Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Nie każdy błąd AI można naprawić. Przepisy przewidują poważne incydenty i procedury

Michał Kaźmierczak
Michał Kaźmierczak
Wydawca, dziennikarz i komentator polityczny, pasjonat technologii
Ai ACT
System sztucznej inteligencji wygenerował błędny wynik, firma zatrzymała jego działanie, poprawiła ustawienia i uruchomiła go ponownie.
Infor/Zdjęcie poglądowe
GazetaPrawna.pl

System sztucznej inteligencji wygenerował błędny wynik, firma zatrzymała jego działanie, poprawiła ustawienia i uruchomiła go ponownie. Przy zwykłej usterce taka reakcja może okazać się wystarczająca. AI Act wyodrębnia jednak kategorię poważnych incydentów, po których samo usunięcie problemu technicznego nie zamyka sprawy. Znaczenie mają skutki zdarzenia, związek pomiędzy działaniem systemu a powstałą szkodą oraz rola firmy w łańcuchu dostarczania i wykorzystywania AI.

rozwiń >

W przypadku systemów wysokiego ryzyka mogą uruchomić się obowiązki dotyczące przekazania informacji, analizy incydentu, zabezpieczenia danych i zgłoszenia zdarzenia. Przepisy określają również terminy, które w najpoważniejszych przypadkach są krótsze niż standardowe 15 dni.

Poważny incydent AI a zwykły błąd systemu

Nie każda pomyłka AI jest poważnym incydentem. System może wygenerować nieprawidłową odpowiedź, źle sklasyfikować dokument albo chwilowo przestać działać bez uruchamiania szczególnego mechanizmu raportowania. AI Act określa konkretne grupy skutków, które decydują o poważnym charakterze zdarzenia.

Do tej kategorii należą zdarzenia prowadzące bezpośrednio lub pośrednio do śmierci człowieka albo poważnego uszczerbku na zdrowiu. Przepisy obejmują również poważne i nieodwracalne zakłócenie zarządzania infrastrukturą krytyczną lub jej działania, naruszenie obowiązków prawa Unii chroniących prawa podstawowe oraz poważną szkodę w mieniu lub środowisku.

Pośredni związek pomiędzy AI a powstałą szkodą

Poważny incydent nie musi polegać na tym, że system samodzielnie wykonał niebezpieczne działanie. AI może wygenerować wynik wykorzystany następnie przez pracownika albo inny system. Dopiero kolejna decyzja prowadzi do poważnych konsekwencji.

Dlatego analiza zdarzenia może wymagać odtworzenia całego procesu. Trzeba ustalić, jakie dane otrzymała AI, jaki wynik wygenerowała, kto go zobaczył, jak został zinterpretowany i jakie działania podjęto później. Ta sama techniczna pomyłka może mieć niewielkie znaczenie w procesie pomocniczym i bardzo poważne skutki w zastosowaniu wpływającym na zdrowie, bezpieczeństwo lub prawa ludzi.

Dalszy ciąg materiału pod wideo

Obowiązek zgłoszenia poważnego incydentu AI

Podstawowy obowiązek raportowania przewidziany w art. 73 AI Act spoczywa na dostawcach systemów AI wysokiego ryzyka wprowadzonych na rynek Unii. Zgłoszenie powinno trafić do organów nadzoru rynku właściwych dla państw członkowskich, w których doszło do zdarzenia.

Znaczenie ma moment ustalenia związku przyczynowego pomiędzy systemem a incydentem albo stwierdzenia, że taki związek jest racjonalnie prawdopodobny. Przepisy nie wymagają więc czekania do chwili, w której każda wątpliwość zostanie usunięta. Jeżeli zebrane informacje wskazują, że system mógł odegrać istotną rolę, dostawca musi odpowiednio zareagować.

Terminy 2, 10 i 15 dni po zdarzeniu z AI

W przypadku szczególnie poważnego incydentu lub powszechnego naruszenia zgłoszenie powinno nastąpić natychmiast, nie później niż w ciągu dwóch dni od uzyskania informacji o zdarzeniu. Jeżeli incydent wiąże się ze śmiercią człowieka, dostawca powinien przekazać informację niezwłocznie po ustaleniu lub podejrzeniu związku z systemem wysokiego ryzyka, najpóźniej w ciągu 10 dni od uzyskania wiedzy o zdarzeniu.

Pozostałe poważne incydenty podlegają zasadniczemu maksymalnemu terminowi 15 dni. Te okresy pokazują, dlaczego organizacja nie powinna budować procedury dopiero w chwili wystąpienia problemu. W pierwszych godzinach konieczne może być jednoczesne zabezpieczenie danych, ustalenie wersji systemu, skontaktowanie się z dostawcą, ograniczenie dalszego ryzyka i rozpoczęcie analizy.

