Od 2 lutego 2025 obowiązują artykuły 1-5 AI Act, brak ich stosowania może skutkować wysokimi karami

🚨 WAŻNA INFORMACJA – od 2 lutego obowiązują artykuły 1-5 AI Act, a brak ich stosowania może skutkować wysokimi karami. Wiele firm na terenie UE nie podjęło jeszcze wymaganych działań – oto najważniejsze informacje.

Od 2 lutego 2025 roku stosuje się pierwsze przepisy Rozporządzenia o sztucznej inteligencji (AI Act) mającego na celu zwiększenie bezpieczeństwa i uregulowanie rynku AI na terenie Unii Europejskiej.  

Do najważniejszych zmian należą: 

• Zakazane praktyki – zakaz używania oraz wprowadzania na rynek lub do obrotu systemów AI, które spełniają kryteria praktyk zakazanych. Przykłady obejmują systemy manipulacyjne wykorzystujące słabości ludzkie, systemy scoringu społecznego oraz systemy analizujące emocje w miejscu pracy lub edukacji. Naruszenie tych przepisów wiąże się z wysokimi karami finansowymi – do 35 milionów euro lub 7% rocznego światowego obrotu firmy. 

• Obowiązek kompetencji w zakresie AI (AI literacy). Pracodawcy muszą zapewnić pracownikom odpowiednie szkolenia i wiedzę na temat AI, aby mogli bezpiecznie korzystać z systemów AI w pracy. Brak szkoleń w zakresie AI może prowadzić do niezgodności z przepisami i zwiększyć ryzyko nieprawidłowego użytkowania systemów AI. W związku z AI literacy warto również zadbać o wdrożenie Polityki wykorzystywania AI w firmie. Jak to zrobić? 

Zobacz artykuły: 

• Co powinna zawierać Polityka wykorzystywania systemów AI?
• Sztuczna inteligencja – czym jest (z prawnego punktu widzenia) i jak radzi sobie z nią świat   

Polityka wykorzystywania AI w firmie może obejmować np. jasne procedury, zasady korzystania z AI, warunki dopuszczania systemów, sposoby postępowania w przypadku incydentów oraz wyznaczenie osoby odpowiedzialnej za efektywne wdrażanie i wykorzystywanie AI w organizacji (Ambasador AI).  

Znaczenie edukacji w zakresie AI (Artykuł 4 AI Act) 

Świadomość i znajomość AI jest nie tylko wymogiem prawnym, ale także strategiczną koniecznością dla organizacji. Artykuł 4 AI Act zobowiązuje firmy do wdrożenia programów szkoleniowych dostosowanych do wiedzy, roli i doświadczenia pracowników. 

“Dostawcy i podmioty stosujące systemy AI podejmują środki w celu zapewnienia, w możliwie największym stopniu, odpowiedniego poziomu kompetencji w zakresie AI wśród swojego personelu i innych osób zajmujących się działaniem i wykorzystaniem systemów AI w ich imieniu, z uwzględnieniem ich wiedzy technicznej, doświadczenia, wykształcenia i wyszkolenia oraz kontekstu, w którym systemy AI mają być wykorzystywane, a także biorąc pod uwagę osoby lub grupy osób, wobec których systemy AI mają być wykorzystywane”. 

Brak działań w tym zakresie wiąże się z poważnymi konsekwencjami, m.in.: 

• Ryzykiem naruszenia ochrony danych osobowych i regulacji dotyczących prywatności. 

• Zwiększonym prawdopodobieństwem naruszenia prawa i nałożenia kar finansowych. 

Oprócz zgodności z regulacjami edukacja w zakresie AI pomaga budować kulturę odpowiedzialnego korzystania z technologii i minimalizuje potencjalne ryzyka operacyjne. 

Gdzie szukać wskazówek? 

Z pomocą może przyjść norma ISO/IEC 42001 dot. systemu zarządzania sztuczną inteligencją. W ramach działań dotyczących odpowiednich kompetencji osób mających do czynienia z AI w organizacji, norma wskazuje przykładowo na następujące kwestie: 

• mentoring 
• szkolenia 
• przenoszenia pracowników do odpowiednich zadań w ramach organizacji w oparciu o analizę ich kompetencji. 

Jednocześnie istotne role czy obszary kompetencji powinny dotyczyć np.: 

• nadzoru nad systemem AI 
• bezpieczeństwa,  
• ochrony 
• prywatności. 

