Wyrażam zgodę na przetwarzanie przez Polski Fundusz Rozwoju S.A. z siedzibą w Warszawie przy ul. Kruczej 50, 00-250 Warszawa, moich danych osobowych zawartych w formularzu wyłącznie w celu nawiązaniu kontaktu i udzieleniu odpowiedzi na zadane pytania.
Administratorem Pani/Pana danych osobowych jest Polski Fundusz Rozwoju S.A. z siedzibą w Warszawie przy ul. Kruczej 50, 00-250 Warszawa, zwany dalej "Administratorem". We wszystkich sprawach dotyczących przetwarzania Pani/Pana danych osobowych i przysługujących praw z tym związanych, można skontaktować się z Administratorem poprzez adres email [email protected], telefonicznie pod numerem +48 22 537 75 41 lub pisemnie na adres siedziby Administratora wskazany w punkcie 1 powyżej.
Pani/Pana dane osobowe mogą być przetwarzane do celów reklamacyjnych przez okres nie dłuższy niż rok od momentu utrwalenia danych, lub dłużej wyłącznie w przypadkach przewidzianych przepisami prawa. Pani/Pana dane osobowe mogą być udostępnione innym podmiotom uprawnionym na podstawie powszechnie obowiązującego prawa. Pani/Pana dane mogą być także przekazywane podmiotom przetwarzającym dane osobowe na zlecenie Administratora, przy czym takie podmioty przetwarzają dane na podstawie umowy z Administratorem i wyłącznie zgodnie z poleceniami Administratora.
Pani/Pana dane osobowe nie będą przekazywane do odbiorców znajdujących się w państwach poza Europejskim Obszarem Gospodarczym. Przysługują Pani/Panu następujące prawa:

  • prawo dostępu do danych osobowych oraz prawo żądania ich sprostowania, sprzeciwu wobec przetwarzania, ich usunięcia lub ograniczenia ich przetwarzania;
  • prawo wycofania zgody; wycofanie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem;
  • prawo do przenoszenia danych osobowych, tj. do otrzymania od Administratora danych osobowych, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (o ile ma to zastosowanie), w celu ewentualnego przekazania tych danych innemu administratorowi danych;
  • prawo do wniesienia skargi do organu nadzorczego zajmującego się ochroną danych osobowych, gdy uzna Pani/Pana, iż przetwarzanie danych osobowych dotyczących Pana/Pani osoby narusza przepisy Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016) (RODO).
  • W celu skorzystania z powyższych praw należy skontaktować się z Administratorem danych. Dane kontaktowe wskazane są w punkcie 2 wyżej.
  • Podanie danych osobowych jest dobrowolne, niemniej jest niezbędne do nawiązania kontaktu i udzielenie odpowiedzi na zadane pytania.
  • W związku z przetwarzaniem danych osobowych, decyzje dotyczące Pani/Pana osoby nie będą podejmowane w sposób zautomatyzowany (bez wpływu człowieka).


Wyrażam zgodę na przetwarzanie przez Polski Fundusz Rozwoju S.A. z siedzibą w Warszawie przy ul. Kruczej 50, 00-250 Warszawa, moich danych osobowych zawartych w formularzu wyłącznie w celu nawiązaniu kontaktu i udzieleniu odpowiedzi na zadane pytania.
Administratorem Pani/Pana danych osobowych jest Polski Fundusz Rozwoju S.A. z siedzibą w Warszawie przy ul. Kruczej 50, 00-250 Warszawa, zwany dalej "Administratorem". We wszystkich sprawach dotyczących przetwarzania Pani/Pana danych osobowych i przysługujących praw z tym związanych, można skontaktować się z Administratorem poprzez adres email [email protected], telefonicznie pod numerem +48 22 537 75 41 lub pisemnie na adres siedziby Administratora wskazany w punkcie 1 powyżej.
Pani/Pana dane osobowe mogą być przetwarzane do celów reklamacyjnych przez okres nie dłuższy niż rok od momentu utrwalenia danych, lub dłużej wyłącznie w przypadkach przewidzianych przepisami prawa. Pani/Pana dane osobowe mogą być udostępnione innym podmiotom uprawnionym na podstawie powszechnie obowiązującego prawa. Pani/Pana dane mogą być także przekazywane podmiotom przetwarzającym dane osobowe na zlecenie Administratora, przy czym takie podmioty przetwarzają dane na podstawie umowy z Administratorem i wyłącznie zgodnie z poleceniami Administratora.
Pani/Pana dane osobowe nie będą przekazywane do odbiorców znajdujących się w państwach poza Europejskim Obszarem Gospodarczym. Przysługują Pani/Panu następujące prawa:

