AI Transparency та EU AI Act: що потрібно знати бізнесу вже зараз
Зміст статті
У серпні 2024 року набув чинності Регламент ЄС про штучний інтелект (EU AI Act, Regulation (EU) 2024/1689) — перший у світі комплексний закон, що регулює розробку та використання AI-систем. AI Act набрав чинності 1 серпня 2024 року, однак його положення застосовуються поетапно.
Заборонені AI-практики та вимоги щодо AI literacy застосовуються з 2 лютого 2025 року, правила щодо GPAI — з 2 серпня 2025 року, а основні transparency obligations — з 2 серпня 2026 року. Після політичної домовленості щодо AI Omnibus / Digital Omnibus передбачено відтермінування застосування правил для окремих high-risk AI systems: до 2 грудня 2027 року для standalone high-risk систем у сферах Annex III та до 2 серпня 2028 року для high-risk AI systems, інтегрованих у регульовані продукти.
Остаточну юридичну силу такі зміни матимуть після формального прийняття та опублікування відповідного акта ЄС. Для бізнесу це означає одне: час готуватися зараз, а не тоді, коли регулятор прийде з перевіркою.
AI Act як «новий GDPR-момент» для бізнесу
AI Act може стати для штучного інтелекту тим, чим GDPR став для персональних даних. GDPR змусив компанії зрозуміти, які дані вони збирають, з якою метою, кому передають і як захищають. AI Act формує схожий підхід, але вже щодо використання ШІ-систем.
Для бізнесу це означає: потрібно не просто використовувати AI-інструменти, а розуміти, де саме вони застосовуються, які рішення підтримують або автоматизують, які ризики створюють і як про це повідомляються користувачі.
Таймлайн застосування вимог AI Act
Ризик-орієнтований підхід AI Act
AI Act класифікує AI-системи за рівнем ризику, і від цієї класифікації залежить обсяг зобов’язань:
- Неприйнятний ризик (заборонено): соціальна оцінка громадян, маніпулятивні AI-системи, розпізнавання обличчя в публічних місцях у реальному часі (з вузькими винятками).
- Високий ризик (High-risk): AI у сферах зайнятості (скринінг резюме, оцінка продуктивності), освіти, кредитування, охорони здоров’я, критичної інфраструктури. Вимагає реєстрації, аудиту, документації та human oversight.
- Обмежений ризик (transparency obligations): чат-боти та інший AI-генерований контент. Обов’язкове маркування та розкриття інформації.
- Мінімальний ризик: інша більшість AI-інструментів (спам-фільтри, рекомендаційні системи у відеоіграх). Відсутні специфічні вимоги, але загальні принципи застосовуються.
Що означає AI transparency
AI transparency — це прозорість використання штучного інтелекту. Людина має розуміти, коли вона взаємодіє з AI, коли контент створений або змінений AI, а також коли AI може впливати на рішення щодо неї.
Це не означає обов’язкове розкриття коду, алгоритмів або комерційної таємниці. Йдеться про зрозумілу комунікацію, належну документацію, внутрішній контроль і відповідальне використання AI.
Що конкретно вимагає AI Act щодо прозорості
- Розкриття факту взаємодії з AI: якщо користувач спілкується з чат-ботом або AI-асистентом, він має бути про це повідомлений (якщо це не очевидно з контексту).
- Маркування AI-generated контенту: deepfakes, синтетичні зображення, аудіо та відео, створені AI, мають бути відповідним чином позначені.
- Інформування при автоматизованих рішеннях: якщо AI-система приймає або суттєво впливає на рішення щодо людини (наприклад, відмова у кредиті або не проходження відбору на роботу), людина має про це знати і мати право на пояснення.
- Документація для high-risk систем: провайдери та deployers high-risk AI зобов’язані вести технічну документацію, реєстри логів та проводити оцінки ризиків.
Transparency vs explainability: у чому різниця
Transparency (прозорість) і explainability (пояснюваність) — пов’язані, але різні концепції. Прозорість означає: «ми повідомляємо вас, що AI залучений у цей процес». Пояснюваність означає: «ми пояснюємо, чому AI прийняв саме таке рішення». AI Act вимагає обох — різною мірою залежно від рівня ризику системи.
