Az uniós MI szabályozás már egy karnyújtásnyira?

December elején jelent meg a hír, amelyet már régóta vártak Unió szerte: az Európai Parlament és a Tanács hosszú évek után megállapodott a mesterséges intelligenciáról szóló rendelettervezetről – azaz az AI Act-ről. Február 2-án az Európai Unió belga elnöksége bejelentette, hogy az Állandó Képviselők Bizottsága (Coreper) aláírta a Rendelettervezetet, és aznap elérhetővé vált annak egységes szerkezetű szövege is.

Kikre fog vonatkozni az AI Act?

A Rendelettervezet azokra az állami és magánszereplőkre is vonatkozik, akik MI-rendszereket hoznak forgalomba az uniós piacon vagy azokat az EU-ban használják. Egyaránt vonatkozik a magas kockázatú MI-rendszerek szolgáltatóira (pl. önéletrajzok szűrésére szolgáló eszközök fejlesztőire), illetve felhasználóira is (pl. a bankokra, amelyek megvásárolják ezt a szűrési eszközt).

Melyek az AI Act által alkalmazott kockázati kategóriák?

Nagyon fontos az MI rendszer megfelelő kategorizálása, ugyanis a Rendelettervezet által meghatározott kötelezettségek a besoroláshoz igazodnak. A nem megfelelő osztályozás pedig súlyos bírságolást vonhat maga után

– mondta el dr. Albert Lili, a Deloitte Legal MI megfeleléssel foglalkozó ügyvédje.

A Rendelettervezet a következő kockázati kategóriákat alkalmazza:

  • Elfogadhatatlan kockázat: az ebbe a kategóriába tartozó MI megoldások alkalmazása tilos lesz.
  • Magas kockázat: olyan MI-rendszer, amely káros hatással lehet az emberek biztonságára vagy alapvető jogaira
  • Az átláthatósággal kapcsolatos egyedi kockázat: pl. csevegőrobotok használatakor a felhasználóknak tisztában kell lenniük azzal, hogy egy géppel kommunikálnak
  • Minimális kockázat: az ilyen rendszerekre nézve nem állapít meg új kötelezettségeket az AI Act, tehát a hatályos jogszabályok alapján fejleszthetők és használhatók.

Milyen szankciókra lehet számítani jogsértés esetén?

Tényleges gazdasági kockázatot jelenthet a megfelelés hiánya. A Rendelettervezet szofisztikált szankciórendszert alkalmaz, ami alapján a szabályok megsértése miatt kiszabható bírságok lehetséges legmagasabb összege 35 millió EUR (jelenleg kb. 13,5 milliárd forint), vagy az előző pénzügyi év teljes éves világszintű forgalmának 7%-a (amelyik magasabb), ám ilyen léptékű szankció csak a legsúlyosabb jogsértések esetén merülhetne fel, ideértve a Rendelettervezetben meghatározott tiltott gyakorlatok folytatását.

Legyen szó a jogsértés bármely kategóriájáról, az alkalmazandó küszöbérték a kkv-k esetében a két összeg közül az alacsonyabb, a többi vállalat esetében pedig a magasabb lenne.

Mi a teendő?

A Rendelettervezet elfogadása még várat magára, ez várhatóan 2024 első negyedévében fog megtörténni, azonban már az elfogadást követő 6 hónapon belül lesznek olyan rendelkezések, amelyeket szükséges lesz majd alkalmazni. A MI megoldások tervezése, implementációja időigényes folyamat, ezért nagyon fontos már a bevezetést megelőzően felkészülni a rendeletben meghatározott követelményeknek való megfelelésre, hiszen ezzel rengeteg erőforrást és energiát lehet megspórolni, nem beszélve arról, hogy így a bírságolás kockázata is nagymértékben csökkenthető

– mondta el Dr. Barta Gergő a Deloitte Magyarország vezető MI szakértője.

Érdemes továbbá számításba venni az MI rendszerek alkalmazására való felkészülés során, hogy nemcsak az AI Act rendelkezéseire kell majd tekintettel lenni, hanem a már most is alkalmazandó, egyéb szabályoknak is meg kell felelni. Az MI rendszerek használata során gyakori a személyes adatok kezelése, így például a GDPR megfelelés is kulcsfontosságú lehet, aminek hiánya további jelentős kockázatokat hozhat magával

– hívta fel a figyelmet Dr. Nagy Dániel Attila, a Deloitte Legal Adatvédelmi és Technológiai jogi csoportjának vezetője.

Bár a Rendelettervezet szövege még nem végleges, az Unió hivatalos honlapján elérhető információk alapján a Deloitte szakértői összefoglalták, milyen szabályozási változások és kérdések merülhetnek fel.