AI Act – co nowe regulacje UE oznaczają dla ochrony danych i prywatności?

Wraz z początkiem lutego 2025 roku w życie weszły przepisy przejściowe AI Act, czyli unijnego rozporządzenia o sztucznej inteligencji. Jest to pierwszy tego typu akt prawny na świecie, który w ścisły sposób kategoryzuje systemy AI zgodnie z poziomem ryzyka, uwzględniając ich wpływ zarówno na bezpieczeństwo, jak i prawa człowieka. Nowe regulacje wprowadzają kompleksowe zasady dotyczące wykorzystania sztucznej inteligencji, minimalizując tym samym ryzyko związane z jej wdrażaniem w różnych branżach, w tym w obszarze ochrony danych osobowych.

AI Act – rewolucja w świecie biznesu

AI Act to unijne rozporządzenie regulujące kwestie związane z korzystaniem ze sztucznej inteligencji (AI), które opublikowano 12 lipca 2024 roku w dzienniku urzędowym Komisji Europejskiej. Proces wdrażania nowych regulacji został jednak rozłożony w czasie, tak aby podmioty korzystające z systemów AI miały możliwość dostosowania się do nowych wymogów prawnych. W pełnym zakresie AI Act będzie stosowany dopiero od 2 sierpnia 2026 roku, jednak prawodawca już teraz stawia przed firmami określone obowiązki, których celem jest zapewnienie zgodności z normami unijnymi.

Warto podkreślić, że AI Act jest skierowane do takich podmiotów jak:

dostawcy systemów AI, którzy zajmują się ich projektowaniem, rozwijaniem lub wprowadzaniem do obrotu;
dystrybutorzy i importerzy, którzy wprowadzają na rynek europejski rozwiązania AI opracowane poza jej granicami;
użytkownicy systemów AI z siedzibą w Unii Europejskiej;
organizacje nadzorujące, certyfikujące i egzekwujące przestrzeganie przepisów.

Nowe obowiązki dla organizacji wykorzystujących AI

Pierwszy etap wdrażania AI Act, który obowiązuje od 2 lutego 2025 roku, dotyczy wprowadzenia przepisów regulujących zakazane praktyki w zakresie AI. Zgodnie z nimi przedsiębiorstwa są zobowiązane do spełniania ścisłych wymogów w zakresie transparentności, odpowiedzialności i ochrony danych. Wspomniane wyżej podmioty wykorzystujące AI mają obowiązek dokumentowania swoich modeli, przestrzegania norm etycznych, a także utrzymania stałego nadzoru ludzkiego nad systemami sztucznej inteligencji, aby zapobiegać potencjalnemu ryzyku związanemu z ich działaniem.

Niezwykle ważną kwestią z punktu widzenia podmiotów korzystających z systemów AI jest ich podział na:

systemy niedozwolonego ryzyka, które obejmują działania uderzające bezpośrednio we wrażliwe obszary życia człowieka w celu osiągnięcia konkretnych korzyści (np. systemy korzystające z technik manipulacyjnych);
systemy wysokiego ryzyka, czyli rozwiązania stosowane w obszarach o szczególnym znaczeniu, w tym w medycynie, transporcie czy edukacji. Systemy te mają podlegać rygorystycznym normom bezpieczeństwa i dodatkowym obowiązkom w zakresie dokumentacji;
systemy ograniczonego ryzyka, których stosowanie wymaga jedynie spełnienia określonych standardów informacyjnych (np. ujawnienie faktu korzystania z AI);
systemy minimalnego ryzyka, czyli standardowe rozwiązania jak np. filtry antyspamowe lub chatboty.

AI Act zobowiązuje przedsiębiorstwa korzystające z systemów z AI m.in. do identyfikacji, czy mieszczą się one w kategorii wysokiego ryzyka. Oznacza to dla nich konieczność przeprowadzenia szczegółowej oceny ryzyka w stosunku do swoich rozwiązań oraz weryfikacji zgodności z określonymi normami, co może wiązać się z koniecznością implementacji dodatkowych środków bezpieczeństwa, monitorowania, audytowania i raportowania.

Przedsiębiorcy muszą też zapewnić, że ich systemy AI są zaprojektowane w taki sposób, aby osoby korzystające z nich wiedziały, że mają do czynienia z AI, chyba że sytuacja jasno to pokazuje. Wymaga to od nich wdrożenia szeregu rozwiązań gwarantujących przejrzystość i jednoznaczne informowanie o wykorzystywaniu sztucznej inteligencji, aby móc w ten sposób zwiększyć zaufanie i wpłynąć na świadome korzystanie z technologii.

AI Act a zgodność z RODO

Nowe rozporządzenie AI Act zakłada również zwiększoną ochronę prywatności użytkowników oraz danych, na których bazują systemy AI. Szczególnie duży nacisk kładzie się na kwestie zbierania, przetwarzania i przechowywania danych osobowych przez systemy AI zgodnie z zasadami ochrony danych osobowych, określonych w ogólnym rozporządzeniu o ochronie danych (RODO).

Biorąc pod uwagę ochronę prywatności, przepisy AI Act koncentrują się głównie na:

zabezpieczeniu danych wykorzystywanych przez systemy sztucznej inteligencji;
minimalizowaniu ryzyka nieautoryzowanego dostępu do nich;
zapewnieniu pełnej przejrzystości w zakresie ich wykorzystania.

Organizacje stosujące AI będą zobowiązane do przestrzegania wymogów RODO, co oznacza m.in. konieczność przeprowadzania oceny wpływu na ochronę danych (DPIA) oraz stosowania odpowiednich środków ochrony prywatności, aby użytkownicy mieli pewność, że ich dane są traktowane w sposób odpowiedzialny i bezpieczny.

Do momentu pełnego wprowadzenia przepisów AI Act mamy jeszcze sporo czasu. Mimo to już teraz widzimy, że nowe rozporządzenie stawia ważne fundamenty pod przyszłe zmiany w zarządzaniu sztuczną inteligencją, nakładając na przedsiębiorstwa obowiązki związane z transparentnością, bezpieczeństwem danych oraz etycznym wykorzystaniem AI. Wprowadzenie tych przepisów wymusi na organizacjach dostosowanie swoich technologii do bardziej rygorystycznych norm, co w dłuższym okresie może przynieść korzyści w postaci większego zaufania konsumentów i lepszej ochrony prywatności użytkowników.

Bezpieczeństwo informacji - dobrze trafiłeś!

Bierzemy odpowiedzialność za nasze działania.