12 lipca 2024 r. w Dzienniku Urzędowym Unii Europejskiej została opublikowana nowa unijna regulacja dotycząca sztucznej inteligencji (Artificial Intelligence Act, „AI Act”), która ma zastosowanie w szczególności do przedsiębiorców wykorzystujących sztuczną inteligencję („AI”). Celem AI Act EU jest zapewnienie nadzoru i otoczenia regulacyjnego nad tym, w jaki sposób sztuczna inteligencja jest wykorzystywana.
AI Act – kiedy wejdzie w życie? Na dostosowanie się do nowych przepisów przedsiębiorcy będą mieli od 6 miesięcy do 3 lat, w zależności od działań podejmowanych w związku AI w ich organizacji. Brak dostosowania wiąże się z dużymi karami finansowymi.
Odpowiedzią na nowe regulacje może być compliance check i wprowadzenie regulaminu, który określałby zasady pracy ze sztuczną inteligencją wewnątrz organizacji. Korzystanie z narzędzi wykorzystujących AI wymaga zapewnienia, że rozwiązania te są wykorzystywane przez pracowników w sposób bezpieczny i odpowiedzialny, a sam system spełnia normy regulacyjne i będzie je spełniać w przyszłości.
Czy regulacja znajdzie zastosowanie w Państwa organizacji?
Akt o sztucznej inteligencji ma zastosowanie przede wszystkim do dostawców systemów AI (ang. providers – podmioty udostepniające innym podmiotom swoje systemy AI, np. OpenAI) oraz operatorów AI (ang. deployers – podmioty wykorzystujące technologię AI w różnych sektorach, nie posiadające kontroli nad AI, np. biznes korzystający z pomocy AI w procesach decyzyjnych).
Przedsiębiorcy będą zobowiązani informować osoby fizyczne (tj. pracowników, klientów, pracowników klientów) o tym, że wchodzą oni w interakcję z AI, oraz o celach przetwarzania danych przez AI, a także o ewentualnym udostępnianiu ich dostawcom systemów AI. Konieczne będzie przeprowadzanie regularnych ocen ryzyka oraz zapewnienie zgodności z przepisami.
Regulacja może odnosić się do Państwa organizacji, jeśli:
- AI wykorzystywana jest w marketingu (tworzenie tekstów reklamowych, obrazów, wideo, profilowanie reklam do klienta)
- AI wykorzystywana jest do automatyzacji procesów (planowanie harmonogramów, minimalizowanie kosztów, testowanie oprogramowania)
- AI stosuje się jako element produktu (AI as a Service, AI w Internet of things/smarthome)
Jakie obowiązki wynikają z AI Act?
- Przygotowanie do spełnienia powyższych wymogów wymagać będzie od przedsiębiorcy, w pierwszej kolejności, zmapowania systemów i narzędzi wykorzystujących AI.
- Następnie, konieczna jest ocena tych systemów i narzędzi pod kątem kryteriów określonych w AI Act.
W wielu przypadkach wynik tej oceny przesądzi o konieczności wdrożenia procedur i środków technicznych dla zapewnienia ciągłego monitorowania zgodności z przepisami aktu o sztucznej inteligencji i przepisami o ochronie prywatności.
Obowiązki te mogą polegać na:
1Identyfikacji i ocenie ryzyka – przedsiębiorca musi zidentyfikować, czy używane przez niego systemy AI, w tym nowe narzędzia, klasyfikowane są w kategorii wysokiego ryzyka. Systemy wysokiego ryzyka używane są np. w obszarach takich jak zdrowie, edukacja, zatrudnienie, infrastruktura krytyczna, wymiar sprawiedliwości, itp.
2Przejrzystości i informowaniu użytkowników – przedsiębiorca zobowiązany jest zapewnić, aby systemy AI przeznaczone do wchodzenia w interakcję z osobami fizycznymi projektowano i opracowywano w taki sposób, aby osoby fizyczne były informowane o tym, że taką interakcję prowadzą, chyba że okoliczności i kontekst korzystania z systemu jednoznacznie na to wskazują.
3Bezpieczeństwo i ochrona danych – przedsiębiorca ma obowiązek zapewnić, że systemy AI są bezpieczne i zgodne z przepisami dotyczącymi ochrony danych osobowych (RODO).
4Monitorowanie i audyt – przedsiębiorca korzystający z systemów AI wysokiego ryzyka powinien monitorować ich działanie i regularnie przeprowadzać audyty w celu zapewnienia zgodności z przepisami AI Act.
5Współpraca z dostawcami – jeśli przedsiębiorca korzysta z systemów AI dostarczanych przez firmy zewnętrzne, powinien współpracować z dostawcami w celu zapewnienia, że systemy te są zgodne z AI Act.
6Szkolenia i podnoszenie świadomości – przedsiębiorca powinien zapewnić swoim pracownikom szkolenia w zakresie korzystania z systemów AI oraz zarządzania ryzykami związanymi z ich użytkowaniem.
Klauzule, które warto zawrzeć w regulaminie korzystania z AI (T&C) w przedsiębiorstwie
1Korzystanie z usług partnerów technologicznych: większość produktów wykorzystujących AI obejmuje modele opracowane przez inne przedsiębiorstwa. Ważne jest, aby poinformować użytkowników, że ich dane mogą być udostępniane przedsiębiorstwom opracowującym te modele.
