DI sistemų rizikos kategorijos pagal ES DI aktą

ES DI aktas DI sistemas skirsto į keturias rizikos kategorijas: nepriimtinos rizikos (uždraustos), didelės rizikos, ribotos rizikos ir minimalios rizikos. Kiekvienai kategorijai taikomos skirtingos prievolės — kuo didesnė potenciali žala žmonėms, tuo griežtesni reikalavimai. Daugumai Lietuvos mikroįmonių naudojami įrankiai (pavyzdžiui, ChatGPT, Copilot ar vaizdų generatoriai) patenka į ribotos arba minimalios rizikos kategorijas, tačiau klasifikaciją vis tiek būtina suprasti, kad žinotumėte, kurios taisyklės galioja jūsų verslui.

Šis suskirstymas yra ES DI akto (angl. AI Act, Reglamentas (ES) 2024/1689) pagrindas. Be jo neįmanoma teisingai užpildyti DI įrankių registro ar nuspręsti, kokios atitikties priemonės reikalingos. Toliau paaiškiname kiekvieną kategoriją konkrečiais pavyzdžiais, aktualiais smulkiam Lietuvos verslui.

Kokios yra keturios DI rizikos kategorijos?

ES DI aktas remiasi vadinamuoju rizika grįstu požiūriu (angl. risk-based approach). Tai reiškia, kad reguliavimo griežtumas priklauso ne nuo to, kokia technologija naudojama, o nuo to, kokią žalą sistema gali padaryti žmonėms ir jų teisėms. Štai visos keturios pakopos:

Kategorija	Reguliavimo lygis	Tipiniai pavyzdžiai
Nepriimtina rizika	Visiškai uždrausta	Socialinis reitingavimas, manipuliacinės sistemos, emocijų atpažinimas darbo vietoje
Didelės rizikos DI	Griežtos prievolės	Įdarbinimo atranka, kredito vertinimas, kritinė infrastruktūra
Ribota rizika	Skaidrumo prievolės	Pokalbių robotai, dirbtinai sukurtas turinys (deepfake, DI tekstai)
Minimali rizika	Beveik jokių prievolių	DI rašybos tikrintuvai, spam filtrai, žaidimų DI

Svarbu suprasti: viena DI sistema gali patekti į skirtingas kategorijas priklausomai nuo to, kaip ją naudojate. Tas pats kalbos modelis, naudojamas atsakymams į klientų klausimus generuoti, yra ribotos rizikos, bet jei jį pritaikytumėte automatiniam darbuotojų atrankos sprendimui, jis taptų didelės rizikos sistema.

Kas yra nepriimtinos rizikos DI ir kodėl jis uždraustas?

Nepriimtinos rizikos DI — tai praktikos, kurios laikomos pernelyg pavojingomis ir todėl ES yra visiškai draudžiamos. Šios nuostatos taikomos anksčiausiai — nuo 2025-02-02. Prie uždraustų praktikų priskiriama:

• Pasąmoninė manipuliacija — sistemos, kurios klaidina žmones priimti sprendimus, kurių jie kitaip nepriimtų, ir taip jiems pakenkia.
• Pažeidžiamų grupių išnaudojimas — DI, kuris naudojasi amžiaus, negalios ar socialinės padėties pažeidžiamumu.
• Socialinis reitingavimas (angl. social scoring) — žmonių vertinimas pagal elgesį ir jų klasifikavimas, lemiantis nepalankų vertinimą nesusijusiose situacijose.
• Emocijų atpažinimas darbo vietoje ir mokymo įstaigose — su tam tikromis medicininėmis ir saugumo išimtimis.
• Neselektyvus veidų rinkimas internete kuriant atpažinimo duomenų bazes.

Mikroįmonėms ši kategorija retai aktuali tiesiogiai, bet ją verta žinoti: jei svarstote įdiegti įrankį, kuris, pavyzdžiui, analizuoja darbuotojų emocijas iš veido vaizdo, tai jau patenka į draudžiamą zoną. Daugiau apie tai, kam apskritai taikomas ES DI aktas, rasite atskirame straipsnyje.

Kas yra didelės rizikos DI?

