EU AI Act dla Administracji publicznej

Czym jest EU AI Act?

EU AI Act, czyli Rozporządzenie Parlamentu Europejskiego i Rady w sprawie sztucznej inteligencji, to pierwsze na świecie kompleksowe ramy prawne regulujące projektowanie, wdrażanie i użytkowanie systemów AI. Przyjęte w 2024 roku rozporządzenie klasyfikuje systemy sztucznej inteligencji według poziomów ryzyka i nakłada na organizacje konkretne obowiązki w zależności od tego, jak wysokie zagrożenie dla praw podstawowych i bezpieczeństwa niesie dane rozwiązanie. Przepisy wchodzą w życie etapami do 2026 roku, co oznacza, że zarówno sektor publiczny, jak i prywatny musi już teraz przygotowywać się do spełnienia nowych wymogów.

EU AI Act a branża Administracja publiczna

Administracja publiczna jest jednym z sektorów, który EU AI Act obejmuje w sposób szczególnie rygorystyczny. Urzędy, agencje rządowe i instytucje samorządowe coraz powszechniej korzystają z systemów sztucznej inteligencji do obsługi obywateli, podejmowania decyzji administracyjnych oraz zarządzania zasobami. Właśnie dlatego regulacja nakłada na ten sektor wyjątkowo wysokie standardy przejrzystości i odpowiedzialności.

Konkretne przykłady zastosowań AI w administracji publicznej, które wchodzą bezpośrednio w zakres EU AI Act, obejmują systemy oceny wniosków o świadczenia społeczne, gdzie algorytm automatycznie analizuje sytuację finansową wnioskodawcy i wydaje rekomendacje decyzji. Podobnie systemy scoringowe stosowane przez urzędy pracy do profilowania bezrobotnych i przydzielania im form wsparcia zostały zakwalifikowane przez rozporządzenie jako systemy wysokiego ryzyka. W obszarze bezpieczeństwa publicznego AI Act obejmuje systemy identyfikacji biometrycznej stosowane przez Policję lub Straż Graniczną, a w obszarze zarządzania infrastrukturą krytycznej narzędzia optymalizujące dystrybucję energii czy zarządzanie ruchem drogowym.

Szczególnie istotne jest to, że decyzje podejmowane przez organy administracji publicznej z wykorzystaniem AI mają bezpośredni wpływ na życie obywateli. Odmowa przyznania zasiłku, negatywna ocena zdolności kredytowej przez instytucję publiczną czy błędna klasyfikacja osoby jako zagrożenia dla porządku publicznego to przykłady konsekwencji, które uzasadniają tak surowe podejście regulacyjne.

Kluczowe wymagania

• Klasyfikacja ryzyka systemów AI: Każda instytucja publiczna musi przeprowadzić inwentaryzację wszystkich używanych i planowanych systemów AI oraz przypisać im odpowiedni poziom ryzyka zgodnie z klasyfikacją określoną w rozporządzeniu. Systemy wysokiego ryzyka podlegają najostrzejszym wymaganiom.
• Dokumentacja techniczna i rejestry: Dla systemów wysokiego ryzyka wymagane jest prowadzenie szczegółowej dokumentacji technicznej obejmującej architekturę systemu, dane treningowe, wyniki testów oraz ograniczenia działania. Dokumentacja musi być aktualizowana przez cały cykl życia systemu.
• Przejrzystość i prawo do wyjaśnienia: Obywatele, których dotyczy decyzja podjęta lub wsparta przez system AI, mają prawo do uzyskania zrozumiałego wyjaśnienia sposobu działania algorytmu. Urzędy muszą wdrożyć procedury umożliwiające realizację tego prawa w praktyce.
• Nadzór ludzki: Systemy wysokiego ryzyka muszą być zaprojektowane tak, aby człowiek mógł w każdym momencie monitorować ich działanie, korygować wyniki i w razie potrzeby wstrzymać pracę systemu. Decyzja ostateczna musi pozostawać w gestii urzędnika, a nie algorytmu.
• Ocena zgodności przed wdrożeniem: Przed uruchomieniem systemu wysokiego ryzyka konieczne jest przeprowadzenie formalnej oceny zgodności z wymaganiami rozporządzenia, w tym oceny wpływu na prawa podstawowe obywateli.
• Zarządzanie danymi treningowymi: Dane wykorzystywane do szkolenia modeli AI muszą spełniać standardy jakości, reprezentatywności i wolności od dyskryminujących wzorców. Instytucje muszą udokumentować procesy gromadzenia, przetwarzania i weryfikacji danych.
• Rejestr systemów AI: Systemy wysokiego ryzyka stosowane przez organy publiczne muszą zostać zarejestrowane w unijnej bazie danych prowadzonej przez Komisję Europejską, co zapewnia publiczny dostęp do podstawowych informacji o tych rozwiązaniach.
• Zarządzanie incydentami: Instytucje muszą wdrożyć procedury zgłaszania poważnych incydentów i nieprawidłowego działania systemów AI do właściwego krajowego organu nadzorczego w określonym terminie.

