AI Act v dodavatelském řetězci: Odpovědnost a smlouvy

Navigace AI Actem v éře propojených dodavatelských řetězců

Evropská unie nedávno schválila průkopnický zákon o umělé inteligenci, známý jako AI Act (Nařízení EU 2024/1689). Tento legislativní rámec představuje komplexní snahu regulovat vývoj a používání AI systémů s cílem zajistit bezpečnost, transparentnost a ochranu základních práv občanů. Nicméně, dopad AI Actu zdaleka nekončí u samotných vývojářů AI. Proniká hluboko do struktury dodavatelských řetězců, kde se AI systémy navrhují, vyrábějí, distribuují a používají.

Pro firmy působící v jakékoli fázi životního cyklu AI systému – od start-upů vyvíjejících inovativní řešení až po velké korporace integrující AI do svých procesů – je klíčové pochopit nové povinnosti a odpovědnost. Ignorování těchto změn může vést nejen k právním komplikacím a vysokým pokutám, ale také k poškození reputace a ztrátě důvěry zákazníků. V tomto článku se podíváme na to, jak AI Act přetváří koncept odpovědnosti v dodavatelském řetězci a jak se firmy mohou smluvně zajistit.

Příprava na AI Act je nevyhnutelná. Každý subjekt v řetězci, který má co do činění s AI systémem, musí být schopen prokázat, že jedná v souladu s nařízením. To vyžaduje nejen technické úpravy, ale především revizi interních procesů, smluvních vztahů a celkové firemní strategie v oblasti AI. Pochopení rolí definovaných AI Actem je prvním krokem k úspěšné adaptaci.

Klíčové role a definice: Kdo je kdo v dodavatelském řetězci podle AI Actu?

AI Act pečlivě definuje několik klíčových rolí, které určují míru odpovědnosti a povinností v dodavatelském řetězci. Tyto definice jsou zásadní pro správné pochopení, kdo za co odpovídá a jaké kroky musí podniknout k zajištění compliance. Základní role, které AI Act vymezuje v čl. 3, jsou poskytovatel, zavádějící strana, dovozce a distributor.

Za prvé, je zde PROVIDER (poskytovatel) – subjekt, který vyvíjí AI systém nebo jej nechá vyvinout s cílem uvést jej na trh nebo do provozu pod svým jménem nebo ochrannou známkou. Poskytovatel nese hlavní tíhu odpovědnosti za návrh, vývoj a testování AI systému v souladu s požadavky AI Actu (zejména čl. 16 a čl. 17). Je to právě poskytovatel, kdo musí zajistit, aby systém byl bezpečný, transparentní a splňoval všechny technické a dokumentační požadavky.

Za druhé, máme DEPLOYER (zavádějící stranu) – jakýkoli fyzický nebo právnický subjekt, který používá AI systém pod svou vlastní pravomocí. Může to být například firma využívající AI pro automatizaci náboru zaměstnanců, nemocnice diagnostikující nemoci pomocí AI, nebo e-shop doporučující produkty klientům. Zavádějící strana má povinnost zajistit, že AI systém je používán v souladu s pokyny poskytovatele, pod lidským dohledem a s ohledem na ochranu dat a práv jednotlivců (čl. 26). Zavádějící strana nese odpovědnost za správné nasazení a průběžné monitorování systému v reálném provozu.

Dále jsou to IMPORTER (dovozce) a DISTRIBUTOR (distributor). Dovozce je fyzická nebo právnická osoba usazená v Unii, která uvádí na trh Unie AI systém z třetí země (čl. 3 bod 4). Distributor je jakákoli fyzická nebo právnická osoba v dodavatelském řetězci, jiná než poskytovatel nebo dovozce, která AI systém poskytuje na trhu Unie (čl. 3 bod 5). Tyto role mají povinnost ověřit, že AI systém, který uvádějí na trh, splňuje základní požadavky AI Actu, jako je označení CE a dostupnost potřebné dokumentace (čl. 28 a čl. 29). Pokud dovozce nebo distributor podstatně změní AI systém, mohou se sami stát poskytovateli a převzít plnou odpovědnost.

Odpovědnost v dodavatelském řetězci: Kdo za co nese tíhu?