Niepełna wiedza o przyczynach incydentu AI

Ustalenie źródła problemu może wymagać znacznie więcej czasu niż przewidziane terminy. Trzeba czasami przeanalizować logi, konfigurację systemu, dane wejściowe, aktualizacje, sposób działania pracowników i informacje od innych podmiotów.

Przepisy przewidują możliwość przekazywania raportów etapami. Pierwsze zgłoszenie nie musi zawierać pełnej odpowiedzi na każde pytanie, jeżeli ustalenie przyczyn wymaga dalszego dochodzenia. Możliwe jest przekazywanie informacji uzupełniających, a następnie raportu końcowego.

Firma korzystająca z AI z własnymi obowiązkami

Formalny obowiązek zgłoszenia wynikający z art. 73 dotyczy przede wszystkim dostawcy systemu wysokiego ryzyka. Nie oznacza to jednak, że przedsiębiorstwo korzystające z rozwiązania może wyłączyć program i zakończyć sprawę.

Podmiot stosujący system ma obowiązki dotyczące monitorowania jego działania. Jeżeli istnieją podstawy do uznania, że korzystanie z AI zgodnie z instrukcją może stwarzać ryzyko dla zdrowia, bezpieczeństwa lub praw podstawowych, powinien bez zbędnej zwłoki poinformować właściwe podmioty. Reakcja jest potrzebna również po wykryciu poważnego incydentu.

Logi systemu AI potrzebne do wyjaśnienia incydentu

Po poważnym zdarzeniu kluczowe mogą okazać się informacje istniejące tuż przed jego wystąpieniem. Trzeba ustalić, jaka wersja systemu działała, jakie dane otrzymała AI, jaki wynik wygenerowała i jak zareagował człowiek. Znaczenie może mieć także to, czy podobne anomalie pojawiały się wcześniej.

Bez takich informacji ustalenie związku między systemem a skutkiem może być znacznie trudniejsze. Dlatego wymogi dotyczące rejestrowania zdarzeń i monitorowania systemów wysokiego ryzyka mają praktyczne znaczenie. Logi mogą być podstawowym materiałem potrzebnym do odtworzenia procesu.

Wyłączenie wadliwej AI bez zakończenia sprawy

Natychmiastowe zatrzymanie systemu może być konieczne, aby ograniczyć dalsze ryzyko. Nie zastępuje jednak badania zdarzenia. Trzeba ustalić, czy problem dotyczył pojedynczego przypadku, określonej wersji oprogramowania, konkretnej konfiguracji czy większej grupy użytkowników.

Konieczne może być również sprawdzenie, czy podobne nieprawidłowości występowały wcześniej, ale nie zostały rozpoznane jako niebezpieczne. Pojedynczy incydent może być sygnałem szerszego problemu wymagającego działań naprawczych.

Zgłoszenie incydentu bez automatycznego przyznania odpowiedzialności

Przepisy przewidują, że samo zgłoszenie poważnego incydentu nie powinno być traktowane jako przyznanie odpowiedzialności za zdarzenie. Ma to ograniczać sytuacje, w których obawa przed skutkami prawnymi opóźnia przekazanie informacji.

Nie oznacza to zwolnienia z dalszej analizy. Po zdarzeniu trzeba ustalić jego przyczynę, ocenić rolę systemu i podjąć potrzebne działania naprawcze. Dlatego procedura powinna istnieć przed wystąpieniem pierwszego poważnego problemu.

ŹRÓDŁA

  • Rozporządzenie Parlamentu Europejskiego i Rady UE 2024/1689, art. 3, art. 26, art. 72, art. 73
  • Komisja Europejska, materiały dotyczące poważnych incydentów AI
  • Komisja Europejska, materiały dotyczące systemów AI wysokiego ryzyka
  • Rada Unii Europejskiej, AI Omnibus
Źródło: INFOR

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

Praca
Na rynku pracy widać lekkie ożywienie. Liczba ofert zatrudnienia wzrosła

Barometr Ofert Pracy, wskazujący na zmiany liczby ogłoszeń o zatrudnieniu, wzrósł w czerwcu o 2,9 pkt w stosunku do maja tego roku – wynika z raportu przygotowanego przez Katedrę Ekonomii i Finansów WSIiZ w Rzeszowie oraz BIEC.

Nie każdy błąd AI można naprawić. Przepisy przewidują poważne incydenty i procedury

System sztucznej inteligencji wygenerował błędny wynik, firma zatrzymała jego działanie, poprawiła ustawienia i uruchomiła go ponownie. Przy zwykłej usterce taka reakcja może okazać się wystarczająca. AI Act wyodrębnia jednak kategorię poważnych incydentów, po których samo usunięcie problemu technicznego nie zamyka sprawy. Znaczenie mają skutki zdarzenia, związek pomiędzy działaniem systemu a powstałą szkodą oraz rola firmy w łańcuchu dostarczania i wykorzystywania AI.

