VEIKLOS SRITYS:

informacija-gestu-kalbainformacija-lengvai-suprantama-kalba Svetainės žemėlapis RRT Facebook RRT linkedin

DI veiklos vykdytojams

Pagal DI aktą ekonominės veiklos vykdytojai, susiję su DI sistemų kūrimu, pateikimu į rinką ar naudojimu, privalo užtikrinti atitiktį teisiniams reikalavimams. Šiame skyriuje pateikiama pagrindinė praktinė informacija verslui, susijusi su atitikties užtikrinimu, dokumentacija, žymėjimu ir rizikos valdymu.

Verslas pirmiausia privalo įsivertinti:

  • Ar jų naudojama ar tiekiama sistema yra DI sistema pagal DI akto 3 str. (DI sistemų apibrėžimo gairės)
  • Kokia yra DI sistemos rizikos kategorija (nepriimtina, didelė, ribota ar minimali).
  • Ar jų veikla apima DI sistemos sukūrimą, tiekimą, naudojimą, integravimą ar platinimą ES rinkoje.

Reikalavimai didelės rizikos DI sistemoms

Jeigu DI sistema patenka į didelės rizikos kategoriją (pvz., naudojama įdarbinimo, sveikatos priežiūros, švietimo, teisėsaugos srityse), jos tiekėjas privalo įrodyti, kad ji atitinka visus DI akto reikalavimus.

Atitikties užtikrinimas

  • Techninė dokumentacija: turi būti parengtas išsamus dokumentų rinkinys, kuris įrodo, kad DI sistema buvo sukurta pagal teisės aktų nustatytus principus, įskaitant rizikos valdymą, duomenų kokybę ir žmogaus priežiūrą. Ši dokumentacija taip pat leidžia priežiūros institucijoms atlikti ex-post Techninėje dokumentacijoje (pagal DI akto IV priedą) turi būti detaliai aprašytos DI sistemos funkcijos, architektūra, panaudoti metodai, naudojimo paskirtis bei taikymo kontekstas. Ji taip pat turi atskleisti, kaip DI sistema atitinka visus DI akto reikalavimus – nuo duomenų valdymo iki žmogaus priežiūros mechanizmų. Ši dokumentacija yra privaloma tiek vidaus atitikties vertinimui, tiek trečiųjų šalių atitikties vertinimo procesams, ir turi būti saugoma per visą DI sistemos gyvavimo laikotarpį.

 

  • Rizikos valdymo sistema: turi būti sukurta procedūra, identifikuojanti, vertinanti ir valdanti galimus pavojus visame DI sistemos gyvavimo cikle – nuo projektavimo iki naudojimo nutraukimo. Tai apima ir incidentų valdymo mechanizmus. Į dokumentus įtraukiami:
  1. rizikų identifikavimo metodai;
  2. vertinimo kriterijai;
  3. rizikų mažinimo priemonės;
  4. veiksmų planai kilus incidentams ar pažeidimams. Tai užtikrina, kad bet kokios potencialios grėsmės (pvz., netikslūs rezultatai, diskriminacija, duomenų nutekėjimas) būtų iš anksto numatytos ir tinkamai valdomos.
  • Duomenų kokybė: mokymui, testavimui ir veikimui naudojami duomenys turi būti tikslūs, atnaujinti, įvairūs (nešališki), tinkami paskirčiai. Netinkami arba šališki duomenys gali lemti diskriminacinius rezultatus. Todėl DI sistemų tiekėjai dokumentuose privalo detalizuoti, kokie duomenys buvo naudojami DI sistemos mokymui, testavimui ir validacijai. Taip pat aprašomi metodai, kaip buvo užtikrintas duomenų tinkamumas, įvairovė, balansas bei apsauga nuo šališkumo. Privaloma pateikti informaciją apie:
  1. duomenų šaltinius;
  2. išankstinio apdorojimo veiksmus;
  3. kokybės tikrinimo procedūras;
  4. metodus, naudojamus rezultatų tikslumui vertinti.
  • Registracija ES duomenų bazėje: visos didelės rizikos DI sistemos, išskyrus kai kurias išimtis (pvz., kai kuriais teisėsaugos atvejais), turi būti registruojamos specialioje ES skaitmeninėje duomenų bazėje. Tai užtikrina viešą atskaitomybę ir leidžia institucijoms stebėti DI sistemų plėtrą.