Rozdělení odpovědnosti v dodavatelském řetězci podle AI Actu není vždy přímočaré a vyžaduje pečlivé posouzení. Zatímco poskytovatel nese primární odpovědnost za samotný design a shodu AI systému, ostatní aktéři mají své specifické povinnosti, které se vzájemně prolínají a doplňují. Pochopení těchto nuancí je klíčové pro minimalizaci rizik pro všechny zúčastněné strany. Zvláště u vysoce rizikových AI systémů jsou požadavky a odpovědnost mnohem přísnější (čl. 6 a příloha III).

Poskytovatel je povinen zavést systém řízení kvality (čl. 17), provést posouzení shody (čl. 43-44), zajistit technickou dokumentaci (čl. 18), monitorování po uvedení na trh (čl. 23) a nahlášení závažných incidentů. Pokud poskytovatel nedodrží tyto povinnosti a jeho AI systém způsobí škodu, nese plnou odpovědnost. Tato odpovědnost se týká jak samotného software, tak i dat použitých k jeho tréninku a validaci. Je proto nezbytné, aby poskytovatelé měli robustní interní procesy a byli schopni prokázat shodu s nařízením.

Zavádějící strana (deployer) má sice menší odpovědnost za samotný vývoj, ale nese kritickou odpovědnost za způsob použití AI systému. To zahrnuje zajištění lidského dohledu, dodržování pokynů poskytovatele, monitorování výkonu systému a řešení případných problémů (čl. 26). Pokud zavádějící strana použije AI systém způsobem, který není v souladu s jeho určeným účelem nebo s pokyny poskytovatele, může nést odpovědnost za jakékoli negativní důsledky. To je obzvláště relevantní pro vysoce rizikové systémy, kde je riziko poškození základních práv vysoké.

Dovozci a distributoři slouží jako brána na trh EU. Jejich povinností je prověřit, zda AI systémy splňují základní požadavky AI Actu, jako je přítomnost označení CE a odpovídající dokumentace (čl. 28 a čl. 29). Nesmí uvádět na trh systémy, o nichž vědí nebo by měli vědět, že jsou v rozporu s AI Actem. V případě pochybností jsou povinni kontaktovat poskytovatele nebo příslušné orgány. Je důležité si uvědomit, že pokud tyto subjekty podstatně změní AI systém, stávají se de facto poskytovateli a přebírají jeho plnou odpovědnost, což je riziko, které musí být smluvně ošetřeno.

Smluvní zajištění: Klíč k minimalizaci rizik v AI supply chainu

V komplexním prostředí, jaké vytváří AI Act, se smlouvy stávají absolutně klíčovým nástrojem pro jasné vymezení odpovědností, sdílení rizik a zajištění compliance napříč dodavatelským řetězcem. Standardní obchodní smlouvy již nebudou dostatečné; je nutné je revidovat a doplnit o specifické klauzule týkající se AI Actu. Bez robustního smluvního zajištění se firmy vystavují značným právním i finančním rizikům.

Každá smlouva mezi subjekty v dodavatelském řetězci by měla obsahovat explicitní ustanovení o souladu s AI Actem. To zahrnuje povinnosti poskytovatele týkající se kvality dat, testování, dokumentace a monitorování. Na straně zavádějící strany by smlouva měla specifikovat podmínky použití AI systému, požadavky na lidský dohled a reporting incidentů. Klíčové jsou také klauzule o sdílení informací, které umožní všem stranám plnit jejich povinnosti podle nařízení, například ohledně zranitelností nebo bezpečnostních aktualizací.

Důležitou součástí smluv by měly být klauzule o odškodnění (indemnification). Tyto klauzule určují, která strana ponese náklady v případě porušení AI Actu nebo vzniku škody způsobené AI systémem. Měly by být jasně specifikovány podmínky, za nichž jedna strana odškodní druhou, a to včetně pokut, právních poplatků a nákladů na nápravu. Dále by smlouvy měly obsahovat ustanovení o auditu, která umožní zavádějícím stranám (a případně i regulátorům) ověřit, že poskytovatel dodržuje své povinnosti. Podobně by poskytovatelé měli mít právo auditovat, jak zavádějící strany používají jejich systémy, aby zajistili, že jsou dodržovány pokyny pro bezpečné a compliantní nasazení.

