Obowiazki wdrazajacych: praktyczny przewodnik dla zespolow SaaS

Obowiazki wdrazajacych w EU AI Act dotycza organizacji, ktora uzywa systemu AI pod wlasna odpowiedzialnoscia. Dla zespolu SaaS nie chodzi tylko o to, czy system powstal wewnetrznie, czy pochodzi od dostawcy. Trzeba ustalic, kto kontroluje uzycie, czy system jest wysokiego ryzyka, jakie instrukcje dostawcy obowiazuja, kto prowadzi nadzor ludzki oraz jakie dowody istnieja dla logow, monitoringu i incydentow.

Artykul 26 wymaga od wdrazajacych systemy AI wysokiego ryzyka uzywania systemu zgodnie z instrukcjami, przypisania kompetentnego nadzoru ludzkiego, zarzadzania danymi wejsciowymi, gdy sa pod ich kontrola, monitorowania dzialania, przechowywania automatycznie generowanych logow pod ich kontrola oraz reakcji na ryzyko lub powazny incydent. W niektorych przypadkach dochodza informacje dla pracownikow, rejestracja, wsparcie DPIA lub ocena wplywu na prawa podstawowe.

Kiedy to ma znaczenie

Firma SaaS moze byc providerem dla funkcji klienta i jednoczesnie wdrazajacym dla narzedzia wewnetrznego lub systemu zewnetrznego. Przyklady to support triage, HR, scoring ryzyka, fraud, procesy finansowe, priorytetyzacja skarg lub decyzje wplywajace na klientow i pracownikow.

Analiza powinna byc wykonana per workflow. Jeden dokument o AI w firmie zwykle ukrywa rozne role. Oddziel obowiazki wdrazajacego, provider obligations, transparentnosc, prywatnosc, security, vendor risk i dokumentacje klienta.

Rekord operacyjny

Utworz rekord dla kazdego istotnego workflow. Zapisz system, dostawce, proces, cel, uzytkownikow, osoby dotkniete, kategorie danych, geografie, status launchu, instrukcje dostawcy i dokumentacje wewnetrzna.

Nastepnie udokumentuj role i klasyfikacje: dlaczego zespol jest wdrazajacym, czy przypadek jest wysokiego ryzyka, ktora sciezka AI Act ma zastosowanie i jakie pytania blokuja launch. Kazdy obowiazek przeloz na kontrole: instrukcje, nadzor, dane wejsciowe, logi, monitoring, zawieszenie i eskalacja.

Checklist

• Nazwij system, dostawce, workflow, cel, uzytkownikow i osoby dotkniete.
• Ustal, czy firma jest wdrazajacym, providerem lub jednym i drugim.
• Sprawdz wysokie ryzyko albo inna sciezke AI Act.
• Zamien instrukcje dostawcy na SOP, tickety, kryteria akceptacji i szkolenia.
• Przypisz nadzor ludzki z kompetencja, uprawnieniem i wsparciem.
• Zdefiniuj kontrole danych wejsciowych.
• Ustal logi, retencje, dostep i eksport.
• Monitoruj bledy, skargi, zmiany dostawcy, naduzycia i nietypowe wzorce.
• Przygotuj incydenty, zawieszenie, kontakt z dostawca i eskalacje.
• Przechowuj dowody z ownerem, data, decyzja i kolejnym review.

Czeste bledy

Pierwszy blad to zalozenie, ze dostawca odpowiada za wszystko. Dokumenty pomagaja, ale wdrazajacy kontroluje realne uzycie. Drugi blad to brak przelozenia instrukcji na operacje. Trzeci to nadzor ludzki bez uprawnien. Czwarty to odkrycie dopiero przy incydencie, ze logi nie sa dostepne.

FAQ

Jaki jest praktyczny cel?

Pokazac, ze zespol stosuje instrukcje, ma kompetentny nadzor, kontroluje dane wejsciowe, przechowuje logi, monitoruje uzycie, obsluguje incydenty i ponownie ocenia workflow przy zmianach.

Kto powinien byc ownerem?

Product lub operations posiada fakty workflow, engineering integracje i logi, security dowody vendor i monitoring, legal/compliance interpretacje i standard dowodowy.

Zrodla

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission AI Act Service Desk, Article 26: Obligations of deployers of high-risk AI systems.
• European Commission AI Act Service Desk, Article 27: Fundamental rights impact assessment for high-risk AI systems.
• European Commission AI Act Service Desk, Article 13: Transparency and provision of information to deployers.