Rożne sekcje AI Act wchodzą w życie w okresie 2 lutego 2025 – 2 sierpnia 2027 r. (patrz → AI Act Weekly #1).
Nie oznacza to jednak, że z większością zadań należy czekać do Q1 2027 r.
Jakie działania warto podjąć już teraz?
Polityka bezpiecznego genAI
Kiedy? jak najszybciej
Niemal każda organizacja w większym lub mniejszym stopniu korzysta z narzędzi genAI. Z naszego doświadczenia wynika, że największe problemy związane z genAI biorą się z niewiedzy i braku kontroli nad tymi narzędziami w organizacji – gdy personel samodzielnie dobiera programy i sam wyznacza sposób korzystania z nich. W ten sposób dochodzi do wątpliwego procesu powstawania IP, największej liczby wycieków, problemów licencyjnych np. przez wykorzystanie narzędzi przeznaczonych do użytku prywatnego, narzędzi/wersji darmowych, podstawowych, o mniejszym poziomie bezpieczeństwa danych i ochrony prywatności.
Bezpieczne stosowanie genAI składa się z:
- audytu narzędzi genAI i weryfikacji ich regulaminów,
- weryfikacji sposobu tworzenia kluczowego IP dla organizacji,
- ustalenie zasady korzystania z tych narzędzi (i zakresu danych, które można do narzędzia wprowadzić)
- stworzenie listy narzędzi zakazanych / listy dopuszczonych,
- proces dodawania nowych narzędzi do list,
- zabezpieczenie kontraktów klienckich, umów B2B, polityk ochrony danych osobowych, polityk cybersec.
Audyt i eliminacja zakazanych praktyk
Kiedy? do 2 lutego 2025 r.
Wbrew wielu pojawiającym się opiniom – stworzenie i wdrożenie systemu zakazanego przed 2 lutego 2025 r. nie jest sprytnym sposobem na “ominięcie” wymogów AI Act zanim zaczną obowiązywać przepisy o systemach zakazanych. AI Act wyraźnie zakazuje:
- wprowadzania do obrotu,
- oddawania do użytku,
- wykorzystywania systemu AI.
Czyli nawet system zakazany wprowadzony do obrotu przed 2 lutego 2025 r., ale dalej wykorzystywany po 2 lutego 2025 r. – będzie naruszał AI Act. Za stosowanie praktyk zakazanych od 2 sierpnia 2025 r. grożą kary do 35 mln EUR lub do 7 % jego całkowitego rocznego światowego obrotu z roku poprzedzającego.
Budowanie kompetencji z AI Governance w organizacji
Kiedy? 2024–2025 r.
Cykliczne szkolenia dla poszczególnych grup personelu (IT, Dział Prawny, HR, Delivery, Marketing, Administracja)
Stworzenie grupy roboczej ds. AI Governance w organizacji w skład której będą wchodzili przedstawiciele kluczowych części organizacji, w których ma zastosowanie AI, nastawionej na:
- zbudowanie kompetencji w organizacji,
- nadzór nad edukacją z AI,
- podział odpowiedzialności (AI Officer / AI Legal Officer / IoD)
- przekrojowy nadzór nad procesem tworzenia / korzystania z systemów AI na każdym etapie życia systemu w organizacji,
- zrozumienie i nauka analizy ryzyka,
- podążanie za roadmapą wdrożenia AI Act.
Polityka AI Governance
Kiedy? Do 2 sierpnia 2026 r. – ale bardzo prawdopodobne, że duzi zamawiający i public będą tej zgodności wymagać dużo wcześniej na poziomie kontraktu IT – w takim wypadku wcześniejsze wdrożenie AI Governance może być przewagą rynkową i pozwoli na szybsze finalizowanie negocjacji dot. nowych projektów IT / AI.
Na politykę AI Governance powinny składać się elementy, które składają się na obowiązki ciążące na organizacj zgodnie z AI Act. Bazując na wymogach dot. systemów AI wysokiego ryzyka będą to m.in. zasady dot.:
- podziału odpowiedzialności w organizacji i w ramach łańcucha dostaw (personel, podwykonawcy, dostawcy, licencjodawcy)
- zarządzania ryzykiem,
- zarządzania danymi i jakością,
- tworzenia dokumentacji (technicznej i dot. zgodności),
- rejestrowania zdarzeń,
- działań naprawczych i zgłaszania incydentów,
- monitorowania systemów AI po wprowadzeniu na rynek,
- cyklicznych działań edukacyjnych,
- zmian i aktualizacji polityki.
(Do)wdrożenie GDPR & Data Governance AI
Kiedy? jak najszybciej
Czyli zwalczenie ew. długu prawnego dot. GDPR oraz rozpoczęcie prac nad Data Governance w kontekście AI poprzez inwentaryzację danych treningowych i danych wykorzystywanych w systemach i narzędziach AI, w tym ustalenie:
- kategorii danych i podmiotów,
- działań podejmowanych na tych danych,
- czy cele są zgodne z wykonanymi obowiązkami informacyjnymi i zasadami
Potrzebujesz wsparcia przy wdrożeniu AI Act w Twojej organizacji? Zapraszamy do kontaktu!
Aleksander Zieliński, radca prawny, manager: a.zielinski@dsk-kancelaria.pl