Nezapomeňte ani na otázku pojištění. Smlouvy by měly specifikovat požadavky na pojištění odpovědnosti za škodu způsobenou AI systémy, a to pro všechny zúčastněné strany. Jasné smluvní vymezení těchto aspektů pomůže předcházet sporům a zajistí, že potenciální rizika jsou adekvátně pokryta. Je vhodné zvážit konzultaci s právními experty, kteří se specializují na AI Act, aby byly smlouvy správně nastaveny.

Praktické kroky pro dodavatele a odběratele v nové éře AI

Pro úspěšnou navigaci v regulovaném prostředí AI Actu je nezbytné, aby se firmy aktivně připravovaly a implementovaly konkrétní praktické kroky. Nejde jen o jednorázovou úpravu, ale o kontinuální proces adaptace a monitorování. Bez proaktivního přístupu se vystavujete značnému riziku. Pokud chcete vědět, jak komplexně připravit vaši firmu na AI Act, doporučujeme náš článek: /blog/jak-pripravit-firmu-na-ai-act.

**Pro poskytovatele:** Zaveďte robustní systém řízení kvality (QMS) specificky pro AI systémy, který pokrývá celý životní cyklus produktu – od návrhu po vyřazení. Provádějte důkladné posouzení shody a rizik pro každý AI systém, zejména pro ty vysoce rizikové. Vytvořte a udržujte podrobnou technickou dokumentaci, která je kdykoli k dispozici regulačním orgánům. Zaveďte procesy pro monitorování AI systémů po jejich uvedení na trh a pro rychlé reagování na incidenty a zranitelnosti. Důsledné školení zaměstnanců v oblasti AI Actu je nezbytné.

**Pro zavádějící strany (deployery):** Před nasazením jakéhokoli AI systému proveďte důkladnou due diligence poskytovatele a jeho AI systému. Ujistěte se, že rozumíte jeho omezením, rizikům a požadavkům na použití. Zaveďte interní směrnice a postupy pro bezpečné a etické používání AI, včetně požadavků na lidský dohled. Školte své zaměstnance, kteří s AI systémy pracují, o jejich správném používání a o tom, jak rozpoznat a hlásit potenciální problémy. Průběžně monitorujte výkon AI systémů a jejich dopad na uživatele a procesy. Smluvně si zajistěte právo na audit a přístup k relevantní dokumentaci od poskytovatele.

**Pro dovozce a distributory:** Zaveďte kontrolní mechanismy pro ověřování shody AI systémů, které nakupujete a uvádíte na trh. To zahrnuje kontrolu označení CE, dostupnosti prohlášení o shodě a technické dokumentace. Buďte si vědomi rizika, že se můžete stát poskytovatelem, pokud AI systém podstatně změníte, a tomu přizpůsobte své procesy a smluvní vztahy. Budujte transparentní komunikační kanály s poskytovateli, abyste mohli rychle řešit jakékoli otázky týkající se shody nebo bezpečnosti AI systémů.

Závěr: Připravenost je klíčem k úspěchu

AI Act mění pravidla hry pro každého, kdo se dotýká umělé inteligence v dodavatelském řetězci. Je to výzva, ale zároveň i příležitost k budování důvěryhodnějších a bezpečnějších AI systémů. Pochopení rolí, jasné vymezení odpovědnosti a robustní smluvní zajištění nejsou jen právní nutností, ale strategickou výhodou v nové éře regulace AI.

Nepodceňujte složitost tohoto nařízení. Proaktivní přístup, interní adaptace procesů a pečlivá revize smluv jsou nezbytné pro zajištění dlouhodobé compliance a minimalizaci rizik. Doba, kdy bylo možné přehlížet regulaci AI, je pryč. Nyní je čas jednat a připravit se na budoucnost AI s důvěrou.

Pro hlubší pochopení a ověření připravenosti vaší organizace na AI Act navštivte naši stránku pro sken webu: aishield.cz/scan. Zjistěte, kde se nacházíte a jaké kroky potřebujete podniknout pro plnou shodu s AI Actem.

Související články

• Jak připravit firmu na AI Act
• Pokuty dle AI Act