Systemy AI wysokiego ryzyka – wymogi AI Act
Jakie systemy AI są klasyfikowane jako wysokiego ryzyka? Obowiązki dostawców i użytkowników według AI Act.
AI Act wprowadza szczególne wymogi dla systemów sztucznej inteligencji klasyfikowanych jako "wysokiego ryzyka". To systemy, których awaria lub niewłaściwe działanie może mieć poważne konsekwencje dla zdrowia, bezpieczeństwa lub praw podstawowych osób. Zrozumienie, które systemy podlegają tym wymogom i jakie obowiązki się z nimi wiążą, jest kluczowe dla organizacji rozwijających lub wdrażających AI.
Które systemy AI są klasyfikowane jako wysokiego ryzyka?
AI Act wskazuje dwie kategorie systemów wysokiego ryzyka. Pierwsza to systemy będące elementem bezpieczeństwa produktów objętych przepisami sektorowymi (urządzenia medyczne, maszyny, zabawki). Druga to systemy z załącznika III: identyfikacja biometryczna, zarządzanie infrastrukturą krytyczną, edukacja i szkolenia zawodowe, zatrudnienie i zarządzanie pracownikami, dostęp do usług publicznych, egzekwowanie prawa, migracja i kontrola granic, wymiar sprawiedliwości.
Systemy HR i rekrutacyjne jako AI wysokiego ryzyka
Szczególną uwagę przyciągają systemy AI w HR: automatyczna selekcja CV, scoring kandydatów, systemy oceny pracowników. Te systemy przetwarzają dane osobowe i podejmują decyzje wpływające na życie ludzi. Oprócz wymogów AI Act, muszą spełniać wymogi RODO dotyczące automatycznego podejmowania decyzji (art. 22). Wykrywanie danych osobowych i ich odpowiednie przetwarzanie jest fundamentem zgodności.
Wymogi dla dostawców systemów wysokiego ryzyka
Dostawcy systemów AI wysokiego ryzyka muszą: wdrożyć system zarządzania ryzykiem przez cały cykl życia, zapewnić jakość danych treningowych i testowych, stworzyć dokumentację techniczną, zapewnić rejestrowanie zdarzeń (logowanie), dostarczyć przejrzyste instrukcje dla użytkowników, umożliwić nadzór ludzki, zagwarantować odpowiedni poziom dokładności, solidności i cyberbezpieczeństwa. Przed wprowadzeniem na rynek wymagana jest ocena zgodności.
Obowiązki użytkowników systemów wysokiego ryzyka
Użytkownicy (deployers) systemów AI wysokiego ryzyka również mają obowiązki: stosować system zgodnie z instrukcjami dostawcy, zapewnić nadzór ludzki przez kompetentne osoby, monitorować działanie systemu i zgłaszać incydenty, przeprowadzać DPIA gdy wymagane przez RODO, informować osoby podlegające decyzjom systemu. Użytkownik pozostaje odpowiedzialny za skutki decyzji podjętych z wykorzystaniem AI.
Dane treningowe i wykrywanie danych osobowych
Jakość danych treningowych jest kluczowa dla zgodności systemów AI wysokiego ryzyka. Dane muszą być reprezentatywne, wolne od błędów i bias. Jeśli zawierają dane osobowe, wymagane jest spełnienie wymogów RODO: podstawa prawna, minimalizacja, ograniczenie celu. Automatyczne wykrywanie danych osobowych w zbiorach treningowych pozwala na identyfikację i odpowiednie przetwarzanie wrażliwych informacji przed treningiem modelu.
Narzędzia Wizards.io wspierają zgodność systemów AI wysokiego ryzyka z wymogami ochrony danych. **Revelio** i **Detecto** automatycznie wykrywają dane osobowe w zbiorach treningowych, umożliwiając ocenę i odpowiednie przetwarzanie. **Nocturno** anonimizuje dane treningowe, redukując ryzyko związane z przetwarzaniem danych osobowych przez AI i ułatwiając zgodność z RODO i AI Act.
Systemy AI wysokiego ryzyka podlegają surowym wymogom, których spełnienie wymaga systematycznego podejścia. Kluczowa jest jakość i zgodność danych treningowych, transparentność działania oraz możliwość nadzoru ludzkiego. Połączenie wymogów AI Act i RODO wymaga szczególnej uwagi w zakresie wykrywania i przetwarzania danych osobowych.