Czy mój system AI jest systemem wysokiego ryzyka w rozumieniu AI Act?
AI Act opiera się na podejściu opartym na ryzyku, wyróżniając cztery kategorie systemów sztucznej inteligencji, przy czym najszerszym obowiązkom zgodności podlegają systemy uznane za wysokiego ryzyka. W artykule omówiono, jakie systemy AI są kwalifikowane jako wysokiego ryzyka oraz zasygnalizujemy, jakie obowiązki regulacyjne wiążą się z ich rozwojem i komercjalizacją.
Klasyfikacja systemu sztucznej inteligencji jako wysokiego ryzyka opiera się na dwóch niezależnych filarach. Rozwiązanie zyskuje ten status, gdy należy do krytycznych obszarów wymienionych w Załączniku III rozporządzenia lub stanowi związany z bezpieczeństwem element produktu podlegającego ocenie zgodności. Ostateczna klasyfikacja zależy od spełnienia przez dany system sztucznej inteligencji przesłanek określonych w Art. 6 AI Act, z uwzględnieniem sposobu jego zastosowania oraz stopnia ingerencji i rzeczywistego wpływu systemu na zdrowie, bezpieczeństwo oraz prawa podstawowe obywateli.
Spis treści:
- Jak AI Act klasyfikuje systemy sztucznej inteligencji?
- Obszary z Załącznika III i test znaczącego wpływu na prawa obywateli.
- Kiedy system AI jest wyłączony z kategorii wysokiego ryzyka?
- Role w łańcuchu dostaw AI i wynikające z nich obowiązki.
- Konsekwencje prawne i finansowe za brak zgodności z rozporządzeniem.
Jak AI Act klasyfikuje systemy sztucznej inteligencji?
Zrozumienie architektury klasyfikacji ryzyka w unijnym rozporządzeniu to pierwszy krok do osiągnięcia pewności prawnej i biznesowej. Kwalifikacja konkretnego rozwiązania jako systemu wysokiego ryzyka odbywa się w oparciu o dwie ścieżki wynikające z artykułu 6 AI Act. Każdy system sztucznej inteligencji należy niezależnie zbadać pod kątem obu tych wymiarów.
Pierwsza zasada dotyczy sytuacji, w której sztuczna inteligencja stanowi element bezpieczeństwa produktu objętego unijnym prawodawstwem harmonizacyjnym. Obejmuje to między innymi wyroby medyczne, systemy lotnicze czy maszyny przemysłowe, które przed wprowadzeniem na rynek bezwzględnie wymagają oceny zgodności przeprowadzanej przez stronę trzecią.
Druga ścieżka klasyfikuje jako wysokiego ryzyka systemy pełniące funkcje w krytycznych obszarach określonych w Załączniku III rozporządzenia. Warto podkreślić, że samo stworzenie czy wdrożenie modelu ogólnego przeznaczenia (GPAI) nie przesądza o tym, że mamy do czynienia z systemem wysokiego ryzyka – status ten ulega zmianie dopiero w momencie zintegrowania modelu z procesem operującym w obrębie krytycznej domeny.
Obszary z Załącznika III i test znaczącego wpływu na prawa obywateli
Identyfikacja funkcjonalności systemu na tle wymogów Załącznika III to najważniejszy etap oceny ryzyka. Zestawienie domen uznawanych za krytyczne pozwala zdiagnozować, czy wykorzystywana sztuczna inteligencja znajduje się pod ścisłym nadzorem regulacji AI Act i obowiązków z niego wynikających. Istotny jest tutaj stopień autonomii oprogramowania – im mniejsza rola weryfikacji ludzkiej, tym potencjalnie wyższe ryzyko naruszeń.
Szczególną uwagę nadzór przykłada do procesów zatrudnienia. Systemy oceniające wydajność czy zachowanie pracowników, algorytmy analizujące CV, a także oprogramowanie profilujące kadrę pod kątem ewentualnego awansu lub zwolnienia co do zasady są traktowane jako rozwiązania wysokiego ryzyka.
- Infrastruktura krytyczna: zarządzanie ruchem, dostawami prądu, gazu czy wody.
- Edukacja i szkolnictwo: ocena wyników, profilowanie oraz decydowanie o dostępie do placówek oświatowych.
- Zatrudnienie (HR): automatyczna selekcja kandydatów, monitorowanie czasu pracy i wydajności.
- Dostęp do usług publicznych i prywatnych: systemy weryfikujące zdolność kredytową i uprawnienia do świadczeń socjalnych.
- Wymiar sprawiedliwości: cyfrowe wsparcie w badaniu faktów i interpretacji przepisów prawa wykorzystywane w wymiarze sprawiedliwości i egzekwowaniu prawa.
- Systemy wykorzystujące identyfikację i kategoryzację biometryczną w przypadkach wskazanych w AI Act.