  • prawo dostępu do danych osobowych oraz prawo żądania ich sprostowania, sprzeciwu wobec przetwarzania, ich usunięcia lub ograniczenia ich przetwarzania;
  • prawo wycofania zgody; wycofanie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem;
  • prawo do przenoszenia danych osobowych, tj. do otrzymania od Administratora danych osobowych, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (o ile ma to zastosowanie), w celu ewentualnego przekazania tych danych innemu administratorowi danych;
  • prawo do wniesienia skargi do organu nadzorczego zajmującego się ochroną danych osobowych, gdy uzna Pani/Pana, iż przetwarzanie danych osobowych dotyczących Pana/Pani osoby narusza przepisy Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016) (RODO).
  • W celu skorzystania z powyższych praw należy skontaktować się z Administratorem danych. Dane kontaktowe wskazane są w punkcie 2 wyżej.
  • Podanie danych osobowych jest dobrowolne, niemniej jest niezbędne do nawiązania kontaktu i udzielenie odpowiedzi na zadane pytania.
  • W związku z przetwarzaniem danych osobowych, decyzje dotyczące Pani/Pana osoby nie będą podejmowane w sposób zautomatyzowany (bez wpływu człowieka).


Publikacje Data publikacji: 18 grudnia 2024

AI Act w praktyce – poradnik dotyczący zgodności rozwiązań z wytycznymi AI Act

Autorzy: Wojciech Piszewski, Marcin Serafin 

AI Act, znany jako akt w sprawie sztucznej inteligencji, szczegółowo określa wymagania dla systemów AI. Wymagania te różnią się jednak znacznie w zależności od roli firmy wobec systemu AI i poziomu ryzyka związanego z danym rozwiązaniem. Aby określić swoje obowiązki, trzeba przeprowadzić szczegółową analizę rozwijanych i stosowanych systemów AI. Proces ten można podzielić na kilka etapów. W artykule postaramy się je przybliżyć i opisać działania potrzebne, aby korzystać z AI zgodnie z nowymi przepisami.

  1. Klasyfikacja systemu AI i określenie poziomu ryzyka

Pierwszym krokiem jest ustalenie poziomu ryzyka związanego z danym systemem AI. Firmy powinny przeanalizować, czy ich system AI może wpływać na prawa podstawowe i bezpieczeństwo użytkowników, oraz sprawdzić, czy jest wykorzystywany w obszarach określonych w AI Act.

Tzw. zakazane praktyki wiążą się z niedopuszczalnym ryzykiem – w razie ich zidentyfikowania trzeba zmodyfikować działanie systemu lub go wycofać. AI Act wymienia kilka praktyk, które są surowo zabronione, takich jak manipulacja poznawcza czy nieproporcjonalny scoring społeczny. Co istotne, dla uniknięcia zakazanych praktyk nie wystarczy jednorazowe działanie. Wymaga to przestrzegania podstawowych zasad etycznych w całym cyklu życia systemu AI i przeprowadzania regularnych audytów zgodności.

Dla obszarów i zastosowań wysokiego ryzyka AI Act przewiduje szereg konkretnych obowiązków. Pozostałe systemy, choć nieobjęte takim rygorem, również muszą być bezpieczne i zgodne m.in. z zasadami ochrony danych osobowych. W przypadku systemów wchodzących w interakcje z użytkownikami oraz generujących treści dodatkowo trzeba spełnić wymogi przejrzystości, które opiszemy w dalszej części artykułu.

  1. Określenie roli firmy (dostawca czy podmiot stosujący)

Wiele zależy od tego, w jakiej roli występuje firma, ponieważ inne są obowiązki dostawcy, a inne podmiotu stosującego system AI. Dostawca to podmiot, który opracowuje, wprowadza na rynek lub udostępnia system AI. Odpowiada on za aspekty techniczne i bezpieczeństwa, więc musi spełnić wymogi dotyczące projektowania, testowania, dokumentacji, zapewniania transparentności i monitorowania systemu AI.

Podmiot stosujący korzysta z systemu AI, aby wspierać swoją działalność. Odpowiada za wykorzystywanie systemu w odpowiedni sposób, a także za jego wpływ na użytkowników i inne osoby. Ma zatem obowiązki związane z odpowiednim użytkowaniem systemu, informowaniem o jego działaniu oraz ochroną praw osób, których dane przetwarza.

W przypadku systemu wysokiego ryzyka podmiot stosujący może stać się również jego dostawcą, gdy:

  • obrandowuje system – umieszcza swoją nazwę lub znak towarowy w systemie AI;
  • modyfikuje system – wprowadza istotne zmiany w systemie AI;
  • rozwija system – opracowuje nowe funkcje lub integruje system AI w sposób, który zmienia jego przeznaczenie.

