Rożne sekcje AI Act wchodzą w życie w okresie 2 lutego 2025 – 2 sierpnia 2027 r. (patrz → AI Act Weekly #1). 

Nie oznacza to jednak, że z większością zadań należy czekać do Q1 2027 r. 

Jakie działania warto podjąć już teraz? 

Polityka bezpiecznego genAI 

Kiedy? jak najszybciej 

Niemal każda organizacja w większym lub mniejszym stopniu korzysta z narzędzi genAI. Z naszego doświadczenia wynika, że największe problemy związane z genAI biorą się z niewiedzy i braku kontroli nad tymi narzędziami w organizacji – gdy personel samodzielnie dobiera programy i sam wyznacza sposób korzystania z nich. W ten sposób dochodzi do wątpliwego procesu powstawania IP, największej liczby wycieków, problemów licencyjnych np. przez wykorzystanie narzędzi przeznaczonych do użytku prywatnego, narzędzi/wersji darmowych, podstawowych, o mniejszym poziomie bezpieczeństwa danych i ochrony prywatności.   

Bezpieczne stosowanie genAI składa się z: 

  • audytu narzędzi genAI i weryfikacji ich regulaminów,  
  • weryfikacji sposobu tworzenia kluczowego IP dla organizacji,    
  • ustalenie zasady korzystania z tych narzędzi (i zakresu danych, które można do narzędzia wprowadzić)
  • stworzenie listy narzędzi zakazanych / listy dopuszczonych, 
  • proces dodawania nowych narzędzi do list, 
  • zabezpieczenie kontraktów klienckich, umów B2B, polityk ochrony danych osobowych, polityk cybersec.   

Audyt i eliminacja zakazanych praktyk

Kiedy? do 2 lutego 2025 r.  

Wbrew wielu pojawiającym się opiniom – stworzenie i wdrożenie systemu zakazanego przed 2 lutego 2025 r. nie jest sprytnym sposobem na “ominięcie” wymogów AI Act zanim zaczną obowiązywać przepisy o systemach zakazanych. AI Act wyraźnie zakazuje: 

  • wprowadzania do obrotu, 
  • oddawania do użytku,
  • wykorzystywania systemu AI. 

Czyli nawet system zakazany wprowadzony do obrotu przed 2 lutego 2025 r., ale dalej wykorzystywany po 2 lutego 2025 r. – będzie naruszał AI Act. Za stosowanie praktyk zakazanych od 2 sierpnia 2025 r. grożą kary do 35 mln EUR lub do 7 % jego całkowitego rocznego światowego obrotu z roku poprzedzającego.  

Budowanie kompetencji z AI Governance w organizacji

Kiedy? 2024–2025 r. 

Cykliczne szkolenia dla poszczególnych grup personelu (IT, Dział Prawny, HR, Delivery, Marketing, Administracja) 

Stworzenie grupy roboczej ds. AI Governance w organizacji w skład której będą wchodzili przedstawiciele kluczowych części organizacji, w których ma zastosowanie AI, nastawionej na: 

  1. zbudowanie kompetencji w organizacji,  
  2. nadzór nad edukacją z AI, 
  3. podział odpowiedzialności (AI Officer / AI Legal Officer / IoD)
  4. przekrojowy nadzór nad procesem tworzenia / korzystania z systemów AI na każdym etapie życia systemu w organizacji,   
  5. zrozumienie i nauka analizy ryzyka, 
  6. podążanie za roadmapą wdrożenia AI Act.    

Polityka AI Governance

Kiedy? Do 2 sierpnia 2026 r. – ale bardzo prawdopodobne, że duzi zamawiający i public będą tej zgodności wymagać dużo wcześniej na poziomie kontraktu IT – w takim wypadku wcześniejsze wdrożenie AI Governance może być przewagą rynkową i pozwoli na szybsze finalizowanie negocjacji dot. nowych projektów IT / AI. 

Na politykę AI Governance powinny składać się elementy, które składają się na obowiązki ciążące na organizacj zgodnie z AI Act. Bazując na wymogach dot.  systemów AI wysokiego ryzyka będą to m.in. zasady dot.: 

  • podziału odpowiedzialności w organizacji i w ramach łańcucha dostaw (personel, podwykonawcy, dostawcy, licencjodawcy)
  • zarządzania ryzykiem,  
  • zarządzania danymi i jakością, 
  • tworzenia dokumentacji (technicznej i dot. zgodności),
  • rejestrowania zdarzeń,  
  • działań naprawczych i zgłaszania incydentów, 
  • monitorowania systemów AI po wprowadzeniu na rynek, 
  • cyklicznych działań edukacyjnych, 
  • zmian i aktualizacji polityki. 

(Do)wdrożenie GDPR & Data Governance AI  

Kiedy? jak najszybciej 

Czyli zwalczenie ew. długu prawnego dot. GDPR oraz rozpoczęcie prac nad Data Governance w kontekście AI poprzez inwentaryzację danych treningowych i danych wykorzystywanych w systemach i narzędziach AI, w tym ustalenie:

  • kategorii danych i podmiotów,  
  • działań podejmowanych na tych danych, 
  • czy cele są zgodne z wykonanymi obowiązkami informacyjnymi i zasadami

Potrzebujesz wsparcia przy wdrożeniu AI Act w Twojej organizacji? Zapraszamy do kontaktu!

Aleksander Zieliński, radca prawny, manager: a.zielinski@dsk-kancelaria.pl

DSK AI Act Weekly #7