Baudos už ES DI akto neatitiktį: kas gresia smulkiam verslui

Didžiausia bauda už ES DI akto (angl. AI Act) neatitiktį siekia 35 mln. eurų arba 7 proc. įmonės pasaulinės metinės apyvartos — taikoma ta suma, kuri yra didesnė. Tai aukščiausias baudų lygis, numatytas Reglamente (ES) 2024/1689, ir jis taikomas tik už sunkiausius pažeidimus, tokius kaip uždraustų DI sistemų naudojimas. Tačiau mikroįmonei, kuri tiesiog naudoja „ChatGPT“ ar kitus įrankius kasdieniame darbe, realios DI akto sankcijos atrodo visai kitaip — ir tai būtent ta dalis, kurią svarbu suprasti, kad nei pervertintumėte, nei nuvertintumėte riziką.

Smulkiai įmonei svarbiausia atskirti teorinį maksimalų baudų lygį nuo realios kasdienės rizikos: dažniausiai problema yra ne piktybinis pažeidimas, o tai, kad nėra jokio atitikties įrodymo.

Kokie yra trys DI akto baudų lygiai?

ES DI aktas numato pakopinę baudų sistemą. Bauda priklauso nuo to, kokio pobūdžio pažeidimas padarytas — ne nuo to, kokio dydžio jūsų įmonė. Žemiau pateikiami trys pagrindiniai lygiai.

Pažeidimo tipas	Maksimali bauda	Kam dažniausiai aktualu
Uždraustų DI praktikų naudojimas (pvz., socialinis reitingavimas, manipuliacinės sistemos)	iki 35 mln. EUR arba 7 proc. pasaulinės metinės apyvartos	Reta smulkiam verslui, bet draudimai galioja visiems
Kitų prievolių pažeidimas (didelės rizikos sistemos, skaidrumo, dokumentacijos reikalavimai)	iki 15 mln. EUR arba 3 proc. pasaulinės metinės apyvartos	Aktualu, jei diegiate didelės rizikos DI ar nesilaikote skaidrumo
Neteisingos, neišsamios ar klaidinančios informacijos pateikimas institucijoms	iki 7,5 mln. EUR arba 1 proc. pasaulinės metinės apyvartos	Aktualu visiems, kurie privalo atsakyti į priežiūros užklausas

Svarbi detalė smulkiam verslui: Reglamentas aiškiai nurodo, kad mažosioms ir vidutinėms įmonėms bei pradedančiosioms įmonėms (startuoliams) taikoma žemesnioji iš dviejų ribų — fiksuota suma arba procentas, priklausomai nuo to, kuri suma mažesnė. Tai reiškia, kad mikroįmonei procentinė riba praktiškai veikia kaip apsauga nuo neproporcingų baudų, o ne kaip grėsmė.

Kitaip tariant, jei didelei korporacijai už tą patį pažeidimą gali grėsti procentas nuo daugiamilijardinės apyvartos, mažai įmonei viršutinė riba bus susieta su jos pačios kuklia apyvarta. Įstatymų leidėjas sąmoningai įdėjo šią nuostatą, kad reglamentas neuždusintų smulkaus verslo ir inovacijų. Todėl pirmas dalykas, kurį verta padaryti susidūrus su baimę keliančiomis antraštėmis, — patikrinti, prie kurio iš trijų lygių priskiriamas konkretus jūsų atvejis, ir ar pažeidimas išvis susijęs su jūsų vykdoma veikla.

Ar mikroįmonei realiai gresia milijoninės baudos?

Trumpas atsakymas — ne, milijoninės baudos mikroįmonei yra labai mažai tikėtinos. Tos didžiausios skaičiais gąsdinančios sumos skirtos DI sistemų kūrėjams ir didelėms organizacijoms, kurios kuria arba diegia didelės rizikos sistemas. Dauguma Lietuvos mikroįmonių yra tik DI naudotojai (diegėjai) — jos naudoja jau egzistuojančius įrankius rinkodarai, tekstams, buhalterijai ar klientų aptarnavimui.