Kroki wdrożenia w firmie z branży Administracja publiczna

1. Powołanie zespołu ds. AI Compliance: Wyznacz osobę lub zespół odpowiedzialny za koordynację wdrożenia wymogów EU AI Act. W skład grupy roboczej powinni wchodzić prawnicy, specjaliści IT, przedstawiciele kadr zarządzających oraz pracownicy operacyjni, którzy na co dzień korzystają z systemów AI w swoich procesach.
2. Inwentaryzacja systemów AI: Przeprowadź kompleksowy audyt wszystkich narzędzi opartych na sztucznej inteligencji, które są aktualnie używane lub planowane do wdrożenia. Obejmuje to zarówno systemy zamawiane od zewnętrznych dostawców, jak i rozwiązania tworzone wewnętrznie. Dla każdego systemu sporządz kartę z opisem funkcji, danych wejściowych, zakresu decyzji i grupy odbiorców.
3. Klasyfikacja poziomów ryzyka: Na podstawie przeprowadzonej inwentaryzacji przypisz każdemu systemowi odpowiedni poziom ryzyka: niedopuszczalne, wysokie, ograniczone lub minimalne. Skorzystaj z wytycznych Komisji Europejskiej i krajowego organu nadzorczego, aby klasyfikacja była prawidłowa i udokumentowana.
4. Ocena luk w zgodności: Porównaj obecny stan dokumentacji, procedur i zabezpieczeń technicznych z wymaganiami rozporządzenia dla każdego systemu. Zidentyfikuj braki, które wymagają uzupełnienia, i ustal priorytety działań naprawczych w oparciu o poziom ryzyka i terminy wejścia przepisów w życie.
5. Opracowanie dokumentacji technicznej: Dla każdego systemu wysokiego ryzyka przygotuj kompletną dokumentację techniczną zgodnie z wymaganiami załącznika IV do rozporządzenia. Jeśli korzystasz z rozwiązań zewnętrznych dostawców, zażądaj od nich dostarczenia odpowiednich dokumentów i zadbaj o odpowiednie zapisy w umowach.
6. Wdrożenie procedur nadzoru ludzkiego: Zaprojektuj i wdróż procedury operacyjne, które zapewnią, że pracownicy merytoryczni zawsze mają możliwość kontrolowania, korygowania i odrzucania rekomendacji systemu AI. Przeprowadź szkolenia dla wszystkich urzędników korzystających z narzędzi AI, aby rozumieli ich ograniczenia i swoje uprawnienia.
7. Rejestracja w unijnej bazie danych: Zarejestruj systemy wysokiego ryzyka w unijnym rejestrze systemów AI zgodnie z obowiązującym harmonogramem. Przygotuj wymagane informacje publiczne opisujące przeznaczenie systemu, zakres stosowania i dane kontaktowe odpowiedzialnego podmiotu.
8. Szkolenia pracowników: Opracuj program szkoleń dla wszystkich grup pracowników mających kontakt z systemami AI. Szkolenia powinny obejmować podstawy działania AI, prawa obywateli wynikające z EU AI Act, procedury obsługi incydentów oraz zasady odpowiedzialnego korzystania z rekomendacji algorytmicznych.
9. Ustanowienie systemu monitorowania i raportowania: Wdróż mechanizmy ciągłego monitorowania działania systemów AI, w tym automatyczne alerty przy wykryciu anomalii, regularne przeglądy jakości wyników oraz procedury zgłaszania incydentów do organu nadzorczego.
10. Cykliczne przeglądy zgodności: Zaplanuj regularne, co najmniej roczne przeglądy stanu zgodności z EU AI Act, uwzględniające zmiany w przepisach wykonawczych, nowe wytyczne organów nadzorczych oraz zmiany w samych systemach AI lub procesach, w których są stosowane.