Modyfikacja systemu może zmienić nie tylko rolę podmiotu, ale także poziom ryzyka. Dlatego bardzo ważne jest wdrożenie procesu ponownej oceny i klasyfikacji przy każdej istotnej zmianie wprowadzanej w systemie AI lub jego przeznaczeniu, aby upewnić się, że nie zwiększył się zakres obowiązków, które są związane z jego rozwojem lub stosowaniem.

  1. Przygotowanie do spełnienia wymogów dla systemów wysokiego ryzyka

Jeśli system AI został zaklasyfikowany jako wysokiego ryzyka, trzeba spełnić wiele wymogów. Musi on przejść dokładną ocenę zgodności. Dostawcy powinni opracować szczegółową dokumentację techniczną, która zawiera opis systemu AI, informacje o algorytmach i modelach, wynikach testów i analiz ryzyka. Podmioty stosujące powinny mieć wiedzę na temat działania systemu, jego ograniczeń i zasad korzystania.

Systemy wysokiego ryzyka muszą być zaprojektowane tak, aby zapewnić możliwość nadzoru i interwencji, w tym weryfikacji decyzji podejmowanych automatycznie. Wymaga to mechanizmów monitorowania i raportowania niepożądanych efektów działania systemu AI, a także funkcji rejestrowania zdarzeń. Systemy muszą być również zaprojektowane tak, aby minimalizować ryzyko związane z ich używaniem, w tym dyskryminacją czy błędnymi decyzjami. System musi być odporny na manipulacje i działać zgodnie z założeniami nawet w trudnych warunkach operacyjnych.

Przygotowanie się do spełnienia tych obowiązków wymaga przeprowadzenia analizy ryzyka, zwłaszcza w obszarze bezpieczeństwa i ochrony danych. Należy przeprowadzić kompleksowe testy, aby sprawdzić bezpieczeństwo i niezawodność systemu AI. Dokumentacja techniczna powinna być aktualizowana w miarę rozwoju systemu.

Podmioty stosujące systemy AI są odpowiedzialne za skutki ich działania. Mają obowiązek poinformować użytkowników o ich prawach, w tym możliwości sprzeciwu wobec zautomatyzowanego podejmowania decyzji. Osoby odpowiedzialne za obsługę systemów AI powinny mieć odpowiednie przeszkolenie i wiedzę techniczną, aby stosować je zgodnie z prawem i przeznaczeniem.

Zarówno dostawca, jak i podmiot stosujący powinni monitorować działanie systemów i prowadzić audyty zgodności. Należy opracować plan reagowania na incydenty związane z funkcjonowaniem systemu AI, aby w razie potrzeby szybko naprawić problem i poinformować o nim odpowiednie organy.

  1. Zapewnienie zgodności z wymogami przejrzystości

Wymogi dotyczące informowania użytkowników obejmują systemy stosowane w interakcji z klientem, takie jak chatboty – użytkownicy powinni wiedzieć, że dane są przetwarzane przez sztuczną inteligencję. W przypadku rozpoznawania emocji i analizy biometrycznej użytkownicy powinni wiedzieć, że system AI przetwarza ich dane w takich celach.

Wprowadzono też wymóg oznakowania treści wygenerowanych przez AI. Zwłaszcza podmioty stosujące deepfake (czyli obrazy, nagrania audio i wideo, które łudząco przypominają np. istniejące osoby) powinny ujawnić, że treści te zostały sztucznie wygenerowane lub zmanipulowane.

  1. Uniwersalne obowiązki i utrzymanie zgodności

Chociaż AI Act szczegółowo reguluje systemy wysokiego ryzyka, w przypadku innych systemów również trzeba minimalizować stronniczość w działaniu algorytmów. Wszystkie systemy AI muszą być zgodne z zasadami ochrony danych. Zgodność z RODO i innymi regulacjami, np. w obszarze reklamy, jest kluczowa, aby uniknąć problemów prawnych i utrzymać zaufanie klientów. Zalecamy zwłaszcza następujące działania:

  • Wdrożenie mechanizmów oznaczania treści generowanych przez AI.
  • Przeprowadzenie testów na różnych etapach rozwoju i wdrażania systemu.
  • Zaktualizowanie polityk prywatności, aby uwzględniały użycie systemów AI.
  • Szkolenia dla pracowników dotyczące wdrażania i użytkowania takich systemów.

Pracownicy odpowiedzialni za projektowanie, wdrażanie i użytkowanie systemów AI powinni być świadomi wymogów prawnych i etycznych. Szkolenia mogą obejmować zasady transparentności, ochrony danych oraz unikania zakazanych praktyk.

Wreszcie, każda firma powinna wdrożyć mechanizmy monitorowania pracy systemów i obsługi incydentów. Regularne audyty pomogą upewnić się, że system AI działa zgodnie z przepisami. Aby zapewnić zgodność na przyszłość, trzeba też śledzić zmiany w prawie i dostosowywać do nich swoje działania​.