Przepisy AI Act to jeden z najważniejszych zestawów regulacji prawnych dotyczących sztucznej inteligencji w Unii Europejskiej. Mają one na celu zapewnienie, że technologie AI będą wykorzystywane w sposób bezpieczny, etyczny i zgodny z prawem. AI Act dotyczy szerokiego zakresu firm, w tym polskich przedsiębiorstw. Jednak wielu przedsiębiorców może nie być świadomych tego, jak te przepisy wpływają na ich działalność. Zatem, jak dostosować swoją firmę do wymogów AI Act? Prześledźmy to krok po kroku, aby zrozumieć, czy i jakie zmiany będą dotyczyć danej firmy.
Czy twój produkt to system AI?
Na początek warto zastanowić się, czy Twój produkt jest systemem AI zgodnie z definicją zawartą w AI Act. Zgodnie z przepisami, system AI to rozwiązanie oparte na maszynach, które działa z pewnym stopniem autonomii i jest zdolne do przetwarzania danych w celu generowania wyników. Może to obejmować zarówno systemy sztucznej inteligencji wykorzystywane w produkcji, jak i te używane w usługach online. Mowa tu chociażby o systemach takich jak chatboty czy aplikacje do analizy danych.
Przykład praktyczny:
Twoja firma tworzy oprogramowanie do analizy danych z wykorzystaniem algorytmów AI. Wówczas Twoje rozwiązanie uznaje się za system AI.
Twoja firma korzysta z prostych narzędzi do obróbki danych, które nie zawierają elementów sztucznej inteligencji. AI Act Cię nie dotyczy.
Jaką rolę pełnisz w ekosystemie AI?
AI Act definiuje dwie podstawowe role w kontekście wykorzystania AI: dostawca i stosujący. Dostawca to firma, która tworzy, rozwija i dostarcza systemy AI. Natomiast stosujący to firma, która korzysta z takich systemów, mając nad nimi kontrolę.
Jeśli Twoja firma tworzy lub wprowadza na rynek systemy AI, pełnisz rolę dostawcy. W takim przypadku musisz spełniać szereg obowiązków, takich jak zapewnienie bezpieczeństwa systemów AI, przeprowadzanie ocen ryzyka i przejrzystości działań. Z kolei, jeśli Twoja firma jedynie korzysta z AI, np. w formie usług dostarczanych przez innych, pełnisz rolę stosującego. Wiąże się to z innymi obowiązkami, np. odpowiedzialnością za nadzór nad stosowanymi rozwiązaniami.
Czy podlegasz pod AI Act terytorialnie?
Zgodnie z przepisami AI Act, obowiązują one firmy z siedzibą na terenie Unii Europejskiej, a także te, które oferują swoje produkty lub usługi na rynku UE. Co to oznacza dla polskiego przedsiębiorcy? Jeśli Twoja firma działa w Polsce lub oferuje swoje rozwiązania na rynku unijnym, AI Act będzie miało zastosowanie.
Przykład: Jeśli Twoja firma ma siedzibę w Polsce i sprzedaje oprogramowanie AI w całej UE, przepisy te będą Cię dotyczyć. Stanie się tak niezależnie od tego, w którym kraju unijnym sprzedajesz swoje rozwiązanie.
Jakie wyjątki przewiduje AI Act?
AI Act przewiduje szereg wyjątków, które mogą dotyczyć Twojej firmy. Na przykład, niektóre systemy AI mogą zostać zwolnione z pełnego zakresu regulacji, jeśli spełniają określone kryteria. Warto szczegółowo zapoznać się z artykułami 3, 4, 6, 8, 10 i 12 AI Act. Odnoszą się one bowiem do wyjątków, zwłaszcza w kontekście systemów wysokiego ryzyka.
Przyjrzyjmy się im bliżej, aby zrozumieć, jakie konkretne wyjątki i w jakich przypadkach mogą mieć zastosowanie.
Zakres definicji i wyjątki
Artykuł 3 AI Act szczegółowo opisuje definicje, które są niezbędne do zrozumienia całego aktu. Określa, czym są systemy AI, systemy wysokiego ryzyka oraz systemy, które nie będą podlegały pełnemu zakresowi regulacji. W artykule tym pojawia się również pojęcie „wyjątków” w odniesieniu do niektórych systemów, które mogą być zwolnione z części wymogów w zależności od ich charakterystyki.