Žmogaus priežiūra ir skaidrumas

DI aktas įtvirtina principą, kad žmogus turi išlikti atsakingas už sprendimus, todėl:

  • Žmogaus kontrolė: DI sistemos turi turėti įdiegtus mechanizmus, leidžiančius žmogui prižiūrėti jų veikimą. Pavyzdžiui, naudotojas turi turėti galimybę peržiūrėti, patvirtinti ar atmesti automatizuotą sprendimą, ypač jei jis turi reikšmingų pasekmių (pvz., nepriėmimas į darbą ar atsisakymas suteikti paskolą).
  • Profesionalių naudotojų informavimas: tiekėjai turi parengti vartotojui suprantamą naudojimo vadovą, kuris paaiškintų, kaip naudoti DI sistemą saugiai ir tinkamai. Vadove turi būti aprašyta:
  1. kaip DI sistema priima sprendimus (paaiškinamas jos veikimo principas);
  2. kokie yra jos veikimo apribojimai;
  3. kokia yra naudotojo atsakomybė;
  4. kaip tinkamai įsikišti, jei DI sistema veikia netinkamai.
  • Visuomenės ar galutinių naudotojų informavimas (DI akto 50 str.): DI aktas numato aiškius reikalavimus dėl skaidrumo, kai DI sistemos sąveikauja su žmonėmis, ypač kai sprendimai turi įtakos asmenų teisėms, galimybėms ar apsisprendimui. Ekonominės veiklos vykdytojai, tiekiantys ar diegiantys DI sistemas, turi užtikrinti, kad naudotojai būtų tinkamai informuoti, o vartotojų teisės – apsaugotos. Taip užtikrinama, kad galutiniai naudotojai būtų apsaugoti nuo manipuliacijų ar klaidinimo. Ši nuostata skirta stiprinti visuomenės pasitikėjimą DI technologijomis ir išvengti klaidinančių praktikų.

Atitikties vertinimo procedūros

Kad DI sistema galėtų būti teisėtai naudojama ES rinkoje, būtina atlikti vieną iš šių atitikties vertinimo procedūrų:

  • Vidinis atitikties vertinimas: daugeliu atvejų tiekėjas gali pats atlikti vertinimą, jei tai leidžia DI aktas, ir įsitikinti, kad sistema atitinka nustatytus reikalavimus. Tai taikoma didelės rizikos DI sistemoms, naudojamoms srityse, kurios nurodytos DI akto III priedo 2-8 punktuose (kai kuriais atvejais ir to paties priedo 1 punkte nurodytos DI sistemos).
  • Vertinimas per notifikuotąją įstaigą: tam tikrais atvejais (pvz., kai DI sistema yra kaip saugos komponentas), būtina kreiptis į nepriklausomą notifikuotąją įstaigą, kuri atlieka oficialų vertinimą.
  • ES atitikties deklaracija: po vertinimo tiekėjas privalo parengti ES atitikties deklaraciją (DI akto 47 str.), kurioje patvirtinama, kad DI sistema atitinka visus reikalavimus. Tik turėdama CE ženklą, DI sistema gali būti pateikta į ES rinką.

Pranešimo apie rimtus incidentus pareiga

Pranešimas apie rimtus incidentus rinkos priežiūros institucijai: tiekėjai (tam tikrais atvejais ir diegėjai) yra teisiškai įpareigoti informuoti atitinkamą rinkos priežiūros instituciją, jeigu jų naudojama arba tiekiama DI sistema sukėlė ar galėjo sukelti rimtą žalą asmenų sveikatai, gyvybei, turtui, aplinkai ar pagrindinėms teisėms. Ši pareiga galioja visam produkto gyvavimo ciklui – ne tik iki jo pateikimo į rinką, bet ir po to. Pranešimai leidžia institucijoms laiku reaguoti, įvertinti rizikas ir, jei reikia, apriboti ar uždrausti tokios DI sistemos naudojimą.

15 dienų terminas nuo sužinojimo apie incidentą: pranešimas turi būti pateiktas ne vėliau kaip per 15 dienų (asmens mirties atveju, per 10 dienų) nuo tos dienos, kai tiekėjas (ar diegėjas) sužinojo apie incidentą arba turėjo apie jį žinoti. Šis terminas svarbus siekiant užtikrinti skubų reagavimą, ypač jei pažeidžiamos žmogaus teisės ar kyla rizika visuomenės saugumui. Uždelstas pranešimas gali būti traktuojamas kaip teisės pažeidimas, dėl ko gali būti skiriamos sankcijos.

