Publikacje

Unijne rozporządzenie w sprawie sztucznej inteligencji (AI Act) w sposób szczególny reguluje sytuację małych i średnich przedsiębiorstw (MŚP). Przewiduje bowiem udogodnienia dostosowane do ich  wielkości i możliwości organizacyjnych. Mają one na celu zapewnić równy dostęp do technologii oraz możliwie najwyższy stopień bezpieczeństwa. W związku z tym umożliwiają MŚP stosowanie uproszczonych sposobów spełnienia obowiązków wynikających z AI Act, a także zmniejszają niektóre koszty administracyjne. Jednak czy te udogodnienia będą wystarczające z punktu widzenia MŚP?

Kogo dotyczą regulacje MŚP

Zgodnie z regulacjami prawnymi, MŚP są dzielone odpowiednio na:

• mikroprzedsiębiorstwa – zatrudniają mniej niż 10 pracowników i posiadają obrót roczny (kwota przyjętych pieniędzy w danym okresie) lub bilans (zestawienie aktywów i pasywów firmy) poniżej 2 mln EUR;
• małe przedsiębiorstwa – zatrudniają mniej niż 50 pracowników, posiadają obrót roczny lub bilans poniżej 10 mln EUR;
• średnie przedsiębiorstwa – zatrudniają mniej niż 250 pracowników, posiadają obrót roczny poniżej 50 mln EUR lub bilans poniżej 43 mln EUR.

AI Act a uproszczenia względem MŚP

W kontekście ogólnych unormowań, przepisy AI Act ustanawiają jedynie trzy ułatwienia wobec MŚP.

Pierwszy odnosi się do dokumentacji technicznej systemów AI wysokiego ryzyka (art. 11 AIA). Zgodnie z treścią tego przepisu, podmioty przed wprowadzeniem lub oddaniem do użytku takich systemów, sporządzają ich dokumentację techniczną, w której wykazują, że systemy te są zgodne z wymogami rozporządzenia wskazanymi w załączniku IV. Ponadto, informacje te muszą zostać dostarczone organowi krajowemu i jednostkom notyfikującym.  MŚP będą mogły przedstawiać tę dokumentację w uproszczonej formie, tj. zgodnie z opracowanym przez Komisje Europejską wzorem dokumentacji technicznej.

Drugi dotyczy systemów zarządzania jakością systemów AI wysokiego ryzyka. Zgodnie z art. 17 AIA, dostawcy systemów AI wysokiego ryzyka wprowadzają systemy zarzadzania jakością, które zapewnić mają ich zgodność z rozporządzeniem. Prowadzony jest on w sposób systematyczny oraz uporządkowany, przybierając formę procedury, polityki lub instrukcji. W jego ramach dostawca powinien określić:

