Rozporządzenie (UE) 2024/1689, znane jako AI Act, ustanawia jednolite przepisy dotyczące projektowania, rozwoju i stosowania systemów sztucznej inteligencji w Unii Europejskiej. Celem regulacji jest zapewnienie, aby rozwój technologii odbywał się w sposób bezpieczny, etyczny i zgodny z prawami podstawowymi.
Jednym z kluczowych elementów rozporządzenia są obowiązki dostawców systemów AI wysokiego ryzyka, określone w art. 16 AI Act. To właśnie te obowiązki stanowią trzon unijnego podejścia do odpowiedzialnego rozwoju AI.
Zgodnie z definicją zawartą w AI Act, dostawcą jest osoba fizyczna lub prawna, organ publiczny, agencja lub inny podmiot, które rozwijają system AI lub model AI ogólnego przeznaczenia lub zlecają rozwój systemu AI lub modelu AI ogólnego przeznaczenia oraz które – odpłatnie lub nieodpłatnie – pod własną nazwą lub własnym znakiem towarowym wprowadzają do obrotu lub oddają do użytku system AI
Z kolei systemy AI wysokiego ryzyka to takie, których zastosowanie może wiązać się z istotnym ryzykiem naruszenia bezpieczeństwa, zdrowia lub praw podstawowych osób fizycznych. Systemy wysokiego ryzyka to m.in. systemy opierające się na biometrii oraz systemy, które są wykorzystywane m.in. w:
- procesach rekrutacyjnych i ocenie pracowników,
- ustaleniu scoringu kredytowego osób fizycznych,
- ocena zdolności kredytowej osób fizycznych,
- diagnostyce medycznej,
- egzekwowaniu prawa,
Artykuł 16 rozporządzenia wskazuje katalog obowiązków, które mają zapewnić zgodność systemów AI wysokiego ryzyka z wymogami bezpieczeństwa, jakości i transparentności. W praktyce oznacza to konieczność wdrożenia kompleksowego systemu zarządzania zgodnością (AI compliance). Dostosowanie się do tych wymogów nie jest wyłącznie formalnością – to inwestycja w wiarygodność i konkurencyjność przedsiębiorstwa na europejskim rynku AI.
Obowiązki dostawców systemów AI wysokiego ryzyka:
- Zapewnienie zgodności z wymogami technicznymi
Dostawca jest odpowiedzialny za to, aby system AI spełniał wszystkie wymogi określone w sekcji 2 AI Act. Obejmują one m.in. zarządzanie ryzykiem, nadzór człowieka nad systemem, jakość danych treningowych oraz przejrzystość działania algorytmu. W praktyce oznacza to konieczność opracowania i stosowania procesów oceny ryzyka już na etapie projektowania systemu (tzw. AI-by-design).
- Identyfikacja dostawcy
System AI, jego opakowanie lub dokumentacja muszą zawierać nazwę dostawcy, zarejestrowany znak towarowy oraz adres kontaktowy, co zapewnia identyfikowalność podmiotu odpowiedzialnego za produkt.
- System zarządzania jakością
Dostawca powinien wdrożyć system zarządzania jakością, obejmujący procedury projektowania, testowania, walidacji, monitorowania i dokumentowania systemu AI. System ten ma charakter ciągły i powinien być regularnie aktualizowany wraz z rozwojem technologii.
- Dokumentacja techniczna
Niezbędne jest prowadzenie kompletnej dokumentacji technicznej, umożliwiającej organom nadzoru ocenę zgodności systemu z przepisami. Dokumentacja powinna obejmować m.in. opis architektury systemu, dane treningowe, zastosowane modele, wyniki testów oraz analizę ryzyka.
- Rejestry zdarzeń
Systemy AI wysokiego ryzyka muszą automatycznie generować rejestry zdarzeń (logi). Dostawca jest zobowiązany przechowywać te dane, jeśli znajdują się pod jego kontrolą. Rejestry te odgrywają kluczową rolę w procesie nadzoru i audytu działania systemu.
- Ocena zgodności
Przed wprowadzeniem systemu AI do obrotu lub jego udostępnieniem użytkownikowi końcowemu, dostawca musi przeprowadzić procedurę oceny zgodności. Celem tej procedury jest potwierdzenie, że system spełnia wszystkie wymogi prawne i techniczne określone w AI Act.
- Deklaracja zgodności UE
Po pozytywnej ocenie zgodności dostawca sporządza deklarację zgodności UE, będącą formalnym oświadczeniem o spełnieniu wymogów rozporządzenia.
- Oznakowanie CE
System AI wysokiego ryzyka musi być opatrzony znakiem CE, co stanowi potwierdzenie zgodności z przepisami unijnymi. W razie braku fizycznej możliwości – oznakowanie może znaleźć się na opakowaniu lub w dokumentacji towarzyszącej.
- Rejestracja w unijnym rejestrze
Każdy system AI wysokiego ryzyka musi zostać wpisany do unijnego rejestru systemów AI wysokiego ryzyka, co zwiększa transparentność i umożliwia nadzór ze strony organów regulacyjnych.
- Działania naprawcze i współpraca z organami
W przypadku stwierdzenia niezgodności lub zagrożenia bezpieczeństwa dostawca jest zobowiązany do podjęcia działań naprawczych oraz niezwłocznego poinformowania właściwych organów krajowych.
- Wykazanie zgodności
Na żądanie organu nadzoru dostawca musi udowodnić zgodność systemu z wymogami określonymi w AI Act, przedstawiając odpowiednią dokumentację i raporty.
- Wymogi dostępności
Systemy AI muszą spełniać wymogi dostępności dla osób z niepełnosprawnościami, zgodnie z dyrektywami (UE) 2016/2102 oraz (UE) 2019/882.
Dla podmiotów rozwijających i wdrażających technologie AI nowe regulacje oznaczają konieczność:
- budowy wewnętrznego systemu zarządzania zgodnością AI,
- wdrożenia procesów dokumentowania i audytowania rozwoju systemów,
- przygotowania się na kontrole organów nadzoru i certyfikację,
- zapewnienia przejrzystości działania algorytmów wobec użytkowników i organów administracji.
Nasza kancelaria zapewnia kompleksowe wsparcie prawne dla firm wdrażających sztuczną inteligencję zgodnie z nowymi regulacjami unijnymi.
