AI Act a whistleblowing: Ochrana oznamovatelů Klíč k zodpovědné a bezpečné AI

AI Act a klíčová role whistleblowingu pro zodpovědnou AI

Evropská unie se stala průkopníkem v regulaci umělé inteligence, a to vydáním Nařízení EU 2024/1689, známého jako AI Act. Tento legislativní rámec si klade za cíl zajistit, aby AI systémy byly bezpečné, transparentní, etické a respektující základní práva občanů. S nástupem takto komplexního nařízení však vyvstává otázka, jak zajistit jeho efektivní dodržování v praxi. A právě zde vstupuje do hry klíčový mechanismus – ochrana oznamovatelů, neboli whistleblowing.

AI Act uznává, že interní znalosti a informace o potenciálních porušeních pravidel jsou často nejdostupnější u osob, které se na vývoji, nasazení nebo provozu AI systémů podílejí. Proto článek 87 AI Actu explicitně zavádí robustní ochranu pro tyto `oznamovatele`. Cílem je vytvořit bezpečné prostředí, kde se lidé nebudou bát poukázat na nedostatky, rizika nebo nezákonné praktiky spojené s AI, čímž přispějí k celkové důvěryhodnosti a bezpečnosti umělé inteligence v Evropě.

Tento článek se podrobně zaměří na to, jak `ochrana` `oznamovatelů` podle `AI Act` funguje, kdo je považován za `oznamovatele`, jaká porušení lze hlásit a kam se obrátit. Pochopení těchto mechanismů je zásadní nejen pro potenciální `oznamovatele`, ale i pro organizace, které musí zajistit soulad s `AI Act` a implementovat odpovídající interní postupy.

Kdo je oznamovatel a jaká porušení AI Actu může nahlásit?

Termín `oznamovatel` v kontextu `AI Act` (a šířeji v právu EU) se vztahuje na osoby, které v rámci svých pracovních či jiných profesionálních vztahů získaly informace o porušení práva a tyto informace nahlásí. `Článek 87` AI Actu explicitně rozšiřuje tuto `ochranu` na širokou škálu osob, včetně zaměstnanců, bývalých zaměstnanců, uchazečů o zaměstnání, dodavatelů, subdodavatelů, konzultantů a dalších třetích stran, které jsou ve spojení s vývojem, nasazením nebo používáním AI systémů. Důležité je, aby `oznamovatel` jednal v dobré víře a měl opodstatněné důvody se domnívat, že nahlášené informace jsou pravdivé.

Jaká porušení `AI Act` lze nahlásit? `Oznamovatel` může upozornit na jakékoli porušení ustanovení `AI Act`, které se týká AI systémů, s nimiž přichází do styku. To zahrnuje například porušení zákazu používání určitých AI systémů (viz `článek 5`), nedodržení požadavků na vysoce rizikové AI systémy (např. v oblasti řízení rizik, kvality dat, technické dokumentace, transparentnosti, lidského dohledu, přesnosti či kybernetické bezpečnosti, jak je popsáno v `článcích 9-15` a `článcích 40-42`), nesplnění povinností poskytovatelů nebo uživatelů AI systémů (např. `články 16-27`), nebo zneužití AI systémů. V podstatě jakékoli jednání, které jde proti duchu nebo literě `AI Act` a může vést k rizikům pro bezpečnost, zdraví, základní práva nebo životní prostředí, je potenciálním předmětem `whistleblowingu`.

Je důležité si uvědomit, že `ochrana` se nevztahuje pouze na závažná a úmyslná porušení, ale i na menší nedostatky, které však mohou mít kumulativní dopad. Cílem je včasná identifikace a náprava problémů dříve, než dojde k vážným škodám. Systém `whistleblowingu` tak funguje jako včasný varovný systém a důležitá kontrola dodržování nařízení.

Mechanismus ochrany: Jak AI Act chrání oznamovatele?

Srdcem `článku 87` `AI Act` je přímá `ochrana` `oznamovatelů` před jakoukoli formou odvetných opatření. To znamená, že `oznamovatel` nesmí být propuštěn, degradován, šikanován, diskriminován nebo jinak znevýhodněn kvůli tomu, že v dobré víře nahlásil porušení `AI Act`. Tato `ochrana` je klíčová pro odstranění strachu z následků a motivaci k nahlášení potenciálně škodlivých praktik. `AI Act` v této oblasti navazuje na a doplňuje směrnici (EU) 2019/1937 o ochraně osob, které oznamují porušení práva Unie, známou jako `whistleblowing` směrnice, která již stanovuje základní standardy `ochrany` pro širokou škálu oblastí.

Pokud dojde k odvetnému opatření, `AI Act` (společně s národní legislativou implementující `whistleblowing` směrnici) často stanoví, že břemeno důkazu se přesouvá na organizaci. To znamená, že organizace musí prokázat, že přijaté opatření (např. propuštění) nebylo reakcí na nahlášení porušení. Tato změna v břemenu důkazu výrazně posiluje pozici `oznamovatele` a odrazuje organizace od pokusů o zastrašování.