Najczęstsze pytania

Czy małe urzędy gminne i miejskie również muszą stosować się do EU AI Act?

Tak, EU AI Act obejmuje wszystkie podmioty publiczne niezależnie od ich wielkości, jeśli korzystają z systemów AI wchodzących w zakres rozporządzenia. Nawet niewielki urząd gminy, który używa systemu do obsługi wniosków mieszkańców lub planowania budżetu z elementami AI, jest zobowiązany do spełnienia odpowiednich wymogów. W praktyce zakres obowiązków zależy od tego, jakie systemy są używane i jaki poziom ryzyka im przypisano, dlatego punktem wyjścia zawsze powinna być dokładna inwentaryzacja.

Co grozi za niespełnienie wymagań EU AI Act?

Rozporządzenie przewiduje znaczące sankcje finansowe. Dla podmiotów publicznych państw członkowskich kary mogą sięgać do 15 milionów euro lub 3 procent całkowitego rocznego obrotu za naruszenia przepisów dotyczących zakazanych praktyk AI, oraz do 10 milionów euro lub 2 procent obrotu za inne naruszenia. Poza sankcjami finansowymi organy nadzorcze mogą nakazać zaprzestanie używania systemu AI, co w przypadku instytucji publicznych może oznaczać poważne zakłócenia w świadczeniu usług dla obywateli.

Jak EU AI Act wpływa na zamówienia publiczne systemów AI od zewnętrznych dostawców?

Instytucje publiczne zamawiające systemy AI od zewnętrznych dostawców pozostają odpowiedzialne za zgodność tych systemów z rozporządzeniem jako ich operatorzy. Oznacza to, że warunki zamówień publicznych muszą zawierać szczegółowe wymagania dotyczące dostarczenia dokumentacji technicznej, możliwości przeprowadzenia audytu, wsparcia przy rejestracji w unijnym rejestrze oraz zobowiązań dostawcy do aktualizacji systemu w przypadku zmian regulacyjnych. Brak takich zapisów w umowach może prowadzić do sytuacji, w której instytucja ponosi odpowiedzialność za system, nad którym nie ma pełnej kontroli.

Jakie systemy AI w administracji publicznej są bezwzględnie zakazane przez EU AI Act?

Rozporządzenie zakazuje stosowania systemów AI do masowego scoringu obywateli opartego na ocenie ich zachowania społecznego lub cech osobowych, jeśli skutkuje to ich niekorzystnym traktowaniem przez organy publiczne w obszarach niezwiązanych z pierwotnym kontekstem zbierania danych. Zakazane jest również używanie systemów biometrycznej identyfikacji w czasie rzeczywistym w przestrzeni publicznej przez organy ścigania, z wyjątkiem ściśle określonych przypadków wymagających uprzedniej zgody sądu. Niedopuszczalne jest też stosowanie technik podprogowych wpływających na zachowanie człowieka wbrew jego woli oraz wydobywanie danych biometrycznych w celu profilowania politycznego, rasowego lub religijnego.

Podsumowanie

EU AI Act to regulacja, która fundamentalnie zmienia sposób, w jaki administracja publiczna może korzystać z systemów sztucznej inteligencji, stawiając prawa obywateli i przejrzystość algorytmów na pierwszym miejscu. Instytucje, które podejmą działania dostosowawcze już teraz, zyskają nie tylko pewność prawną, ale też zaufanie mieszkańców i reputację odpowiedzialnego podmiotu publicznego. Zacznij od inwentaryzacji systemów AI w swojej instytucji i skontaktuj się ze specjalistami ds. compliance, aby opracować plan wdrożenia dopasowany do specyfiki Twojego urzędu.