Systemy wykorzystywane w badaniach naukowych
Artykuł 4 mówi o wyjątkach dla systemów AI wykorzystywanych wyłącznie w celach badawczych i eksperymentalnych. Zgodnie z nim, systemy sztucznej inteligencji, które są używane w badaniach naukowych lub eksperymentalnych, mogą być zwolnione z niektórych obowiązków. Stanie się tak, o ile nie wprowadzają ryzyka dla ludzi ani nie wchodzą w interakcję z życiem publicznym w sposób, który mógłby stanowić zagrożenie. Jest to szczególnie istotne dla firm prowadzących prace badawczo-rozwojowe w zakresie AI, które testują nowe technologie.
Systemy wysokiego ryzyka
Artykuł 6 AI Act precyzuje, które systemy AI są uznawane za wysokiego ryzyka. Są to systemy, które mogą mieć wpływ na życie ludzi, np. w medycynie, transporcie czy zatrudnieniu. Jeśli Twój system AI uznaje się za system wysokiego ryzyka, podlega surowszym regulacjom. Regulacje te obejmują m.in. wymagania dotyczące audytów, przejrzystości i bezpieczeństwa. Jednak AI Act wyłącza niektóre systemy z tego katalogu. Chociażby jeśli spełniają określone standardy bezpieczeństwa i etyczne.
Systemy niepełne lub eksperymentalne
Artykuł 8 odnosi się do systemów AI, które nie są w pełni rozwinięte lub które są jeszcze w fazie eksperymentalnej. Te systemy mogą być zwolnione z pełnej zgodności z przepisami. Zwłaszcza jeśli firma stosuje je w ograniczonym zakresie i nie wpływają bezpośrednio na użytkowników lub społeczeństwo. Przykładem są systemy testowe w firmach technologicznych, których jeszcze nie udostępniono szerszej publiczności.
Przepisy szczególne dla systemów AI w sektorze publicznym
Artykuł 10 koncentruje się na systemach AI używanych w sektorze publicznym. Wskazuje on, że systemy wykorzystywane przez administrację publiczną mogą podlegać specjalnym regulacjom. W przypadku gdy ich zastosowanie nie stanowi zagrożenia dla prywatności obywateli lub nie ma wpływu na sprawiedliwość decyzji administracyjnych. Przepisy te są istotne dla firm, które świadczą usługi oparte na AI na rzecz administracji publicznej.
Systemy AI minimalnego ryzyka
Artykuł 12 dotyczy systemów AI, które uznaje się za minimalne ryzyko. Systemy, które nie są uznawane za systemy wysokiego ani ograniczonego ryzyka, mogą być zwolnione z obowiązku spełniania części wymogów regulacyjnych. Przykładem jest AI wykorzystywane do prostych funkcji, takich jak personalizacja treści w mediach społecznościowych. Nie mają one bowiem bezpośredniego wpływu na bezpieczeństwo czy życie ludzi.
Wszystkie te artykuły wprowadzają wyjątki, które mogą mieć zastosowanie w różnych przypadkach. Przedsiębiorcy powinni szczegółowo przeanalizować, czy ich systemy AI spełniają określone kryteria dla zwolnienia z pełnej zgodności z regulacjami. Ponadto warto by wiedzieli, w jakich przypadkach mogą skorzystać z ulg lub wyjątków. Dla firm w Polsce oznacza to, że przed wprowadzeniem produktów opartych na sztucznej inteligencji na rynek unijny warto skonsultować się z prawnikiem lub doradcą. Dobrze jest upewnić się, że spełniają one wszystkie wymagania. Ponadto, w razie potrzeby, wykorzystać dostępne wyjątki, które mogą zredukować obciążenia regulacyjne.
Przykład: Twój system AI jest klasyfikowany jako system niskiego ryzyka (np. rozwiązanie do analizy danych w marketingu). Możesz być zwolniony z części wymagań, które dotyczą systemów wysokiego ryzyka, takich jak obowiązek certyfikacji.
Czy Twój system to system zakazany?
AI Act wprowadza również zakaz stosowania niektórych rodzajów systemów AI, które mogą być uznane za nieetyczne lub szkodliwe. W szczególności dotyczy to rozwiązań, które mogą być wykorzystywane do masowego monitorowania ludzi czy do naruszania ich prywatności. Jeśli Twoje rozwiązanie wchodzi w ten zakres, nie będziesz mógł wprowadzić go na rynek Unii Europejskiej.
Przykład: Przepisy zakazują stosowania systemów AI, które umożliwiają np. rozpoznawanie twarzy w przestrzeni publicznej w celach masowego monitoringu. Jeśli Twoja firma rozwija tego typu system, nie będzie mogła wprowadzić go na rynek UE.
Czy Twój system to system wysokiego ryzyka?