Naudotojui realiausios rizikos yra šios:

• DI raštingumo prievolės nesilaikymas. Tai pati dažniausia ir konkrečiausia prievolė smulkiam verslui — apie ją plačiau 4 straipsnio reikalavimų straipsnyje.
• Skaidrumo pažeidimai. Jei naudojate DI klientų aptarnavimui (pokalbių robotas) arba generuojate dirbtinį turinį, naudotojai turi būti informuoti, kad bendrauja su DI arba mato DI sukurtą turinį.
• Negebėjimas pademonstruoti atitikties. Jei priežiūros institucija paklaus, kaip valdote DI naudojimą, neturėdami jokių dokumentų atsidursite silpnoje pozicijoje.

Daugiau klaidingų įsitikinimų apie tai, kas „tikrai“ ir kas „neva“ gresia, paaiškinta straipsnyje ES DI aktas: mitai ir faktai.

Kada įsigalioja DI akto prievolės?

DI akto sankcijos negali būti taikomos anksčiau, nei įsigalioja atitinkamos prievolės. Reglamentas įsigalioja palaipsniui, todėl svarbu žinoti datas — bauda už dar neįsigaliojusią prievolę neegzistuoja.

Data	Kas įsigalioja
2025-02-02	Uždraustos DI praktikos; DI raštingumo prievolė (4 straipsnis)
2025-08-02	Bendrosios paskirties DI modelių taisyklės; nuostatos dėl valdymo ir baudų
2026-08-02	Dauguma likusių prievolių, įskaitant didelės rizikos sistemų reikalavimus

Kaip matote, DI raštingumo prievolė pagal 4 straipsnį jau galioja nuo 2025 m. vasario 2 d. Tai reiškia, kad reikalavimas užtikrinti pakankamą darbuotojų DI raštingumą yra ne ateities planas, o jau veikianti prievolė. Daugiau apie tai, kam konkrečiai taikomas ES DI aktas, rasite atskirame straipsnyje.

Kaip realiai veikia priežiūra ir baudų skyrimas?

Svarbu suprasti, kad baudos neskiriamos automatiškai ar atsitiktinai. ES DI aktas reikalauja, kad sankcijos būtų veiksmingos, proporcingos ir atgrasančios, o skiriant baudą būtų atsižvelgiama į daugybę aplinkybių:

1. Pažeidimo pobūdį ir sunkumą — ar tai uždrausta praktika, ar tik dokumentacijos trūkumas.
2. Įmonės dydį ir rinkos padėtį — mikroįmonei taikomas atskiras, palankesnis vertinimas.
3. Ar pažeidimas tyčinis, ar dėl aplaidumo.
4. Ar įmonė bendradarbiavo su institucijomis ir ėmėsi taisomųjų veiksmų.
5. Ar anksčiau jau buvo pažeidimų.

Praktiškai tai reiškia, kad įmonė, kuri turi paruoštą DI naudojimo politiką, įrankių registrą ir gali parodyti, kad darbuotojai buvo apmokyti, atsiduria visiškai kitokioje pozicijoje nei įmonė, kuri į užklausą negali pateikti jokio dokumento. Pirmuoju atveju net jei kažkas ir trūksta, matomas geras tikėjimas ir pastangos — antruoju atveju matomas aplaidumas.

Lietuvoje priežiūros institucijų sistema dar formuojama, tačiau principas aiškus: dokumentai ir įrodomas raštingumas yra jūsų pagrindinė apsauga. Oficialų reglamento tekstą galima rasti EUR-Lex svetainėje (eur-lex.europa.eu, Reglamentas (ES) 2024/1689), o praktinę informaciją skelbia Europos Komisijos skaitmeninės strategijos puslapis.

Kokia yra didžiausia paslėpta rizika?