Kiedy system AI jest wyłączony z kategorii wysokiego ryzyka?
Nawet w przypadku działania w obszarach ujętych w Załączniku III, rozporządzenie przewiduje określone drogi wyjścia z najbardziej rygorystycznego reżimu. Wyłączenie, opierające się na art. 6 ust. 3 AI Act, jest możliwe, gdy oprogramowanie nie stwarza znaczącego ryzyka szkody dla zdrowia, bezpieczeństwa i praw fizycznych, ze względu na brak realnego wpływu na wynik procesu decyzyjnego. Mianowicie chodzi tu o sytuację, gdy system spełnia formalnie kryteria Załącznika III, ale pełni jedynie pomocniczą, proceduralną funkcję.
Aby system nie był traktowany jako system wysokiego ryzyka, musi służyć wyłącznie do realizacji wąsko określonego zadania proceduralnego, korygowania lub poprawiania wyniku uprzedniej pracy człowieka, wykrywania określonych wzorców bez zastępowania weryfikacji eksperta, bądź do wykonywania rutynowych zadań przygotowawczych. Uwaga praktyczna: skorzystanie z wyłączenia wymaga jednak udokumentowania tej oceny przed komercyjnym użyciem i rejestracji w unijnej bazie.
Role w łańcuchu dostaw AI i wynikające z nich obowiązki
Przepisy rozgraniczają obowiązki podmiotów dostarczających technologię od firm, które implementują ją w codziennym biznesie. Prawidłowe zidentyfikowanie własnej roli decyduje o obciążeniach regulacyjnych i skali niezbędnych prac wdrożeniowych.
Dostawca systemu – to znaczy: podmiot, który wprowadza system do obrotu lub oddaje go do użytku pod własną nazwą lub znakiem towarowym – ponosi kluczową odpowiedzialność techniczną. Wymaga się od niego wdrożenia systemu zarządzania jakością, sporządzenia obszernej dokumentacji, oceny zgodności oraz naniesienia oznakowania CE. Podmiot stosujący (wdrażający) skupia się natomiast na monitorowaniu narzędzia zgodnie z wytycznymi, kontrolowaniu wprowadzanych danych wejściowych, a także zachowywaniu logów systemowych przez okres minimum 6 miesięcy (w określonych przypadkach). Obowiązki podmiotu stosującego system AI obowiązki materializują się na etapie konkretnych wdrożeń danego systemu w jego procesach biznesowych. Podmiot stosujący będący pracodawcą jest także zobowiązany do uprzedniego poinformowania przedstawicieli załogi o planowanym wdrożeniu algorytmów ocennych (tj. systemu, który wpływa na monitorowanie, oceny lub decyzje dotyczące pracowników).
Konsekwencje prawne i finansowe za brak zgodności z rozporządzeniem
Ignorowanie wytycznych rozporządzenia pociąga za sobą gigantyczne ryzyko finansowe. Maksymalne kary administracyjne mogą sięgnąć 35 milionów euro lub 7% całkowitego rocznego światowego obrotu organizacji, w zależności od rodzaju naruszenia oraz kategorii zobowiązanego podmiotu. Kary pieniężne to jedynie część konsekwencji. Obejmować mogą one nakaz wycofania produktu z rynku, zakaz komercyjnego użytkowania czy straty wizerunkowe. Jeśli chodzi o czas na dostosowanie, obowiązki względem większości systemów wysokiego ryzyka wskazanych w Załączniku III zaczną obowiązywać od 2 sierpnia 2026 r., natomiast systemy kwalifikowane jako wysokiego ryzyka na podstawie przepisów dotyczących produktów objętych harmonizacją unijną (Załącznik I) będą objęte tymi wymogami od 2 sierpnia 2027 r. (stan prawny na 23 czerwca 2026 r.).
Adaptację organizacji należy rozpocząć od solidnego audytu technologicznego. Konieczne jest przetestowanie posiadanych i planowanych systemów AI i systemów wykorzystujących elementy uczenia maszynowego pod kątem postanowień Załącznika I oraz Załącznika III, w szczególności z perspektywy potencjalnego zakwalifikowania ich jako systemów wysokiego ryzyka lub systemów z elementem bezpieczeństwa produktu, a także dokładne wyznaczenie własnej roli prawnej.
Należy następnie sporządzić wstępną ocenę wpływu używanej technologii na prawa obywatelskie oraz zdrowie (ocena wpływu na prawa podstawowe i bezpieczeństwo). Kluczowym krokiem operacyjnym powinno być wykonanie szczegółowej inwentaryzacji wszelkich środowisk cyfrowych w dziale HR, gdzie stosowane są modele uczenia maszynowego w procesach rekrutacji czy zarządzania wydajnością.