Zakazane praktyki w zakresie AI (Artykuł 5 AI Act) 

Rozporządzenie AI Act zakazuje stosowania niektórych systemów AI, które mogą prowadzić do poważnych zagrożeń dla społeczeństwa. Dostawcy i przedsiębiorstwa stosujące AI muszą upewnić się, że nie są bezpośrednio ani pośrednio zaangażowane w ich rozwój lub wdrażanie. AI Act m.in. wymienia konkretne zakazane praktyki, które są uznawane za szczególnie niebezpieczne. Należą do nich: 

• Techniki podprogowe lub manipulacyjne – systemy AI, które podświadomie zmieniają zachowanie użytkownika, tak by podjął decyzję, której w innej sytuacji by nie podjął. 
• Wykorzystywanie słabości ludzkich – systemy, które wykorzystują niepełnosprawność, sytuację społeczną lub ekonomiczną danej osoby. 
• Scoring społeczny – systemy oceniające obywateli i przyznające im określone uprawnienia na podstawie ich zachowania. 
• Ocena ryzyka popełnienia przestępstwa – systemy profilujące osoby fizyczne i oceniające ich indywidualne cechy bez uzasadnionych podstaw. 
• Tworzenie baz danych wizerunków twarzy – nieukierunkowane pozyskiwanie wizerunków z internetu lub monitoringu miejskiego w celu stworzenia systemów do rozpoznawania twarzy. 
• Analiza emocji w miejscu pracy lub edukacji – systemy AI, które analizują emocje pracowników lub uczniów. 
• Kategoryzacja biometryczna danych wrażliwych – używanie danych biometrycznych do pozyskiwania informacji o rasie, poglądach politycznych itp. 
• Zdalna identyfikacja biometryczna w czasie rzeczywistym – używanie systemów rozpoznawania twarzy w przestrzeni publicznej do celów ścigania przestępstw. 

Gdzie szukać wskazówek? 

• draft Guidelines on prohibited artificial intelligence (AI) practices – 4 lutego 2025 r. Komisja opublikowała wytyczne dotyczące zakazanych praktyk w zakresie sztucznej inteligencji, które mają na celu zapewnienie spójnego, skutecznego i jednolitego stosowania aktu w sprawie sztucznej inteligencji w całej UE.  

Ważne terminy: 

•  Od 2 lutego 2025 r. – rozdział II (zakazane praktyki)
• Od 2 sierpnia 2025 r. – rozdział V (modele ogólnego przeznaczenia), rozdział XII (Kary) bez art. 101
• Od 2 sierpnia 2026 r. – art. 6(2) i Aneks III (systemy wysokiego ryzyka), rozdział IV (obowiązki w zakresie przejrzystości)
• Od 2 sierpnia 2027 r. – art. 6(1) (systemy wysokiego ryzyka) i odpowiadające mu obowiązki

Kluczowe wnioski dla firm: 

• Przestrzeganie artykułów 1-5 AI Act jest obowiązkowe i nie można go ignorować. 
• Szkolenia z zakresu AI są kluczowe, aby uniknąć błędów związanych z brakiem świadomości pracowników, a także potencjalnej odpowiedzialności firmy. 
• Przeprowadzanie audytów dostawców technologii jest konieczne, aby upewnić się, że systemy AI są zgodne z przepisami. 
• Wdrożenie polityki wykorzystania AI – wprowadzenie jasnej dokumentacji, aby organiczać ryzyko. Polityka może obejmować np. jasne procedury, zasady korzystania z AI, warunki dopuszczania systemów, sposoby postępowania w przypadku incydentów oraz wyznaczenie osoby odpowiedzialnej za nadzór (Ambasador AI). 
• Tworzenie narzędzi AI zgodnie z prawem – firmy tworzące narzędzia AI muszą uwzględnić aspekty prawne i etyczne na każdym etapie rozwoju. Obejmuje to m.in. analizę zgodności celów systemu z prawem, legalność baz danych, cyberbezpieczeństwo oraz testowanie systemu. Ważne jest, aby proces tworzenia systemów AI był zgodny z zasadami privacy by design i privacy by default wynikającymi z RODO – Jak tworzyć narzędzia AI zgodnie z prawem?.
  

Koniecznie sprawdź te źródła: 

• https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32024R1689
• https://digital-strategy.ec.europa.eu/pl/library/commission-publishes-guidelines-prohibited-artificial-intelligence-ai-practices-defined-ai-act
• https://digital-strategy.ec.europa.eu/en/events/third-ai-pact-webinar-ai-literacy
• https://www.gov.pl/attachment/9bb34f05-037d-4e71-bb7a-6d5ace419eeb