Dbamy o Twój biznes

Pomagamy szybko i profesjonalnie

Obowiązki dostawców systemów AI

Unijny akt w sprawie sztucznej inteligencji (dalej także: „AI Act”) z dnia 13.06.2024 r. wprowadza szereg obowiązków na podmioty zaangażowane w obrót systemami sztucznej inteligencji. Wśród tych podmiotów mamy dostawców systemów AI wysokiego ryzyka.

Pod tę kategorię podpadają podmioty, które rozwijają system AI wysokiego ryzyka lub zlecają rozwój takiego systemu oraz które wprowadzają do obrotu lub oddają do użytku system AI (pod własną firmą i bez względu na pobieranie opłat lub ich brak). O tym czym jest system AI wysokiego ryzyka pisaliśmy szerzej tutaj.

Zakres obowiązków nałożonych na te podmioty przez unijnego ustawodawcę przypomina nieco konstrukcję obowiązków nakładanych na pracodawcę w Kodeksie pracy, tj. mamy w jednym przepisie podany katalog obowiązków, ale nie ma on charakteru zamkniętego, gdyż w rzeczywistości ten akt prawny to zbiór obowiązków rozsianych po całej jego treści.

Dostawcy systemów AI wysokiego ryzyka odnajdą zakres swych „podstawowych” obowiązków w treści art. 16 AI Act, aczkolwiek muszą zdawać sobie sprawę z faktu, że nie są to jedyne obowiązki, jakie na nich zostały nałożone, ani nie są to nawet koniecznie obowiązki najważniejsze.

Z treści katalogu obowiązków podstawowych dostawca systemu AI wysokiego ryzyka dowie się, że jest zobowiązany do:

