„My tylko korzystamy z AI, nie tworzymy własnych modeli.”
To zdanie coraz częściej pojawia się w rozmowach z firmami, które zaczynają interesować się AI Act. Wiele organizacji zakłada, że skoro nie są producentem systemów sztucznej inteligencji, nie tworzą własnych modeli i nie sprzedają narzędzi AI, to nowe unijne przepisy ich nie dotyczą.
To może być błędne założenie.
AI Act rzeczywiście nakłada istotne obowiązki na dostawców systemów AI, twórców modeli i firmy technologiczne. Ale nie dotyczy wyłącznie Big Techu. W określonych sytuacjach obowiązki mogą mieć także organizacje, które po prostu korzystają z gotowych narzędzi AI w swojej codziennej działalności.
Zobacz nasz post na ten temat
AI Act nie jest tylko dla Big Techu
AI Act, czyli unijne rozporządzenie dotyczące sztucznej inteligencji, wszedł w życie 1 sierpnia 2024 r. Jego celem jest stworzenie ram dla odpowiedzialnego rozwoju i stosowania AI w Unii Europejskiej.
Najważniejsza zasada AI Act jest prosta: im większe ryzyko związane z danym zastosowaniem AI, tym większe obowiązki.
Dlatego przepisy nie patrzą wyłącznie na to, kto stworzył technologię. Istotne jest również to:
- kto jej używa,
- w jakim celu,
- wobec kogo,
- na jakich danych,
- w jakim procesie,
- czy AI wpływa na ludzi, decyzje lub dostęp do usług.
To właśnie dlatego AI Act może mieć znaczenie także dla firm z sektorów takich jak HR, sprzedaż, marketing, obsługa klienta, edukacja, finanse, administracja, ochrona zdrowia, retail, e-commerce czy usługi B2B.
Kto może mieć obowiązki pod AI Act?
AI Act rozróżnia kilka ról organizacji w ekosystemie sztucznej inteligencji. Najczęściej mówi się o czterech podstawowych kategoriach: dostawcy, wdrażający, importerzy i dystrybutorzy.
Dostawca AI
Dostawca to podmiot, który rozwija system AI albo zleca jego rozwój i wprowadza go na rynek lub oddaje do użytku pod własną nazwą lub znakiem towarowym.
Przykład: Firma tworzy narzędzie AI do selekcji CV i sprzedaje je działom HR. Firma oferuje klientom system scoringowy oparty na AI. Software house buduje i udostępnia klientom rozwiązanie AI jako produkt.
Dostawcy, szczególnie systemów wysokiego ryzyka, mogą mieć szerokie obowiązki związane m.in. z dokumentacją, zarządzaniem ryzykiem, jakością danych, nadzorem człowieka, testowaniem i zgodnością systemu.
Wdrażający, czyli organizacja korzystająca z AI
Wdrażający to firma, instytucja lub inna organizacja, która używa systemu AI w swojej działalności zawodowej.
I tu pojawia się najważniejszy punkt: wdrażający nie musi być firmą technologiczną.
Może to być:
- pracodawca używający AI w rekrutacji,
- sklep internetowy korzystający z AI do rekomendacji,
- firma usługowa wykorzystująca chatbota,
- dział marketingu generujący treści z pomocą AI,
- bank lub fintech używający AI do oceny ryzyka,
- szkoła lub uczelnia stosująca AI w edukacji,
- urząd wykorzystujący AI do obsługi spraw obywateli,
- firma analizująca dane klientów przy pomocy gotowego narzędzia.
Samo korzystanie z AI nie oznacza automatycznie, że firma ma najcięższe obowiązki. Ale oznacza, że powinna rozumieć, jakie systemy AI wykorzystuje i w jakim kontekście.
Importerzy i dystrybutorzy
Obowiązki mogą dotyczyć także firm, które wprowadzają systemy AI spoza UE na rynek unijny albo odsprzedają, dystrybuują lub udostępniają rozwiązania AI innym podmiotom.
To ważne dla integratorów IT, resellerów, firm wdrożeniowych, dystrybutorów oprogramowania i podmiotów, które pomagają klientom korzystać z narzędzi AI.
W praktyce nie wystarczy powiedzieć: „to rozwiązanie naszego dostawcy”. W zależności od roli w łańcuchu wartości organizacja może mieć własne obowiązki weryfikacyjne, informacyjne lub organizacyjne.
AI w HR: przykład, gdzie ryzyko rośnie
Jednym z obszarów, na który firmy powinny zwrócić szczególną uwagę, jest HR.
AI może być używana w rekrutacji i zarządzaniu personelem do:
- selekcji CV,
- oceny kandydatów,
- rankingu aplikacji,
- analizy kompetencji,
- automatycznego dopasowania kandydatów do ofert,
- oceny pracowników,
- przewidywania rotacji,
- wspierania decyzji o awansach lub zatrudnieniu.
Dlaczego ten obszar jest wrażliwy?
Bo AI może wpływać na dostęp człowieka do pracy, rozwój zawodowy, ocenę, awans lub odrzucenie kandydatury. Błąd systemu, stronniczość danych albo brak nadzoru człowieka mogą prowadzić do realnych konsekwencji dla konkretnych osób.