Didelės rizikos DI — tai sistemos, kurios gali reikšmingai paveikti žmonių saugumą, sveikatą ar pagrindines teises, todėl joms taikomi griežčiausi reikalavimai (po draudimų). DI klasifikacija į šią kategoriją vyksta dviem būdais:

1. DI kaip gaminio saugumo komponentas — pavyzdžiui, sistemos medicinos prietaisuose, transporto priemonėse, liftuose ar žaisluose, kuriems jau galioja ES gaminių saugos teisės aktai.
2. DI konkrečiose jautriose srityse, kurios išvardytos ES DI akto III priede:
   • biometrinis identifikavimas;
   • kritinė infrastruktūra (energetika, vanduo, transportas);
   • švietimas ir profesinis mokymas (vertinimas, priėmimas);
   • įdarbinimas ir darbuotojų valdymas — CV atranka, kandidatų reitingavimas, sprendimai dėl paaukštinimo ar atleidimo;
   • galimybė naudotis esminėmis privačiomis ir viešosiomis paslaugomis (kredito vertinimas, socialinė parama);
   • teisėsauga, migracija, teisingumo vykdymas.

Įdarbinimo punktas — bene aktualiausias smulkiam verslui. Jei naudojate DI įrankį automatiškai atrinkti ar reitinguoti darbo kandidatus, tikėtina, kad tai didelės rizikos sistema. Tokiu atveju ją diegianti įmonė (vadinamasis diegėjas) privalo užtikrinti žmogaus priežiūrą, naudoti sistemą pagal instrukcijas, stebėti jos veikimą ir saugoti žurnalus.

Didelės rizikos DI sistemoms taikomos prievolės — kokybės valdymo sistema, techniniai dokumentai, atitikties vertinimas, rizikos valdymas — daugiausia įsigalioja nuo 2026-08-02. Praktinis patarimas mikroįmonei: jei tik įmanoma, palikite galutinį sprendimą žmogui. Jei DI tik siūlo, o žmogus tikrina ir tvirtina, rizikos profilis ženkliai sumažėja.

Kas yra ribotos rizikos DI?

Ribotos rizikos DI — tai sistemos, kurios bendrauja su žmonėmis arba kuria turinį, todėl joms taikomos skaidrumo prievolės. Pagrindinė taisyklė paprasta: žmogus turi žinoti, kad bendrauja su DI arba mato DI sukurtą turinį. Pavyzdžiai:

• Pokalbių robotai (chatbotai) — klientas turi suprasti, kad kalbasi su mašina, o ne su žmogumi.
• DI sukurtas turinys — dirbtinai sugeneruoti tekstai, paveikslėliai, garso ar vaizdo įrašai (įskaitant „deepfake“) turi būti pažymėti kaip dirbtinai sukurti.

Šiai kategorijai priklauso dauguma generatyvinio DI įrankių, kuriuos kasdien naudoja smulkios įmonės. Pavyzdžiui, jei naudojate DI klientų aptarnavimo robotą savo svetainėje arba generuojate vaizdus rinkodarai, tinkamas ženklinimas yra pagrindinis reikalavimas. Praktiškai užtenka aiškiai nurodyti „atsakymus generuoja DI“ arba pridėti pastabą prie DI sukurtos iliustracijos.

Kas yra minimalios rizikos DI?

Minimalios rizikos DI — tai didžioji dauguma kasdienių įrankių, kuriems ES DI aktas nenustato jokių privalomų prievolių. Čia patenka rašybos ir gramatikos tikrintuvai, brukalo (spam) filtrai, rekomendacijų sistemos, žaidimų DI ir panašios sistemos, kurios kelia mažai arba jokios rizikos žmonėms.

Nors privalomų reikalavimų nėra, ES skatina savanoriškai laikytis elgesio kodeksų. Tačiau yra viena išlyga, kuri liečia visus — nepriklausomai nuo to, kuriai rizikos kategorijai priklauso jūsų įrankiai.

Ar DI raštingumas priklauso nuo rizikos kategorijos?

