Akt o umjetnoj inteligenciji, službeno Uredba (EU) 2024/1689, revolucionarni je zakonodavni okvir osmišljen za rješavanje prednosti i rizika tehnologija umjetne inteligencije. Budući da se umjetna inteligencija sveprisutno integrira u razne industrije, Akt o umjetnoj inteligenciji ima za cilj osigurati da se te tehnologije primjenjuju sigurno, etično i transparentno uspostavljanjem pravila za sustave umjetne inteligencije u cijeloj Europskoj uniji.
Vremenski okvir primjenjivost:
Akt o umjetnoj inteligenciji stupio je na snagu u cijeloj EU. Međutim, odredbe Akta o umjetnoj inteligenciji stupaju na snagu na različite datume kako slijedi:
2. kolovoza 2026. – Većina odredbi Akta o UI-u počet će se primjenjivati nakon dvogodišnjeg razdoblja provedbe. Te odredbe uključuju poglavlja koja pokrivaju visokorizične sustave umjetne inteligencije, obveze transparentnosti za pružatelje i implementatore određenih sustava umjetne inteligencije, mjere za potporu inovacijama, bazu podataka EU-a za visokorizične sustave umjetne inteligencije, praćenje nakon stavljanja na tržište, dijeljenje informacija i nadzor tržišta, kodekse ponašanja i smjernice, delegiranje ovlasti i postupak odbora.
2. veljače 2025. – Poglavlja 1. i 2. Akta o umjetnoj inteligenciji koja sadržavaju opće odredbe Akta o umjetnoj inteligenciji (Opseg, Definicije itd.) i odredbe o zabranjenim praksama umjetne inteligencije koje predstavljaju neprihvatljivu razinu rizika, primjenjivat će se nakon razdoblja od šest (6) mjeseci provedbe.
2. kolovoza 2025. – Odredbe Akta o umjetnoj inteligenciji koje se odnose na uspostavljanje tijela za prijavljivanje i prijavljenih tijela od strane država članica, ključne za visokorizične sustave umjetne inteligencije, poglavlja koja se odnose na modele umjetne inteligencije opće namjene, upravljanje, kazne (osim novčanih kazni za pružatelje modela umjetne inteligencije opće namjene) i članak 78. o povjerljivosti, primjenjivat će se nakon razdoblja provedbe od dvanaest (12) mjeseci.
2. kolovoza 2027. – Klasifikacijska pravila za sustave umjetne inteligencije visokog rizika i odgovarajuće obveze primjenjivat će se nakon trogodišnjeg razdoblja provedbe.
Opseg
Područje primjene navedeno u članku 2. Akta o UI-u posebno je vrijedno pažnje jer se njime određuju subjekti na koje se Uredba odnosi:
a) dobavljače koji stavljaju na tržište ili u upotrebu UI sustave ili stavljaju na tržište UI modele opće namjene u Uniji, bez obzira na to imaju li ti dobavljači poslovni nastan u Uniji ili u nekoj trećoj zemlji ili nalaze li se u Uniji ili u trećoj zemlji; (b) subjekte koji uvode UI sustave, a koji imaju poslovni nastan u Uniji ili se nalaze u Uniji; (c) dobavljače UI sustava i subjekte koji uvode UI sustave koji imaju poslovni nastan u trećoj zemlji ili se nalaze u trećoj zemlji ako se izlazni rezultati UI sustava upotrebljavaju u Uniji; (d) uvoznike i distributere UI sustava; (e) proizvođače proizvoda koji stavljaju na tržište ili u upotrebu UI sustav zajedno sa svojim proizvodom i pod vlastitim imenom ili žigom; (f) ovlaštene zastupnike dobavljača koji nemaju poslovni nastan u Uniji; (g) zahvaćene osobe koje se nalaze u Uniji.
