Jednym z najistotniejszych obowiązków spoczywających na dostawcach systemów sztucznej inteligencji jest zgłaszanie poważnych incydentów i nieprawidłowego działania tych systemów. Mechanizm ten przypomina regulację ogólnego rozporządzenia o ochronie danych (RODO) przewidującą obowiązek administratorów danych zgłaszania przypadków naruszeniach ochrony danych. Projektodawcy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. ("AI Act") zdecydowali się na analogiczną regulację, dążąc do zapewnienia większej wykrywalności naruszeń prawa oraz wadliwego działania systemów AI. Rozkładając art. 73 AI Act na czynniki pierwsze, dowiadujemy się na kim spoczywa obowiązek notyfikacyjny i jak go zrealizować.
Po pierwsze, obowiązek powyższy spoczywa na dostawcach systemów sztucznej inteligencji wysokiego ryzyka wprowadzanych do obrotu w Unii Europejskiej. Nie każdy więc dostawca ma taki obowiązek, a jedynie ten, którego system AI odznacza się wysokim ryzykiem (o poziomach ryzyka pisaliśmy tutaj).
Po drugie, zgłoszeniu podlegają wszelkie poważne incydenty związane z systemami AI oraz wszelkie przypadki nieprawidłowego działania tych systemów, które stanowią naruszenie obowiązków przewidzianych w prawie Unii mającym na celu ochronę praw podstawowych.
Zgodnie z art. 3 pkt. 49 AI Act „poważny incydent” oznacza incydent lub nieprawidłowe działanie systemu AI, które bezpośrednio lub pośrednio prowadzą do któregokolwiek z poniższych zdarzeń:
- śmierci osoby lub poważnego uszczerbku na zdrowiu osoby;
- poważnego i nieodwracalnego zakłócenia w zarządzaniu infrastrukturą krytyczną lub jej działaniu;
- naruszenia obowiązków przewidzianych w prawie UE, których celem jest ochrona praw podstawowych;
- poważnej szkody na mieniu lub poważnej szkody dla środowiska.
Incydenty zgłaszane mają być organom nadzoru rynku państw członkowskich, w którym wystąpił dany incydent. W myśl AI Act dostawca systemu AI dokonuje takiego zgłoszenia niezwłocznie po ustaleniu związku przyczynowego między systemem sztucznej inteligencji a poważnym incydentem lub po potwierdzeniu dostatecznie wysokiego prawdopodobieństwa istnienia takiego związku, a w każdym razie najpóźniej w terminie 15 dni od dnia powzięcia przez dostawcę (a w stosownych przypadkach przez podmiot stosujący system AI) wiedzy o wystąpieniu poważnego incydentu. Podstawowym więc zadaniem dostawcy systemu AI będzie powiązanie incydentu z własnym systemem na zasadzie pewności bądź wysokiego prawdopodobieństwa, z tym że na dokonanie takiej analizy dostawcy nie mają czasu nieograniczonego.
W świetle treści rozporządzenia AI. po każdym zgłoszeniu właściwe organy krajowe przeprowadzą dochodzenie w sprawie incydentu, będą gromadzić wszystkie niezbędne informacje i będą je regularnie przekazywać Komisji wraz z odpowiednimi metadanymi.
Na gruncie omawianego obowiązku zwrócić należy uwagę na inny wymóg płynący z AI Act. Otóż zgodnie z art. 17 ust. 1 tego aktu dostawcy systemów sztucznej inteligencji wysokiego ryzyka zobligowani są do wprowadzenia systemu zarządzania jakością zapewniającego zgodność z rozporządzeniem oraz dokumentowania go w formie pisemnych polityk, procedur i instrukcji. Jednym z aspektów, który winien zostać objęty takim systemem jest posiadanie procedury związanej ze zgłaszaniem poważnych incydentów zgodnie z art. 73 rozporządzenia (art. 17 ust. 1 lit. i AI Act). Warto jak najszybciej przystąpić do przygotowania takiego systemu m.in. poprzez stworzenie procedury notyfikacyjnej.
Warto również zwrócić uwagę na to, iż zgodnie z art. 26 ust. 5 AI Act, w przypadku gdy podmiot stosujący system AI wysokiego ryzyka stwierdził wystąpienie poważnego incydentu, natychmiast informuje o tym incydencie najpierw dostawcę, a następnie importera lub dystrybutora oraz odpowiednie organy nadzoru rynku. Jeśli podmiot stosujący nie jest w stanie skontaktować się z dostawcą systemu, odpowiednio stosuje się do niego obowiązki dostawcy przewidziane w art. 73 AI Act.
Wpisy powiązane:
Wymogi dla systemu wysokiego ryzyka
Kary pieniężne za naruszenie AI Act
Data publikacji: 17.01.2024
Data aktualizacji: 17.09.2024