Jednym z najistotniejszych obowiązków spoczywających na dostawcach systemów sztucznej inteligencji jest zgłaszanie poważnych incydentów i nieprawidłowego działania tych systemów. Mechanizm ten przypomina regulację ogólnego rozporządzenia o ochronie danych (RODO) przewidującą obowiązek administratorów danych zgłaszania przypadków naruszeniach ochrony danych. Projektodawcy AI Act zdecydowali się na analogiczną regulację, dążąc do zapewnienia większej wykrywalności naruszeń prawa oraz wadliwego działania systemów AI. Rozkładając art. 62 AI Act na czynniki pierwsze, dowiadujemy się na kim spoczywa obowiązek notyfikacyjny i jak go zrealizować.
Po pierwsze, obowiązek powyższy spoczywa na dostawcach systemów sztucznej inteligencji wysokiego ryzyka wprowadzanych do obrotu w Unii. Nie każdy więc dostawca ma taki obowiązek, a jedynie ten, którego system AI odznacza się wysokim ryzykiem (o poziomach ryzyka pisaliśmy tutaj).
Po drugie, zgłoszeniu podlegają wszelkie poważne incydenty związane z systemami AI oraz wszelkie przypadki nieprawidłowego działania tych systemów, które stanowią naruszenie obowiązków przewidzianych w prawie Unii mającym na celu ochronę praw podstawowych.
Zgodnie z art. 3 pkt. 44 AI Act „poważny incydent” oznacza każdy incydent, który bezpośrednio lub pośrednio prowadzi, mógł prowadzić lub może prowadzić do któregokolwiek z poniższych zdarzeń:
- śmierci osoby lub poważnego uszczerbku na zdrowiu osoby, uszkodzenia mienia lub szkody dla środowiska,
- poważnego i nieodwracalnego zakłócenia w zarządzaniu infrastrukturą krytyczną i jej funkcjonowaniu.
Incydenty i naruszenia zgłaszane mają być organom nadzoru rynku państw członkowskich, w których doszło do danego incydentu lub naruszenia. W myśl projektowanych przepisów dostawca systemu AI dokonuje takiego zgłoszenia niezwłocznie po ustaleniu związku przyczynowego między systemem sztucznej inteligencji a incydentem lub nieprawidłowym działaniem lub po potwierdzeniu dostatecznie wysokiego prawdopodobieństwa istnienia takiego związku, a w każdym razie najpóźniej w terminie 15 dni od dnia powzięcia przez dostawców wiedzy o wystąpieniu poważnego incydentu lub nieprawidłowego działania. Podstawowym więc zadaniem dostawcy systemu AI będzie powiązanie incydentu lub naruszenia z własnym systemem na zasadzie pewności bądź wysokiego prawdopodobieństwa, z tym że na dokonanie takiej analizy dostawcy nie mają czasu nieograniczonego, bowiem ustawodawca unijny zdecydował się na wprowadzenie tzw. deadline’u wynoszącego 15 dni od wystąpienia zdarzenia w świadomości dostawcy.
W świetle treści rozporządzenia AI. po każdym zgłoszeniu właściwe organy krajowe przeprowadzą dochodzenie w sprawie incydentu lub nieprawidłowego działania, będą gromadzić wszystkie niezbędne informacje i będą je regularnie przekazywać Komisji wraz z odpowiednimi metadanymi.
Na gruncie omawianego obowiązku zwrócić należy uwagę na inny wymóg płynący z AI Act. Otóż zgodnie z art. 17 ust. 1 tego aktu dostawcy systemów sztucznej inteligencji wysokiego ryzyka zobligowani są do wprowadzenia systemu zarządzania jakością zapewniającego zgodność z rozporządzeniem oraz dokumentowania go w formie pisemnych polityk, procedur i instrukcji. Jednym z aspektów, który winien zostać objęty takim systemem jest posiadanie procedury związanej ze zgłaszaniem poważnych incydentów i nieprawidłowego działania zgodnie z art. 62 rozporządzenia (art. 17 ust. 1 lit. i AI Act). Warto jak najszybciej przystąpić do przygotowania takiego systemu m.in. poprzez stworzenie procedury notyfikacyjnej.
Wpisy powiązane:
Wymogi dla systemu wysokiego ryzyka
Kary pieniężne za naruszenie AI Act
Data publikacji: 17.01.2024