„Sustav umjetne inteligencije” definiran je (u članku 3. Akta o umjetnoj inteligenciji) kao strojni sustav dizajniran za rad s promjenjivim razinama autonomije i koji nakon uvođenja može pokazati prilagodljivost te koji, za eksplicitne ili implicitne ciljeve, iz ulaznih vrijednosti koje prima, zaključuje kako generirati izlazne vrijednosti kao što su predviđanja, sadržaj, preporuke ili odluke koji mogu utjecati na fizička ili virtualna okruženja;
Pristup temeljen na riziku
Aktom o umjetnoj inteligenciji usvaja se pristup regulaciji umjetne inteligencije koji se temelji na riziku. Njegov primarni fokus je osigurati sigurnost proizvoda i prihvaćanje pouzdane umjetne inteligencije kategoriziranjem različitih razina rizika. Rizik se procjenjuje na temelju vjerojatnosti nastanka štete i ozbiljnosti te štete. U tom kontekstu šteta može biti materijalna ili nematerijalna, pokrivajući širok raspon mogućih učinaka.
Razine rizika predviđene Aktom o umjetnoj inteligenciji mogu se klasificirati u četiri skupine koje pojedinačno određuju razinu regulatornog nadzora s kojom će se suočiti svaka grupa sustava umjetne inteligencije:
(1) Neprihvatljivi rizik: Ova kategorija uključuje sustave umjetne inteligencije koje Akt o umjetnoj inteligenciji izričito zabranjuje zbog njihovog potencijala za nanošenje neprihvatljive štete. Stoga su zabranjeni sustavi umjetne inteligencije koji predstavljaju jasnu prijetnju ljudskim pravima i sigurnosti. To uključuje UI za društveno bodovanje, biometrijski nadzor u javnom prostoru u stvarnom vremenu i sustave dizajnirane za manipuliranje ljudskim ponašanjem ili emocijama na načine koji krše etičke norme. Svi ovi sustavi umjetne inteligencije bit će učinkovito zabranjeni u cijeloj EU od 2. veljače 2025. Međutim, neke iznimke mogu biti dopuštene za potrebe provedbe.
(2) Visok rizik: Sustavi umjetne inteligencije koji spadaju u ovu kategoriju predstavljaju visoku razinu rizika, bilo da služe kao sigurnosne komponente u proizvodu ili funkcioniraju neovisno kao samostalni proizvodi. Primjene umjetne inteligencije u kritičnim područjima poput zdravstva, provedbe akta, zapošljavanja i obrazovanja smatraju se visokorizičnim. Sustavi umjetne inteligencije kao što su medicinski uređaji s omogućenom umjetnom inteligencijom, algoritmi za zapošljavanje i sustavi koji se koriste u provedbi akta moraju se pridržavati strogih regulatornih zahtjeva. Ovi sustavi moraju proći ocjenu sukladnosti treće strane prije stavljanja na tržište ili u upotrebu. Ova procjena osigurava usklađenost s aktima navedenim u Dodatku I (kao što su Uredba o medicinskim uređajima i Direktiva o sigurnosti igračaka, između ostalog) kako bi se potvrdilo da UI sustav zadovoljava sigurnosne standarde EU. Osim toga, visokorizični sustavi moraju se pridržavati niza horizontalnih zahtjeva za pouzdanu umjetnu inteligenciju i nametnuti obveze različitim dionicima, uključujući pružatelje, korisnike, distributere i uvoznike. Kao što je gore navedeno, primjenjivost poglavlja koje pokriva visokorizične sustave umjetne inteligencije stupit će na snagu od 2. kolovoza 2026. Međutim, kao što je prethodno navedeno, odjeljak koji pokriva tijela za prijavljivanje i prijavljena tijela postat će primjenjiv od 2. kolovoza 2025.
(3) Ograničeni rizik: Ovi sustavi umjetne inteligencije predstavljaju manji rizik i ne utječu značajno na zaštićene pravne interese ili procese donošenja odluka, bilo ljudske ili automatizirane. Sustavi s ograničenim rizikom općenito ispunjavaju jedan ili više sljedećih uvjeta: (1) dizajnirani su za uske, specifične zadatke koji predstavljaju minimalan rizik; i/ili (2) namijenjeni su poboljšanju prethodno završene ljudske aktivnosti. Primjeri sustava ograničenog rizika uključuju sustave umjetne inteligencije poput chatbota i sustava za prepoznavanje emocija. Iako nisu podvrgnuti istim rigoroznim provjerama kao visokorizični sustavi, ipak moraju ispunjavati obveze transparentnosti. Na primjer, korisnici moraju biti obaviješteni da su u interakciji s umjetnom inteligencijom, a sadržaj generiran umjetnom inteligencijom mora biti jasno označen kao takav. Kao što je gore navedeno, primjenjivost odredbi koje pokrivaju sustave umjetne inteligencije s ograničenim rizikom stupit će na snagu od 2. kolovoza 2026.
