AI Act w praktyce: wyzwania i szanse dla rozwoju sztucznej inteligencji w UE

26 lipca 2024 | Aktualności, The Right Focus, Wiedza

12 lipca 2024, czyli nieco po ponad trzech latach od rozpoczęcia prac, AI Act, tj. Rozporządzenie w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji pojawiło się w Dzienniku Urzędowym Unii Europejskiej. Regulacja wejdzie w życie po 20 dniach od tej daty, zaś w pełni stosowana będzie od 2 sierpnia 2026 roku. Oznacza to, że wkrótce na dostawców oraz użytkowników sztucznej inteligencji czeka szereg nowych obowiązków.

Sprawdzamy, jak się do niej skutecznie przygotować.

Jak przygotować spółkę na AI Act

Przed przystąpieniem do rozbudowanych wdrożeń, każda z firm powinna zastanowić się, czy i jakie systemy stosuje, a także jaką rolę w stosunku do nich pełni.

Zakres obowiązków będzie bowiem zależał od tego, z jakim systemem mamy do czynienia oraz czy jesteśmy jego dostawcą, czy tylko użytkownikiem, a może stosujemy go wprowadzając odpowiednie modyfikacje.

Klasyfikacja systemów

AI Act klasyfikuje systemy AI ze względu na poziom związanego z nimi ryzyka:

Zakazane są rozwiązania zaliczone do niedopuszczalnego ryzyka, np. stosujące techniki podprogowe czy dokonujące punktacji społecznej w oparciu o zachowania lub cechy osobiste
Systemy wysokiego ryzyka, np. wykorzystujące dane biometryczne lub służące do rekrutacji pracowników będą dopuszczone po spełnieniu dodatkowych wymogów, obejmujących m.in.:
- Monitorowanie działania systemu
- Zapewnienie adekwatności i reprezentatywności danych wejściowych
- Spełnienie obowiązków rejestracyjnych
Systemy ograniczonego ryzyka, np. chatboty czy technologie manipulujące treściami audiowizualnymi – konieczne będzie poinformowanie osób z nich korzystających, że mają do czynienia z systemami sztucznej inteligencji
Systemy minimalnego ryzyka, np. filtry antyspamowe dopuszczone będą do swobodnego korzystania, choć, tak jak w przypadku wszystkich systemów AI, dostawcy i podmioty stosujące powinni zapewnić odpowiedni poziom kompetencji personelu i innych, odpowiedzialnych za nie osób

Dodatkowo, AI Act wyszczególnia również modele AI ogólnego przeznaczenia, np. narzędzia typu chat GPT.

Ustalenie własnej roli

Aby odpowiednio przygotować się na AI Act należy przede wszystkim zmapować i zidentyfikować procesy. Pozwoli to ustalić, czy mamy do czynienia z systemem AI oraz zweryfikować jego standardy techniczne.

W dalszej kolejności konieczne będzie dokonanie klasyfikacji systemu w oparciu ww. kategorie ryzyka oraz ustalenie roli, tj. tego czy występujemy jako dostawca czy podmiot stosujący, czy dokonujemy modyfikacji systemu wraz z dokładnym wskazaniem przewidzianych dla nas obowiązków.

Następnym krokiem będzie opracowanie odpowiednich procedur oraz dokumentacji, w tym :

Polityk wykorzystywania systemów AI
Dokumentacji technicznej stosowanych technologii
Mechanizmów zarządzania ryzykiem
Procedur w zakresie działania z klientami, bądź odbiorcami systemu

Przygotowanie do działania

W ramach operacyjnego przygotowania się do realizacji obowiązków wynikających z AI Act wskazane jest aby:

Przeprowadzić procedurę AIRA (AI Risk Assessment) oraz wyznaczyć strukturę odpowiedzialną za zarządzanie AI, monitorowanie ryzyk i zapewnienie zgodności, a także wdrożenie odpowiednich polityk wewnętrznych
Dokonać oceny wykorzystywanych systemów AI oraz analizy związanych z nimi ryzyk (np. dyskryminacja, naruszenie ochrony danych) i luk w zakresie compliance
Zapewnić właściwe standardy cyberbezpieczeństwa
Zabezpieczyć organizację na wypadek potencjalnych incydentów, w tym opracować stosowne schematy przeciwdziałania, reagowania i zgłaszania odpowiednim organom
Wprowadzić dobre praktyki w zakresie m.in. przygotowania pracowników czy standardów informowania klientów
W przypadku korzystania z technologii dostarczanych przez zewnętrznego dostawcę –przeprowadzić także jego ocenę stosując matrycę AI Vendor risk assessment lub inną metodologię
Ponadto w przypadku dostawców systemów wysokiego ryzyka należy dodatkowo pamiętać o:
Zapewnieniu zgodności systemu z wymogami AI Act
Wdrożeniu systemu zarządzania jakością
Właściwym oznaczeniu systemu AI
Dokonaniu oceny zgodności i przygotowaniu deklaracji zgodności
Realizacji obowiązków rejestracyjnych oraz obowiązków wobec nadzoru

Obowiązki związane z raportowaniem

AI Act nakłada na dostawców systemów sztucznej inteligencji wysokiego ryzyka obowiązek zgłaszania poważnych incydentów.

