System oparty na sztucznej inteligencji wydaje się stawać powoli nieodzownym narzędziem używanym w coraz większej ilości branży. Korzystanie z niego to nie tyle kwestia mody, co faktyczne ułatwienie, które realnie wspiera działania wielu firm. Stworzenie odpowiedniej aplikacji, systemu, które aktywnie pomagają przedsiębiorcom, to jedno – dostarczanie firmom odpowiednich narzędzi AI czy też ich użytkowanie ma swoją stronę praktyczną, lecz nie możesz zapominać, że wiążą się one ze ścisłym przestrzeganiem wielu przepisów, a te za nieco ponad 2 miesiące wkroczą również w polską rzeczywistość.
Jak się przygotować, aby dostarczać lub używać systemy AI w sposób legalny na terenie UE? Jaką dokumentację techniczną należy wprowadzić i jak zapewnić skuteczny system zarządzania ryzykiem? – podpowiada kancelaria Pałucki & Szkutnik z Krakowa
Które systemy AI będą objęte nowymi obowiązkami od sierpnia 2026 r.?
Wraz z dniem 2 sierpnia 2026 r. wchodzi w życie kolejny etap przepisów AI Act. Przypomnę, że skoro AI Act jest rozporządzeniem unijnym, to jego przepisy obowiązują na terenie całej UE, nawet pomimo niewprowadzenia jeszcze krajowych przepisów. Prace nad ustawą o systemach sztucznej inteligencji nabrały tempa i znajdują się one obecnie w Sejmie, a ich przyjęcie w ciągu najbliższych kilku miesięcy jest również całkiem prawdopodobne.
W sierpniu wchodzą w życie przepisy związane z systemami wysokiego ryzyka oraz obowiązkami transparentności, czyli te, które w dużej mierze wpłyną na działalność wielu firm używających, choćby w niewielkim stopniu systemów AI w HR, outsourcingu, agencjach pracy, e-commerce czy medtechu.
Za nowe przepisy odpowiadają głównie art. 6 AI Act (kwalifikacja systemów wysokiego ryzyka i mechanizm samooceny), art. 9–17 AI Act (obowiązki dostawców: zarządzanie ryzykiem, dokumentacja, przejrzystość, nadzór człowieka), art. 50 AI Act (obowiązki przejrzystości dla wszystkich podmiotów stosujących AI) oraz Załączniki I i III.
System zarządzania ryzykiem i jakością jako fundament zgodności z AI Act
System zarządzania ryzykiem stanowi ciągły proces, planowany i realizowany przez cały cykl życia systemu AI wysokiego ryzyka. Wymaga on dodatkowo regularnego i systematycznego przeglądu i aktualizacji. Można w nim wyróżnić etapy:
-
identyfikację i analizę znanego i dającego się racjonalnie przewidzieć ryzyka;
-
oszacowanie i ocenę ryzyka, jakie może wystąpić podczas używania systemu AI;
-
ocenę innego mogącego wystąpić ryzyka na podstawie analizy danych;
-
przyjęcie odpowiednich i ukierunkowanych środków zarządzania systemem.
Wybrane środki zarządzania ryzykiem muszą być takie, aby odpowiednie ryzyko szczątkowe związane z każdym zagrożeniem i ogólne ryzyko szczątkowe systemów AI wysokiego ryzyka oceniano jako dopuszczalne. System dokumentuje się w formie pisemnych polityk, procedur i instrukcji.
W celu eliminacji lub ograniczenia ryzyka zwraca się uwagę na wiedzę techniczną, doświadczenie, wykształcenie oraz szkolenia, jakich oczekuje się od podmiotu stosującego, a także zakładany kontekst, w którym ma być stosowany system. W celu dobrania najodpowiedniejszych środków testuje się systemy AI wysokiego ryzyka, również w warunkach rzeczywistych zgodnie z art. 60 AI Act.