(4) Minimalni rizik: Sustavi umjetne inteligencije u ovoj kategoriji ne predstavljaju značajan rizik i slobodni su za upotrebu bez ograničenja. Primjeri uključuju filtre neželjene pošte i alate za poboljšanje videa ili zvuka temeljene na umjetnoj inteligenciji.
Modeli opće namjene UI (GPAI).
Akt o umjetnoj inteligenciji posebnu pozornost pridaje modelima umjetne inteligencije opće namjene (general-purpose AI models, GPAI) zbog njihove svestranosti i potencijalnog šireg utjecaja na industrije. Oni su definirani kao modeli umjetne inteligencije, uključujući one obučene na velikim skupovima podataka uz korištenje samonadzora na razini, koji pokazuju značajnu općenitost i sposobni su za obavljanje širokog raspona zadataka. Ova se definicija primjenjuje bez obzira na to kako se UI model prodaje. Međutim, ova se definicija ne odnosi na modele posebno namijenjene istraživanju, razvoju ili izradi prototipa prije njihovog stavljanja na tržište.
Akt o umjetnoj inteligenciji uključuje poseban regulatorni okvir za pružatelje GPAI, prepoznajući njihovu jedinstvenu ulogu i širok raspon aplikacija za koje bi se mogli prilagoditi. GPAI se odnosi na modele umjetne inteligencije sposobne za obavljanje širokog spektra zadataka, a njihova regulacija jedan je od glavnih ciljeva Aktaa o umjetnoj inteligenciji. Baš kao i UI sustavi, različiti zahtjevi ovisno o stupnju rizika primjenjuju se na različite GPAI modele. Na neke GPAI sustave primjenjuju se stroži zahtjevi, uglavnom zbog njihovog velikog računalnog kapaciteta ili širokog društvenog utjecaja. Takvi zahtjevi uključuju potrebu za izvješćivanjem, tehničku dokumentaciju i stalne procjene.
Sustavi umjetne inteligencije koji su izvan opsega
Većina sustava umjetne inteligencije vjerojatno ne spada u djelokrug Akta o umjetnoj inteligenciji, jer nema za cilj rješavanje svih problema povezanih s umjetnom inteligencijom. Većina sustava umjetne inteligencije vjerojatno neće predstavljati značajne rizike za zdravlje, sigurnost ili druga kritična područja i mogu biti regulirani drugim zakonodavstvom. Akt o umjetnoj inteligenciji osmišljen je tako da regulira samo najnametljivije usluge umjetne inteligencije.
Akt o umjetnoj inteligenciji ne fokusira se na kvantitetu sustava umjetne inteligencije, već na prirodu i kvalitetu usluga. Što je usluga invazivnija, to je vjerojatnije da će biti obuhvaćena djelokrugom Akta o umjetnoj inteligenciji.
Akt o umjetnoj inteligenciji nameće značajne kazne za nepoštivanje, pri čemu se najoštrije kazne primjenjuju na kršenje njegovih pravila u vezi s zabranjenom uporabom umjetne inteligencije. Prekršitelji bi se mogli suočiti s administrativnom kaznom u iznosu do 35 milijuna eura ili 7% svog globalnog godišnjeg prometa, ovisno o tome što je veće.
Za kršenje drugih navedenih odredbi kazne mogu doseći 15 milijuna eura ili 3% svjetskog prometa, ovisno o tome što je veće.
Dodatno, pružanje netočnih, nepotpunih ili obmanjujućih informacija prijavljenim tijelima ili nacionalnim tijelima moglo bi rezultirati kaznama do 7,5 milijuna eura ili 1% godišnjeg prometa u cijelom svijetu, ovisno o tome što je veće. Mala i srednja poduzeća (MSP) i novoosnovana poduzeća podliježu istim postocima ili iznosima, s tim da su kazne ograničene na nižu vrijednost.
