12 lipca 2024, czyli nieco po ponad trzech latach od rozpoczęcia prac, AI Act, tj. Rozporządzenie w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji pojawiło się w Dzienniku Urzędowym Unii Europejskiej. Regulacja wejdzie w życie po 20 dniach od tej daty, zaś w pełni stosowana będzie od 2 sierpnia 2026 roku. Oznacza to, że wkrótce na dostawców oraz użytkowników sztucznej inteligencji czeka szereg nowych obowiązków.
Sprawdzamy, jak się do niej skutecznie przygotować.
Jak przygotować spółkę na AI Act
Przed przystąpieniem do rozbudowanych wdrożeń, każda z firm powinna zastanowić się, czy i jakie systemy stosuje, a także jaką rolę w stosunku do nich pełni.
Zakres obowiązków będzie bowiem zależał od tego, z jakim systemem mamy do czynienia oraz czy jesteśmy jego dostawcą, czy tylko użytkownikiem, a może stosujemy go wprowadzając odpowiednie modyfikacje.
Klasyfikacja systemów
AI Act klasyfikuje systemy AI ze względu na poziom związanego z nimi ryzyka:
- Zakazane są rozwiązania zaliczone do niedopuszczalnego ryzyka, np. stosujące techniki podprogowe czy dokonujące punktacji społecznej w oparciu o zachowania lub cechy osobiste
- Systemy wysokiego ryzyka, np. wykorzystujące dane biometryczne lub służące do rekrutacji pracowników będą dopuszczone po spełnieniu dodatkowych wymogów, obejmujących m.in.:
- Monitorowanie działania systemu
- Zapewnienie adekwatności i reprezentatywności danych wejściowych
- Spełnienie obowiązków rejestracyjnych
- Systemy ograniczonego ryzyka, np. chatboty czy technologie manipulujące treściami audiowizualnymi – konieczne będzie poinformowanie osób z nich korzystających, że mają do czynienia z systemami sztucznej inteligencji
- Systemy minimalnego ryzyka, np. filtry antyspamowe dopuszczone będą do swobodnego korzystania, choć, tak jak w przypadku wszystkich systemów AI, dostawcy i podmioty stosujące powinni zapewnić odpowiedni poziom kompetencji personelu i innych, odpowiedzialnych za nie osób
Dodatkowo, AI Act wyszczególnia również modele AI ogólnego przeznaczenia, np. narzędzia typu chat GPT.
Ustalenie własnej roli
Aby odpowiednio przygotować się na AI Act należy przede wszystkim zmapować i zidentyfikować procesy. Pozwoli to ustalić, czy mamy do czynienia z systemem AI oraz zweryfikować jego standardy techniczne.
W dalszej kolejności konieczne będzie dokonanie klasyfikacji systemu w oparciu ww. kategorie ryzyka oraz ustalenie roli, tj. tego czy występujemy jako dostawca czy podmiot stosujący, czy dokonujemy modyfikacji systemu wraz z dokładnym wskazaniem przewidzianych dla nas obowiązków.
Następnym krokiem będzie opracowanie odpowiednich procedur oraz dokumentacji, w tym :
- Polityk wykorzystywania systemów AI
- Dokumentacji technicznej stosowanych technologii
- Mechanizmów zarządzania ryzykiem
- Procedur w zakresie działania z klientami, bądź odbiorcami systemu
Przygotowanie do działania
W ramach operacyjnego przygotowania się do realizacji obowiązków wynikających z AI Act wskazane jest aby:
- Przeprowadzić procedurę AIRA (AI Risk Assessment) oraz wyznaczyć strukturę odpowiedzialną za zarządzanie AI, monitorowanie ryzyk i zapewnienie zgodności, a także wdrożenie odpowiednich polityk wewnętrznych
- Dokonać oceny wykorzystywanych systemów AI oraz analizy związanych z nimi ryzyk (np. dyskryminacja, naruszenie ochrony danych) i luk w zakresie compliance
- Zapewnić właściwe standardy cyberbezpieczeństwa
- Zabezpieczyć organizację na wypadek potencjalnych incydentów, w tym opracować stosowne schematy przeciwdziałania, reagowania i zgłaszania odpowiednim organom
- Wprowadzić dobre praktyki w zakresie m.in. przygotowania pracowników czy standardów informowania klientów
- W przypadku korzystania z technologii dostarczanych przez zewnętrznego dostawcę –przeprowadzić także jego ocenę stosując matrycę AI Vendor risk assessment lub inną metodologię
- Ponadto w przypadku dostawców systemów wysokiego ryzyka należy dodatkowo pamiętać o:
- Zapewnieniu zgodności systemu z wymogami AI Act
- Wdrożeniu systemu zarządzania jakością
- Właściwym oznaczeniu systemu AI
- Dokonaniu oceny zgodności i przygotowaniu deklaracji zgodności
- Realizacji obowiązków rejestracyjnych oraz obowiązków wobec nadzoru
Obowiązki związane z raportowaniem
AI Act nakłada na dostawców systemów sztucznej inteligencji wysokiego ryzyka obowiązek zgłaszania poważnych incydentów.
Poważnych, czyli takich, które bezpośrednio lub pośrednio prowadzą, mogły prowadzić lub mogą prowadzić do śmierci osoby lub poważnego uszczerbku na zdrowiu, uszkodzenia mienia lub szkody dla środowiska, a także poważnego i nieodwracalnego zakłócenia w zarządzaniu infrastrukturą krytyczną i jej funkcjonowaniu.
W związku z tym należy opracować mechanizmy przeciwdziałania incydentom i reagowania na wypadek ich wystąpienia.
Co więcej, trzeba pamiętać, że spełnienie obowiązków wynikających z AI Act często krzyżować się będzie z wymogami innych regulacji, takich jak m.in. RODO, DORA, DMA, DSA, czy w zakresie ochrony praw autorskich.
Zgodnie z założeniami AI Act planowane jest również powołanie Urzędu ds. Sztucznej Inteligencji, który nadzorowałby niektóre systemy, wspierał rozwój określonych standardów, a także egzekwował zasady ustanowione na szczeblu unijnym.
Dodatkowo każde państwo członkowskie powinno powołać własny organ właściwy w sprawach AI lub powierzyć takie kompetencje istniejącemu podmiotowi. Według zapowiedzi Ministerstwa Cyfryzacji, w Polsce rolę tę miałaby pełnić nowo powołana Komisja Nadzoru Sztucznej Inteligencji.
AI Act podsumowanie
Podsumowując, AI Act, poprzez nałożenie obowiązków na dostawców i użytkowników rozwiązań opartych o sztuczną inteligencję, wpłynie nie tyle na BigTechy, lecz na wszystkie podmioty wykorzystujące AI.
Według prognoz, w ciągu dwóch następnych lat blisko 80 proc. biznesu korzystać będzie z systemów wspieranych sztuczną inteligencją, a tym samym w jakimś stopniu będzie podlegało pod rozporządzenie AI Act.
Wiązać się z tym będzie konieczność wdrożenia odpowiednich polityk, procedur i szeroko pojętego AI Governance oraz zabezpieczenie aspektu korzystania z rozwiązań opartych na AI, a dostarczanych przez podmioty trzecie.
Dlatego warto już dziś zadbać o stosowne przygotowanie organizacyjne i techniczne, a także zapewnienie zgodności z nowymi przepisami.
Masz pytania? Skontaktuj się z nami