December elején jelent meg a hír, amelyet már régóta vártak uniószerte: az Európai Parlament és a Tanács hosszú évek után megállapodott a mesterséges intelligenciáról szóló rendelettervezetről – azaz az AI Act-ről. Február 2-án az Európai Unió belga elnöksége bejelentette, hogy az Állandó Képviselők Bizottsága (Coreper) aláírta a rendelettervezetet, és aznap elérhetővé vált annak egységes szerkezetű szövege is – derül ki a Deloitte összefoglalójából.
Kikre fog vonatkozni az AI Act?
A rendelettervezet azokra az állami és magánszereplőkre is vonatkozik, akik MI-rendszereket hoznak forgalomba az uniós piacon vagy azokat az EU-ban használják. Egyaránt vonatkozik a magas kockázatú MI-rendszerek szolgáltatóira (például önéletrajzok szűrésére szolgáló eszközök fejlesztőire), illetve felhasználóira is (például a bankokra, amelyek megvásárolják ezt a szűrési eszközt).
Melyek az AI Act által alkalmazott kockázati kategóriák?
„Nagyon fontos az MI rendszer megfelelő kategorizálása, ugyanis a rendelettervezet által meghatározott kötelezettségek a besoroláshoz igazodnak. A nem megfelelő osztályozás pedig súlyos bírságolást vonhat maga után” – mondta el dr. Albert Lili, a Deloitte Legal MI megfeleléssel foglalkozó ügyvédje.
A rendelettervezet a következő kockázati kategóriákat alkalmazza:
- Elfogadhatatlan kockázat: az ebbe a kategóriába tartozó MI megoldások alkalmazása tilos lesz.
- Magas kockázat: olyan MI-rendszer, amely káros hatással lehet az emberek biztonságára vagy alapvető jogaira
- Az átláthatósággal kapcsolatos egyedi kockázat: pl. csevegőrobotok használatakor a felhasználóknak tisztában kell lenniük azzal, hogy egy géppel kommunikálnak
- Minimális kockázat: az ilyen rendszerekre nézve nem állapít meg új kötelezettségeket az AI Act, tehát a hatályos jogszabályok alapján fejleszthetők és használhatók.
Milyen szankciókra lehet számítani jogsértés esetén?
Tényleges gazdasági kockázatot jelenthet a megfelelés hiánya. A rendelettervezet szofisztikált szankciórendszert alkalmaz, ami alapján a szabályok megsértése miatt kiszabható bírságok lehetséges legmagasabb összege 35 millió euró (jelenleg körülbelül 13,5 milliárd forint), vagy az előző pénzügyi év teljes éves világszintű forgalmának 7 százaléka (amelyik magasabb), ám ilyen léptékű szankció csak a legsúlyosabb jogsértések esetén merülhetne fel, ideértve a rendelettervezetben meghatározott tiltott gyakorlatok folytatását.
Legyen szó a jogsértés bármely kategóriájáról, az alkalmazandó küszöbérték a kkv-k esetében a két összeg közül az alacsonyabb, a többi vállalat esetében pedig a magasabb lenne.
Mi a teendő?
„A rendelettervezet elfogadása még várat magára, ez várhatóan 2024 első negyedévében fog megtörténni, azonban már az elfogadást követő 6 hónapon belül lesznek olyan rendelkezések, amelyeket szükséges lesz majd alkalmazni. A MI megoldások tervezése, implementációja időigényes folyamat, ezért nagyon fontos már a bevezetést megelőzően felkészülni a rendeletben meghatározott követelményeknek való megfelelésre, hiszen ezzel rengeteg erőforrást és energiát lehet megspórolni, nem beszélve arról, hogy így a bírságolás kockázata is nagymértékben csökkenthető” – mondta el Dr. Barta Gergő a Deloitte Magyarország vezető MI szakértője.
„Érdemes továbbá számításba venni az MI rendszerek alkalmazására való felkészülés során, hogy nemcsak az AI Act rendelkezéseire kell majd tekintettel lenni, hanem a már most is alkalmazandó, egyéb szabályoknak is meg kell felelni. Az MI rendszerek használata során gyakori a személyes adatok kezelése, így például a GDPR megfelelés is kulcsfontosságú lehet, aminek hiánya további jelentős kockázatokat hozhat magával” – hívta fel a figyelmet Dr. Nagy Dániel Attila, a Deloitte Legal Adatvédelmi és Technológiai jogi csoportjának vezetője.
Bár a rendelettervezet szövege még nem végleges, az Unió hivatalos honlapján elérhető információk alapján a Deloitte szakértői összefoglalták, milyen szabályozási változások és kérdések merülhetnek fel.