Чому це важливо для бізнесу
AI може впливати на клієнтів, працівників, бізнес-рішення та репутацію компанії. Якщо AI використовується без контролю, це може призвести до помилок, дискримінаційних результатів, порушення прав користувачів, претензій клієнтів або уваги регуляторів.
Прозорість допомагає компанії зменшити юридичні ризики, зберегти довіру клієнтів і показати, що AI використовується відповідально, а не як «чорна скринька».
Конкретні ризики для бізнесу
- Юридична відповідальність: штрафи за порушення AI Act сягають 35 млн євро або 7% глобального обороту (за використання заборонених AI-практик), 15 млн євро або 3% (за недотримання вимог до high-risk систем та інших зобов’язань), 7,5 млн євро або 1% (за надання некоректної або оманливої інформації регуляторам).
- Репутаційні ризики: публічне виявлення дискримінаційного або непрозорого використання AI може завдати значної шкоди бренду — особливо в B2C-бізнесі та HR-практиках.
- Операційні ризики: необхідність термінового перебудовування AI-рішень після виявлення порушень є значно дорожчою, ніж превентивний compliance.
- Ризик втрати контрактів: enterprise-клієнти з ЄС дедалі частіше включають AI compliance до переліку вимог vendor due diligence.
Зв’язок із GDPR
AI Act і GDPR часто застосовуватимуться паралельно. Якщо AI-система обробляє персональні дані, компанія має враховувати вимоги GDPR: законну підставу обробки, прозорість, мінімізацію даних, права суб’єктів даних, безпеку та оцінку ризиків.
Тому AI compliance не замінює GDPR compliance, а доповнює його. Компанії, які вже проходили GDPR-аудит, можуть використати схожий підхід: інвентаризація процесів, оцінка ризиків, документація, політики та відповідальні особи.
На що мають звернути увагу власники бізнесу
Власникам бізнесу варто почати з базових питань — це дозволить зрозуміти реальний обсяг вашого AI-сліду:
- Де в компанії вже використовується AI?
- Чи взаємодіє AI напряму з клієнтами або працівниками?
- Чи створює компанія AI-generated content (текст, зображення, відео)?
- Чи приймає або підтримує AI рішення, які можуть впливати на людей (відбір персоналу, кредитне рішення, рекомендація тощо)?
- Які персональні дані обробляються AI-системами?
- Хто всередині компанії відповідає за контроль AI-інструментів?
- Чи є внутрішні правила використання AI працівниками?
Такий аналіз допоможе попередньо зрозуміти, які AI-рішення є низькоризиковими, а які можуть потребувати додаткової уваги, документації або спеціальних процедур.
Мінімальний пакет для підготовки до AI Act
- AI-інвентаризація: перелік усіх AI-інструментів та систем, що використовуються в компанії, із зазначенням їхньої функції та сфери застосування.
- Класифікація ризиків: визначення, до якої категорії AI Act відноситься кожна система (заборонена / high-risk / обмежений ризик / мінімальний ризик).
- AI Use Policy: внутрішній документ, що регулює, хто, як і для яких цілей може використовувати AI-інструменти в компанії.
- Transparency notices: публічні повідомлення для клієнтів та користувачів про використання AI у продуктах або сервісах.
- Відповідальна особа: призначення особи або ролі, що відповідає за AI compliance (за аналогією з DPO для GDPR).
- Responsible person: Appointment of an individual or function responsible for AI compliance, similar to the role of a Data Protection Officer (DPO) under the GDPR.
Відповідальність за порушення AI Act
AI Act передбачає суттєву відповідальність за порушення, зокрема за використання заборонених AI-практик, недотримання вимог до high-risk AI систем або порушення правил прозорості.
Для бізнесу ризики не обмежуються лише штрафами. Важливими також є репутаційні втрати, претензії клієнтів, перевірки регуляторів, зупинення окремих процесів або необхідність терміново перебудовувати AI-рішення після виявлення порушень.