Dlatego systemy AI stosowane w obszarze zatrudnienia, zarządzania pracownikami i dostępu do samozatrudnienia mogą należeć do kategorii wysokiego ryzyka.
Dla firm oznacza to jedno: jeżeli używasz AI w HR, nie traktuj tego jak zwykłego narzędzia biurowego. Sprawdź, jak działa, jakie decyzje wspiera, czy wpływa na ludzi i kto ponosi odpowiedzialność za jego wykorzystanie.
AI w obsłudze klienta: obowiązki przejrzystości
Drugi częsty przykład to obsługa klienta.
Coraz więcej firm korzysta z chatbotów, voicebotów, automatycznych odpowiedzi, systemów klasyfikujących zgłoszenia lub narzędzi generujących wiadomości do klientów.
W wielu przypadkach takie rozwiązania są użyteczne i niskiego ryzyka. Pomagają szybciej odpowiadać na pytania, skracają czas obsługi i odciążają zespoły.
Ale AI Act wprowadza też obowiązki przejrzystości dla określonych systemów. W praktyce oznacza to, że w niektórych sytuacjach użytkownik powinien wiedzieć, że rozmawia z AI albo że dana treść została wygenerowana lub zmanipulowana przez system AI.
Przykłady:
- klient rozmawia z chatbotem, ale myśli, że rozmawia z człowiekiem,
- firma publikuje materiał wygenerowany przez AI,
- system tworzy deepfake lub syntetyczny obraz, głos albo wideo,
- AI generuje treści informacyjne kierowane do opinii publicznej.
W takich sytuacjach firma powinna zadbać o przejrzystość, jasną komunikację i odpowiednie oznaczenie zastosowania AI.
AI wspiera decyzje wobec ludzi? Odpowiedzialność rośnie
Najważniejsze pytanie, które powinna zadać sobie każda organizacja, brzmi:
Czy AI wpływa na decyzje dotyczące ludzi?
Jeżeli AI tylko pomaga stworzyć szkic tekstu marketingowego, ryzyko jest zazwyczaj inne niż wtedy, gdy system:
- ocenia kandydata do pracy,
- sugeruje odmowę usługi,
- klasyfikuje klienta jako ryzykownego,
- analizuje dane pracownika,
- wspiera decyzję o dostępie do świadczeń,
- wpływa na ucznia, pacjenta, obywatela lub klienta.
Im bardziej AI wpływa na prawa, możliwości, ocenę lub sytuację człowieka, tym większe znaczenie mają:
- nadzór człowieka,
- jakość danych,
- możliwość wyjaśnienia działania,
- dokumentacja,
- kontrola ryzyka,
- przejrzystość wobec użytkownika,
- odpowiedzialność organizacji.
Dlatego AI Act nie powinien być analizowany wyłącznie przez pryzmat pytania: „czy tworzymy AI?”. Lepsze pytanie brzmi: „czy używamy AI w procesach, które mogą mieć wpływ na ludzi?”
„My tylko korzystamy z gotowego narzędzia” - dlaczego to nie zawsze wystarczy?
Korzystanie z gotowego narzędzia AI może zmniejszać zakres obowiązków technicznych po stronie firmy, ale nie usuwa wszystkich odpowiedzialności organizacyjnych.
Przykład: Dostawca narzędzia odpowiada za zgodność produktu z wymaganiami, które dotyczą jego roli. Ale firma korzystająca z narzędzia nadal odpowiada za to, jak go używa.
To organizacja decyduje:
- w jakim procesie używa AI,
- jakie dane wprowadza do systemu,
- komu udostępnia wynik,
- czy wynik AI jest weryfikowany przez człowieka,
- czy pracownik wie, jak korzystać z narzędzia,
- czy klient lub kandydat jest odpowiednio poinformowany,
- czy zastosowanie AI jest zgodne z polityką firmy i przepisami.
Dlatego odpowiedzialne korzystanie z AI wymaga czegoś więcej niż zakupu licencji. Wymaga zarządzania.
Pierwszy krok: sprawdź, gdzie w firmie używasz AI
Zanim organizacja zacznie analizować szczegółowe obowiązki wynikające z AI Act, powinna wykonać prosty, praktyczny krok: inwentaryzację użycia AI.
Warto odpowiedzieć na kilka pytań:
- Jakie narzędzia AI są używane w firmie?
- Które działy z nich korzystają?
- Do jakich zadań są wykorzystywane?
- Czy AI przetwarza dane osobowe, poufne lub biznesowo wrażliwe?
- Czy AI wpływa na klientów, pracowników, kandydatów albo obywateli?
- Czy użytkownik wie, że ma kontakt z AI?
- Czy firma ma zasady korzystania z AI?
- Czy pracownicy zostali przeszkoleni?
- Czy ktoś w organizacji odpowiada za ocenę ryzyk AI?
Dopiero po takim rozpoznaniu można sensownie ocenić, czy dane zastosowanie jest niskiego ryzyka, objęte obowiązkami przejrzystości, wysokiego ryzyka, czy może wymaga dodatkowych zabezpieczeń.
