BLOG

Dowiedz się co jest naprawdę ważne.

AI akt ->NADCHODZĄCE OBOWIĄZKI W 2025 r. – UNIJNE ROZPORZĄDZENIE 2024/1689 AKT W SPRAWIE SZTUCZNEJ INTELIGENCJI

AI act, ai akt, rodo, auraco, 2025, odo, gdpr
AI akt -> UNIJNE ROZPORZĄDZENIE 2024/1689 AKT W SPRAWIE SZTUCZNEJ INTELIGENCJI

AI akt ->NADCHODZĄCE OBOWIĄZKI W 2025 r. – UNIJNE ROZPORZĄDZENIE 2024/1689 AKT W SPRAWIE SZTUCZNEJ INTELIGENCJI

W ostatnim czasie sporo mówi się o Rozporządzeniu Parlamentu Europejskiego i Rady UE 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (dalej jako: „AI akt” albo „Akt w sprawie sztucznej inteligencji”).

Akt w sprawie sztucznej inteligencji wszedł w życie w dniu 2 sierpnia 2024 r., ale jego przepisy nie są jeszcze stosowane, gdyż trwa okres na przygotowanie się do stosowania nowej regulacji. Nie daje to jednak podstaw do stwierdzenia, że: „można czekać spokojnie do dnia 2 sierpnia 2027 r. i na razie nie ma się czym przejmować”.

Należy w tym miejscu wyjaśnić, że tak nie jest, albowiem już w 2025 r. zaczną być stosowane przepisy nakładające na określone podmioty istotne obowiązki związane z systemami AI, za niewykonanie, których będzie groziła administracyjna kara pieniężna, w niektórych przypadkach nawet do 35 mln EUR lub 7% rocznego obrotu, w zależności od tego, która kwota jest wyższa.

 Poniżej przedstawiamy dwie daty graniczne, które są istotne dla rozpoczęcia stosowania w 2025 r. części przepisów Aktu w sprawie sztucznej inteligencji, ze wskazaniem obowiązków uznawanych przez Zespół Auraco za najistotniejsze:

I) Od dnia 2 lutego 2025 r. – (a zatem po 6 miesiącach od daty wejścia Rozporządzenia w życie) stosowane są przepisy rozdziału I (Przepisy ogólne) i II (Zakazane praktyki) AI Act.

 Co to oznacza w praktyce? Po pierwsze, zacznie być stosowany art. 4 AI Act pt. „Kompetencje w zakresie AI” o treści:

„Dostawcy i podmioty stosujące systemy AI podejmują środki w celu zapewnienia, w możliwie największym stopniu, odpowiedniego poziomu kompetencji w zakresie AI wśród swojego personelu i innych osób zajmujących się działaniem i wykorzystaniem systemów AI w ich imieniu, z uwzględnieniem ich wiedzy technicznej, doświadczenia, wykształcenia i wyszkolenia oraz kontekstu, w którym systemy AI mają być wykorzystywane, a także biorąc pod uwagę osoby lub grupy osób, wobec których systemy AI mają być wykorzystywane”.

Z powyższego przepisu w naszej ocenie można wyprowadzić co najmniej obowiązek zainicjowania cyklicznych szkoleń umożliwiających zapoznanie z AI jak też regulacjami Aktu w sprawie sztucznej inteligencji, a także opracowania określonych procedur i innych regulacji wewnętrznych w tym obszarze. Przepis art. 4 AI Act wprost nie określa częstotliwości oraz formy prowadzenia szkoleń (np. stacjonarne, zdalne, hybrydowe), jednak nie oznacza to, że AI Act nie obliguje do regularnego doskonalenia oraz utrwalania nabytej przez pracowników i współpracowników wiedzy. Wręcz przeciwnie, trzeba podkreślić, że ma to być ciągły proces w danej organizacji, a nie jednorazowe wydarzenie. Tytułem przykładu podajemy, że naszym zdaniem pierwsze szkolenie jako wprowadzenie ma umożliwić wybranym osobom z całej organizacji (np. kierownikom działów, sekcji, jednostek org jak też dyrektorom, managerom) zastanowienie się, gdzie w obszarach im podległych mogą występować zagadnienia związane z AI.