2Prawa własności intelektualnej: należy wyjaśnić kwestię własności treści generowanych przez AI i warunków, na których użytkownicy mogą rościć sobie prawa własności lub użytkowania (Motyw 28 AI Act).
3Prywatność i bezpieczeństwo danych: istotne jest, aby wskazać, w jaki sposób dane użytkowników są gromadzone, wykorzystywane i chronione. Ma to kluczowe znaczenie, biorąc pod uwagę wrażliwy charakter danych przetwarzanych przez systemy AI (Motyw 28 AI Act).
4Ograniczenie odpowiedzialności: należy określić zasady odpowiedzialności firmy w odniesieniu do produktu AI, zwłaszcza w scenariuszach, w których wynik AI prowadzi do pośrednich lub niezamierzonych konsekwencji (wkrótce zostanie to uregulowane dyrektywą AILD).
5Zastrzeżenie dotyczące AI : kluczowe jest stwierdzenie, że treści generowane przez AI nie zawsze są dokładne lub że przedsiębiorstwo nie jest w stanie ocenić ich dokładności. Zastrzeżenie to powinno być wyraźnie widoczne w interfejsie produktu (Motyw 49 AI Act).
6Klauzula „Be a good human”: ponieważ trudno jest ograniczyć sposób, w jaki użytkownicy mogą niewłaściwie korzystać z AI, klauzula ta informuje ich, że jeśli korzystają z AI z naruszeniem zasad dopuszczalnego użytkowania, ich konto może zostać zawieszone lub zamknięte (Motyw 58 AI Act).
7Ograniczenia w udostępnianiu i publikowaniu treści generowanych przez AI: użytkownicy powinni być wyraźnie ograniczeni w korzystaniu z treści generowanych przez AI w sposób naruszający regulamin (zasady użytkowania) i muszą ponosić pełną odpowiedzialność za wszelkie publikowane przez siebie treści (Art. 52 AI Act).
Co, jeśli nie dostosujesz się do AI Act?
Sankcje za naruszenie regulacji wprowadzonych przez AI Act mają zostać wprowadzone przez przepisy krajowe, niemniej rozporządzenie określa ich zasadniczy charakter. Mają być one oparte na trzystopniowym systemie naruszeń:
- stopień 1: nieprzestrzeganie zakazów AI Act
Najwyższe grzywny nakładane są za korzystanie z zabronionych systemów ze względu na niedopuszczalny poziom ryzyka, jakie stwarzają. Takie przypadki podlegają grzywnom w wysokości do 35 milionów euro lub do 7% rocznego obrotu przedsiębiorstwa.
Przykład: Systemy AI wykorzystujące podprogowe, celowo manipulacyjne lub zwodnicze techniki, które istotnie zniekształcą zachowanie osoby, powodując, że podejmie ona decyzję, której w innym przypadku by nie podjęła, w sposób, który może spowodować znaczną szkodę.
- stopień 2: niezgodność z obowiązującymi wymaganiami AI Act 2024
Drugie co do wysokości kary przewidziane są za nieprzestrzeganie określonych obowiązków. Nieprzestrzeganie odpowiednich przepisów podlega grzywnom w wysokości do 15 milionów euro lub do 3% rocznego obrotu przedsiębiorstwa.
Przykład: Nieprzestrzeganie obowiązków rejestracyjnych lub niezapewnienie prawidłowości dostarczanych informacji.
- stopień 3: dostarczanie organom nadzorczym informacji nieprawidłowych, niekompletnych lub wprowadzających w błąd
Udzielenie na żądanie organów krajowych lub jednostek notyfikowanych odpowiedzi zawierającej informacje nieprawidłowe, niekompletne lub wprowadzające w błąd podlega karze grzywny w wysokości do 7,5 miliona euro lub 1% całkowitego obrotu przedsiębiorstwa.
Przykład: Przy określeniu wysokości grzywny kluczowymi czynnikami będą charakter, waga, celowość i czas trwania wykroczenia.
Jak możemy pomóc?
W celu przygotowania Państwa organizacji do nowych wymogów:
Przeanalizujemy, czy dana usługa lub wykorzystywane narzędzie podlega pod regulację AI Act, a jeśli tak – jaka jest rola dostawcy tej usługi i jakie obowiązki się z nią wiążą.
Przeprowadzimy audyt prawny narzędzi, usług i produktów wykorzystujących w swoim działaniu sztuczną inteligencję.
Przygotujemy treści prawne dotyczące AI – do wykorzystania w dokumentach związanych z działalnością organizacji: regulaminach, wzorach umownych, treściach marketingowych, stronach internetowych i narzędziach udostępnianych online.
Przeszkolimy pracowników z praktycznego zastosowania przepisów AI Act.
Kontakt:
Krzysztof Brant – radca prawny | Senior Associate w Zespole Ochrony Danych Osobowych i Zespole Transakcyjnym
Michał Pietrzyk – Radca prawny | Senior Associate w Zespole IP / IT i Doradztwa Kontraktowego oraz członek German Desk