Co powinna zrobić firma, która korzysta z AI?
Na początek nie trzeba budować skomplikowanego systemu compliance. W wielu organizacjach wystarczy zacząć od kilku podstawowych działań.
1. Zrób mapę narzędzi AI
Sprawdź, jakie narzędzia AI są używane w firmie oficjalnie i nieoficjalnie. Uwzględnij nie tylko systemy kupione przez IT, ale też narzędzia używane przez marketing, sprzedaż, HR, administrację, obsługę klienta i zarząd.
2. Określ cel użycia AI
To samo narzędzie może mieć różny poziom ryzyka w zależności od zastosowania. Inaczej wygląda użycie AI do poprawy stylistyki tekstu, a inaczej do oceny pracownika albo klienta.
3. Sprawdź dane
Ustal, jakie dane trafiają do narzędzi AI. Szczególną uwagę zwróć na dane osobowe, dane klientów, tajemnice przedsiębiorstwa, dane finansowe, dokumenty umowne i informacje poufne.
4. Ustal zasady korzystania z AI
Pracownicy powinni wiedzieć:
- z jakich narzędzi mogą korzystać,
- czego nie wolno wpisywać do AI,
- kiedy trzeba zweryfikować wynik,
- kiedy potrzebny jest nadzór człowieka,
- jak oznaczać treści generowane przez AI,
- gdzie zgłaszać błędy lub incydenty.
5. Przeszkol pracowników
AI literacy, czyli kompetencje i świadomość związana z AI, to jeden z fundamentów odpowiedzialnego korzystania ze sztucznej inteligencji. Szkolenia powinny być praktyczne i dopasowane do ról pracowników.
Innych przykładów potrzebuje HR, innych marketing, innych sprzedaż, a jeszcze innych obsługa klienta.
6. Dokumentuj i aktualizuj
Zasady korzystania z AI powinny być regularnie aktualizowane. Narzędzia zmieniają się szybko, a zastosowania AI w organizacjach rozwijają się często szybciej niż procedury.
Podsumowanie
AI Act nie dotyczy wyłącznie firm technologicznych.
Może mieć znaczenie także dla organizacji, które korzystają z gotowych narzędzi AI w codziennej pracy: w HR, marketingu, sprzedaży, obsłudze klienta, analizie danych, automatyzacji procesów lub podejmowaniu decyzji.
Największym błędem jest założenie, że skoro firma nie tworzy AI, to nie ma żadnej odpowiedzialności.
Lepszym podejściem jest zadanie trzech pytań:
- Gdzie w naszej organizacji używamy AI?
- Do czego dokładnie jej używamy?
- Czy AI wpływa na ludzi, dane, decyzje lub procesy biznesowe?
Pierwszym krokiem nie jest panika. Pierwszym krokiem jest świadomość i inwentaryzacja.
Bo odpowiedzialne AI zaczyna się od wiedzy, gdzie i jak jest używane.
Chcesz sprawdzić, czy AI Act może dotyczyć Twojej organizacji?
Zacznij od diagnozy tego, gdzie w firmie używana jest sztuczna inteligencja i jakie ryzyka mogą z tego wynikać.
AI TrustCERT pomaga organizacjom uporządkować korzystanie z AI w jednym procesie - łącząc inwentaryzację zastosowań AI, zasady AI Governance, ocenę ryzyk oraz AI Literacy dla pracowników.
Jeżeli Twoja firma korzysta z AI, nie czekaj, aż pojawi się problem. Zacznij od sprawdzenia, gdzie AI już działa w Twojej organizacji.
Źródła
- Komisja Europejska - AI Act: regulatory framework for AI. Opis celu AI Act, harmonogramu stosowania oraz podejścia opartego na ryzyku. AI Act wszedł w życie 1 sierpnia 2024 r., a większość przepisów będzie stosowana od 2 sierpnia 2026 r., z wyjątkami dotyczącymi m.in. zakazanych praktyk i modeli ogólnego przeznaczenia: digital-strategy.ec.europa.eu
- Komisja Europejska - AI Act enters into force. Komunikat z 1 sierpnia 2024 r. wskazujący, że AI Act wszedł w życie i ma wspierać odpowiedzialny rozwój oraz wdrażanie sztucznej inteligencji w UE: commission.europa.eu
- AI Act Service Desk - Article 4: AI literacy. Omówienie obowiązku zapewnienia odpowiedniego poziomu kompetencji AI przez dostawców i wdrażających systemy AI u pracowników oraz innych osób korzystających z systemów AI w ich imieniu: artificialintelligenceact.eu/article/4
- EUR-Lex - Regulation (EU) 2024/1689, Artificial Intelligence Act. Oficjalny tekst rozporządzenia ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji: eur-lex.europa.eu
- Komisja Europejska - Navigating the AI Act. Materiał FAQ wyjaśniający m.in. obowiązki przejrzystości dotyczące chatbotów, systemów interaktywnych, deepfake'ów i niektórych treści generowanych przez AI: digital-strategy.ec.europa.eu