Хто підпадає під AI Act
AI Act поширюється не лише на компанії, зареєстровані в ЄС. Регламент застосовується зокрема до:
- Провайдерів (providers): компаній, що розробляють AI-системи або AI-моделі, навіть якщо вони знаходяться за межами ЄС, але їхні продукти використовуються на ринку ЄС.
- Deployers (операторів): компаній, що використовують AI-системи у своїй діяльності в ЄС — в тому числі через API або SaaS-платформи.
- Імпортерів та дистриб’юторів: компаній, що поставляють AI-системи від третіх розробників на ринок ЄС.
Для українських IT-компаній, що мають клієнтів у ЄС або надають AI-enabled послуги для ЄС-ринку, AI Act є прямо релевантним — за тим самим принципом екстериторіальності, що і GDPR.
Висновок
AI transparency — це не лише юридична вимога, а й елемент довіри до бізнесу. Компаніям варто вже зараз зрозуміти, де вони використовують AI, які ризики це створює і які правила потрібно впровадити.
Як колись GDPR змінив підхід до персональних даних, AI Act поступово змінить підхід до використання штучного інтелекту. Компанії, що починають готуватися завчасно, матимуть суттєву перевагу: вони уникнуть штрафів, збережуть довіру клієнтів і будуть готові до перевірок регуляторів.
Практичне правило: якщо ваша компанія вже пройшла GDPR-аудит — ви знаєте методологію. Застосуйте той самий підхід до AI: інвентаризація, класифікація ризиків, документація, внутрішня політика, відповідальна особа.
FAQ. Відповіді на запитання, що найчастіше надходять від власників бізнесу та IT-компаній щодо AI Act.
Чи стосується AI Act української компанії без офісу в ЄС?
Що таке high-risk AI система і як зрозуміти, чи маємо ми таку?
Чи обов'язково маркувати весь контент, створений AI?
Якщо ми використовуємо ChatGPT або Copilot через API — ми вважаємося провайдером чи deployer?
Чи потрібен окремий «AI officer» за аналогією з DPO?
Як AI Act співвідноситься з правами суб'єктів даних за GDPR?
Що означає «human oversight» для high-risk AI систем?
Чи поширюється AI Act на внутрішнє використання AI (наприклад, HR-аналітика)?
Які перші кроки для підготовки бізнесу до AI Act?
Яка відповідальність настає за використання заборонених AI-практик?
Чи стосується AI Act української компанії без офісу в ЄС?
Так — якщо ваша компанія розробляє AI-систему або AI-enabled продукт, що використовується на ринку ЄС, або надає послуги з використанням AI для клієнтів чи користувачів у ЄС. AI Act, як і GDPR, має екстериторіальну дію: місце реєстрації компанії не є вирішальним — вирішальним є місце використання системи або місцезнаходження користувача. Українські IT-компанії, що надають B2B або B2C послуги для ЄС-ринку, підпадають під дію регламенту.
Що таке high-risk AI система і як зрозуміти, чи маємо ми таку?
High-risk AI системи — це системи, що застосовуються у сферах зі значним потенційним впливом на права та безпеку людей. AI Act визначає приклади: AI для скринінгу кандидатів на роботу або оцінки продуктивності, AI у системах кредитного скорингу, AI у медичних пристроях або для підтримки медичних рішень, AI у системах управління критичною інфраструктурою, AI в освіті для оцінювання студентів. Якщо ваша компанія використовує або розробляє AI у цих сферах — вона підпадає під найсуворіші вимоги AI Act. В будь-якому випадку варто провести повноцінний аудит вашої системи ШІ.
Чи обов'язково маркувати весь контент, створений AI?
Не весь, але значну частину. AI Act вимагає маркування: deepfake-відео та аудіо (синтетично змінені або створені зображення реальних людей), AI-generated контент, що стосується виборів або публічних осіб, взаємодії з чат-ботами та AI-асистентами (крім випадків, коли це очевидно з контексту). Таким чином користувач має розуміти що працює з ШІ та власник має належним чином повідомити про це.
Якщо ми використовуємо ChatGPT або Copilot через API — ми вважаємося провайдером чи deployer?
