Įsigaliojęs DI aktas neabejotinai turės didžiulės įtakos verslui, ypač toms įmonėms, kurios kuria dirbtinio intelekto sprendimus arba savo veikloje naudoja dirbtinio intelekto technologijas, teigia advokatų kontoros „Glimstedt“ teisininkai Ovidijus Speičys ir Gabrielė Šapkauskaitė.
Teisininkai primena, kad DI aktas apima keletą svarbių aspektų. Pirmiausia, jis nustato skirtingus dirbtinio intelekto sistemų rizikos lygius ir pagal tai reglamentuoja jų naudojimą. Sistemos yra skirstomos į keturias pagrindines rizikos kategorijas: nepriimtinos rizikos, aukštos rizikos, ribotos rizikos ir minimalios rizikos. Nepriimtinos rizikos sistemoms, kurios gali kelti pavojų žmonių teisėms ir laisvėms, yra taikomi griežti draudimai.
Aukštos rizikos sistemos, tokios kaip veido atpažinimo technologijos viešosiose erdvėse, turi atitikti griežtus saugumo, skaidrumo ir etikos standartus. Mažesni reikalavimai yra taikomi ribotos rizikos sistemoms, tačiau, pagal naująsias nuostatas, jos vis tiek turi būti saugios ir skaidrios.
Kam taikomas DI aktas?
Pasak teisės ekspertų, DI aktas taikomas plačiam subjektų ratui, kuriam priklauso ir dirbtinio intelekto sprendimus kuriančios įmonės, ir organizacijos, kurios dirbtinį intelektą naudoja kaip įrankį savo veikloje. Į šią kategorija patenka tiekėjai, kuriantys dirbtinio intelekto sistemas ir jas tiekiantys Europos Sąjungos (ES) vidaus rinkai, nepriklausomai nuo to, kur jie patys veikia ar yra įsisteigę. Aktas aktualus visiems fiziniams ir juridiniams asmenims, valstybės institucijoms ir kitiems subjektams, kurie dirbtinio intelekto sistemas profesiniais tikslais naudoja ES teritorijoje.
Svarbu pažymėti, kad aktas taip pat yra taikomas tiekėjams ir naudotojams, kurie yra įsisteigę ar veikia už ES ribų, tačiau jų eksploatuojamos dirbtinio intelekto sistemos rezultatai yra naudojami Europos Sąjungos teritorijoje. Tai apima ir dirbtinio intelekto sistemų importuotojus bei tiekėjus, taip pat – gamintojus, kurie dirbtinį intelektą integruoja į savo produktus ir juos tiekia ES rinkai. Naujojo DI akto nuostatomis privalo vadovautis ir oficialūs tiekėjų atstovai, kurie nėra įsisteigę ES.
Nuostatų taikymo etapai
Nors DI aktas įsigaliojo 2024 m. rugpjūčio 1 d., didžioji dalis jo nuostatų, pavyzdžiui, susijusių su aukštos rizikos DI sistemomis, pradės būti taikomos po dviejų metų, t. y. nuo 2026 m. rugpjūčio 2 d. Vis dėlto, kai kurie DI akto reikalavimai bus pradėti taikyti ir anksčiau; anksčiausiai – nuo 2025 m. vasario 2 d. – bus taikomi reikalavimai, reglamentuojantys draudžiamą su DI susijusią praktiką ir raštingumą DI srityje.
Draudžiama su DI susijusi praktika
„Glimstedt“ teisininkai Ovidijus Speičys ir Gabrielė Šapkauskaitė primena, kad tam tikras DI sistemas DI aktas sieja su nepriimtina rizika ir jų naudojimą apskritai uždraudžia. DI aktas uždraudžia DI sistemas, kuriomis pasitelkiami pasąmonę veikiantys metodai, kurių asmuo nesuvokia, arba kuriomis tikslingai pasitelkiami manipuliavimo ar apgaulės metodai, siekiant iš esmės pakeisti asmens ar asmenų grupės elgesį.
Taip pat draudžiamos sistemos, kuriomis išnaudojamas fizinio asmens ar konkrečios asmenų grupės pažeidžiamumas dėl jų amžiaus, negalios ar konkrečios socialinės ar ekonominės padėties, siekiant iš esmės pakeisti to asmens ar tai grupei priklausančio asmens elgesį. Į draudžiamųjų sąrašą patenka sistemos, kuriomis kuriamos arba išplečiamos veido atpažinimo duomenų bazės arba kurios naudojamos nuotoliniam biometriniam tapatybės nustatymui esamuoju laiku viešai prieinamose erdvėse, gautą informaciją siekiant naudoti teisėsaugos tikslais ir pan.
Nors kai kuriais atvejais DI aktas numato tam tikrų išimčių, visos šios su DI susijusios praktikos nuo 2025 m. vasario 2 d. bus griežtai draudžiamos.
Raštingumas DI srityje
2025 m. vasario 2 d. įsigalios dar vienas reikalavimas, pagal kurį darbuotojai, dirbantys su DI sistemomis, privalės turėti pakankamą raštingumo lygį DI srityje. DI sistemų tiekėjai ir naudotojai privalės imtis priemonių, kurios padėtų užtikrinti, kad darbuotojai ir kiti DI sistemų veikimo ir naudojimo srityje veikiantys asmenys , turėtų pakankamą raštingumo lygį DI srityje. Tą jie turės padaryti atsižvelgdami į darbuotojų technines žinias, patirtį, išsilavinimą, pasirengimą ir kontekstą, kuriame numatoma naudoti DI sistemas , ir asmenis ar asmenų grupes, kurių atžvilgiu tas DI sistemas numatoma naudoti.
