AI Governance w firmie – pułapka art. 25 AI Act

Większość zespołów compliance, które wdrażają systemy AI w organizacji, jest przekonana, że są podmiotem stosującym (deployerem) i podlega obowiązkom z art. 26 AI Act. To pierwsza pułapka. Druga pułapka jest groźniejsza: w momencie, w którym organizacja modyfikuje system zewnętrznego dostawcy, dodaje do niego własne dane treningowe, zmienia jego przeznaczenie albo udostępnia pod własną nazwą – przejmuje pełen pakiet obowiązków dostawcy z art. 16 AI Act. Z dokumentacją techniczną, oceną zgodności, rejestracją w bazie unijnej, znakiem CE i odpowiedzialnością za bezpieczeństwo systemu po wprowadzeniu na rynek włącznie.

Podczas 45-minutowego webinaru pokazuję trzy realne scenariusze, w których organizacja przeszła z bezpiecznej pozycji deployera do pełnej odpowiedzialności providera, nie wiedząc o tym. Omawiam, jakie konkretne czynności wystarczą, żeby uruchomić ten mechanizm. Wskazuję, jak zbudować polityki użycia AI w organizacji, które ten próg respektują. Pokazuję, gdzie tę pułapkę widać w architekturach typowych dla działów IT, marketingu i HR. Webinar jest próbką dwudniowego szkolenia AI Governance w organizacji, prowadzonego dla EY Academy of Business.

Dla kogo jest webinar

• Compliance officers i specjaliści zarządzania ryzykiem w średnich i dużych organizacjach, którzy budują w tym roku polityki dopuszczalnego użycia AI.
• Inspektorzy ochrony danych (IOD) oraz specjaliści RODO odpowiedzialni za ocenę architektur AI w organizacji – relacja AI Act do RODO jest jedną z osi webinaru.
• Dyrektorzy działów prawnych i in-house counsels podejmujący decyzje o wdrożeniach AI z perspektywy ryzyka kontraktowego i regulacyjnego.
• Liderzy transformacji cyfrowej i Chief Data Officers – osoby, które technicznie projektują wdrożenia AI i mogą nieświadomie uruchomić mechanizm art. 25 przy modyfikacji systemu zewnętrznego dostawcy.
• Członkowie zarządów i rad nadzorczych zatwierdzający budżety na wdrożenia AI – webinar daje im język, którego potrzebują, żeby zadawać działowi compliance właściwe pytania.
• Konsultanci EY i partnerzy programu doradzający klientom w obszarze legal technology, AI, transformacji cyfrowej, audytu IT i risk advisory.

Co uczestnik wynosi z webinaru

• Konkretne brzmienie art. 25 AI Act – przeczytanie samego przepisu nie wystarczy, jego praktyczne stosowanie wymaga znajomości kazusu i interpretacji. Uczestnik wychodzi z mapą trzech sytuacji, w których przepis aktywuje się automatycznie.
• Trzy realne scenariusze z praktyki konsultacyjnej, w których organizacje przeszły z deployera do providera bez świadomości tego, jakie obowiązki na siebie biorą. Każdy scenariusz pokazuje, w którym dokładnie momencie próg został przekroczony.
• Sygnały ostrzegawcze dla działu prawnego i compliance – krótka lista czterech do pięciu działań, które powinny uruchomić formalny przegląd kwalifikacji prawnej systemu (np. dodanie własnych danych treningowych, zmiana interfejsu i nazwy, integracja z procesami biznesowymi w nieprzewidziany sposób).
• Mapa konsekwencji przejścia w pozycję providera: jakie obowiązki nakładają się natychmiast (art. 16, dokumentacja techniczna, ocena zgodności, znak CE, rejestracja w bazie unijnej, post-market monitoring), jakie kary grożą za niespełnienie.
• Praktyczna wskazówka projektowania polityki AI w organizacji, która ten próg respektuje – jeden gotowy paragraf polityki użycia AI, który przeniesie próg z chaosu interpretacyjnego do udokumentowanej decyzji organizacji.
• Zaproszenie do pełnej wersji szkolenia – na zakończenie krótkie omówienie, które obszary AI Governance pozostają poza zakresem webinaru i są częścią dwudniowego programu (vendor due diligence, FRIA, rejestr systemów AI, incident management, symulacja kontroli).

