stwórz nowe wewnętrzne regulaminy, polityki i procedury dotyczące rozwoju, zakupów i wykorzystania systemów AI, aby zapewnić ich zgodność z nowymi przepisami.
Potrzebujesz wsparcia w dostosowaniu do AI Act?
Eksperci Kancelarii Destrier pomagają firmom w dostosowaniu się do nowych przepisów AI Act. Skontaktuj się z nami, aby przeprowadzić audyt, opracować strategie zgodności i zapewnić bezpieczeństwo prawne Twojej organizacji.
Skontaktuj się z nami już dziś!