  1. zapewnienia zgodności systemów AI wysokiego ryzyka z wymogami ustanowionymi w sekcji 2 – mamy tu więc odesłanie do szeregu obowiązków takich jak m.in.:
    1. wprowadzenie systemu zarządzania ryzykiem (który należy obsługiwać, dokumentować i aktualizować);
    2. sporządzenie i aktualizowanie dokumentacji technicznej dla systemu AI pozwalającej wykazać zgodność systemu z wymogami rozporządzenia;
    3. wyposażenie systemu AI w techniczne możliwości automatycznego rejestrowania zdarzeń;
    4. projektowanie i rozwijanie systemu AI w sposób zapewniający wystarczającą przejrzystość jego działania, umożliwiającą interpretację wyników systemu i jego właściwe wykorzystanie, w tym poprzez dołączanie instrukcji obsługi systemu AI, która musi być jasna i zrozumiała dla użytkowników;
    5. zapewnienie skutecznego nadzorowania systemu AI przez człowieka poprzez wdrożenie środków współmiernych do ryzyka, autonomii i kontekstu wykorzystania systemu (m.in. umożliwienie nadzorcy wyłączenie systemu);
    6. projektowanie i rozwijanie systemu AI w taki sposób, aby osiągał odpowiedni poziom dokładności, solidności i cyberbezpieczeństwa przez cały cykl życia systemu;
  2. podania w systemie AI wysokiego ryzyka lub – przypadku gdy nie jest to możliwe – na jego opakowaniu lub w dołączonej do niego dokumentacji, stosownie do przypadku, swojej nazwy, zarejestrowanej nazwy handlowej lub zarejestrowanego znaku towarowego i adresu, pod którym można się skontaktować z dostawcą oraz oznakowania CE – wymóg ten ma zapewnić możliwość identyfikacji dostawcy i brak jakichkolwiek wątpliwości co do jego powiązań z systemem AI wysokiego ryzyka, co ma znaczenie przede wszystkim w kwestii odpowiedzialności za wprowadzany do obrotu system; z kolei znak CE potwierdzać ma zgodność systemu z AI Act;
  3. posiadania systemu zarządzania jakością zgodnego z art. 17 AI Act (którego nie wolno mylić z systemem zarządzania ryzykiem wymienionym w art. 9 AI Act) – system ten winien być prowadzony w formie pisemnych polityk, procedur i instrukcji oraz uwzględniać m.in. takie aspekty jak:
    1. techniki, procedury i systematyczne działania, które należy stosować na potrzeby projektowania oraz kontroli i weryfikacji projektu systemu AI wysokiego ryzyka, jak również na potrzeby rozwoju, kontroli jakości i zapewniania jakości systemu AI wysokiego ryzyka;
    2. procedury badania, testowania i walidacji, które należy przeprowadzić przed przystąpieniem do rozwoju systemu AI wysokiego ryzyka, w trakcie tego rozwoju i po jego zakończeniu, oraz częstotliwość, z jaką mają być przeprowadzane;
    3. specyfikacje techniczne;
    4. systemy i procedury zarządzania danymi, które przeprowadza się przed wprowadzeniem do obrotu lub oddaniem do użytku systemów AI wysokiego ryzyka i do celu wprowadzenia ich do obrotu lub oddania ich do użytku;
    5. system zarządzania ryzykiem, o którym mowa w art. 9 AI Act;
    6. ustanowienie, wdrożenie i obsługa systemu monitorowania po wprowadzeniu do obrotu, zgodnie z art. 72 AI Act;
    7. procedury związane ze zgłaszaniem poważnego incydentu zgodnie z art. 73 AI Act;
    8. porozumiewanie się z właściwymi organami krajowymi, jednostkami notyfikowanymi, innymi operatorami, klientami;
    9. systemy i procedury rejestrowania wszelkiej istotnej dokumentacji i wszelkich istotnych informacji;
    10. ramy odpowiedzialności służące określeniu odpowiedzialności kierownictwa i pozostałego personelu w odniesieniu do wszystkich aspektów wymienionych powyżej;
  4. prowadzenia dokumentacji, o której mowa w art. 18 AI Act, a więc dokumentacji technicznej (pkt 1 lit. b powyżej), dokumentacji dotyczącej systemu zarządzania jakością (pkt 3 powyżej), deklaracji zgodności UE (art. 47 AI Act), a w stosownych przypadkach także dokumentacji dot. zmian zatwierdzonych przez jednostki notyfikowane oraz decyzji i innych dokumentów wydanych przez te jednostki – dokumenty te winny być przechowywane przez dostawców przez okres 10 lat od dnia wprowadzenia systemu AI wysokiego ryzyka do obrotu lub oddania go do użytku;
  5. przechowywania rejestrów zdarzeń generowanych automatycznie przez system AI wysokiego ryzyka, jak określono w art. 19 AI Act, gdy rejestry takie znajdują się pod kontrolą dostawcy;
  6. zapewnienia, aby przed wprowadzeniem do obrotu lub oddaniem do użytku system AI wysokiego ryzyka poddano odpowiedniej procedurze oceny zgodności, o której mowa w art. 43 AI Act;
  7. sporządzania deklarację zgodności UE zgodnie z art. 47 AI Act, w której stwierdza się, że dany system AI wysokiego ryzyka spełnia wymogi wymienione w pkt. 1) powyżej;
  8. spełniania obowiązków rejestracyjnych, o których mowa w art. 49 ust. 1 AI Act, w tym rejestracji w bazie danych UE;
  9. podejmowania niezbędnych działań naprawczych i przekazywania informacji zgodnie z art. 20 – warto zwrócić uwagę na ten szczególny obowiązek dostawcy, który aktualizuje się w razie uznania przez niego, że system AI wysokiego ryzyka nie jest zgodny z rozporządzeniem, a polega on na naprawie systemu przez zapewnienie jego zgodności z wymogami AI Act albo na wycofaniu go z rynku, wyłączeniu go lub wycofaniu go z użytku, w ślad za czym winno iść poinformowanie o tym wskazanych w rozporządzeniu podmiotów (m.in. dystrybutorów danego systemu AI wysokiego ryzyka). Dodatkowo, gdyby dostawca danego systemu dowiedział się, że system AI stwarza ryzyko dla zdrowia i bezpieczeństwa lub praw podstawowych osób, dostawca ten natychmiast wyjaśnia przyczyny tego ryzyka oraz informuje organy nadzoru (w stosownych przypadkach także jednostkę notyfikowaną, która wydała certyfikat) o charakterze danej niezgodności oraz o wszelkich podjętych działaniach naprawczych – mamy tu więc swoistą konstrukcję „autodenuncjacji” dostawcy;
  10. wykazywania, na uzasadniony wniosek właściwego organu krajowego, zgodności systemu AI wysokiego ryzyka z wymogami wymienionymi w pkt. 1 powyżej;
  11. zapewniania, by system AI wysokiego ryzyka był zgodny z wymogami dostępności zgodnie z dyrektywą (UE) 2016/2102 (w sprawie dostępności stron internetowych i mobilnych aplikacji organów sektora publicznego) oraz z dyrektywą (UE) 2019/882 (w sprawie wymogów dostępności produktów i usług).

