December elején jelent meg a hír, amelyet már régóta vártak Unió szerte: az Európai Parlament és a Tanács hosszú évek után megállapodott a mesterséges intelligenciáról szóló rendelettervezetről – azaz az AI Act-ről. Február 2-án az Európai Unió belga elnöksége bejelentette, hogy az Állandó Képviselők Bizottsága (Coreper) aláírta a Rendelettervezetet, és aznap elérhetővé vált annak egységes szerkezetű szövege is.
Kikre fog vonatkozni az AI Act?
A Rendelettervezet azokra az állami és magánszereplőkre is vonatkozik, akik MI-rendszereket hoznak forgalomba az uniós piacon vagy azokat az EU-ban használják. Egyaránt vonatkozik a magas kockázatú MI-rendszerek szolgáltatóira (pl. önéletrajzok szűrésére szolgáló eszközök fejlesztőire), illetve felhasználóira is (pl. a bankokra, amelyek megvásárolják ezt a szűrési eszközt).
Melyek az AI Act által alkalmazott kockázati kategóriák?
„Nagyon fontos az MI rendszer megfelelő kategorizálása, ugyanis a Rendelettervezet által meghatározott kötelezettségek a besoroláshoz igazodnak. A nem megfelelő osztályozás pedig súlyos bírságolást vonhat maga után” – mondta el dr. Albert Lili, a Deloitte Legal MI megfeleléssel foglalkozó ügyvédje.
A Rendelettervezet a következő kockázati kategóriákat alkalmazza:
• Elfogadhatatlan kockázat: az ebbe a kategóriába tartozó MI megoldások alkalmazása tilos lesz.
• Magas kockázat: olyan MI-rendszer, amely káros hatással lehet az emberek biztonságára vagy alapvető jogaira
• Az átláthatósággal kapcsolatos egyedi kockázat: pl. csevegőrobotok használatakor a felhasználóknak tisztában kell lenniük azzal, hogy egy géppel kommunikálnak
• Minimális kockázat: az ilyen rendszerekre nézve nem állapít meg új kötelezettségeket az AI Act, tehát a hatályos jogszabályok alapján fejleszthetők és használhatók.
Milyen szankciókra lehet számítani jogsértés esetén?
Tényleges gazdasági kockázatot jelenthet a megfelelés hiánya. A Rendelettervezet szofisztikált szankciórendszert alkalmaz, ami alapján a szabályok megsértése miatt kiszabható bírságok lehetséges legmagasabb összege 35 millió EUR (jelenleg kb. 13,5 milliárd forint), vagy az előző pénzügyi év teljes éves világszintű forgalmának 7%-a (amelyik magasabb), ám ilyen léptékű szankció csak a legsúlyosabb jogsértések esetén merülhetne fel, ideértve a Rendelettervezetben meghatározott tiltott gyakorlatok folytatását.
Legyen szó a jogsértés bármely kategóriájáról, az alkalmazandó küszöbérték a kkv-k esetében a két összeg közül az alacsonyabb, a többi vállalat esetében pedig a magasabb lenne.
Mi a teendő?
„A Rendelettervezet elfogadása még várat magára, ez várhatóan 2024 első negyedévében fog megtörténni, azonban már az elfogadást követő 6 hónapon belül lesznek olyan rendelkezések, amelyeket szükséges lesz majd alkalmazni. A MI megoldások tervezése, implementációja időigényes folyamat, ezért nagyon fontos már a bevezetést megelőzően felkészülni a rendeletben meghatározott követelményeknek való megfelelésre, hiszen ezzel rengeteg erőforrást és energiát lehet megspórolni, nem beszélve arról, hogy így a bírságolás kockázata is nagymértékben csökkenthető” – mondta el Dr. Barta Gergő a Deloitte Magyarország vezető MI szakértője.
„Érdemes továbbá számításba venni az MI rendszerek alkalmazására való felkészülés során, hogy nemcsak az AI Act rendelkezéseire kell majd tekintettel lenni, hanem a már most is alkalmazandó, egyéb szabályoknak is meg kell felelni. Az MI rendszerek használata során gyakori a személyes adatok kezelése, így például a GDPR megfelelés is kulcsfontosságú lehet, aminek hiánya további jelentős kockázatokat hozhat magával” – hívta fel a figyelmet Dr. Nagy Dániel Attila, a Deloitte Legal Adatvédelmi és Technológiai jogi csoportjának vezetője.
Bár a Rendelettervezet szövege még nem végleges, az Unió hivatalos honlapján elérhető információk alapján a Deloitte szakértői összefoglalták, milyen szabályozási változások és kérdések merülhetnek fel.