Obowiązkowa dokumentacja techniczna
Sporządzenie dokumentacji technicznej jest konieczne przed wprowadzeniem systemu AI do obrotu lub oddaniem go do użytku. Wprowadzenie dokumentacji nie stanowi jednorazowej czynności, gdyż obowiązkowe jest jej aktualizowanie. Należy sporządzić ją w taki sposób, aby dostarczyć właściwym organom krajowym i jednostkom notyfikowanym informacje niezbędne do oceny zgodności systemu AI z wymogami rozporządzenia, które zawarte są głównie w Załączniku IV. MŚP i start-upy mają możliwość podawać te informacje w formie uproszczonej.
Ponadto systemy AI wysokiego ryzyka muszą dysponować technicznymi możliwościami automatycznego rejestrowania zdarzeń. W wypadku systemów wykorzystywanych przy zatrudnianiu, zarządzaniu pracownikami czy dostępu do samozatrudnienia konieczne jest spełnienie dodatkowych obowiązków opisanych w art. 12 AI Act.
Co powinno być udostępniane podmiotom stosującym?
Systemy AI wysokiego ryzyka muszą być projektowane i rozwijane tak, aby zapewnić wystarczającą przejrzystość ich działania, która umożliwi podmiotom stosującym interpretację wyników systemu i korzystanie z nich w sposób właściwy. Instrukcja obsługi powinna zawierać, co najmniej:
-
tożsamość i dane kontaktowe dostawcy;
-
cechy możliwości i ograniczenia skuteczności działania systemu AI;
-
środki nadzoru ze strony człowieka;
-
potrzebne zasoby obliczeniowe i sprzętowe, przewidywany cykl życia systemu oraz niezbędne środki konserwacji.
Konieczny nadzór człowieka – jak zapewnić przejrzystość systemów AI?
Nadzór człowieka ma na celu zapobieganie ryzyku dla zdrowia, bezpieczeństwa lub praw podstawowych lub też minimalizowanie takiego ryzyka, które może pojawić się podczas wykorzystywania systemu AI wysokiego ryzyka zgodnie z przeznaczeniem lub w warunkach dającego się racjonalnie przewidzieć niewłaściwego wykorzystania. Środki nadzoru muszą być współmierne dla ryzyka, poziomu autonomii i kontekstu wykorzystywania danego systemu.
Przykładowo przy wykorzystywaniu systemu przy zatrudnieniu czy zarządzaniu pracownikami podmiot stosujący zapewnia, że osoby odpowiedzialne za nadzór posiadają wymagane kompetencje, przeszkolenie oraz uprawnienia (art. 26 ust. 2 AI Act). Dana organizacja może, po przeprowadzonej analizie konkretnego systemu, uznać za zasadne zweryfikowanie poprawności otrzymywanego wyniku przez dwie osoby.
Czy dostarczasz, czy używasz AI – każdy przedsiębiorca ma swoje obowiązki
Nie ma znaczenia czy Twoja firma jest dostawcą systemów AI wysokiego ryzyka czy też podmiotem używającym taki system – będą spoczywać na Tobie określone obowiązki. Aby legalnie wprowadzić system AI wysokiego ryzyka na rynek państw UE należy, między innymi:
-
zapewnić zgodność systemu AI z wymogami sekcji 2 AI Act;
-
posiadać system zarządzania jakością (art. 17);
-
prowadzić dokumentację (art. 18);
-
przechowywać rejestry zdarzeń (art. 19);
-
zapewnić poddanie systemu odpowiedniej procedurze zgodności (art. 43) przed wprowadzeniem go do obrotu.
Kary przewidziane przez AI Act będą stosowane również w Polsce i są one w najwyższym progu wyższe niż przykładowo kary za naruszenie RODO – najwyższy próg AI Act (35 mln euro / 7% obrotu za naruszenia art. 5) przewyższa maksimum RODO (20 mln / 4%). Nie należy zapominać również, że złamanie przepisów obydwu tych rozporządzeń w jednym wykroczeniu będzie skutkować karą podwójną, gdyż AI Act i RODO – choć operują często na wspólnym polu – istnieją jako dwa odrębne porządki prawne.