Bloki merytoryczne

Sześć bloków treści webinaru. Łączny czas merytoryki: 45 minut. Każdy blok ma swoją logikę dydaktyczną – od ustawienia kontekstu, przez kazusy, po zamknięcie z zaproszeniem do pełnego programu.

Blok 1 – Otwarcie i kontekst

Krótkie przedstawienie prowadzącego (radca prawny, KIRP, ekspert KE, współautor Rekomendacji KIRP). Mapa webinaru i jego pozycjonowanie wobec dwudniowego programu AI Governance dla EY Academy.

Blok 2 – Punkt wyjścia: brzmienie art. 25 AI Act

Wykład wprowadzający do mechaniki art. 25. Kim jest provider, kim deployer, gdzie leży granica art. 16. Krótkie wytłumaczenie, dlaczego to akurat rozróżnienie ma kluczowe znaczenie i dlaczego ujęcie w art. 25 zaskakuje osoby czytające tylko motywy preambuły.

Blok 3 – Scenariusz pierwszy: chatbot kadrowy

Bank deployujący chatbota obsługi klienta od dostawcy zewnętrznego (Microsoft, Google, OpenAI). HR adaptuje go do procesów rekrutacyjnych, dodaje pytania zgodne z polityką diversity, podpisuje pod logo banku. W tym momencie – w świetle art. 25 – bank jest providerem high-risk system. Wszystkie obowiązki z art. 16 do realizacji w organizacji, której to nie planowano.

Blok 4 – Scenariusz drugi: agent compliance dla in-house

Dział prawny korporacji buduje custom GPT w oparciu o ChatGPT Enterprise, wgrywa do niego bibliotekę kontraktów i wzorów, udostępnia w zespole. Nazwa wewnętrzna własna. Ten sam mechanizm: dostawca wewnętrzny przejmuje funkcje providera, ChatGPT staje się rdzeniem zmodyfikowanego systemu. Konsekwencje praktyczne dla działu prawnego.

Blok 5 – Scenariusz trzeci: ocena szkód w towarzystwie ubezpieczeniowym

Dział obsługi szkód w towarzystwie ubezpieczeniowym wdraża asystenta wstępnej oceny szkód komunikacyjnych w oparciu o model dostawcy zewnętrznego. Wgrywa do niego historię szkód i decyzji firmy z ostatnich pięciu lat, doszkala model na własnych danych. Asystent generuje pierwszą rekomendację wysokości odszkodowania, na której opiera się specjalista likwidacji. W tym momencie towarzystwo, w świetle art. 25 oraz załącznika III pkt 5c, jest providerem high-risk system. Wszystkie obowiązki rozporządzenia rozprzestrzeniają się na organizację, której to nie planowała.

Blok 6 – Sygnały ostrzegawcze i wskazówka projektowa

Czteropunktowa lista sygnałów dla działu prawnego, które powinny uruchomić formalny przegląd kwalifikacji prawnej systemu. Plus jeden gotowy paragraf polityki AI w organizacji, który ten próg respektuje. Materiał do skopiowania.

Blok 7 – Zamknięcie i zaproszenie do programu

Krótkie omówienie, jakie obszary AI Governance pozostają poza zakresem webinaru i są częścią dwudniowego programu w EY Academy of Business: vendor due diligence, FRIA, rejestr systemów AI, incident management, symulacja kontroli regulatora. Otwarcie sesji pytań.

Prowadzący webinar:
Paweł Kowalski – radca prawny, specjalista w zakresie prawa Unii Europejskiej, prawa medycznego, prawa międzynarodowego oraz regulacji dotyczących nowych technologii. Pełnomocnik Prezesa Krajowej Izby Radców Prawnych ds. Nowych Technologii oraz członek Komisji ds. Sztucznej Inteligencji przy Fédération des Barreaux d’Europe (FBE), gdzie uczestniczy w pracach nad standardami i regulacjami dotyczącymi odpowiedzialnego wdrażania technologii AI.

Masz pytania? Skontaktuj się:
Anna Sobora | +48 572 002 646 | anna.sobora@pl.ey.com