V našem předchozím článku jsme nastínili, že povinnosti poskytovatele uvedením systému UI na unijní trh nezanikají. Akt o umělé inteligenci (dále jen „Akt“) upravuje způsob provádění kontrol ex post, a to pomocí pravidel monitorování trhu a dozoru nad ním. Cílem tohoto článku je zmíněný proces monitorování trhu přiblížit a představit jeho právní úpravu. V prvé řadě je nutné vysvětlit, co vlastně monitorování systému UI po uvedení na trh znamená.
Dle Aktu se jedná o veškeré činnosti prováděné poskytovateli systémů UI s cílem aktivně shromažďovat a přezkoumávat zkušenosti získané v souvislosti s využíváním systémů UI, které dodávají na trh nebo uvádějí do provozu za účelem určení potřeby okamžitého uplatnění jakýchkoliv nezbytných nápravných nebo preventivních opatření.
Monitorování vysoce rizikových systémů UI
Vysoce rizikové systémy UI jsme vám blíže představili v rámci šestého článku naší série o umělé inteligenci. Zjednodušeně řečeno se jedná o systémy UI, které představují vysoké riziko pro zdraví a bezpečnost nebo pro základní práva fyzických osob a jsou na ně kladeny přísnější požadavky než na běžné systémy UI. Toto platí i pro jejich monitorování po uvedení na trh.
Vysoce rizikové systémy UI totiž musí být už od počátku navrženy a vyvinuty tak, aby v průběhu své činnosti umožňovaly automatické zaznamenávání událostí, tzv. protokoly. Ty umožňují zejména monitorování činnosti vysoce rizikového systému UI ve vztahu k výskytu situací, které mohou vést k tomu, že daný systém UI bude představovat riziko ve smyslu nařízení (EU) 2019/1020, nebo které mohou vést k podstatné změně, a usnadňují monitorování po uvedení na trh. Rovněž je potřeba, aby byly tyto systémy navrženy a vyvinuty takovým způsobem, aby na ně mohly během období, kdy je daný systém UI používán, účinně dohlížet fyzické osoby.
Další důležitou povinností poskytovatelů vysoce rizikových systémů UI je okamžité přijetí nezbytných nápravných opatření k uvedení daného systému ve shodu nebo k jeho případnému stažení z trhu, a to v případě, že se domnívají nebo mají důvod se domnívat, že vysoce rizikový systém UI, který uvedli na trh nebo do provozu, není ve shodě s Aktem. V případě, že vysoce rizikový systém UI představuje riziko, a toto riziko je poskytovateli známo, má poskytovatel rovněž povinnost informovat příslušné vnitrostátní orgány členských států, do kterých tento systém dodal, a tam, kde je to relevantní, oznámený subjekt, který vydal pro daný vysoce rizikový systém UI certifikát, a uvede při tom zejména informace o nesouladu a o veškerých přijatých nápravných opatřeních.
Kdo na trh dohlíží?
Akt o umělé inteligenci reguluje dozor nad trhem na úrovni unijní a úrovni vnitrostátní. Na unijní úrovní zřizuje Akt Evropskou radu pro umělou inteligenci (dále jen „Rada“). Rada se skládá z vnitrostátních dozorových úřadů, které jsou zastoupeny vedoucím nebo odpovídajícím vysokým úředníkem daného úřadu a evropským inspektorem ochrany údajů.
Rada je zřízena za účelem poskytování poradenství Evropské komisi (dále jen „Komise“), a dále má pomoci Komisi zejména přispívat k účinné spolupráci vnitrostátních dozorových úřadů a Komise s ohledem na záležitosti, na které se vztahuje Akt a pomáhat vnitrostátním dozorovým úřadům a Komisi při zajišťování jednotného uplatňování tohoto nařízení. Dále je nutno zmínit, že je to právě Rada, kdo bude v budoucnu vydávat stanoviska, doporučení nebo písemné příspěvky k záležitostem souvisejícím s prováděním Aktu.
