Dbamy o Twój biznes

Pomagamy szybko i profesjonalnie

Obowiązki podmiotów stosujących AI

We wcześniejszych wpisach poświęciliśmy uwagę zakresowi obowiązków prawnych nałożonych przez AI Act na dostawców systemów AI wysokiego ryzyka, a także importerów i dystrybutorów takich systemów. Prawo AI reguluje także obowiązki podmiotów stosujących systemy AI wysokiego ryzyka i ich zakresem zajmiemy się w niniejszym wpisie. Zachęcamy jednocześnie do zapoznania się z naszą ofertą wsparcia prawnego przy zapewnieniu zgodności systemów AI z wymogami jakie nakłada prawo sztucznej inteligencji.

Skromne ramy niniejszego wpisu nie pozwolą nam wymienić wszystkich obowiązków podmiotów stosujących systemy AI wysokiego ryzyka, wobec czego pominęliśmy te obowiązki, które spoczywają na instytucjach finansowych oraz publicznych organach lub instytucjach, organach i jednostkach organizacyjnych UE jako podmiotach stosujących taki system AI. Dodać przy tym należy, że rozporządzenie AI nakłada na podmioty stosujące systemy AI wysokiego ryzyka także inne wymogi, które adresowane są z uwagi na inne kryterium niż wysokie ryzyko systemu AI (np. obowiązki w zakresie przejrzystości, o których mowa w art. 50 AI Act), które postaramy się przytaczać w kolejnych wpisach.

Nim przejdziemy do meritum, warto wskazać o czyich obowiązkach tak naprawdę mówimy. Zgodnie bowiem z definicją rozporządzenia AI podmiotem stosującym jest osoba fizyczna lub prawna, organ publiczny, agencja lub inny podmiot, która wykorzystuje system AI, nad którym sprawuje kontrolę, z wyjątkiem sytuacji, gdy system AI jest wykorzystywany w ramach osobistej działalności pozazawodowej. Mamy tutaj więc istotny kontekst związany z działalnością zawodową (czy gospodarczą), a także aspekt sprawowania kontroli nad systemem AI (w tym wypadku nad systemem AI wysokiego ryzyka).

Podmioty stosujące systemy AI wysokiego ryzyka zobowiązane są:

  1. podjąć odpowiednie środki techniczne i organizacyjne w celu zapewnienia, aby systemy takie były wykorzystywane zgodnie z dołączoną do nich instrukcją obsługi. Za przygotowanie instrukcji obsługi odpowiada dostawca systemu AI wysokiego ryzyka, jednak prawidłowe funkcjonowanie takiego systemu może wymagać podjęcia dodatkowych środków by odbywało się to w zgodzie z rozporządzeniem AI. Ten obowiązek będzie spoczywał już na podmiotach stosujących.
  2. powierzać sprawowanie nadzoru ze strony człowieka osobom fizycznym, które mają niezbędne kompetencje, przeszkolenie i uprawnienia, a także niezbędne wsparcie. Idea AI Act zasadza się na obowiązku zapewnienia możliwości interwencji ludzkiej przy działaniach systemów AI, by łagodzić potencjalnie negatywne skutki decyzji podejmowanych przez algorytmy. Jednak nie może to być środek pozorny, realizowany przez wyznaczenie „jakiegoś” człowieka, lecz osoby kompetentnej rozumiejącej działania tych algorytmów. By dowieść spełnienia tego wymogu, podmiot stosujący system AI wysokiego ryzyka będzie musiał wykazać, że dana osoba posiada udokumentowane kwalifikacje, przechodzi szkolenia i dysonuje realnymi środkami, które mają wpływ na sprawowanie nadzoru nad systemem AI. Jest to istotne uzupełnienie regulacji GDPR, która wprawdzie mówi o prawie do interwencji ludzkiej osoby, wobec której podejmowane są decyzje w oparciu o automatyczne przetwarzanie danych osobowych, w tym profilowanie, ale pomija aspekt kompetencji człowieka, który ma interweniować. AI Act nie pozostawia wątpliwości, że wyciągnięto wnioski z tej luki.
  3. zapewniać, w zakresie, w jakim sprawuje on kontrolę nad danymi wejściowymi, adekwatność i wystarczającą reprezentatywność danych wejściowych w odniesieniu do przeznaczenia systemu AI wysokiego ryzyka.
  4. monitorować działanie systemu AI wysokiego ryzyka w oparciu o instrukcję obsługi i w stosownych przypadkach informować dostawców zgodnie z art. 72 AI Act.
  5. niezwłocznie informować dostawcę lub dystrybutora oraz odpowiedni organ nadzoru rynku o możliwości stwarzania przez system AI (wykorzystywany zgodnie z instrukcją obsługi) ryzyka w rozumieniu art. 79 ust. 1 AI Act (tj. gdy dotyczy on zdrowia i bezpieczeństwa lub praw podstawowych osób) i zawiesić wykorzystywanie systemu w takim przypadku.
  6. natychmiast informować o wystąpieniu poważnego incydentu najpierw dostawcę, a następnie importera lub dystrybutora oraz odpowiednie organy nadzoru rynku.
  7. przechowywać generowane automatycznie przez system AI wysokiego ryzyka rejestry zdarzeń (w zakresie, w jakim rejestry te znajdują się pod kontrolą podmiotów stosujących) – ten obowiązek ciąży na jego adresatach przez stosowny ze względu na przeznaczenie danego systemu AI wysokiego ryzyka okres, wynoszący co najmniej 6 miesięcy (o ile przepisy unijne lub prawa krajowego – w szczególności GDPR – nie stanowią inaczej).
  8. informować o ile podmiot stosujący jest pracodawcą – przedstawicieli pracowników i pracowników, których to dotyczy, że będzie w stosunku do nich wykorzystywany system AI wysokiego ryzyka. Ten obowiązek informacyjny winien być realizowany przed oddaniem do użytku lub wykorzystaniem systemu AI wysokiego ryzyka w miejscu pracy.
  9. przeprowadzić, w stosownych przypadkach, ocenę skutków dla ochrony danych (DPIA) zgodnie z art. 35 RODO, jeżeli podmioty stosujące systemy AI wysokiego ryzyka korzystają z informacji przekazanych na podstawie art. 13 AI Act.
  10. współpracować z właściwymi organami przy wszelkich działaniach, które organy te podejmują w odniesieniu do systemu AI wysokiego ryzyka, w celu wykonywania rozporządzenia AI.

Ponadto, podmioty stosujące systemy wysokiego ryzyka wymienione w załączniku III (np. infrastruktura krytyczna, biometria, ściganie przestępstw, procesy demokratyczne czy zatrudnienie i zarządzanie pracownikami), które podejmują decyzje lub uczestniczą w podejmowaniu decyzji dotyczących osób fizycznych, informują osoby fizyczne o tym, że jest w stosunku do nich wykorzystywany system AI wysokiego ryzyka.

Jak widać, ilustracyjne tylko przytoczenie powyższych obowiązków pozwala zobrazować skalę wyzwania przed którym stoją podmioty chcące we własnej działalności gospodarczej wykorzystywać systemy AI wysokiego ryzyka. Nic więc dziwnego, że nowe regulacje wymuszać będą zaangażowanie przewodnika po gąszczu nałożonych wymogów, by wdrożenie i zarządzanie w/w systemami AI odbyło się w zgodzie z prawem.

Wpisy powiązane:

Dane w systemach AI

Poziomy ryzyka systemów AI

Wymogi dla systemu wysokiego ryzyka

Ogólne wymogi dla systemu AI

Instrukcja obsługi systemu AI

Dokumentacja techniczna systemu AI

System zarządzania ryzykiem AI

Obowiązki dostawców systemów AI

Obowiązki importerów systemów AI

Obowiązki dystrybutorów systemów AI

Kary pieniężne za naruszenie AI Act

Sztuczna inteligencja a RODO

🔝Prawo AI - wszystkie wpisy

Data publikacji: 20.09.2024

Kontakt

Borek Doliński Radcowie Prawni spółka jawna

ul. Grunwaldzka 224b/9, 60-166 Poznań

office@bdrp.pl

[0048] 530 001 500 // 510 551 991

O nas

Specjalizujemy się w obsłudze prawnej biznesu, ze szczególnym uwzględnieniem branży IT.

Oferujemy najwyższą jakość świadczonego wsparcia prawnego, wysoką responsywność i osobiste zaangażowanie wspólników Kancelarii.