Choć obecnie obowiązują przepisy dotyczące ochrony danych i praw pracowniczych, systemy wykorzystujące AI będą podlegały bardziej kompleksowym regulacjom zawartym w Europejskim Akcie o Sztucznej Inteligencji („AI ACT”), z istotnymi karami za nieprzestrzeganie przepisów.
Potencjalnie wpływając na wiele obszarów działalności firmy, poniżej przedstawiamy kluczowe postanowienia AI Act, które będą istotne dla organizacji w ich roli pracodawców.
Tło
AI Act jest częścią szerszej 'Strategii Danych’ Komisji Europejskiej. Ogólnie rzecz biorąc, ma on na celu zapewnienie solidnych ram prawnych umożliwiających inwestycje i innowacje w rozwijaniu i wykorzystywaniu bezpiecznych i godnych zaufania systemów AI na rynku jednolitym UE, jednocześnie zapewniając poszanowanie i ochronę podstawowych praw obywateli UE.
AI Act obowiązuje nie tylko organizacje w UE, ale również te spoza niej, które wdrażają system AI w dowolnym państwie członkowskim UE; oznacza to, że wiele międzynarodowych firm zostanie objętych jego postanowieniami.
Dostawca systemu AI czy użytkownik?
Na organizacje, które są „dostawcami” systemów AI – te, które opracowują systemy AI – nakładane są znacznie większe obowiązki niż na te, które je wykorzystują lub „wdrażają”. W większości przypadków organizacja wdrażająca lub utrzymująca system AI związany z HR będzie użytkownikiem, a nie dostawcą; skupimy się na niektórych kluczowych obowiązkach dla użytkowników.
Warto jednak zauważyć, że w pewnych okolicznościach pracodawca może być uznany za dostawcę systemu AI i podlegać bardziej rozbudowanym obowiązkom. Może to mieć miejsce, gdy dostosowuje lub modyfikuje istniejący system AI lub wprowadza go do użytku pod własną nazwą lub znakiem towarowym.
Zrozumienie AI
Zarówno dostawcy, jak i użytkownicy są zobowiązani zgodnie z AI Act do zapewnienia odpowiedniego poziomu zrozumienia AI wśród wszelkich pracowników korzystających z danego systemu AI lub osób korzystających z niego w ich imieniu. Choć będzie to kontekstowe, pracodawcy muszą zapewnić, że każdy korzystający z systemów AI w ich działalności jest przeszkolony w zakresie odpowiedniego systemu i świadomy możliwości i ryzyka związanego z AI oraz potencjalnych szkód, jakie może wyrządzić. Będzie to odpowiedzialność ciągła od rekrutacji wzwyż, z koniecznością prowadzenia rejestrów ukończenia szkoleń w celu wykazania zgodności z przepisami.
Interakcja z obowiązkami dotyczącymi ochrony danych i praw pracowniczych
Z uwagi na silne uzależnienie systemów AI od przetwarzania danych osobowych, istnieje wiele punktów styku między AI Act a Ogólnym Rozporządzeniem o Ochronie Danych (GDPR). Zasady ochrony danych będą miały zastosowanie przez cały cykl życia systemu AI; obejmują one obowiązki dotyczące legalności przetwarzania danych, przejrzystości przetwarzania, dokładności danych, ograniczenia celu, minimalizacji danych, ograniczenia przechowywania oraz wymagań dotyczących integralności i poufności. Przeprowadzenie oceny skutków ochrony danych będzie niemal na pewno wymagane, a postanowienia GDPR dotyczące zautomatyzowanego podejmowania decyzji oraz prawa do interwencji człowieka lub kwestionowania decyzji prawdopodobnie będą miały zastosowanie.
Ryzyko dyskryminacji związane z systemami AI jest zawsze obecne i choć istnieją obowiązki dostawców, aby podjąć kroki w celu złagodzenia tych ryzyk podczas opracowywania systemu AI, pracodawcy muszą być czujni na kwestie uprzedzeń i sprawiedliwości oraz na to, jak osoby o chronionych cechach mogą być negatywnie wpływane.
Zwiększone ryzyko, zwiększona regulacja
AI Act przyjmuje regulacyjne podejście oparte na ryzyku i kategoryzuje systemy AI według różnych poziomów ryzyka; im wyższe ryzyko, tym wyższy standard zgodności dla danego systemu.
Gdy system zostanie zidentyfikowany jako stwarzający „nieakceptowalne ryzyko”, jest on zakazany; dotyczy to również używania systemów AI do rozpoznawania emocji w miejscu pracy.
Szczególnie istotne dla pracodawców jest to, że AI Act wyraźnie klasyfikuje jako „wysokiego ryzyka” te systemy AI, które są używane do rekrutacji, w szczególności do umieszczania ukierunkowanych ogłoszeń o pracę, analizowania i filtrowania aplikacji oraz oceny kandydatów do pracy. To samo dotyczy AI, która umożliwia monitorowanie i ocenę wydajności, przydzielanie zadań na podstawie indywidualnego zachowania lub cech osobowych oraz podejmowanie decyzji o awansie, zwolnieniu lub warunkach stosunku pracy. Choć niektóre systemy AI, które w przeciwnym razie byłyby wysokiego ryzyka, mogą nie podlegać tej kategorii, jeśli spełnione są pewne warunki, pracodawca musiałby wyjaśnić i udokumentować swoje powody, dla których dany system jest traktowany jako wykraczający poza zakres wymagań regulacyjnych dotyczących wysokiego ryzyka.