Didžiausia rizika smulkiam verslui nėra pati bauda — tai negebėjimas įrodyti atitikties tada, kai to paprašoma. Daugelis vadovų galvoja „mes nieko blogo nedarome, tik naudojame ChatGPT“, ir tai dažnai tiesa. Problema ta, kad „mes nieko blogo nedarome“ nėra dokumentas. Kai priežiūros institucija, klientas didelio konkurso metu arba auditorius paklaus konkrečiai, reikės parodyti:

• kokius DI įrankius įmonė naudoja ir kam (DI įrankių registras tai sprendžia);
• kokios yra vidinės DI naudojimo taisyklės;
• kaip užtikrintas darbuotojų DI raštingumas pagal 4 straipsnį;
• kaip valdoma asmens duomenų ir konfidencialumo rizika naudojant DI.

Be šių dokumentų net ir visiškai sąžiningai veikianti įmonė atrodo neatitinkanti reikalavimų. Su jais — net ir nedidelis trūkumas atrodo kaip techninė smulkmena, o ne aplaidumas.

Yra ir antra paslėpta rizika, kuri retai aptariama: konkurenciniai ir komerciniai praradimai. Vis dažniau didesni klientai, viešojo sektoriaus pirkimų organizatoriai ir partneriai pradeda klausti tiekėjų, kaip jie valdo DI naudojimą. Jei negalite pateikti net bazinės DI naudojimo politikos, galite prarasti sutartį dar net nepasiekę baudų klausimo. Šia prasme atitiktis tampa ne tik teisine prievole, bet ir pardavimo argumentu — įrodymu, kad esate rimtas, tvarkingas partneris.

Ką smulkiam verslui daryti praktiškai?

Geros žinios: atitiktis naudotojo lygmeniu yra visiškai pasiekiama be teisininkų ir be didelių išlaidų. Žemiau — konkretūs žingsniai, kuriuos gali atlikti bet kuri 1–30 darbuotojų įmonė.

1. Inventorizuokite, kur naudojate DI. Surašykite visus įrankius — nuo „ChatGPT“ iki DI funkcijų buhalterinėje programoje. Tai yra DI įrankių registro pagrindas.
2. Parašykite trumpą DI naudojimo politiką. Ką darbuotojams galima daryti, ko ne (pvz., nesuvesti klientų asmens duomenų į viešus įrankius).
3. Užtikrinkite darbuotojų DI raštingumą. Tai jau galiojanti 4 straipsnio prievolė — reikia bent bazinio mokymo su žinių patikra. Galite pradėti nuo nemokamų DI raštingumo mokymų.
4. Saugokite atitikties įrašą. Kad galėtumėte įrodyti, jog ėmėtės veiksmų ir kada.
5. Periodiškai atnaujinkite. DI įrankiai keičiasi greitai, todėl dokumentai turi gyvuoti, o ne dulkėti stalčiuje.

Visus šiuos dokumentus galima parengti ranka, tačiau tai užima laiko ir reikalauja įsigilinimo į reglamentą. Alternatyva — automatizuotas sprendimas: nebedirbam.lt automatiškai parengia visą reikalingą atitikties paketą (DI naudojimo politiką, įrankių registrą, atitikties įrašą, darbuotojų DI vadovą ir DI raštingumo mokymus su pažymėjimais) už fiksuotą €290 kainą, be jokių valandinių mokesčių. Plačiau, kaip pasiekti DI atitiktį be teisininkų, aprašyta atskirai.

Kas svarbiausia įsidėmėti

DI akto baudos skamba bauginančiai, bet smulkiam verslui realybė kur kas ramesnė nei antraštės apie 35 mln. eurų. Trys dalykai, kuriuos verta atsiminti:

• Didžiausios baudos skirtos sunkiems pažeidimams ir dideliems žaidėjams, o mikroįmonėms taikomos žemesniosios ribos.
• Realiausia rizika — negebėjimas įrodyti atitikties, ne pati bauda.
• DI raštingumo prievolė galioja jau dabar (nuo 2025-02-02), todėl delsti nėra prasmės.

Geriausia apsauga nuo DI akto neatitikties yra ne nerimas, o paprastas dokumentų rinkinys ir apmokyti darbuotojai. Daugiau praktinių temų rasite visų straipsnių sąraše.