Ne — DI raštingumo reikalavimas (ES DI akto 4 straipsnis) galioja visoms įmonėms, kurios naudoja bet kokias DI sistemas, nepriklausomai nuo jų rizikos kategorijos. Ši prievolė įsigaliojo anksčiausiai iš visų, nuo 2025-02-02.

Tai dažniausiai nesuprantamas dalykas. Net jei visi jūsų DI įrankiai yra minimalios rizikos (pavyzdžiui, tik ChatGPT tekstams ir DeepL vertimams), 4 straipsnis vis tiek reikalauja, kad darbuotojai, dirbantys su DI, turėtų pakankamą DI raštingumo lygį. Tai reiškia, kad jie supranta, kaip DI veikia, kokie jo apribojimai ir kokia rizika kyla. Daugiau apie tai, kaip ES DI aktas veikia paprastais žodžiais, rasite mūsų pagrindų straipsnyje.

Štai kodėl klasifikacija svarbi praktiškai: ji nulemia, ar užtenka vien DI raštingumo mokymų ir politikos, ar reikia papildomų didelės rizikos prievolių.

Kaip nustatyti, kuriai kategorijai priklauso jūsų DI?

Praktinis žingsnis po žingsnio metodas mikroįmonei:

1. Surašykite visus DI įrankius, kuriuos naudoja jūsų darbuotojai — nuo ChatGPT iki buhalterijos programos DI funkcijų. Net „šešėlinis“ DI, kurį darbuotojai naudoja savavališkai, turi patekti į sąrašą.
2. Užfiksuokite naudojimo paskirtį — ne įrankį, o tai, kam jį naudojate. Tas pats ChatGPT tekstams ir kandidatų atrankai yra dvi visiškai skirtingos rizikos.
3. Patikrinkite, ar paskirtis nepatenka į draudimus (nepriimtina rizika).
4. Patikrinkite, ar paskirtis nėra III priede (didelės rizikos sritys — ypač įdarbinimas).
5. Jei ne — priskirkite ribotai arba minimaliai rizikai pagal tai, ar sistema bendrauja su žmonėmis / kuria turinį.

Visa ši informacija turi būti dokumentuota. Būtent tam ir skirtas DI įrankių registras — struktūruotas dokumentas, kuriame fiksuojami visi įrankiai, jų paskirtis ir rizikos kategorija. Tai pamatas tolesnei atitikčiai.

Ką daryti su klasifikacija toliau?

Teisinga DI klasifikacija — tai tik pradžia. Kai žinote, kuriai kategorijai priklauso jūsų sistemos, reikia parengti atitinkamus dokumentus: DI naudojimo politiką, DI įrankių registrą, atitikties įrašą ir darbuotojų DI vadovą, taip pat užtikrinti DI raštingumo mokymus.

Visa ši dokumentacija mikroįmonei dažnai atrodo bauginanti, bet ji yra standartizuojama. nebedirbam.lt automatiškai parengia visą šį dokumentų rinkinį už fiksuotą €290 kainą — politiką, registrą, atitikties įrašą, darbuotojų vadovą ir DI raštingumo mokymus su žinių patikra ir pažymėjimais — pagal jūsų atsakymus anketoje. Jei norite pirmiausia tik pakelti komandos DI raštingumą, yra ir nemokami DI raštingumo mokymai.

Norėdami pamatyti visą temą iš arčiau, peržiūrėkite visų straipsnių sąrašą arba paskaitykite, kaip teisingai naudoti populiariausius įrankius, pavyzdžiui, ChatGPT įmonėje. Oficialų reglamento tekstą galite rasti EUR-Lex duomenų bazėje (eur-lex.europa.eu), Reglamentas (ES) 2024/1689.

Rizikos kategorijų supratimas — tai ne biurokratinė formalybė, o praktinis įrankis. Jis padeda nešvaistyti laiko ten, kur reikalavimų nėra (minimalios rizikos įrankiai), ir sutelkti dėmesį ten, kur tikrai svarbu (didelės rizikos naudojimas, ypač įdarbinime). Pradėkite nuo paprasto įrankių surašymo, priskirkite kiekvienam paskirtį ir kategoriją — ir didžioji dalis darbo jau bus padaryta.