управління ші

Команди часто сприймають Закон ЄС про ШІ як новенький звід правил, що лягає на чистий стіл. Це не так. Якщо ваша система ШІ торкається персональних даних, GDPR уже був на тому столі, а Закон про ШІ накладається поверх нього.

Саме це накладання — джерело більшості плутанини. Той самий проєкт може бути винен Оцінку впливу на захист даних за одним законом і Оцінку впливу на основні права за іншим, і ніхто не хоче вести два паралельні треки відповідності, якщо вистачить однієї узгодженої програми.

Більша частина Закону ЄС про ШІ стосується вузького набору систем високого ризику. Стаття 4 — виняток, бо вона сягає кожної організації, яка створює або використовує ШІ, хоч би яким нешкідливим виглядав інструмент.

Вона до того ж діє з 2 лютого 2025 року, раніше за обовʼязки для систем високого ризику, що настають у серпні 2026 року. Тож поки команди планують важчі обовʼязки, положення про грамотність уже діє і вже підлягає виконанню.

Закон ЄС про ШІ не набирає чинності в один день. Він застосовується поетапно між 2024 і 2027 роками, і кожен етап вмикає окремий набір обовʼязків для організацій, які створюють або використовують системи ШІ в Європі.

Два з цих етапів уже діють. Наступний, режим високого ризику, настає 2 серпня 2026 року, і саме це робить найближчі місяці тим вікном, проти якого зараз працює більшість команд із відповідності.

Закон ЄС про ШІ не ставиться до кожної системи однаково. Він побудований на основі ризику, тож обовʼязки для спам-фільтра геть не схожі на обовʼязки для інструмента відбору резюме чи моделі кредитного скорингу.

Саме це одне рішення, до якої категорії ризику належить ваша система, визначає майже все інше: засоби контролю, які ви маєте, документацію, яку ви ведете, і розмір штрафу, якщо ви помилитеся.