Aktom o UI-u također su navedena prava pojedinaca i organizacija na podnošenje pritužbi tijelima za nadzor nad tržištem, traženje objašnjenja za automatizirano donošenje odluka i prijavu neusklađenosti.
Akt EU o umjetnoj inteligenciji označava ključni trenutak u globalnom upravljanju umjetnom inteligencijom te uspostavlja standarde koji bi mogli utjecati na regulaciju umjetne inteligencije drugdje u svijetu. Klasificirajući sustave umjetne inteligencije na temelju rizika, Akt o umjetnoj inteligenciji uspostavlja ravnotežu između promicanja inovacija i osiguravanja odgovornosti prilikom korištenja sustava umjetne inteligencije. Za industrije i tvrtke koje djeluju unutar prostora umjetne inteligencije, razumijevanje obveza koje propisuje Akt o umjetnoj inteligenciji bit će ključno i za usklađenost i za održavanje povjerenja korisnik.
Akt o umjetnoj inteligenciji i GDPR
Dok se GDPR usredotočuje na privatnost podataka, a Akt o umjetnoj inteligenciji na upravljanje rizikom od umjetne inteligencije, tvrtke se moraju pridržavati oba kada sustavi umjetne inteligencije rukuju osobnim podacima.
Automatizirano donošenje odluka mora biti pošteno, transparentno i osporivo.
Kako bi zadovoljile zahtjeve GDPR-a i Akta o UI-u, organizacije i subjekti trebaju:
1.Provediti procjene učinka vezane za zaštitu podataka i umjetnu inteligenciju
- Procjene utjecaja na privatnost za usklađenost s GDPR-om.
- Procjene rizika od UI za klasifikaciju UI prema Akta o UI.
2. Provedite ljudski nadzor za visokorizičnu umjetnu inteligenciju
Pobrinite se da odluke umjetne inteligencije koje utječu na pojedince imaju uključenu osobu.
- Koristite objašnjive UI (XAI) tehnike za poboljšanje transparentnosti.
- Ojačajte upravljanje podacima i dokumentaciju
3. Održavati evidenciju o aktivnostima obrade.
- Dokumentirajte podatke o obuci umjetne inteligencije, pristranosti i performanse.
- Redovito provjeravajte UI radi pravednosti, točnosti i usklađenosti s pravilima o privatnosti.
4. Ažurirajte obavijesti o obradama podataka kao i druge interne akte koji uređuju zaštitu privatnosti posebno one odnosne na ostvarivanje prava ispitanika. Nužno je uspostaviti učinkovite procese ostvarivanja i valoriziranja zahtjeva ispitanika pa i prava na pristup kao i ograničenja isptih (ukoliko su dopuštena i moguća). GDPR zahtijeva od voditelja obrade da ispitanike obavijeste o automatiziranoj obradi na sažet, transparentan i razumljiv način. Pružanje odgovarajućih informacija i transparentnost od najveće su važnosti kada se automatizirano pojedinačno donošenje odluka provodi pomoću sustava ili modela umjetne inteligencije. U tom slučaju voditelj obrade mora pružiti smislene informacije o uključenoj logici, kao io posljedicama obrade podataka za subjekta podataka. Na primjer, tijekom inspekcije platforme u obrazovne svrhe, CNIL, francuski nadzornik GDPR-a, utvrdio je da nedostaju informacije o korištenju algoritma i načinu na koji on funkcionira za rangiranje i raspoređivanje studenata na visokoškolske ustanove. Stoga je CNIL naredio prestanak donošenja odluka s pravnim učinkom za pojedince isključivo na temelju takve automatizirane obrade podataka.
Na temelju gore navedenog, organizacije koje pružaju sustave umjetne inteligencije koji koriste osobne podatke moraju razmisliti o svojim postupcima koji će biti predmet pritužbe vezanih za Akt o umjetnoj inteligenciji i GDPR.
5. Ne zaboravite na pravni osnov i svrhe obrade kao i na ispunjavanje svih zahtjeva i načela GDPR-a.
Pripremili smo Brief Akta o umjetnoj inteligenciji, popunite obrazac niže i poslat ćemo vam ga na adresu, besplatno!