Šiuo reikalavimu siekiama maksimaliai išnaudoti DI sistemų teikiamą naudą, kartu užtikrinant pagrindines žmogaus teises, sveikatą ir saugumą. Taip pat norima užtikrinti, kad didelės rizikos DI sistemos būtų naudojamos laikantis kartu su jomis pateiktų naudojimosi instrukcijų, ir kad būtų tinkamai atlikta žmogaus vykdoma stebėsena bei įrašų tvarkymas. Tiekėjai, naudotojai ir asmenys, kuriems daromas poveikis, turėtų būti raštingi DI srityje, kad žinotų reikiamas sąvokas ir galėtų priimti informacija pagrįstus sprendimus dėl DI sistemų.
Sankcijos už DI akto pažeidimus
Už reikalavimų nesilaikymą DI aktas numato griežtas sankcijas ir baudas. Pirmiausia, ES valstybės narės yra įpareigotos nustatyti taisykles dėl sankcijų ir kitų vykdymo užtikrinimo priemonių, taikytinų už DI akto pažeidimus. Šios priemonės, be kita ko, gali apimti įspėjimus ir nepinigines priemones. Sankcijos turi būti veiksmingos, proporcingos ir atgrasomosios, atsižvelgiant į mažų ir vidutinių įmonių, įskaitant startuolius, interesus bei ekonominį gyvybingumą.
Už draudžiamų su dirbtiniu intelektu susijusių praktikų vykdymą gali būti skiriamos baudos iki 35 000 000 EUR arba iki 7 % įmonės bendros pasaulinės metinės praėjusių finansinių metų apyvartos, priklausomai nuo to, kuri suma yra didesnė. Tiesa, mažoms ir vidutinėms įmonėms, įskaitant startuolius, bus taikomos mažesnės baudos.
Jei nesilaikoma DI akto nuostatų, susijusių su veiklos vykdytojais ar priežiūros įstaigomis, gali būti skiriama iki 15 000 000 EUR dydžio bauda arba bauda, sudaranti iki 3 % bendros pasaulinės metinės (praėjusių finansinių metų) apyvartos, priklausomai nuo to, kuri suma yra didesnė. Tokios baudos gali būti taikomos pažeidus tiekėjams, įgaliotiesiems atstovams, importuotojams, platintojams, diegėjams, notifikuotosioms įstaigoms taikomus reikalavimus bei skaidrumo pareigas.
Už neteisingos, neišsamios ar klaidinančios informacijos pateikimą notifikuotosioms įstaigoms arba nacionalinėms kompetentingoms institucijoms gali būti taikomos iki 7 500 000 EUR dydžio baudos arba baudos, kurių vertė siekia iki 1 % įstaigos bendros pasaulinės metinės (praėjusių finansinių metų) apyvartos, priklausomai nuo to, kuri suma yra didesnė.
DI aktas taip pat numato sąrašą aplinkybių, kurios gali palengvinti ar pasunkinti atsakomybę už DI akto pažeidimus. Sprendžiant, ar skirti administracinę baudą ir kokio dydžio ji turėtų būti, turėtų būti atsižvelgiama, pavyzdžiui, į pažeidimo pobūdį, sunkumą, trukmę ir jo pasekmes; tai, ar kitos rinkos priežiūros institucijos jau yra skyrusios administracines baudas už tą patį pažeidimą, pažeidimą padariusio veiklos vykdytojo dydį, metinę apyvartą, rinkos dalį ir pan.
Akivaizdu, kad sankcijos už DI akto pažeidimus yra griežtos ir gali turėti reikšmingą poveikį verslams. Tuo pačiu, numatyti baudų dydžiai turėtų veikti kaip paskata ir prevencinė priemonė įmonėms dėti visas įmanomas pastangas, kad dirbtinio intelekto technologijos būtų naudojamos atsakingai, laikantis aukščiausių DI standartų, saugant vartotojus ir prigimtines žmogaus teises bei laisves.
Kaip pasiruošti DI akto taikymo pradžiai?
Anot advokatų kontoros „Glimstedt“ teisininkų Ovidijaus Speičio ir Gabrielės Šapkauskaitės, verslas turės užtikrinti, kad jo naudojamos dirbtinio intelekto sistemos atitiktų DI akto nustatytus saugumo, skaidrumo ir etikos standartus. Tai reiškia, kad teks investuoti ne tik į naujas technologijas, bet ir į teisinės atitikties mechanizmų kūrimą, darbuotojų mokymą. Be to, norėdamos atitikti naujus reikalavimus, įmonės turės kurti vidines politikos gaires ir nuolat stebėti savo dirbtinio intelekto sistemų veikimą, kad išvengtų galimų pažeidimų.
Pirmasis žingsnis – nustatyti, ar įmonė patenka į kažkurią subjektų, kuriems yra taikomas DI aktas, kategoriją. Jei atsakymas yra teigiamas, reikėtų įsivertinti kuriamos ar naudojamos DI sistemos pobūdį jos potencialiai keliamos rizikos požiūriu. Priklausomai nuo to, į kurią DI akto adresatų kategoriją konkretus verslo subjektas patenka bei kokio pobūdžio DI sistemą naudoja savo veikloje, jam kyla tam tikros DI akte numatytos pareigos.
Jei buvo kuriami ar numatomi naudoti sprendimai, kurie pagal naująjį DI aktą patenka į draudžiamų DI sistemų sąrašą, jau dabar reikėtų planuoti, kaip veiklą perorientuoti kitomis kryptimis. Taip pat artimiausiu metu būtina pasirūpinti darbuotojų, kurie yra ar bus įtraukti į DI sistemų valdymo procesą, apmokymu, kad jie galėtų laiku identifikuoti kylančias rizikas ir priimtų informuotus sprendimus, užkirsdami kelią bet kokiai galimai žalai.