Poważnych, czyli takich, które bezpośrednio lub pośrednio prowadzą, mogły prowadzić lub mogą prowadzić do śmierci osoby lub poważnego uszczerbku na zdrowiu, uszkodzenia mienia lub szkody dla środowiska, a także poważnego i nieodwracalnego zakłócenia w zarządzaniu infrastrukturą krytyczną i jej funkcjonowaniu.

W związku z tym należy opracować mechanizmy przeciwdziałania incydentom i reagowania na wypadek ich wystąpienia.

Co więcej, trzeba pamiętać, że spełnienie obowiązków wynikających z AI Act często krzyżować się będzie z wymogami innych regulacji, takich jak m.in. RODO, DORA, DMA, DSA, czy w zakresie ochrony praw autorskich.

Zgodnie z założeniami AI Act planowane jest również powołanie Urzędu ds. Sztucznej Inteligencji, który nadzorowałby niektóre systemy, wspierał rozwój określonych standardów, a także egzekwował zasady ustanowione na szczeblu unijnym.

Dodatkowo każde państwo członkowskie powinno powołać własny organ właściwy w sprawach AI lub powierzyć takie kompetencje istniejącemu podmiotowi. Według zapowiedzi Ministerstwa Cyfryzacji, w Polsce rolę tę miałaby pełnić nowo powołana Komisja Nadzoru Sztucznej Inteligencji.

AI Act podsumowanie

Podsumowując, AI Act, poprzez nałożenie obowiązków na dostawców i użytkowników rozwiązań opartych o sztuczną inteligencję, wpłynie nie tyle na BigTechy, lecz na wszystkie podmioty wykorzystujące AI.

Według prognoz, w ciągu dwóch następnych lat blisko 80 proc. biznesu korzystać będzie z systemów wspieranych sztuczną inteligencją, a tym samym w jakimś stopniu będzie podlegało pod rozporządzenie AI Act.

Wiązać się z tym będzie konieczność wdrożenia odpowiednich polityk, procedur i szeroko pojętego AI Governance oraz zabezpieczenie aspektu korzystania z rozwiązań opartych na AI, a dostarczanych przez podmioty trzecie.

Dlatego warto już dziś zadbać o stosowne przygotowanie organizacyjne i techniczne, a także zapewnienie zgodności z nowymi przepisami.

Masz pytania? Skontaktuj się z nami

Natalia Kotłowska-Wochna

Mikołaj Kuterek

Najnowsza Wiedza

Zatory płatnicze a transakcje handlowe pomiędzy spółkami z tej samej grupy kapitałowej

Z perspektywy przedsiębiorców, w stosunku do których zostały wszczęte, jednymi z najbardziej angażujących postępowań w obszarze ochrony konkurencji są postępowania w sprawach zatorów płatniczych.

NIS2: Nowa era cyberbezpieczeństwa w Unii Europejskiej

NIS2, czyli Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, to odpowiedź na coraz poważniejsze zagrożenia cyfrowe.

Szczyt sezonu kontroli podatkowych

W czasach wszechobecnych kontroli skarbowych, wdrożenie odpowiednich ram nadzoru wydaje się kluczowe dla bezpiecznego funkcjonowania w roli przedsiębiorcy.

Co wynika z Rozporządzenia Unii Europejskiej przeciwko wylesianiu – obowiązki, zasady i ważne terminy

Unia Europejska chce ograniczyć globalne wylesianie i powstrzymać ogólną degradację lasów, które są m.in. wynikiem przemysłowej produkcji takich towarów jak bydło, kakao, kawa, palma olejowa, kauczuk, soja czy drewno.

Ustawa o ochronie sygnalistów. Co warto wiedzieć?

Już teraz przedsiębiorcy powinni rozpocząć przygotowania do wdrożenia odpowiedniej procedury przyjmowania zgłoszeń sygnalistów.

Przegląd sektora bankowego | Banking dziś i jutro | Lipiec 2024

Kwestionowanie WIBOR-u może zrujnować naszą gospodarkę

Elastyczne przyłączenia w nowej architekturze unijnego rynku energii elektrycznej

Przyspieszenie instalacji OZE i ograniczenie barier dla realizacji przyłączeń nowych mocy to kluczowe wyzwania w procesie transformacji energetycznej.

Nowa definicja „budowli” i „budynku.” Jakie zmiany zapowiada Ministerstwo Finansów?

Wraz z nowym projektem ustawy Ministerstwo zaproponowało nową definicję budowli.

Zapobieganie dezinformacji czy SLAPP, czyli czym są w praktyce wnioski w trybie wyborczym

Przeciwdziałaniu rozpowszechniania nieprawdziwych informacji w toku kampanii wyborczej służyć ma art. 111 Kodeksu Wyborczego.

Zdalne rozprawy przed Krajową Izbą Odwoławczą? Zmiany w Prawie zamówień publicznych

Ministerstwo Rozwoju i Technologii przygotowało projekt ustawy, w którym zaproponowano wiele zmian w prawie gospodarczym i administracyjnym. Jedną z ustaw objętych planowaną nowelizacją jest Prawo zamówień publicznych. Sprawdzamy, jakie są najważniejsze założenia rządowego projektu.

Zapraszamy do kontaktu:

Natalia Kotłowska-Wochna

Radca prawny / Head of New Tech M&A / NewTech / Szefowa biura w Poznaniu

+48 606 689 185

n.kotlowska@kochanski.pl