Dbamy o Twój biznes

Pomagamy szybko i profesjonalnie

System zarządzania ryzykiem AI

Zgodnie z art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. („AI Act”), ustanawia się, wdraża, dokumentuje i obsługuje system zarządzania ryzykiem w odniesieniu do systemów AI wysokiego ryzyka. O tym, czym jest system wysokiego ryzyka pisaliśmy w osobnym wpisie.

Zgodnie z motywem 65 AI Act, system zarządzania ryzykiem powinien obejmować ciągły, iteracyjny proces, który jest planowany i realizowany przez cały cykl życia systemu AI wysokiego ryzyka. Podlegać powinien regularnym przeglądom i aktualizacji, aby zapewnić jego stałą skuteczność oraz uzasadnienie i dokumentację wszelkich istotnych decyzji i działań podjętych zgodnie z AI Act. Proces ten powinien zapewniać, aby dostawca identyfikował ryzyko lub niepożądany wpływ oraz wdrażał środki ograniczające znane i racjonalnie przewidywalne ryzyko dla zdrowia, bezpieczeństwa i praw podstawowych związane z systemami AI w świetle ich przeznaczenia i dającego się racjonalnie przewidzieć niewłaściwego wykorzystania, w tym możliwego ryzyka wynikającego z interakcji między systemem AI a środowiskiem, w którym ten system działa.

System zarządzania ryzykiem obejmuje etapy wskazane w art. 9 ust. 2 AI Act, tj.:

  1. identyfikację i analizę znanego i dającego się racjonalnie przewidzieć ryzyka, jakie dany system AI wysokiego ryzyka może stwarzać dla zdrowia, bezpieczeństwa lub praw podstawowych podczas jego stosowania zgodnie z przeznaczeniem;
  2. oszacowanie i ocenę ryzyka, jakie może wystąpić podczas wykorzystywania systemu AI wysokiego ryzyka zgodnie z przeznaczeniem i w warunkach dającego się racjonalnie przewidzieć niewłaściwego wykorzystania;
  3. ocenę innego mogącego wystąpić ryzyka na podstawie analizy danych zebranych z systemu monitorowania po wprowadzeniu do obrotu, o którym mowa w art. 72 AI Act;
  4. przyjęcie odpowiednich i ukierunkowanych środków zarządzania ryzykiem zaprojektowanych w celu przeciwdziałania ryzyku zidentyfikowanemu zgodnie z pkt. 1 powyżej.

Ustanowienie, wdrożenie i udokumentowanie systemu zarządzania ryzykiem, a domyślnie także jego obsługa, należą do obowiązków dostawcy systemu AI (art. 16 w zw. z art. 11 i art. 17 AI Act). Stosowną dokumentację dotyczącą systemu zarządzania ryzykiem dostawca ma obowiązek przechowywać przez okres 10 lat od dnia wprowadzenia go do obrotu lub oddania do użytku (art. 18 ust. 1 pkt b) AI Act). Weryfikacja tego czy dostawca systemu AI wysokiego ryzyka dopełnił ciążących na nim obowiązków w zakresie ustanowienia, wdrożenia i udokumentowania systemu zarządzania ryzykiem (poprzez przygotowanie odpowiedniej dokumentacji technicznej zgodnej z art. 11 i załącznikiem IV do AI Act) należy do obowiązków upoważnionego przedstawiciela dostawcy, a także importera oraz dystrybutora takiego systemu.

Co niezmiernie ważne, wyżej wskazane obowiązki dostawcy przejść mogą na inne podmioty uczestniczące w łańcuchu dostaw (zarówno innych operatorów, jak i podmioty trzecie), o ile spełnione zostaną przesłanki przewidziane w art. 25 ust. 1 AI Act, po zaistnieniu których podmioty te traktowane będą jako dostawcy systemu AI wysokiego ryzyka – tj. jeśli:

  1. umieszczają one swoją nazwę lub znak towarowy w systemie AI wysokiego ryzyka, który został już wprowadzony do obrotu lub oddany do użytku, bez uszczerbku dla ustaleń umownych przewidujących, że podział obowiązków następuje w inny sposób;
  2. we wprowadzonym już do obrotu lub oddanym do użytku systemie AI wysokiego ryzyka dokonują one istotnej zmiany w taki sposób, że pozostaje on systemem AI wysokiego ryzyka zgodnie z art. 6 AI Act;
  3. zmieniają one przeznaczenie systemu AI, w tym systemu AI ogólnego przeznaczenia, który nie został zaklasyfikowany jako system AI wysokiego ryzyka i który został już wprowadzony do obrotu lub oddany do użytku, w taki sposób, że dany system AI staje się systemem AI wysokiego ryzyka zgodnie z art. 6 AI Act.

Co istotne, w przypadku zaistnienia okoliczności, o których mowa powyżej, dostawcy, który pierwotnie wprowadził do obrotu lub oddał do użytku ten system AI, nie uznaje się już do celów rozporządzenia AI za dostawcę tego konkretnego systemu AI. Ten pierwotny dostawca ściśle współpracuje jednak z nowymi dostawcami i udostępnia niezbędne informacje oraz udziela racjonalnie oczekiwanego dostępu technicznego i innego wsparcia niezbędnych do spełnienia obowiązków określonych w niniejszym rozporządzeniu, w szczególności w odniesieniu do zgodności z kryteriami oceny zgodności systemów AI wysokiego ryzyka. Powyższe nie ma jednak zastosowania w przypadkach, gdy pierwotny dostawca wyraźnie określił, że jego system AI nie może zostać zmieniony w system AI wysokiego ryzyka, a zatem nie dotyczy go obowiązek przekazania dokumentacji. Powyższe regulacje podkreślają więc wagę ustaleń umownych poczynionych pomiędzy poszczególnymi operatorami systemu AI, w szczególności pomiędzy dostawcą a podmiotem stosującym system AI.

Wpisy powiązane:

Poziomy ryzyka systemów AI

Wymogi dla systemu wysokiego ryzyka

Dokumentacja techniczna systemu AI

Obowiązki dostawców systemów AI

Obowiązki importerów systemów AI

Obowiązki dystrybutorów systemów AI

Obowiązki podmiotów stosujących AI

Kary pieniężne za naruszenie AI Act

🔝Prawo AI - wszystkie wpisy

Data publikacji: 19.09.2024

Kontakt

Borek Doliński Radcowie Prawni spółka jawna

ul. Grunwaldzka 224b/9, 60-166 Poznań

office@bdrp.pl

[0048] 530 001 500 // 510 551 991

O nas

Specjalizujemy się w obsłudze prawnej biznesu, ze szczególnym uwzględnieniem branży IT.

Oferujemy najwyższą jakość świadczonego wsparcia prawnego, wysoką responsywność i osobiste zaangażowanie wspólników Kancelarii.