AI Act to już nie przyszłość, a prawna rzeczywistość dla każdej firmy działającej na terenie Unii Europejskiej. Rozporządzenie weszło w życie, a okresy przejściowe na dostosowanie się do nowych zasad kurczą się z każdym dniem. Ignorowanie przepisów może prowadzić do kar sięgających nawet milionów euro. Ten przewodnik krok po kroku pomoże Ci zrozumieć, jakie obowiązki nakłada na Ciebie AI Act i jak się do nich przygotować.
Krok 1: Sprawdź, czy i gdzie Twoja firma podlega pod AI Act
Zanim zaczniesz analizować skomplikowane wymogi, odpowiedz na podstawowe pytanie: czy to w ogóle dotyczy mojej działalności? Zakres AI Act jest niezwykle szeroki i prawdopodobnie obejmuje również Ciebie, jeśli:
- Jesteś dostawcą systemów AI lub modeli ogólnego przeznaczenia (jak modele językowe) i udostępniasz je na rynku unijnym.
- Stosujesz systemy AI w swojej działalności na terenie UE (np. do rekrutacji, oceny klientów, marketingu).
- Jesteś importerem, dystrybutorem lub producentem produktów, które zawierają w sobie system AI (np. inteligentne zabawki, samochody autonomiczne).
- Twoja firma ma siedzibę poza Unią, ale wyniki działania Twojego systemu AI są wykorzystywane na jej terenie.
Co ważne, istnieją pewne wyłączenia. Przepisy nie mają zastosowania do systemów wykorzystywanych wyłącznie do celów wojskowych, obronnych, bezpieczeństwa narodowego oraz do badań i rozwoju (pod warunkiem, że nie są testowane w warunkach rzeczywistych). Jeśli jednak Twoja działalność nie łapie się na wyjątki, czas na kolejny krok.
Krok 2: Zidentyfikuj poziom ryzyka Twojego systemu AI
To kluczowy moment, od którego zależą Twoje dalsze obowiązki. AI Act opiera się na „piramidzie ryzyka”. Musisz poprawnie zaklasyfikować swoje rozwiązanie, aby wiedzieć, jakie zasady Cię obowiązują.
Poziom 1: Praktyki zakazane. Upewnij się, że Twój system nie znajduje się na czarnej liście. Prawo kategorycznie zabrania m.in.:
- Systemów do „scoringu społecznego”.
- AI manipulującej ludzkim zachowaniem w szkodliwy sposób.
- Narzędzi do zdalnej identyfikacji biometrycznej „na żywo” w przestrzeni publicznej (z nielicznymi wyjątkami dla organów ścigania).
- AI analizującej emocje w miejscu pracy czy w szkole.
Poziom 2: Systemy wysokiego ryzyka. To kategoria, na której skupia się większość regulacji. Sprawdź, czy Twoje rozwiązanie nie należy do tej grupy. Przykłady to systemy używane w:
- Zarządzaniu infrastrukturą krytyczną.
- Edukacji (np. do oceny egzaminów).
- Zatrudnieniu (np. do selekcji CV).
- Ocenie zdolności kredytowej.
- Wymiarze sprawiedliwości i procesach demokratycznych.
Poziom 3: Systemy ograniczonego ryzyka. Jeśli Twój system wchodzi w interakcję z ludźmi, najpewniej wpada do tej kategorii. Główny obowiązek to przejrzystość. Musisz jasno informować użytkowników, że mają do czynienia z AI (w przypadku chatbotów) oraz oznaczać treści wygenerowane sztucznie (tzw. deepfake’i, obrazy, teksty).
Krok 3: Wdróż kluczowe obowiązki – praktyczna checklista
Jeśli Twój system został zaklasyfikowany jako wysokiego ryzyka, czeka Cię najwięcej pracy. Oto skrócona lista obowiązków, które musisz wdrożyć:
- Ustanów system zarządzania ryzykiem: Musisz stale identyfikować, oceniać i minimalizować ryzyka związane z Twoim AI przez cały cykl jego życia.
- Zapewnij jakość danych: Dane, na których trenujesz model, muszą być wysokiej jakości, wolne od uprzedzeń i odpowiednie do celu.
- Przygotuj dokumentację techniczną: Jeszcze przed wprowadzeniem produktu na rynek musisz mieć gotową szczegółową dokumentację, którą będziesz aktualizować.
- Włącz automatyczne rejestrowanie zdarzeń: System musi zapisywać logi swojego działania, aby możliwa była późniejsza analiza i audyt.
- Zapewnij nadzór człowieka: Projekt musi umożliwiać ludzką interwencję, zatrzymanie systemu lub skorygowanie jego działania.
- Gwarantuj dokładność i cyberbezpieczeństwo: Twój system musi być odporny na błędy i ataki oraz działać na odpowiednim poziomie precyzji.
Okresy na dostosowanie się do AI Act mijają, a organy nadzorcze wkrótce zaczną weryfikować zgodność firm z przepisami. Kary za najpoważniejsze naruszenia, jak stosowanie zakazanych praktyk, mogą sięgnąć nawet 35 milionów euro lub 7% globalnego rocznego obrotu. Dlatego nie warto zwlekać – audyt własnych rozwiązań i wdrożenie odpowiednich procedur to dziś absolutna konieczność biznesowa.