Komisja Europejska jest zobowiązana na mocy AI Act do udzielania wskazówek dotyczących klasyfikacji systemów AI o wysokim ryzyku; ma to obejmować listę przykładów tych, które są wysokiego ryzyka, oraz tych, które nie są. Kody postępowania mają również zostać opracowane przez nowe Europejskie Biuro AI.
W niektórych przypadkach używanie systemów AI będzie stwarzać „ograniczone ryzyko” – chatboty używane do pytań związanych z zatrudnieniem mogą należeć do tej kategorii – i chociaż obowiązują mniej rygorystyczne wymagania regulacyjne, obowiązki dotyczące przejrzystości nadal mają zastosowanie.
Wymagania regulacyjne dla systemów wysokiego ryzyka
Korzystanie z systemów AI wysokiego ryzyka wywoła zestaw obowiązków dla użytkowników zgodnie z AI Act, oprócz tych, które mają zastosowanie na mocy GDPR i innych obowiązków dotyczących praw pracowniczych.
Obowiązki te obejmują:
– Informowanie kandydatów do pracy i pracowników, że będą podlegali użyciu systemu AI wysokiego ryzyka. Przedstawiciele pracowników również muszą być o tym poinformowani.
– Podejmowanie odpowiednich środków technicznych i organizacyjnych, aby zapewnić używanie systemu zgodnie z instrukcjami.
– Przypisanie nadzoru nad systemem AI osobom o odpowiednich kompetencjach, przeszkoleniu i autorytecie.
– Zapewnienie, że wszelkie dane wejściowe są odpowiednie i wystarczająco reprezentatywne, biorąc pod uwagę cel systemu.
– Monitorowanie jego działania na bieżąco i w przypadku zidentyfikowania odpowiedniego ryzyka, przestrzeganie odpowiednich wymagań dotyczących powiadamiania, np. dostawcy, organu nadzoru rynku.
– Zapewnienie jasnego i zrozumiałego wyjaśnienia roli systemu AI w procesie podejmowania decyzji na żądanie osoby, której decyzja dotyczy i która ma skutki prawne lub negatywny wpływ na zdrowie, bezpieczeństwo lub prawa podstawowe.
– Przechowywanie logów generowanych przez system, o ile są one pod kontrolą użytkownika.
Koszty niezgodności
Kary w wysokości do 35 milionów euro lub 7% rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa, mogą być nałożone za nieprzestrzeganie AI Act w niektórych okolicznościach. Jest to dodatkowo do wszelkich kar nakładanych za naruszenie GDPR oraz wszelkich odszkodowań przyznanych za naruszenia równości lub jakichkolwiek innych praw pracowniczych.
Przygotowanie do wdrożenia
Zapewnienie zgodności z regulacjami AI będzie projektem międzydziałowym. Z perspektywy HR ważne będzie włączenie się w ten projekt i ogólna świadomość obowiązujących wymagań regulacyjnych, mając na uwadze, że wdrażanie systemów AI i ich wpływ może być szczególnie wrażliwą kwestią dla siły roboczej i jej przedstawicieli.
Dobre zrozumienie, gdzie systemy AI są używane w sferze zatrudnienia, jak działają i gdzie znajdują się pod względem ryzyka, pomoże wyposażyć profesjonalistów HR do odpowiednich dyskusji z kluczowymi interesariuszami oraz pomoże w zrozumieniu, wyjaśnianiu i ocenie wpływu na siłę roboczą.
Niektóre inne punkty działania skierowane szczególnie do działów HR:
- Opracowanie i wdrożenie odpowiedniego szkolenia dla pracowników korzystających z systemu AI. Powinno to również obejmować związane z tym prawa dotyczące ochrony danych i prawa pracownicze.
- Określenie kategorii ryzyka, która będzie miała zastosowanie do proponowanego systemu AI i związanych z tym obowiązków.
- Wczesne zaangażowanie przedstawicieli pracowników przed wdrożeniem systemów AI i sprawdzenie, w których jurysdykcjach obowiązują prawa do informacji, konsultacji i współdecydowania, ponieważ wpłynie to na harmonogram wdrożenia.
- Opracowanie odpowiednich polityk dotyczących siły roboczej, np. odpowiedzialnego korzystania z AI; procesu kwestionowania decyzji wygenerowanej przez AI i okoliczności, w których to obowiązuje.
- Kontynuowanie monitorowania wykorzystania AI i ewoluującego krajobrazu legislacyjnego i społecznego, aby zapewnić, że polityki HR pozostają aktualne.
- Śledzenie wytycznych i kodeksów postępowania od Europejskiego Biura AI oraz Komisji Europejskiej.
Jeśli masz pytania lub chcesz dowiedzieć się więcej o obowiązkach dotyczących sztucznej inteligencji, skontaktuj się z nami już teraz na office@ipsolegal.pl lub bezpośrednio z Błażej Wągiel !