1. strategię na rzecz zgodności regulacyjnej, w tym zgodności z procedurami oceny zgodności i procedurami zarządzania zmianami w systemie AI wysokiego ryzyka;
2. techniki, procedury i systematyczne działania, które należy stosować na potrzeby projektowania oraz kontroli i weryfikacji projektu systemu AI wysokiego ryzyka;
3. techniki, procedury i systematyczne działania, które należy stosować na potrzeby rozwoju, kontroli jakości i zapewniania jakości systemu AI wysokiego ryzyka;
4. procedury badania, testowania i walidacji, które należy przeprowadzić przed przystąpieniem do rozwoju systemu AI wysokiego ryzyka, w trakcie tego rozwoju i po jego zakończeniu, oraz częstotliwość, z jaką mają być przeprowadzane;
5. specyfikacje techniczne, w tym normy, które należy zastosować, oraz w przypadkach gdy normy zharmonizowane nie są stosowane w pełni lub nie obejmują wszystkich odpowiednich wymogów ustanowionych w sekcji 2, środki, które należy zastosować do zapewnienia, by system AI wysokiego ryzyka był zgodny z tymi wymogami;
6. systemy i procedury zarządzania danymi, w tym dotyczące nabywania danych, zbierania danych, analizy danych, etykietowania danych, przechowywania danych, filtrowania danych, eksploracji danych, agregacji danych, zatrzymywania danych i wszelkich innych operacji dotyczących danych, które przeprowadza się przed wprowadzeniem do obrotu lub oddaniem do użytku systemów AI wysokiego ryzyka i do celu wprowadzenia ich do obrotu lub oddania ich do użytku;
7. system zarządzania ryzykiem;
8. ustanowienie, wdrożenie i obsługa systemu monitorowania po wprowadzeniu systemu do obrotu;
9. procedury związane ze zgłaszaniem poważnego incydentu;
10. porozumiewanie się z właściwymi organami krajowymi, innymi właściwymi organami, w tym organami zapewniającymi lub wspierającymi dostęp do danych, jednostkami notyfikowanymi, innymi operatorami, klientami lub innymi zainteresowanymi stronami;
11. systemy i procedury rejestrowania wszelkiej istotnej dokumentacji i informacji;
12. zarządzanie zasobami, w tym środki związane z bezpieczeństwem dostaw;
13. ramy odpowiedzialności okreslającą odpowiedzialność kierownictwa i pozostałego personelu.

MŚP muszą realizować ten obowiązek w stopniu proporcjonalnym do wielkości organizacji, jednak bez uszczerbku dla zapewniania zgodności systemów AI wysokiego ryzyka z regulacjami AI Act.

Z kolei trzecie ułatwienie dla MŚP odnosi się do zmniejszenia kosztów notyfikacji systemów AI, a więc oceny ich zgodności z przepisami AI Act. Zgodnie bowiem z art. 34 ust. 2 AIA, jednostki notyfikujące unikają niepotrzebnych obciążeń dla dostawców podczas wykonywania swoich czynności.

AI Act jako wyzwanie dla MŚP

Z wyjątkiem ww. złagodzonych wymogów, MŚP muszą sprostać pozostałym ogólnym obowiązkom, co z uwagi na nierzadkie ograniczenia organizacyjne w wielu przypadkach, będzie prawdopodobnie wiązało się z potrzebą outsourcingu poszczególnych działań oraz zapewnienia dostępu do profesjonalnego wsparcia. Wśród takich wymogów wskazać można np. obowiązek z art. 4 AIA, zgodnie z którym dostawcy i podmioty stosujące systemy AI zobowiązane są do podejmowania środków w celu zapewnienia, w możliwie największym stopniu, odpowiedniego poziomu kompetencji w zakresie AI wśród swojego personelu i innych osób zajmujących się działaniem i wykorzystywaniem systemów AI. Regulacja ta wprowadza niespotykane dotychczas rozwiązanie prawne, zgodnie z którym m.in. MŚP będą musiałby zadbać o widzę i świadomość prawno-technologiczną swoich pracowników. Innym wyzwaniem może być także urzeczywistnienie normy określonej w art. 26 AIA, a więc realizacji obowiązków podmiotów stosujących systemy AI wysokiego ryzyka. Podmioty stosujące muszą bowiem stosować te systemy zgodnie z ich instrukcją bez uszczerbku dla już obecnie wymaganych zobowiązań prawnych, np. z obszaru przepisów prawa własności intelektualnej czy ochrony danych osobowych.

Podsumowanie

AI Act, pomimo pewnych uproszczeń i obniżenia wymagań finansowych w zakresie notyfikacji, nadal wymaga od MŚP i start-upów spełnienia większości obowiązków regulacyjnych. Ich realizacja z pewnością będzie wymagać znaczących nakładów, zwłaszcza organizacyjnych. Wsparciem może okazać się outsourcing wybranych zadań oraz dostosowanie pozostałych procesów w organizacji do już obecnie obowiązujących regulacji, ułatwiając tym samym bezpieczne i legalne wdrożenie nowych narzędzi AI.