У більшості випадків ваша компанія буде deployer (оператором), а не провайдером. Провайдер — це OpenAI або Microsoft, що розробляє модель. Deployer — це ваша компанія, що інтегрує цю модель у свій продукт або процес і виводить результат кінцевому користувачу. Вимоги до deployers менш жорсткі, ніж до провайдерів, але все одно існують: зокрема, вимоги щодо прозорості для користувачів, human oversight для high-risk систем та дотримання умов використання, встановлених провайдером. При цьому, якщо ви використовуєте ШІ лише частково та маєте власний фукнціонал, то ви можете підпадати під категорію deployer.
Чи потрібен окремий «AI officer» за аналогією з DPO?
AI Act не запроваджує обов'язкової посади AI Officer. Проте для компаній, що використовують high-risk AI системи, вимагається призначення відповідальної особи за oversight та compliance. Для більшості бізнесів достатньо закріпити відповідальність за AI compliance за наявною роллю (юрист, CTO, compliance officer) та описати це в AI Use Policy. Для великих компаній або тих, що активно розробляють AI-продукти, виокремлення окремої ролі AI governance lead є доцільним.
Як AI Act співвідноситься з правами суб'єктів даних за GDPR?
Вони доповнюють одне одного. GDPR вже зараз надає суб'єктам даних право не підлягати виключно автоматизованим рішенням, що мають суттєвий вплив (стаття 22 GDPR). AI Act розширює цей захист: особи мають право знати, що рішення щодо них підтримується AI, та мати можливість оскаржити або отримати пояснення. Якщо ваша AI-система обробляє персональні дані й приймає або підтримує рішення щодо людей, вам необхідно враховувати обидва регламенти одночасно.
Що означає «human oversight» для high-risk AI систем?
Human oversight — це вимога, щоб людина могла зрозуміти, контролювати та за необхідності скасувати або зупинити рішення, прийняте AI-системою. Це не означає, що кожне рішення AI має вручну переглядатися людиною — але людина повинна мати реальну можливість втрутитися. Практично це реалізується через: відображення пояснень до рішень AI (explainability), наявність механізму overriding рішень, регулярний моніторинг якості та точності AI-системи, документування виключень та відхилень.
Чи поширюється AI Act на внутрішнє використання AI (наприклад, HR-аналітика)?
Так, і це один із найменш очевидних, але важливих аспектів. AI-система для скринінгу резюме, ранжування кандидатів, оцінки продуктивності або прогнозування звільнень підпадає під категорію high-risk AI у сфері зайнятості. Це означає: необхідність технічної документації, можливої реєстрації системи в EU AI database, забезпечення human oversight та інформування працівників про те, що AI залучений у прийняття рішень, що їх стосуються.
Які перші кроки для підготовки бізнесу до AI Act?
Рекомендований алгоритм: (1) Проведіть AI-інвентаризацію — складіть повний перелік AI-інструментів та систем, що використовуються в компанії. (2) Класифікуйте кожну систему за рівнем ризику AI Act — заборонена, high-risk, обмежений ризик, мінімальний ризик. (3) Перевірте, чи обробляють AI-системи персональні дані — якщо так, оцініть відповідність GDPR паралельно. (4) Розробіть або оновіть AI Use Policy для внутрішнього використання. (5) Додайте transparency notices для клієнтів там, де AI взаємодіє з ними напряму. (6) Призначте відповідальну особу за AI compliance.
Яка відповідальність настає за використання заборонених AI-практик?
Це найтяжча категорія порушень AI Act. За використання заборонених AI-практик (соціальний скоринг громадян, маніпулятивні системи, несанкціоноване розпізнавання обличчя в публічних місцях тощо) передбачено штраф до 35 млн євро або 7% глобального річного обороту компанії — залежно від того, яка сума більша. Додатково регулятор може зобов'язати вилучити продукт з ринку або заборонити певні процеси. Кримінальна відповідальність фізичних осіб може виникати відповідно до національного законодавства держав-членів ЄС.
Ми використовуємо файли cookies для вдосконалення роботи сайту та покращення Вашого користувацького досвіду.
Більше інформації ви можете знайти в нашій Політиці конфіденційності