Jeśli Twój system AI ma wpływ na życie ludzi lub ich bezpieczeństwo, na przykład w medycynie, transporcie czy finansach, może zostać zaklasyfikowany jako system wysokiego ryzyka. W takim przypadku firma musi przestrzegać szereg wymagań, w tym przeprowadzanie oceny ryzyka, dokumentowanie decyzji algorytmicznych i zapewnienie zgodności z etycznymi standardami.
Przykład: Twoja firma tworzy system AI wykorzystywany do diagnozy medycznej. Będzie to system wysokiego ryzyka, co oznacza konieczność spełnienia bardziej restrykcyjnych norm prawnych i bezpieczeństwa.
Jakie obowiązki mają systemy ograniczonego ryzyka?
Systemy AI, które nie są uznawane za wysokiego ryzyka, ale nadal mogą wiązać się z pewnym ryzykiem (np. systemy rekomendacji), klasyfikowane są jako systemy ograniczonego ryzyka. Dla takich systemów obowiązują nieco łagodniejsze regulacje, jednak nadal wymagają one przestrzegania podstawowych zasad dotyczących przejrzystości, równości i przeciwdziałania dyskryminacji.
Przykład: System rekomendacji produktów w e-commerce, który wykorzystuje AI do analizy zachowań użytkowników, może zostać uznany za system ograniczonego ryzyka. Choć obowiązki są lżejsze, to nadal wymagają przestrzegania zasad etycznych i przejrzystości.
AI o minimalnym ryzyku – jakie obowiązki?
Jeśli Twój system AI nie spełnia definicji systemu wysokiego ani ograniczonego ryzyka, zostanie uznany za system o minimalnym ryzyku. Dla takich systemów AI Act nie nakłada restrykcyjnych wymogów prawnych, jednak zaleca się przestrzeganie najlepszych praktyk, takich jak nadzór człowieka nad systemem i unikanie dyskryminacji.
Przykład: Prostą aplikację do analizy sentymentu w recenzjach produktów można uznać za system o minimalnym ryzyku, dla którego wystarczające będzie przestrzeganie zasad przejrzystości i sprawiedliwości.
Obowiązki dla stosujących AI
Jeśli Twoja firma korzysta z systemów AI dostarczanych przez innych dostawców, musisz przestrzegać zasad dotyczących nadzoru nad takimi systemami. Ważne będzie monitorowanie ich działania, weryfikacja zgodności z przepisami i dbałość o ochronę danych osobowych użytkowników.
Przykład: Firma, która korzysta z usług chmurowych opartych na AI, musi mieć odpowiednie procedury w zakresie nadzoru nad tymi rozwiązaniami i weryfikacji ich zgodności z AI Act.
Ramy czasowe obowiązywania AI Act w Polsce
Choć przepisy AI Act weszły w życie 1 sierpnia 2024 roku, to nie oznacza to, że wszystkie regulacje zaczną być stosowane od razu. Data rozpoczęcia stosowania przepisów została rozciągnięta w czasie. Niektóre części regulacji zaczną obowiązywać dopiero w 2025 roku, a inne jeszcze później. Dla polskich przedsiębiorców oznacza to, że muszą oni zacząć przygotowywać się do implementacji przepisów już teraz, aby w pełni dostosować się do wymagań AI Act.
Data wejścia w życie i rozpoczęcia stosowania AI Act
| Rodzaj regulacji | Data wejścia w życie | Data rozpoczęcia stosowania |
|---|---|---|
| Wejście w życie AI Act (publikacja w Dzienniku Urzędowym UE) | 1 sierpnia 2024 r. | – |
| Zakazy określonych praktyk (rozdziały I i II) | 1 sierpnia 2024 r. | 2 lutego 2025 r. |
| Notyfikowanie organów i jednostek (systemy wysokiego ryzyka, modele AI ogólnego przeznaczenia) | 1 sierpnia 2024 r. | 2 sierpnia 2025 r. |
| Zasady zarządzania, kary, poufność (art. 78) | 1 sierpnia 2024 r. | 2 sierpnia 2025 r. |
| Systemy wysokiego ryzyka (art. 6 ust. 1 i obowiązki) | 1 sierpnia 2024 r. | 2 sierpnia 2027 r. |
Podsumowanie
Dostosowanie się do przepisów AI Act w Polsce może stanowić wyzwanie, zwłaszcza dla firm, które wykorzystują sztuczną inteligencję w swojej działalności. Kluczowe jest zrozumienie, czy Twoje rozwiązanie to system AI, jaką rolę pełnisz w ekosystemie AI, oraz jakie obowiązki nakładają na Ciebie regulacje. Przestrzeganie przepisów AI Act pomoże nie tylko uniknąć sankcji, ale również zapewni etyczne i bezpieczne wykorzystanie AI w Twojej firmie.