Pracownik uruchomił AI bez zgody firmy. Ryzyko nie kończy się na danych

Pracownik chce szybciej przeanalizować umowę, poprawić kod, podsumować dokument albo przygotować odpowiedź dla klienta. Otwiera więc prywatne konto w wybranym narzędziu AI i wkleja potrzebne informacje. Cała operacja trwa kilka minut i może odbyć się bez wiedzy działu IT, przełożonego oraz osób odpowiedzialnych za bezpieczeństwo. Tak powstaje shadow AI – wykorzystanie systemów sztucznej inteligencji poza oficjalną kontrolą organizacji.

Pracownik musi kontrolować AI. Sam przycisk „zatwierdź” może nie wystarczyć

Firma może zbudować proces, w którym sztuczna inteligencja przygotowuje rekomendację, a ostateczną decyzję formalnie zatwierdza pracownik. Na papierze człowiek pozostaje więc w centrum procesu. AI Act wymaga jednak, aby nadzór nad systemami wysokiego ryzyka był skuteczny, a nie sprowadzony do obecności osoby, która automatycznie akceptuje kolejne wyniki. Pracownik powinien rozumieć ograniczenia systemu, mieć odpowiednie kompetencje i rzeczywiste uprawnienia do zakwestionowania rekomendacji.

Firma korzysta z AI od kilku lat. Modernizacja systemu może uruchomić nowe obowiązki

System sztucznej inteligencji od kilku lat analizuje dokumenty kandydatów do pracy, wspiera ocenę klientów albo pomaga podejmować decyzje dotyczące określonych usług. Firma może uznać, że skoro narzędzie zostało wdrożone przed rozpoczęciem stosowania nowych wymogów AI Act, jego sytuacja prawna jest ustalona. Nie zawsze będzie to bezpieczne założenie. Znaczenie może mieć nie tylko data uruchomienia systemu, ale również to, co przedsiębiorstwo zrobiło z nim później. Nie tylko głęboka przebudowa, ale też dodanie nowych funkcji albo zmiana celu wykorzystania mogą spowodować konieczność ponownej oceny rozwiązania.

To może decydować o zatrudnieniu. Badanie ujawnia zaskakujące preferencje rekruterów

Kompetencje nie zawsze są jedynym kryterium podczas rekrutacji. Z najnowszych badań wynika, że wygląd, a konkretnie masa ciała, może mieć istotny wpływ na decyzje pracodawców. Ponad 80 proc. rekruterów deklaruje, że przy identycznych kwalifikacjach częściej wybrałoby kandydata o szczupłej sylwetce niż osobę z nadmierną masą ciała.

Bezrobocie najniższe od miesięcy? Są najnowsze szacunki resortu pracy za czerwiec 2026 r.

Bezrobocie w Polsce nadal spada. Według szacunków Ministerstwa Rodziny, Pracy i Polityki Społecznej stopa bezrobocia rejestrowanego na koniec czerwca 2026 r. wyniosła 5,8 proc., czyli o 0,1 pkt proc. mniej niż miesiąc wcześniej. W urzędach pracy było zarejestrowanych 902,7 tys. osób bezrobotnych – o 13,2 tys. mniej niż pod koniec maja.

Sen stał się luksusem? Co trzeci młody Polak śpi zbyt krótko. Gospodarka traci na tym miliardy

Jedna trzecia Polaków w grupie 18-35 lat sypia 6 godzin lub mniej, czyli krócej od rekomendowanych dla tej grupy wiekowej 7 do 9 godzin - wynika z raportu UCE Research i platformy ePsycholodzy. Eksperci szacują, że gospodarka traci rocznie z tego powodu ponad 17 mln roboczodniówek i 8,7 mld zł.

Coraz mniej osób pracuje na czarno. Najnowszy raport pokazuje skalę zmian

Pracy na czarno w Polsce jest coraz mniej. Najnowsze dane pokazują, że w 2025 r. inspektorzy wykryli o 7,5 proc. mniej przypadków nielegalnego zatrudnienia Polaków niż rok wcześniej. Maleje także liczba cudzoziemców pracujących w szarej strefie, co może świadczyć o stopniowym ograniczaniu tego zjawiska na rynku pracy.

Prawie co druga firma ma ten sam problem. Ratunkiem są wyższe płace

Niemal co druga firma mierzy się z problemem rotacji pracowników, dlatego coraz więcej z nich ogranicza ryzyko odejść m.in. poprzez podwyżki wynagrodzeń, premie i możliwości rozwoju – wynika z raportu „Barometr rynku pracy 2026” przygotowanego przez Gi Group Holding.

Zapisz się na newsletter
Najlepsze artykuły, najpoczytniejsze tematy, zmiany w prawie i porady. Skoncentrowana dawka wiadomości z różnych kategorii: prawo, księgowość, kadry, biznes, nieruchomości, pieniądze, edukacja. Zapisz się na nasz newsletter i bądź zawsze na czasie.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak