Czym jest EU AI Act i kiedy ma zastosowanie?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689, znane jako Akt o sztucznej inteligencji (EU AI Act), weszło w życie 1 sierpnia 2024 roku. To pierwsze na świecie kompleksowe prawo regulujące systemy AI — oparte na podejściu opartym na ryzyku, które klasyfikuje systemy AI według czterech poziomów: zakazane, wysokiego ryzyka, ograniczonego ryzyka i minimalnego ryzyka.

Pełne przepisy zaczęły obowiązywać od 2 sierpnia 2026 roku. Dla Inspektorów Ochrony Danych (IOD) EU AI Act nie jest wyłącznie tematem dla działów IT — to regulacja z bezpośrednim przełożeniem na procesy zarządzania danymi, oceny ryzyka i dokumentację.

Rola IOD w zapewnieniu zgodności z EU AI Act

Choć EU AI Act nie wymienia IOD wprost jako odpowiedzialnych za zgodność AI, w praktyce naturalne zadania IOD pokrywają się z nowymi wymogami regulacji. Artykuł 26 nakłada na operatorów (deployers) obowiązki, które wymagają silnego wsparcia ze strony zespołu ochrony danych:

• Ocena wpływu: Art. 26 ust. 9 nakazuje przeprowadzenie oceny wpływu na prawa podstawowe przed wdrożeniem systemów AI wysokiego ryzyka — analogia do DPIA z RODO.
• Rejestr systemów AI: Art. 49 wymaga rejestracji systemów AI wysokiego ryzyka w unijnej bazie danych. IOD powinien nadzorować ten proces.
• Koordynacja z organem nadzorczym: W przypadku systemów AI przetwarzających dane osobowe IOD jest naturalnym łącznikiem między PUODO a wewnętrznym zespołem AI.

Inwentaryzacja systemów AI: jak zidentyfikować narzędzia AI w organizacji

Pierwszym krokiem każdego IOD powinno być sporządzenie mapy systemów AI używanych w organizacji. Praktyczne podejście obejmuje trzy etapy:

1. Ankieta działów: Rozesłanie ustrukturyzowanego kwestionariusza do każdego działu z pytaniem o używane narzędzia zawierające elementy AI (chatboty, systemy rekrutacyjne, narzędzia analizy ryzyka kredytowego, scoring klientów).
2. Audyt zakupów i IT: Przegląd umów SaaS i licencji — wiele nowoczesnych narzędzi biznesowych (CRM, HR, marketing automation) zawiera komponenty AI, które mogą nie być oczywiste na poziomie biznesowym.
3. Klasyfikacja ryzyka: Dla każdego zidentyfikowanego systemu AI należy określić kategorię ryzyka zgodnie z Załącznikiem III do EU AI Act (systemy wysokiego ryzyka) i Artykułem 5 (systemy zakazane).

Wymogi transparentności (art. 50): chatboty i treści generowane przez AI

Artykuł 50 EU AI Act wprowadza bezpośrednie obowiązki dla operatorów systemów AI wchodzących w interakcję z ludźmi. Najważniejsze wymogi to:

• Systemy AI prowadzące rozmowy (chatboty) muszą informować użytkowników, że komunikują się z AI — chyba że jest to oczywiste z kontekstu.
• Treści generowane syntetycznie (deepfake audio/wideo) muszą być oznaczone jako AI-generated.
• Systemy rozpoznawania emocji muszą informować użytkowników o swoim działaniu.

Dla IOD kluczowe jest sprawdzenie, czy strona internetowa i komunikacja marketingowa organizacji spełniają te wymogi — w tym chatboty obsługi klienta, zautomatyzowane odpowiedzi e-mail i generowane treści.

Systemy AI wysokiego ryzyka: co IOD musi dokumentować

Jeśli organizacja wdraża lub używa systemów AI wysokiego ryzyka (Załącznik III), IOD powinien nadzorować następującą dokumentację:

• Instrukcja obsługi: Dostawca jest zobowiązany dostarczyć szczegółową dokumentację techniczną. IOD powinien sprawdzić jej kompletność.
• Logi i rekordy: Art. 12 wymaga automatycznego logowania zdarzeń — IOD powinien upewnić się, że logi są przechowywane zgodnie z polityką retencji danych.
• Wyniki monitorowania po wdrożeniu: Art. 72 nakłada obowiązek aktywnego monitorowania wydajności systemu AI po wdrożeniu. Raporty te powinny być zintegrowane z rejestrem czynności przetwarzania.

DPIA dla systemów AI na podstawie art. 35 RODO

Systemy AI przetwarzające dane osobowe najczęściej wymagają Oceny Skutków dla Ochrony Danych (DPIA) zgodnie z art. 35 RODO. Kryteria obligatoryjnej DPIA obejmują:

• Systematyczna i rozległa ocena aspektów osobistych oparta na profilowaniu.
• Przetwarzanie danych na dużą skalę.
• Systematyczne monitorowanie publicznie dostępnych obszarów.

W praktyce każdy system AI klasyfikowany jako wysokiego ryzyka przez EU AI Act, który przetwarza dane osobowe, niemal automatycznie spełnia kryteria DPIA. IOD powinien opracować szablon DPIA uwzględniający specyfikę systemów AI, w tym analizę biasów algorytmicznych i ocenę dokładności modelu.

Praktyczny plan działania IOD — 5 kroków

1. Krok 1 — Mapowanie AI (miesiące 1–2): Przeprowadź pełną inwentaryzację systemów AI w organizacji. Używaj ustrukturyzowanych ankiet i analizuj umowy z dostawcami.
2. Krok 2 — Klasyfikacja ryzyka (miesiąc 2–3): Dla każdego systemu określ kategorię ryzyka zgodnie z EU AI Act. Skonsultuj się z prawnikiem w przypadkach granicznych.
3. Krok 3 — DPIA i ocena wpływu (miesiące 3–4): Przeprowadź DPIA dla systemów wysokiego ryzyka. Uwzględnij specyfikę AI: bias, explainability, data poisoning.
4. Krok 4 — Aktualizacja polityk (miesiąc 4–5): Zaktualizuj politykę prywatności, regulamin, politykę AI i procedury informowania pracowników.
5. Krok 5 — Monitoring ciągły: Ustanów procedury regularnego przeglądu systemów AI — zalecane co 6 miesięcy lub przy każdej istotnej zmianie modelu.

Jak automatyczne skanowanie wspiera pracę IOD

Jednym z praktycznych wyzwań dla IOD jest weryfikacja zgodności widocznych elementów strony internetowej organizacji z wymogami EU AI Act — w tym oznaczenia chatbotów, klauzul informacyjnych i polityki AI. Narzędzia do automatycznego skanowania zgodności, takie jak Juralex Audit, mogą wykryć brakujące lub nieprawidłowe elementy na stronie bez konieczności ręcznego przeglądu każdej podstrony. To szczególnie wartościowe dla IOD zarządzających wieloma domenami jednocześnie — na przykład w grupach kapitałowych lub firmach z rozbudowaną siecią subdomen.