AI Act w praktyce – jak bezpiecznie korzystać ze sztucznej inteligencji?

AI Act (pełna nazwa: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828) to kompleksowe unijne rozporządzenie regulujące wprowadzanie do obrotu, oddawanie do użytku oraz wykorzystywanie systemów sztucznej inteligencji na terenie Unii Europejskiej. Co istotne, jego przepisy mają zastosowanie nie tylko do podmiotów zarejestrowanych na terenie UE, ale także do firm spoza UE, jeśli ich systemy AI są stosowane w Unii. Oznacza to, że dostawcy z krajów trzecich nie będą mogli omijać regulacji, jeśli chcą, aby ich modele były wykorzystywane przez użytkowników w Europie. 

Kto podlega AI Act?

Kogo nie obejmuje AI Act?

Unia Europejska w ramach AI Act wprowadza podejście oparte na analizie ryzyka, które klasyfikuje systemy sztucznej inteligencji według ich potencjalnego wpływu na bezpieczeństwo użytkowników. W zależności od stopnia ryzyka, jakie niesie dany system, nałożone są różne obowiązki – od całkowitego zakazu, aż po minimalne wymagania w zakresie przejrzystości.

Aby ułatwić zrozumienie tych zasad, przygotowaliśmy tabelę, w której znajduje się podział systemów AI według stopnia ryzyka oraz obowiązki, jakie wiążą się z ich stosowaniem.

Przepisy AI Act będą wdrażane stopniowo. Zasadą jest że rozporządzenia wchodzi w życie 2 sierpnia 2026 roku, jednak pierwsze regulacje zaczęły obowiązywać już 2 lutego 2025 roku. Pełne wdrożenie będzie jednak rozłożone w czasie: 

• 2 lutego 2025 roku – na tym etapie weszły w życie głównie przepisy ogólne oraz regulacje dotyczące praktyk zakazanych, o których wspomnieliśmy powyżej, 
• 2 sierpnia 2025 roku – wejdą w życie przepisy dotyczące obowiązków w zakresie systemów AI ogólnego przeznaczenia oraz obowiązków z tym związanych, 
• 2 sierpnia 2027 roku – wejdą w życie ostatnie przepisy dotyczące klasyfikacji systemów AI wysokiego ryzyka. 

Zakazane praktyki AI zgodnie z AI Act – obowiązujące od 2 lutego 2025 roku

Już 2 lutego 2025 roku weszły w życie przepisy AI Act, które zakazują stosowania określonych praktyk – najbardziej ryzykownych systemów sztucznej inteligencji. Wśród nich znalazły się m.in.: 

AI Act to pierwsze kompleksowe unijne rozporządzenie dotyczące sztucznej inteligencji, które znacząco wpłynie na przedsiębiorców rozwijających systemy AI. Podmioty, zwłaszcza software house’y, będą musiały dostosować się do nowych regulacji i przede wszystkim: 

Zidentyfikować systemy AI i swoją rolę w łańcuchu dostaw

Jednym z kluczowych wymogów AI Act jest konieczność określenia, czy dany produkt lub usługa kwalifikuje się jako system sztucznej inteligencji. Przedsiębiorcy będą zobowiązani do ustalenia:

• Czy ich oprogramowanie spełnia definicję systemu AI?
• Jaką pełnią rolę w łańcuchu dostaw – czy są dostawcami, czy użytkownikami systemu? 
• Czy system należy do kategorii wysokiego ryzyka zgodnie z klasyfikacją AI Act?
• Czy nie stosuje zakazanych praktyk, np. manipulacji poznawczej czy biometrycznej identyfikacji w czasie rzeczywistym?

Spełnić nowe obowiązki w zakresie dokumentacji i zarządzenia ryzykiem  

Podmioty tworzące systemy AI, zwłaszcza te wysokiego ryzyka, będą musiały opracować szczegółową dokumentację wewnętrzną oraz procedury zarządzania ryzykiem. Kluczowe wymagania obejmują:

• Stworzenie kompletnej dokumentacji technicznej opisującej działanie i cele systemu AI,
• Prowadzenie rejestru zdarzeń, 

Opracowanie procedur zarządzania ryzykiem, monitorowania i zapewnienia zgodności z regulacjami.

Jak przygotować firmę na AI Act? 

Aby dostosować się do nowych regulacji, przedsiębiorcy powinni:

• Zidentyfikować systemy AI i określić ich kategorię ryzyka.
• Przygotować procedury wewnętrzne do zarządzania dokumentacją i ryzykiem.
• Zapewnić transparentność działania systemów AI.
• Monitorować zmiany w przepisach i aktualizować polityki wewnętrzne.

Sztuczna inteligencja staje się coraz bardziej powszechna w naszym codziennym życiu, a jej wpływ jest szczególnie widoczny w przypadku chatbotów, takich jak ChatGPT. W świetle regulacji AI Act chatboty należą do systemów sztucznej inteligencji o ograniczonym ryzyku. Niezależnie od AI Act ich użytkowanie wymaga przede wszystkim świadomego podejścia i znajomości podstawowych zasad ochrony danych. Do chatbotów nie należy wprowadzać informacji dotyczących przede wszystkim: 

• Danych osobowych – imię, nazwisko, adres zamieszkania, numer telefonu, e-mail, PESEL, numer dowodu osobistego.
• Poufnych danych firmowych – strategii biznesowych, wewnętrznych procedur, informacji o klientach i kontrahentach.
• Danych logowania i finansowych – haseł, kodów PIN, numerów kont bankowych, kart kredytowych.
• Informacji medycznych i zdrowotnych – szczególnie tych dotyczących stanu zdrowia czy historii leczenia. 

Aby unikać zagrożeń, warto stosować zasadę „nie udostępniaj niczego, czego nie powiedziałbyś w publicznej rozmowie”. 

Nasza kancelaria wspiera przedsiębiorców w dostosowaniu się do AI Act, zapewniając pełne wsparcie prawne w zakresie zgodności systemów AI z nowymi regulacjami.