AI Act: kdo, co a jak?

25. 4. 2024
5 minut čtení

Jak jsme Vás již dříve informovali, 13. března 2024 došlo v Evropském parlamentu k odsouhlasení návrhu nařízení Evropské unie o pravidlech pro umělou inteligenci (zkráceně „AI Act“).[1] Jde o vůbec první komplexní právní úpravu umělé inteligence na světě a Evropská unie si od ní slibuje, že bude světovým standardem podobně jako všem známé nařízení GDPR.[2] AI Act zavádí především pravidla pro poskytovatele systémů umělé inteligence a klasifikaci těchto systémů. Nařízení jako celek (s některými výjimkami) vstoupí v platnost sice až za dva roky, zapracování jeho dopadů ale může trvat a my doporučujeme začít s přípravami včas.

Na koho a na co nařízení dopadá

AI Act se vztahuje nejen na uživatele nacházející se v Evropské unii a poskytovatele uvnitř Evropské unie, kteří na trh uvádí systémy umělé inteligence, ale i na poskytovatele a uživatele mimo území Unie, pokud se výstup jejich systému umělé inteligence používá na unijním trhu (takovým výstupem mohou být např. obrázky, videa, doporučení nebo předpovědi). Rozsah těchto osob nesměřuje jen do soukromé sféry, ale bude se také vztahovat na orgány veřejné moci – pravidla podle AI Actu tak budou dopadat i na úřady nebo policii.

Jak je již z názvu zřejmé, AI Act se zaměřuje na systémy umělé inteligence. Tyto pak rozděluje do několika skupin, a to:

·       systémy s minimálním rizikem – většina již dnes dostupných systémů, se kterými se každý z nás za poslední roky setkal;

·       systémy s vysokým rizikem – jádro celého nařízení, jedná se o systémy potenciálně zasahující do základních práv a bezpečnosti jednotlivců (např. biometrická identifikace osob, kritická infrastruktura, vzdělávání, zaměstnanost a správa pracovníků);

·       systémy s nepřijatelným rizikem – systémy, které představují zvláště škodlivé způsoby využití umělé inteligence (např. bodování občanů tzv. „sociálním kreditem“, zneužívání zranitelnosti osob, nebo biometrická identifikace osob mimo povolené výjimky);

·       systémy se specifickým rizikem – vybrané systémy, u kterých existuje riziko netransparentnosti a zneužití (např. chatboti).[3]

Vysoce rizikové systémy – požadavky a povinnosti

Pro vysoce rizikové systémy umělé inteligence AI Act zavádí požadavky (resp. povinnosti pro poskytovatele), jejichž splnění bude před uvedením na trh kontrolováno skrze příslušné orgány v jednotlivých členských státech. Mezi tyto požadavky patří mj. zavedení systému řízení rizik, správa dat, transparentnost a informování uživatelů a v neposlední řadě též požadavky na kvalitu a kyberbezpečnost.

Systémem řízení rizik nařízení myslí procesy, které budou v nepřetržitém opakujícím se cyklu za účelem předcházení, vyhodnocení a přijetí vhodných opatření proti situacím, kdy by byly ohroženy základní práva a bezpečnost jednotlivce. Bude třeba zavést takové postupy, které budou předcházet takovýmto situacím a pokud již nastanou, zamezí jejich opakování a dojde k nápravě.[4]

Správa dat používaných při tréninku, ověřování platnosti a testování vysoce rizikových systémů zahrnuje především kontrolu, zda data mají vztah k dané oblasti, a zda jsou správná a úplná. Evropská unie tak chce zaručit správné fungování těchto systémů a chránit koncové uživatele a jednotlivce. Pokud budou tyto systémy využívat osobní data, tak navíc bude potřeba dodržovat požadavky GDPR.[5]

Požadavky na transparentnost a informování uživatelů jsou kladeny takovým způsobem, aby uživatel měl možnost výstupy správně vykládat a dále používat. Tohoto bude docíleno vytvářením návodů pro uživatele upřesňujících jak systém funguje a jak s ním pracovat, kterými se budou uživatelé povinni řídit.[6]

Kvalita a kyberbezpečnost jsou v rámci AI Act zajištěny povinností poskytovatelů zajistit integritu dat a výstupů, aby nedocházelo ke zneužití vysoce rizikových systémů a tím i k zásahům do základních práv a bezpečnosti jednotlivců.

Tyto a další požadavky AI Actu budou poskytovatelé systémů umělé inteligence muset pro jejich vstup na trh splnit. K tomu budou v jednotlivých státech Evropské unie určeny příslušné orgány (v nařízení označené jako „oznámené subjekty“), které budou posuzovat soulad systému s nařízením. Pokud bude posouzení kladné, dojde k vydání certifikátu, který bude u systému nutné vyznačit písmeny „CE“. Následně lze přistoupit k registraci systému do unijní databáze, která bude zřízena za účelem evidence systémů působících na trhu.[7]

Čeho se vyvarovat?

Již jsme se seznámili s nejvýznamnějšími povinnostmi pro provozování a užívání systémů umělé inteligence. Teď je načase si říct, čemu (a hlavně proč) bychom se měli jako provozovatelé takových systémů vyhnout.

AI Act stanovuje několik případů porušení povinností, které rozděluje podle možných výší udělených pokut do tří skupin:

·       za nejzávažnější se považují nedodržení zákazu nepřijatelných rizik a nesoulad systému umělé inteligence s požadavky na správu dat, za které bude možno uložit správní pokutu až do výše 30 000 000 EUR nebo až 6 % obratu za předchozí finanční rok, pokud je rušitelem společnost;

·       za porušení ostatních požadavků nebo povinností stanovených v AI Actu bude možno uložit správní pokutu až do výše 20 000 000 EUR nebo 4 % obratu za předchozí finanční rok, pokud je rušitelem společnost;

·       za poskytnutí nesprávných, neúplných nebo zavádějících informací oznámeným subjektům nebo vnitrostátním orgánům na žádost bude možno uložit správní pokutu až do výše 10 000 000 EUR nebo 2 % obratu za předchozí finanční rok, pokud je rušitelem společnost.[8]

Takových pokut se nemusíte bát, pokud dodržíte všechny požadavky kladené na systémy umělé inteligence podle AI Actu. A my Vám s tím rádi pomůžeme. Už nyní některým klientům připravujeme například vnitřní firemní směrnice pro používání AI nástrojů.

[1] Návrh nařízení Evropského parlamentu a Rady (EU), kterým se stanoví harmonizovaná pravidla pro umělou inteligenci (Akt o umělé inteligenci) a mění určité legislativní akty Unie.

[2] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

[3] Umělá inteligence – otázky a odpovědi. 12. 12. 2023, Brusel.
Dostupné z: https://ec.europa.eu/commission/presscorner/detail/cs/QANDA_21_1683.

[4] Článek 9 AI Act.

[5] Článek 10 AI Act.

[6] Články 13 a 29 AI Act.

[7] Hlava III kapitola 5 AI Act.

[8] Článek 71 AI Act.

Autor článku:
Michal Buchta

Michal Buchta je studentem 5. ročníku Právnické fakulty Masarykovy univerzity v Brně a v Cisek pracuje na pozici právního asistenta.