Na vnitrostátní úrovni je úkolem každého členského státu zřídit nebo určit příslušné vnitrostátní orgány s cílem zajistit uplatňování a provádění Aktu. Akt dále uvádí, že každý členský stát určí z řad příslušných vnitrostátních orgánů vnitrostátní dozorový orgán. Vnitrostátní dozorový orgán jedná jako oznamující orgán a orgán dozoru nad trhem, pokud daný členský stát nemá organizační a správní důvody k určení více než jednoho orgánu, a o jejich zřízení, případně určení, informuje Komisi.
Členské státy mají povinnost podávat Komisi každoročně zprávy o stavu finančních a lidských zdrojů příslušných vnitrostátních orgánů s hodnocením jejich přiměřenosti. Komise předá tyto informace radě k projednání a případným doporučením.
V tomto systému lze spatřit jakýsi vztah subsidiarity, kdy Rada funguje jako nadřízená vnitrostátním orgánům, avšak samotná Rada se skládá z jednotlivých vnitrostátních dozorových úřadů. Ustanovení Aktu zároveň nejsou příliš normativní a ponechávají prostor pro různé úrovně opatření členských států, zejména v případě vnitřní organizace systému dozoru nad trhem nebo zavádění opatření na podporu inovací.
Akt rovněž zakládá členským státům povinnost určit do tří měsíců po vstupu tohoto nařízení v platnost takovéto orgány veřejné moci a jejich seznam zveřejní na internetových stránkách vnitrostátního dozorového orgánu.
Vzhledem k relativně nedávnému schválení Aktu Česká republika zatím nemá shora uvedené orgány vymezeny. Na základě Národní strategie umělé inteligence v České republice (dále jen „národní strategie“) z května 2019 je v současné chvíli zřízen Výbor pro AI a Výkonný výbor Výboru pro AI, přičemž garantem těchto institucí je Ministerstvo průmyslu a obchodu, nýbrž nejedná se o příslušné vnitrostátní orgány ve smyslu nařízení. V současnosti se však pracuje na aktualizaci národní strategie, která by měla být představena během tohoto roku.
Co hrozí za porušení zmíněných povinností?
Dle Aktu by členské státy měly přijmout veškerá nezbytná opatření k zajištění toho, aby byla ustanovení Aktu prováděna, a to i stanovením účinných, přiměřených a odrazujících sankcí za jejich porušení.
Za porušení povinností plynoucích z Aktu lze uložit správní pokutu až do výše 30.000.000 EUR nebo dopustí-li se porušení společnost, až do výše 6 % jejího celkového ročního obratu celosvětově za předchozí finanční rok podle toho, která hodnota je vyšší, přičemž výše správní pokuty záleží na konkrétním druhu povinnosti, kterou poskytovatel porušil. Sankce však nejsou určeny pouze pro poskytovatele. Akt rovněž stanovuje, že evropský inspektor ochrany údajů může uložit správní pokuty orgánům, institucím a subjektům Unie, které spadají do oblasti působnosti tohoto nařízení, a to až do výše 500.000 EUR v závislosti na porušenou povinnost.
Závěr
Evropská komise v rámci Aktu o umělé inteligenci představila mechanismy pro provádění kontrol systémů UI po uvedení na trh. Přísnou právní úpravu přinesla opět ve vztahu k vysoce rizikovým systémům UI, pro jejichž působení na trhu musí být dle Unie kladeny obzvlášť přísné požadavky. K monitorování má docházet jednak ze strany poskytovatelů, ale také ze strany unijních či vnitrostátních orgánů, které mohou za porušení povinností plynoucích z Aktu uložit značné správní pokuty. Zatím není jisté, které orgány budou k vymáhání Aktu příslušné v rámci České republiky. Můžeme však doufat, že odpověď přinese chystaná aktualizace Národní strategie umělé inteligence v České republice.
