Sztuczna inteligencja coraz głębiej wkracza w codzienne procesy biznesowe, a jednocześnie rośnie presja regulacyjna ze strony Unii Europejskiej. Wprowadzenie AI Act oznacza, że polskie firmy muszą już teraz zweryfikować, w jaki sposób wykorzystują algorytmy i jakie konsekwencje prawne mogą z tego wynikać.

Co reguluje AI Act i od kiedy obowiązuje

AI Act to rozporządzenie unijne, które klasyfikuje systemy sztucznej inteligencji według poziomu ryzyka. Systemy uznane za wysokiego ryzyka podlegają najsurowszym wymogom, obejmującym między innymi ocenę zgodności, dokumentację techniczną oraz nadzór człowieka. Przepisy wchodzą w życie stopniowo – pierwsze obowiązki dotyczą już systemów zakazanych, a pełne stosowanie rozporządzenia nastąpi w ciągu najbliższych dwóch lat.

Klasyfikacja systemów według ryzyka

  • systemy zakazane – manipulacja behawioralna, scoring społeczny
  • systemy wysokiego ryzyka – rekrutacja, ocena kredytowa, diagnostyka medyczna
  • systemy ograniczonego ryzyka – chatboty, generowanie treści
  • systemy minimalnego ryzyka – większość prostych narzędzi analitycznych

Obowiązki firm stosujących AI wysokiego ryzyka

Przedsiębiorstwa wykorzystujące systemy wysokiego ryzyka muszą wdrożyć szereg procedur organizacyjnych i technicznych. Wymagana jest między innymi ocena wpływu na prawa podstawowe, rejestracja w unijnej bazie oraz zapewnienie mechanizmów umożliwiających człowiekowi przejęcie kontroli nad decyzjami algorytmu. Dodatkowo konieczne staje się prowadzenie rejestru incydentów oraz regularne audyty zgodności.

Niezbędna dokumentacja techniczna

AI Act nakłada obowiązek sporządzenia szczegółowej dokumentacji technicznej, która musi zawierać opis architektury modelu, dane treningowe, metryki wydajności oraz informacje o potencjalnych uprzedzeniach. Dokumentacja ta podlega kontroli organów nadzoru i może być wymagana podczas postępowań administracyjnych.

RODO a AI Act – nakładające się obowiązki

Wiele firm myli zakres AI Act z RODO, tymczasem oba akty prawne uzupełniają się wzajemnie. RODO reguluje przetwarzanie danych osobowych, natomiast AI Act koncentruje się na samym systemie i jego wpływie na decyzje dotyczące osób fizycznych. W praktyce oznacza to konieczność jednoczesnego spełnienia wymagań obu regulacji, w tym przeprowadzenia oceny skutków dla ochrony danych oraz oceny wpływu na prawa podstawowe.

Jak przygotować organizację na nowe przepisy

Pierwszym krokiem powinna być inwentaryzacja wszystkich używanych systemów AI i przypisanie im odpowiedniego poziomu ryzyka. Następnie warto opracować politykę zarządzania algorytmami oraz wyznaczyć osobę odpowiedzialną za zgodność. Rekomendowane jest także przeprowadzenie szkoleń dla zespołów technicznych i prawnych oraz wdrożenie procedur zgłaszania incydentów.

Podsumowanie

AI Act wprowadza konkretne i egzekwowalne obowiązki, których niedopełnienie może skutkować wysokimi karami finansowymi. Polskie firmy technologiczne powinny już teraz rozpocząć proces dostosowania, aby uniknąć kosztownych zmian w ostatniej chwili.