AI Act to unijne rozporządzenie regulujące sztuczną inteligencję według poziomu ryzyka. Weszło w życie i jest wdrażane etapami, z różnymi terminami dla różnych obowiązków. Wiele firm zakłada, że to problem wyłącznie dostawców modeli. To nieporozumienie. Jeśli wdrażasz i używasz systemu AI, jesteś podmiotem stosującym i masz własne obowiązki.

Podejście oparte na ryzyku

Sercem AI Act jest podział zastosowań AI na poziomy ryzyka. Im wyższe ryzyko dla praw i bezpieczeństwa ludzi, tym więcej wymagań.

  • Ryzyko niedopuszczalne. Praktyki zakazane, na przykład ocena obywateli czy manipulacja podprogowa.
  • Ryzyko wysokie. Systemy w rekrutacji, ocenie zdolności kredytowej, dostępie do usług. Tu obowiązków jest najwięcej.
  • Ryzyko ograniczone. Wymogi przejrzystości, na przykład informowanie, że rozmawiasz z chatbotem.
  • Ryzyko minimalne. Większość codziennych narzędzi, gdzie obowiązki są niewielkie.

Kluczowe pytanie brzmi nie czy używamy AI, tylko do czego jej używamy. To zastosowanie, a nie sama technologia, decyduje o poziomie obowiązków.

W rozmowach z zarządami widzę stały błąd. Firma pyta, czy jej narzędzie jest legalne, a powinna pytać, w jakim procesie go używa. Ten sam model w marketingu i w rekrutacji to dwa zupełnie różne poziomy ryzyka.

Co to znaczy dla przeciętnej firmy MŚP

Większość MŚP nie tworzy modeli, tylko korzysta z gotowych narzędzi. Mimo to warto zrobić kilka rzeczy, żeby nie obudzić się z problemem.

Zrób inwentaryzację AI

Spisz, gdzie w firmie faktycznie używacie AI. Często jest tego więcej niż się wydaje: asystent w pakiecie biurowym, narzędzie do rekrutacji, chatbot na stronie, analiza sprzedaży. Bez tej listy nie ocenisz ryzyka.

Oceń zastosowania wysokiego ryzyka

Jeśli AI wspiera decyzje o ludziach, na przykład wybór kandydatów, potraktuj to poważnie. Tu pojawia się nadzór człowieka, przejrzystość i dokumentacja. Nie możesz zrzucić decyzji na algorytm i umyć rąk.

Zadbaj o przejrzystość

Tam, gdzie klient wchodzi w interakcję z AI, powiedz mu to wprost. Treści generowane przez AI w niektórych przypadkach trzeba oznaczać. To tania zmiana, która buduje zaufanie.

AI Act a RODO

To dwa różne akty, ale mocno się zazębiają. AI często przetwarza dane osobowe, więc RODO obowiązuje niezależnie od AI Act. W praktyce oznacza to podstawę prawną przetwarzania, ocenę skutków tam, gdzie ryzyko jest wysokie, i realizację praw osób, których dane dotyczą.

Jeśli w firmie działa Inspektor Ochrony Danych albo korzystasz z outsourcingu IOD, naturalnie to on powinien pilnować styku AI i danych osobowych. Rozdzielanie tych tematów kończy się dublowaniem pracy i lukami.

Co zrobić już teraz

Nie trzeba czekać na wszystkie terminy, żeby uporządkować podstawy. Rozsądny plan minimum wygląda tak:

  • Zrób rejestr używanych narzędzi AI i przypisz do nich zastosowania.
  • Oznacz procesy wysokiego ryzyka i wprowadź w nich nadzór człowieka.
  • Uzupełnij zasady korzystania z AI o wymóg przejrzystości i ochrony danych.
  • Przeszkol zespół, żeby wiedział, czego do AI wrzucać nie wolno.

Podsumowanie

AI Act nie jest po to, żeby zablokować firmom korzystanie z AI. Ma wymusić robienie tego świadomie, zwłaszcza tam, gdzie w grę wchodzą decyzje o ludziach. Dla większości MŚP obowiązki są do udźwignięcia, o ile zaczniesz od inwentaryzacji i oceny zastosowań, a nie od paniki.

Jeśli chcesz wdrażać AI zgodnie z prawem i sensownie, sprawdź nasze wdrożenie AI dla firm. Łączymy stronę technologiczną z ochroną danych, żeby jedno nie wywracało drugiego.