EU AI Act задължава всяка компания, която използва AI системи, да осигури достатъчно ниво на AI грамотност на служителите си. Това задължение е в сила от 2 февруари 2025 г., важи и за най-малката фирма, и отговорността е на компанията, не на отделния служител.
Повечето мениджъри в България все още го смятат за проблем на технологичните гиганти. Но не е така, ако ваш служител използва ChatGPT за обработка на клиентски данни, законът се отнася пряко за вас.
В тази статия ще разберете какво точно изисква EU AI Act от компании с 10-100 служители, кои срокове вече текат, кой носи отговорността и защо обучението е не разход, а единственото ви доказателство за добросъвестност при проверка.
Защо EU AI Act се отнася и за вашата компания, не само за технологичните гиганти?
Защото законът регулира не само тези, които създават AI, а и тези, които го използват. Разпространеното погрешно схващане е, че EU AI Act засяга OpenAI, Google и Anthropic, а останалите просто ползват ChatGPT и са извън обхвата.
Това е грешно разбиране.
Законът разграничава два типа субекти: „доставчици” (компаниите, които разработват AI системи) и „ползватели” (компаниите, които прилагат AI системи в работния си процес).
Според официалния анализ на Deloitte обхватът включва не само служителите, а и всеки, който използва системата от името на компанията: външни изпълнители, доставчици на услуги и дори клиенти.
Ползвател е всяка организация, която прилага AI в работата си. Фирмата, чийто HR мениджър използва AI за предварителен подбор на автобиографии. Компанията, чийто счетоводител обработва данни с генеративен AI. Търговският екип, който квалифицира потенциални клиенти с AI инструмент.
Ако сте сред тях, EU AI Act ви касае пряко.
Какво представлява Член 4 от EU AI Act и какво изисква?
Член 4 е разпоредбата, която задължава компаниите да осигурят AI грамотност на персонала си. За нея рядко се говори, защото вниманието обикновено пада върху забранените системи и глобите за разработчиците на модели.
„Доставчиците и ползвателите на AI системи предприемат мерки за осигуряване на достатъчно ниво на AI грамотност на своя персонал и на всички лица, действащи от тяхно име.”
На прост език: ако хора във вашата компания работят с AI, вие сте длъжни да се погрижите те да разбират какво правят. Законът не определя точна учебна програма. Той поставя принцип, който на практика означава три неща.
Първо, служителите трябва да знаят кога AI греши. Способността да разпознаят „халюцинациите” (убедително звучащи, но неверни данни) е базово изискване при работа с клиентска или финансова информация.
Второ, служителите трябва да разбират границите на системата. Кои данни могат да се въвеждат и кои не. Тези въпроси не са технически, а правни и оперативни.
Трето, компанията трябва да може да докаже, че е предприела мерки. При проверка тежестта на доказване е върху вас.
Кои задължения по EU AI Act са вече в сила и кои предстоят?
Законът влезе в сила поетапно. Ето кои срокове вече текат и кои предстоят.
EU AI Act влезе в сила на 1 август 2024 г. От 2 февруари 2025 г. са активни две неща: забраните за AI системи с неприемлив риск (социален скоринг, манипулативни технологии) и задължението за AI грамотност по Член 4. Според Европейската комисия няма гратисен период за Член 4: обхватът на задължението важи от тази дата.
От 3 август 2026 г. започва прилагането и санкционирането на Член 4 чрез националните надзорни органи. Това е датата, от която регулаторите могат да проверяват дали компаниите са предприели мерки за обучение.
От август 2026 г. влизат в сила и задълженията за AI системи с висок риск, включително системите за наемане и за оценка на кредитоспособност. Пълното прилагане на закона обхваща всички категории до 2027 г.
Според официалния текст на закона глобите за нарушения на по-тежките разпоредби достигат до 35 милиона евро или 7% от годишния глобален оборот. За самия Член 4 няма пряка глоба, но правният анализ на Latham & Watkins посочва, че липсата на обучение може да породи гражданска отговорност, ако необучен служител причини вреда на трета страна.
Кой носи отговорността, ако служител използва AI неправилно?
Компанията, не служителят. Това е моментът, в който мениджърите обикновено се изненадват.