Kromě `ochrany` před odvetnými opatřeními se `AI Act` také zaměřuje na `ochranu` identity `oznamovatele`. Informace o totožnosti `oznamovatele` by měly být důvěrné a přístupné pouze oprávněným osobám, které se zabývají šetřením nahlášeného porušení. Anonymní `whistleblowing` je rovněž často podporován, ačkoli to může v některých případech ztížit šetření. Celý systém je navržen tak, aby minimalizoval rizika pro `oznamovatele` a maximalizoval šance na odhalení a nápravu nekalých praktik v oblasti AI.

Proces oznamování: Kam se obrátit a co očekávat?

Proces `oznamování` porušení `AI Act` obvykle začíná interním kanálem, pokud jej organizace zřídila. `Článek 87` `AI Act` sice přímo nestanovuje povinnost mít interní kanál pro všechny organizace, ale odkazuje na `whistleblowing` směrnici, která tuto povinnost ukládá pro organizace s 50 a více zaměstnanci, a pro všechny subjekty v určitých odvětvích. Interní kanály by měly být bezpečné, důvěrné a snadno dostupné, umožňující rychlé a efektivní prošetření stížností. Mnoho organizací si uvědomuje výhody proaktivního přístupu a zavádí robustní interní systémy pro `whistleblowing` i nad rámec zákonných povinností, aby ukázaly svůj závazek k etickému a zodpovědnému využívání AI.

Pokud interní kanály nefungují efektivně, `oznamovatel` se obává odvety, nebo je porušení tak závažné, že vyžaduje okamžitou externí intervenci, může se obrátit na externí kanály. V každém členském státě EU budou zřízeny nebo určeny příslušné dozorové orgány, které budou odpovědné za dohled nad dodržováním `AI Act`. V České republice by to mohl být například Úřad pro ochranu osobních údajů (ÚOOÚ) nebo jiný nově určený subjekt. Tyto orgány budou mít pravomoc přijímat a prošetřovat oznámení, ukládat nápravná opatření a případně i sankce, včetně vysokých pokut za nedodržení `AI Act` (jak je specifikováno například v `článku 99`).

Kromě národních orgánů bude hrát roli i Evropský úřad pro umělou inteligenci (European AI Office), který bude působit jako centrální koordinační a dozorový orgán na úrovni EU, zejména pro nejpokročilejší modely AI. `Oznamovatelé` by měli být připraveni poskytnout co nejpodrobnější a ověřitelné informace o porušení, aby usnadnili prošetřování. Je důležité si uvědomit, že `ochrana` se vztahuje pouze na `oznamování` v dobré víře; zneužití systému pro šikanu nebo nepodložená obvinění nejsou chráněna.

Proaktivní přístup: Povinnosti organizací a přínosy pro zodpovědnou AI

Pro poskytovatele a uživatele AI systémů, zejména těch vysoce rizikových, představuje `článek 87` `AI Act` nejen povinnost, ale i příležitost. Zavedení efektivních a důvěryhodných mechanismů pro `whistleblowing` by mělo být prioritou v rámci celkové strategie dodržování `AI Act`. Organizace by měly zajistit, že mají jasné a srozumitelné interní politiky pro `oznamování`, vyškolený personál pro příjem a prošetřování oznámení a procesy pro `ochranu` `oznamovatelů` před odvetnými opatřeními. Nedodržení těchto povinností může vést k reputačním škodám, ztrátě důvěry zákazníků a partnerů, a v neposlední řadě k finančním sankcím, které mohou dosáhnout až desítek milionů eur (viz například náš článek o <a href='https://aishield.cz/ai-act/pokuty'>pokutách AI Act</a>).

Proaktivní přístup k `whistleblowingu` není jen o splnění legislativních požadavků; je to investice do důvěryhodnosti a udržitelnosti vašeho podnikání. Vytvořením kultury, kde se zaměstnanci cítí bezpečně hlásit problémy, mohou organizace včas identifikovat a napravit chyby v AI systémech, předcházet incidentům a zajistit, že jejich AI je v souladu s nejvyššími etickými a bezpečnostními standardy. To vede nejen k `ochraně` uživatelů, ale i k celkovému zlepšení kvality a spolehlivosti AI řešení. Více o tom, jak se připravit na `AI Act`, naleznete v našem <a href='https://aishield.cz/blog/jak-pripravit-firmu-na-ai-act'>blogovém článku</a>.

Zavedení komplexního systému správy rizik, včetně robustních interních kontrol a kanálů pro `oznamování`, je nezbytnou součástí přípravy na plnou aplikaci `AI Act`. Pamatujte, že `AI Act` není jen o omezeních, ale především o budování důvěry v AI, a `ochrana` `oznamovatelů` hraje v tomto procesu nezastupitelnou roli. Pomáhá vytvářet transparentnější a zodpovědnější ekosystém AI pro všechny.

Související články

• pokutách AI Act
• blogovém článku
• vysoce rizikové AI systémy