Powyższy, bogato uregulowany katalog obowiązków, którego treść – w skromnych ramach niniejszego wpisu – możemy jedynie naświetlić, nie ma zamkniętego charakteru. Poza tym, że obowiązki w nim wymienione odsyłają do innych przepisów te obowiązki uszczegóławiających, to w samym rozporządzeniu znaleźć można także inne obowiązki wyżej niewymienione, jak np. obowiązek ustanowienia upoważnionego przedstawiciela przez dostawców mających miejsce zamieszkania lub siedzibę w państwach trzecich.

Co istotne, nie mogą spać spokojnie także dystrybutorzy, importerzy czy podmioty stosujące systemy AI wysokiego ryzyka, a to ze względu na brzmienie motywu 84 AI Act, w myśl którego mogą oni w pewnych okolicznościach zostać uznani za dostawcę systemu AI wysokiego ryzyka i w związku z tym winni przyjąć na siebie wszystkie związane z tym obowiązki. Miałoby to miejsce w przypadku, gdy podmiot ten:

  1. umieszcza swoją nazwę lub znak towarowy w systemie AI wysokiego ryzyka, który został już wprowadzony do obrotu lub oddany do użytku, bez uszczerbku dla ustaleń umownych przewidujących odmienny podział obowiązków;
  2. dokonuje istotnej zmiany w systemie AI wysokiego ryzyka, który został już wprowadzony do obrotu lub oddany do użytku, w taki sposób, że pozostaje on systemem AI wysokiego ryzyka zgodnie z  rozporządzeniem;
  3. zmieni przeznaczenie systemu AI, w tym systemu AI ogólnego przeznaczenia, który nie został zaklasyfikowany jako system wysokiego ryzyka i został już wprowadzony do obrotu lub oddany do użytku, w taki sposób, że ten system AI staje się systemem wysokiego ryzyka zgodnie z  rozporządzeniem.

Znajomość tych obowiązków będzie zatem wymagana de facto od każdego podmiotu angażującego się w wykorzystywanie systemów AI wysokiego ryzyka.

Wpisy powiązane:

Dane w systemach AI

Poziomy ryzyka systemów AI

Wymogi dla systemu wysokiego ryzyka

Ogólne wymogi dla systemu AI

Instrukcja obsługi systemu AI

Dokumentacja techniczna systemu AI

System zarządzania ryzykiem AI

Zgłoszenie incydentu systemu AI

Kary pieniężne za naruszenie AI Act

Sztuczna inteligencja a RODO

🔝Prawo AI - wszystkie wpisy

Data publikacji: 17.09.2024

Kontakt

Borek Doliński Radcowie Prawni spółka jawna

ul. Grunwaldzka 224b/9, 60-166 Poznań

office@bdrp.pl

[0048] 530 001 500 // 510 551 991

O nas

Specjalizujemy się w obsłudze prawnej biznesu, ze szczególnym uwzględnieniem branży IT.

Oferujemy najwyższą jakość świadczonego wsparcia prawnego, wysoką responsywność i osobiste zaangażowanie wspólników Kancelarii.