Європейський АІ-акт: як підготуватися до комплаєнсу

Ми працюємо з технологічними компаніями, зокрема у напрямах AI, маркетингу та privacy-комплаєнсу. Законодавство у цій сфері нове, але бізнес уже стикається з практичними запитами – і ми з ними працюємо.

Сьогодні AI активно інтегрується у продукти і процеси. Часто це виглядає як “невелика функція”: система підказує рекрутеру, кого підняти в списку кандидатів, або автоматично визначає рівень ризику користувача і вирішує, кому надати доступ до функції. Спочатку це сприймається як оптимізація. Але в момент, коли з’являється європейський клієнт, виникає інше питання: чи є ця система безпечною, прозорою і керованою з точки зору регуляції.

Саме для цього і створений AI Act – європейський регламент про штучний інтелект. Це перша комплексна регуляція, яка класифікує AI за рівнями ризику і визначає, що заборонено, що дозволено лише за умови виконання жорстких вимог, а де достатньо прозорості.

Щоб регламент застосовувався до продукту, він має відповідати визначенню AI-системи: це система, яка на основі даних формує висновок і генерує результат – прогноз, рекомендацію, контент або рішення, що впливає на зовнішнє середовище.

Чому це стосується українського бізнесу

AI Act має екстериторіальну дію. Він застосовується не лише до компаній у ЄС, а й до тих, чий продукт або його результат використовується в Євросоюзі.

Це означає, що навіть без юрособи в ЄС ви можете підпадати під вимоги, якщо:

– у вас є клієнти в ЄС

– у вас є користувачі в ЄС

– або ваш B2B-клієнт використовує ваш продукт у процесах на території ЄС

Це логіка, вже знайома бізнесу з GDPR. Важливо не де ви зареєстровані, а де і як використовується ваш продукт.

Якщо компанія планує працювати з ЄС, питання комплаєнсу стає практичним. Якщо ні – часто доводиться технічно обмежувати доступ до ЄС. При цьому варто враховувати, що українське законодавство поступово рухається у напрямку європейського підходу, що підтверджується, зокрема, Білою книгою Мінцифри.

Коли починають діяти вимоги

AI Act застосовується поетапно.

З 2 лютого 2025 року вже діють загальні положення, зокрема вимоги щодо AI literacy та заборонених практик.

Основна частина регулювання, включаючи правила для high-risk систем і вимоги прозорості, починає застосовуватися з 2 серпня 2026 року.

AI literacy: базова вимога

AI literacy означає, що компанії повинні забезпечити базові знання і навички для тих, хто працює з AI.

На практиці це не складний процес. Зазвичай достатньо:

– коротких внутрішніх правил використання AI

– базового тренінгу для співробітників

– фіксації того, що навчання відбулося

Наприклад, працівники повинні розуміти ризики “галюцинацій” моделей і необхідність перевірки результатів. Окремі сертифікації або роль AI officer не є обов’язковими.

Заборонені практики

AI Act визначає практики, які вважаються неприйнятними.

Йдеться про використання AI для:

– прихованого впливу на поведінку людини

– експлуатації вразливостей

– несправедливого оцінювання людей

– аналізу емоцій у робочому або освітньому середовищі

Ключова логіка: якщо AI починає впливати на людину непрозоро або несправедливо, це заборонена зона.

Важливо, що відповідальність не обмежується розробником. Вона також покладається на того, хто використовує систему.

Наприклад, якщо компанія підключає сторонній AI-інструмент і використовує його для впливу на рішення користувача у спосіб, що може бути шкідливим, відповідальність не знімається лише на підставі обмежень у договорі. Регулятор оцінює фактичне використання.

Договір може зменшити ризик, але не замінює контроль. Тому комплаєнс у сфері AI – це спільна відповідальність провайдера і користувача.

High-risk системи

Найбільший інтерес для бізнесу – це high-risk системи.

Йдеться про системи, які можуть впливати на права людини або важливі рішення. У AI Act наведено конкретні сценарії (Annex III), серед яких: біометрика, освіта, критична інфраструктура, доступ до послуг, правоохоронні та міграційні процеси.

Для бізнесу особливо важливий блок, пов’язаний із працевлаштуванням і управлінням працівниками. До high-risk відносяться, зокрема:

– системи для рекрутингу та відбору кандидатів

– таргетинг вакансій

– фільтрація і оцінка заявок

– оцінка продуктивності

– рішення щодо підвищення, звільнення або розподілу задач

Йдеться про ситуації, коли AI починає впливати на те, хто отримає роботу, можливість або оцінку. Наприклад, якщо система автоматично відсіює кандидатів до перегляду рекрутером, це вже не допоміжний інструмент, а механізм, що впливає на доступ до працевлаштування. Ці системи підсилюють комплаєнс та KYC (знаємо з досвіду роботи з такими клієнтами).

Що потрібно впровадити для high-risk

Якщо компанія є провайдером системи, потрібно довести, що вона є керованою: провести оцінку ризиків, визначити способи їх зменшення, описати логіку роботи, забезпечити якість даних і впровадити людський контроль.

Якщо компанія використовує таку систему, необхідно забезпечити реальний human oversight: мати людей, які можуть перевіряти результати, розуміти правила перевірки, реагувати на помилки і зупиняти використання за потреби.

Нижчі рівні ризику

Якщо система не є high-risk і не підпадає під заборону, основна вимога – прозорість.

Це означає:

– повідомляти користувача, що він взаємодіє з AI

– позначати AI-контент

– попереджати про можливі помилки

Саме тому у продуктах з’являються відповідні дисклеймери і маркування.

Санкції

AI Act передбачає адміністративні штрафи. Їх розмір залежить від характеру порушення, його тривалості, масштабу і того, чи вживала компанія заходів для зменшення ризиків.

Як підготуватися

Практична логіка підготовки достатньо проста.

Спочатку проводиться AI-інвентаризація: де у компанії використовується AI, які постачальники залучені, чи є клієнти або користувачі з ЄС. Далі – класифікація сценаріїв: чи є заборонені практики, чи є high-risk, чи достатньо прозорості. Паралельно впроваджується AI literacy і переглядаються договори з постачальниками.

Наступний крок – формування пакета документів: політики, правила використання, рішення щодо класифікації, процес інцидентів і базові технічні описи.

Саме цей пакет зазвичай очікують побачити європейські клієнти та регулятори.

Додатково варто підготувати privacy-документацію: опис обробки даних, права користувачів і підходи до автоматизованих рішень.

Висновок

AI Act — це не про обмеження інновацій. Це про керованість і довіру.

Для українського бізнесу це вже не “європейська регуляція”. Це вимоги клієнтів і ринку.

Ключове питання – не чи використовує компанія AI, а чи може вона пояснити, як саме він працює і які ризики вона контролює.

Саме це і стає новим стандартом.

Ми допомагаємо з ШІ, GDPR, Marketing copliance та ISO certification.

Записуйтесь на безкоштовний дзвінок.