Po drugie od dnia 2 lutego 2025 r. praktyki zdefiniowane w art. 5 Aktu w sprawie sztucznej inteligencji są zakazane, co oznacza, że nie jest dopuszczalne ich stosowanie.

W celu wykonania tego obowiązku, a zatem zaprzestania najpóźniej z dniem 1 lutego 2025 r. stosowania zakazanych praktyk konieczne jest w naszej ocenie:

1). Przeprowadzenie wewnętrznej oceny czy i które wykorzystywane systemy, programy komputerowe i aplikacje w tym mobilne są systemami AI lub wykorzystują systemy AI (np. moduły w programie) jak też przeprowadzenie ich kategoryzacji w zależności od stopnia ryzyka jakie jest z nimi związane;

2). Określenie jakie są zastosowania systemów AI ustalonych na podstawie punktu 1 powyżej,

3). Ocena ustalonych zastosowań co do tego czy są wymienione wśród zakazanych praktyk podanych w art. 5 AI Act.

II) Od dnia 2 sierpnia 2025 r., (czyli po 12 miesiącach od daty wejścia Rozporządzenia w życie).

Od dnia 2 sierpnia 2025 r. będą stosowane przepisy o Urzędzie UE ds. AI i właściwych organach krajowych, a także o administracyjnych karach pieniężnych co pozwoli na ich nakładanie przez nowy organ państwowy ustanowiony w Polsce. Jedyny wyjątek od tej zasady to art. 101 tj. kary pieniężne dla dostawców modeli AI ogólnego przeznaczenia, które będą stosowane dopiero od dnia 2 sierpnia 2026 r.

Od tego dnia będą również stosowane przepisy rozdziału V AI Akt pt. „Modele AI Ogólnego przeznaczenia” w tym o:

  • zasadach ich klasyfikacji, a zwłaszcza wyróżniania modeli AI ogólnego przeznaczenia z ryzykiem systemowym,
  • powiadomienia Komisji przez Dostawców modeli AI ogólnego przeznaczenia z ryzykiem systemowym,
  • obowiązkach dostawców modeli AI ogólnego przeznaczenia,
  • obowiązkach dostawców modeli AI ogólnego przeznaczenia z ryzykiem systemowym.

Trzeba również zwrócić uwagę na stosowanie od dnia 2 sierpnia 2025 r. przepisu art. 78 Rozdziału IX Aktu w sprawie sztucznej inteligencji, zgodnie z którym: – Komisja, organy nadzoru rynku i jednostki notyfikowane oraz wszelkie inne osoby fizyczne lub prawne zaangażowane w stosowanie niniejszego rozporządzenia przestrzegają, zgodnie z prawem Unii lub prawem krajowym, poufności informacji i danych uzyskanych podczas wykonywania swoich zadań i swojej działalności.

W celu przygotowania się do wykonania w/w obowiązków konieczne jest w naszej ocenie najpóźniej od dnia 1 stycznia 2025 przeprowadzenie następujących działań:

  1. określenie jaki status podmiotowy na gruncie AI Act ma dany podmiot prawa np. dostawca systemu AI, podmiot stosujący system AI, importer, dystrybutor, operator, upoważniony przedstawiciel dostawcy systemu AI lub modelu AI ogólnego przeznaczenia,
  2. przeprowadzenie oceny i klasyfikacji wewnętrznej w zakresie wykorzystywanych systemów AI w celu ustalenia, które z nich są modelami AI ogólnego przeznaczenia,
  3. przeprowadzenie oceny co do własnego wewnętrznego systemu ochrony informacji w celu weryfikacji zasad przestrzegania poufności informacji i danych uzyskanych podczas wykonywania swoich zadań i swojej działalności w świetle AI Act, ale także z uwzględnieniem przepisów implementujących Dyrektywę NIS-2 i regulacji sektorowych np. DORA oraz przepisów RODO analizowanych z perspektywy AI Act.

Reasumując, sugerujemy wziąć sprawy w swoje ręce i ustalić, jak organizacja w której funkcjonujemy jest przygotowana na stosowanie przepisów Aktu w sprawie sztucznej inteligencji, a następnie zapewnić sobie warunki do bezpiecznego i zgodnego z prawem wykorzystywania jej zasobów.