Ако HR мениджърът ви използва AI система за подбор без адекватно обучение и решението му доведе до дискриминация, компанията е изправена пред правния риск.
Логиката е същата като при защитата на личните данни по GDPR. Дали служителят е „допуснал” нарушението няма решаващо значение. Компанията е длъжна да е изградила системата, обучението и контрола, които предотвратяват нарушението.
Защо AI обучението е задължение, а не просто разход?
Защото при проверка или инцидент документираното обучение е единственото доказателство, че сте действали добросъвестно.
„Добросъвестно поведение” е правен стандарт. В контекста на EU AI Act той означава, че компанията е идентифицирала AI системите в употреба, оценила е риска и е осигурила подготовка на хората, които работят с тях.
Документираното обучение не елиминира отговорността при нарушение. То е разграничаващият фактор между нарушение от небрежност и нарушение от системен пропуск. Тази разлика се отразява пряко в санкцията.
Според насоките на Crowell & Moring регулаторите изрично очакват диференциран подход по роли и документиране на всички предприети мерки: записи за обученията, използвани материали и взети решения. За малка компания това може да е кратка вътрешна политика, въвеждащо обучение и прост дневник кой какво е завършил. Достатъчно е, стига да е реално.
Какви три стъпки да предприемете още сега?
Три и нито една не изисква голям бюджет.
Първо, одитирайте употребата на AI. Кои служители използват AI инструменти, за какви задачи и с какви данни.
Второ, изградете вътрешна политика за употреба на AI. Кои инструменти са одобрени и кои данни могат да преминават през тях. Политиката не трябва да е сложна. Трябва да съществува и да е документирана.
Трето, организирайте базово обучение на персонала. Не за да станат експерти, а за да разбират рисковете, разпознават грешките и знаят границите на инструментите, защото различните системи носят различен риск.
Компанията, която се подготви днес, няма да бъде изненадана утре
В историята на европейската регулация всеки голям закон минава през един и същ цикъл. Влиза в сила, мнозинството го игнорира. После следва серия от показателни случаи и тогава всички побързват.
GDPR го преживя. EU AI Act ще мине по същия път, с една разлика: механизмите за прилагане са заложени в самия закон и националните надзорни органи са задължени да действат от август 2026 г.
Въпросът не е дали законът ще стигне до вашия бранш. Въпросът е дали ще бъдете сред първите изненадани, или сред вече подготвените.
Често задавани въпроси за EU AI Act и задълженията на компаниите
Отнася ли се EU AI Act за малки фирми в България?
Да. EU AI Act важи пряко във всички 27 държави членки на ЕС, включително България, и няма праг по брой служители. Задължението за AI грамотност по Член 4 се прилага еднакво за фирма с 6 души и за голяма корпорация. Различава се само какво означава „достатъчно” обучение на практика.
От кога е в сила задължението за AI грамотност?
От 2 февруари 2025 г. Член 4 от EU AI Act е активен от тази дата, без гратисен период. Надзорът и санкционирането започват от 3 август 2026 г. чрез националните надзорни органи на държавите членки.
Какви са глобите по EU AI Act?
За най-тежките нарушения (използване на забранени AI системи) глобите достигат до 35 милиона евро или 7% от годишния глобален оборот. За самото нарушение на Член 4 няма пряка глоба, но липсата на обучение може да доведе до гражданска отговорност и да се отчете като утежняващо обстоятелство при други нарушения.
Какво означава „AI грамотност” според закона?
Достатъчно ниво на разбиране, което позволява на служителя да използва AI системата отговорно: да разпознава грешките ѝ, да знае кои данни може да въвежда и да разбира границите ѝ. Законът не изисква технически познания за алгоритми, нито умения за програмиране.
Кой отговаря, ако служител наруши правилата при работа с AI?
Компанията. Подобно на GDPR, отговорността е на организацията да изгради обучението и контрола, които предотвратяват нарушението. Документираното обучение е доказателството за добросъвестност при проверка.
Аз съм Мариела Славенова, собственик на Marinext AI. Помагам на компании да изградят система от дигитални служители и автоматизации, която прави бизнеса им по-ефективен, по-предвидим и по-печеливш. Ако усещате, че е дошло време за вашата първа стъпка, пишете ми и ще се чуем.