Vidinio tyrimo vykdymas ir korekcinių veiksmų ataskaita. Be pranešimo tiekėjas (ar diegėjas) privalo atlikti išsamų vidinį incidento tyrimą, kurio metu:

  • nustatomos techninės, organizacinės ar veiklos priežastys, dėl kurių įvyko incidentas,
  • įvertinami trūkumai DI sistemos projektavime, duomenyse ar naudojimo kontekste,
  • suplanuojami ir įgyvendinami korekciniai bei prevenciniai veiksmai (pvz., atnaujinimai, papildomas naudotojų mokymas, funkcijų apribojimas).

Šių veiksmų rezultatai turi būti dokumentuojami ir, esant pareikalavimui, pateikiami rinkos priežiūros institucijai. Tai yra esminė sistemos saugos ir atitikties užtikrinimo proceso dalis, užtikrinanti grįžtamąjį ryšį tarp rinkos priežiūros ir praktinio naudojimo.

DI raštingumo skatinimas

Tiekėjai ir diegėjai privalo užtikrinti, kad jų darbuotojai ir kiti asmenys, veikiantys jų vardu, turėtų pakankamą DI raštingumo lygį. Tai reiškia gebėjimą suprasti, kaip veikia DI sistemos, kokie yra jų veikimo principai, rizikos ir galimybės, bei kokią žalą jos gali padaryti. Šis raštingumas yra būtinas, kad darbuotojai galėtų atsakingai naudoti DI sistemas ir tinkamai įgyvendinti teisinius reikalavimus.

DI raštingumo reikalavimai taikomi ne tik tiesioginiams darbuotojams, bet ir bet kokiems kitiems asmenims, susijusiems su DI sistemų naudojimu, pvz., rangovams ar paslaugų teikėjams. Tai padeda užtikrinti, kad bet kuris subjektas, turintis sąlytį su DI sistema, būtų pasirengęs suprasti jos veikimą, sprendimų priėmimo logiką bei galimą poveikį žmonėms. Tuo pačiu tai prisideda prie skaidrumo (DI akto 13 str.) ir žmogaus atliekamos priežiūros (14 str.) įgyvendinimo.

Nors DI akte nėra numatyta pareiga formaliai matuoti darbuotojų DI žinias, vis dėlto organizacijos privalo įvertinti jų technines žinias, patirtį, išsilavinimą ir mokymą, siekdamos užtikrinti pakankamą DI raštingumo lygį. Reikalingas lankstus, prie konteksto pritaikytas požiūris – organizacijos pačios turi spręsti, kokios formos mokymai yra tinkamiausi. Įmonėms siūloma pritaikyti įvairias DI raštingumo stiprinimo formas, įskaitant vidinius mokymus, internetinius kursus, atvejų analizę ar praktinius seminarus. Tačiau tik pasikliovimas naudotojo instrukcija nelaikomas pakankamu. Ypač diegiant aukštos rizikos DI sistemas, būtina užtikrinti, kad atsakingi darbuotojai būtų tinkamai apmokyti vykdyti priežiūrą ir rizikų valdymą.

Pažymėtina, kad veiksmingas DI raštingumo stiprinimas prasideda nuo supratimo apie organizacijos vaidmenį (ar ji kuria, ar diegia DI sistemas), rizikos vertinimo ir darbuotojų poreikių analizės. Tai reiškia, kad reikia atsižvelgti į kiekvieno asmens techninį pasirengimą, patirtį ir funkcijas, taip pat į sektorių, kuriame DI sistema naudojama, ir asmenis, kuriems ji daro poveikį.

DI akto 4 str. nuostatos įsigaliojo nuo 2025 m. vasario 2 d., o jo priežiūrą nuo 2026 m. rugpjūčio 2 d. vykdys nacionalinės rinkos priežiūros institucijos. Nors DI raštingumo nesilaikymas pats savaime nereiškia pažeidimo, incidento atveju tai gali būti svarbus veiksnys vertinant organizacijos atsakomybę.

 

 

 

 

Informacija atnaujinta 2025-06-20