Brutalna rzeczywistość obrotu gospodarczego pokazuje, że o doniosłości danego aktu prawnego i respektowaniu jego wymogów decydują sankcje. „Co nas spotka jeśli nie wdrożymy tych przepisów?” – pytają uczestnicy obrotu prawnego, gdy stają przed wyzwaniem wdrożenia w ich organizacjach nowych regulacji. Jeśli sankcje są surowe, to podejście do implementacji jest zgoła odmienne aniżeli w przypadku łagodnych konsekwencji czy ich braku. Doskonale ten problem zobrazowało ustawodawstwo w zakresie ochrony danych osobowych. Do maja 2018 r. kwestia ochrony danych była traktowana pobocznie i mało który administrator danych przejmował się znajomością i stosowaniem (na gruncie polskim) wymogów ustawy z 1997 r. Począwszy od 25 maja 2018 r., gdy rozpoczęto stosowanie ogólnego rozporządzenia o ochronie danych (tzw. RODO), na rynku trudno znaleźć podmiot, któremu hasło "RODO" nie byłoby znane. O zmianie podejścia zadecydowały konsekwencje prawne naruszenia przepisów: ustawa o ochronie danych osobowych z 1997 r. nie przewidywała żadnych konsekwencji finansowych za uchybienie jej przepisom, natomiast RODO zrobiło furorę dzięki możliwości nakładania przez organy nadzorcze państw unijnych administracyjnych kar pieniężnych sięgających nawet 20 000 000 euro (lub wyższych w przypadku największych przedsiębiorstw).
Unijny ustawodawca w toku prac nad rozporządzeniem dotyczącym sztucznej inteligencji (tzw. AI Act) wyciągnął wnioski z tej lekcji i utrzymał „zachętę” do rzetelnego wdrożenia przez organizacje wymogów aktu pod rygorem nakładania administracyjnych kar pieniężnych, z tym że ich wysokość sięgać ma nawet 30 000 000 euro (lub więcej w przypadku największych przedsiębiorstw - próg maksymalnej kary podwyższono o 50% w stosunku do RODO).
Zgodnie z art. 71 ust. 1 AI Act państwa członkowskie przyjmują przepisy dotyczące kar, w tym administracyjnych kar pieniężnych, mających zastosowanie w przypadku naruszeń rozporządzenia i podejmują wszelkie działania niezbędne do zapewnienia ich właściwego i skutecznego wdrożenia. Jak podkreślono, przewidziane kary muszą być „skuteczne, proporcjonalne i odstraszające”. Mamy więc do czynienia wręcz z identycznym podejściem do kar jak w wypadku RODO. Co ciekawe jednak, unijny ustawodawca w AI Act (czego nie czynił na gruncie rozporządzenia 2016/679) nakazuje, aby kary uwzględniały „interesy drobnych dostawców i przedsiębiorstw typu start-up oraz ich rentowność”.
Na gruncie AI Act przewidziano 3 grupy kar pieniężnych:
- kary do 30 000 000 EUR (lub – jeżeli naruszenia dopuszcza się przedsiębiorstwo – w wysokości do 6 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa) – za nieprzestrzeganie zakazu praktyk w zakresie sztucznej inteligencji, o których mowa w art. 5 rozporządzenia AI (o tych praktykach pisaliśmy tutaj) oraz za niezgodność systemu sztucznej inteligencji wysokiego ryzyka z wymogami określonymi w art. 10 rozporządzenia AI (mowa o nich tutaj);
- kary do 20 000 000 EUR (lub – jeżeli naruszenia dopuszcza się przedsiębiorstwo – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa) – za niezgodność systemu sztucznej inteligencji z jakimikolwiek wymogami lub obowiązkami wynikającymi z rozporządzenia AI, innymi niż te określone w art. 5 i 10;
- kary do 10 000 000 EUR (lub – jeżeli naruszenia dopuszcza się przedsiębiorstwo – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa) – za przekazywanie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji jednostkom notyfikowanym i właściwym organom krajowym w odpowiedzi na ich wezwanie.
W myśl art. 71 ust. 6 AI Act przy ustalaniu wysokości administracyjnej kary pieniężnej, w każdym indywidualnym przypadku uwzględnia się wszystkie istotne okoliczności danej sytuacji i zwraca się należytą uwagę na następujące kwestie:
- charakter, wagę i czas trwania naruszenia oraz jego konsekwencje;
- czy inne organy nadzoru rynku nałożyły już na tego samego operatora administracyjne kary pieniężne za to samo naruszenie;
- wielkość operatora dopuszczającego się naruszenia i jego udział w rynku.
W porównaniu z przesłankami karania na gruncie RODO powyższy katalog jest znacznie skromniejszy (rozporządzenie nr 2016/679 przewiduje aż 11 przesłanek), a tylko pierwsza z tych przesłanek pokrywa się z tymi, które wskazano w art. 83 ust. 2 RODO. Ciekawostką jest więc fakt, że na gruncie AI Act mocno akcentuje się wielkość organizacji zobowiązanej do przestrzegania przepisów, co oznacza że im większy podmiot tym większe wymagania względem niego. W przypadku RODO taka przesłanka nie była wyrażona wprost.
Na marginesie należy zauważyć, że zasady nakładania kar na instytucje, organy i jednostki organizacyjne UE zostały uregulowane osobno, a ich wysokość sięga maksymalnie 500 000 EUR.
Biorąc pod uwagę powyższe regulacje, można zakładać, że nadchodzące przepisy prawa dotyczące sztucznej inteligencji nie przejdą bez echa i zostaną wdrożone przez podmioty zaangażowane w tworzenie systemów AI oraz podmioty z systemów takich korzystające. Warto więc w porę rozpocząć proces wdrożeniowy by zdążyć na czas z nowymi regulacjami oraz uniknąć komplikacji związanych z ponoszeniem ewentualnych konsekwencji finansowych, o których była mowa w niniejszym artykule.
Wpisy powiązane:
Sztuczna inteligencja okiem UE
Wymogi dla systemu wysokiego ryzyka
Zgłoszenie incydentu systemu AI
Data publikacji: 12.01.2024