Lietuva

Dirbtinio intelekto reguliavimas ES: ką tai reiškia Lietuvos verslui

Kaip ES Dirbtinio intelekto aktas keis Lietuvos verslo kasdienybę: nuo startuolių ir gamybos iki viešojo sektoriaus ir eksporto į ES rinką.
2026 5 kovo

Dirbtinio intelekto reguliavimas ES: ką tai reiškia Lietuvos verslui

2024–2026 m. Europos Sąjunga įveda pirmąjį pasaulyje išsamų Dirbtinio intelekto aktą (EU AI Act). Tai palies praktiškai kiekvieną Lietuvos įmonę, kuri kuria, diegia ar naudoja DI sprendimus – nuo fintech ir logistikos iki gamybos, viešųjų pirkimų ar net mažų e. parduotuvių.

Kas yra ES Dirbtinio intelekto aktas ir kodėl jis svarbus Lietuvai

ES DI aktas – tai horizontalus reglamentas, nustatantis bendras taisykles, kaip ES erdvėje turi būti kuriamos ir naudojamos dirbtinio intelekto sistemos. Reglamentas priimtas 2024 m. pavasarį, o didžioji dalis nuostatų įsigalios etapais iki 2026 m.

Lietuvai tai ypač aktualu dėl trijų priežasčių:

  • Atvira rinka: didžioji dalis Lietuvos IT ir technologijų verslo orientuota į ES klientus.
  • Stipri fintech ir govtech ekosistema: daug sprendimų priskiriami aukštos rizikos DI.
  • Mažų ir vidutinių įmonių dominavimas: joms sudėtingiau prisitaikyti prie naujų reguliacinių reikalavimų.

Kaip ES klasifikuoja DI: rizikos lygiai

Reglamentas remiasi rizikos pagrindu. Nuo rizikos lygio priklauso, kokios pareigos atsiranda verslui.

1. Nepriimtina rizika – uždraustos DI sistemos

Tokios sistemos ES bus draudžiamos. Pavyzdžiai:

  • socialinio reitingavimo sistemos (piliečių „reitingavimas“ pagal elgesį);
  • paslėptas manipuliavimas žmonių elgesiu (ypač pažeidžiamų grupių);
  • tam tikros biometrinės atpažinimo sistemos realiu laiku viešose erdvėse (su ribotomis išimtimis teisėsaugai).

Lietuvos verslui tai reiškia, kad tam tikri eksperimentiniai produktai, susiję su masine stebėsena ar elgesio manipuliacija, ES rinkoje tiesiog nebus leidžiami.

2. Aukšta rizika – griežčiausi reikalavimai

Aukštos rizikos DI sistemos bus labiausiai reguliuojamos. Jos dažnai naudojamos:

  • kritinėje infrastruktūroje (energetika, transportas, vandentvarka);
  • švietime (priėmimas, vertinimas, egzaminų stebėsena);
  • darbo santykiuose (atranka, vertinimas, paaukštinimai);
  • kreditingumo vertinime ir finansinėse paslaugose;
  • sveikatos priežiūroje ir medicinos įrangoje;
  • teisėsaugoje, migracijoje, sienų kontrolei.

Daug Lietuvos fintech, insuretech, HR-tech, govtech ir medtech sprendimų patenka būtent į šią kategoriją.

3. Ribota rizika – skaidrumo pareigos

Tokios sistemos nėra uždraustos ir nereikalauja pilno atitikties paketo, tačiau turi būti laikomasi skaidrumo principų. Pavyzdžiai:

  • pokalbių robotai (chatbotai), kai vartotojas turi žinoti, kad bendrauja su DI;
  • turinio generavimo įrankiai (tekstas, vaizdas, video), kuriems taikomi žymėjimo reikalavimai;
  • paprastesnės rekomendacinės sistemos.

4. Maža ar minimali rizika – beveik be papildomų pareigų

Didžioji dalis įprastų verslo DI sprendimų (pvz., vidaus procesų optimizavimas, sandėlio valdymo prognozės, rinkodaros analizė) patenka čia. Reglamentas tokiems sprendimams taiko minimalias pareigas, bet skatina laikytis geros praktikos gairių.

Pagrindinės pareigos verslui pagal ES DI aktą

Pareigos skiriasi priklausomai nuo to, ar esate DI sistemos kūrėjas (provider), ar naudotojas (deployer). Daugelis Lietuvos įmonių bus būtent naudotojai, bet dalis startuolių ir IT įmonių – tiekėjai visoje ES.

Kūrėjams ir tiekėjams (provider) tenkančios pareigos

  • Rizikos vertinimas ir valdymas: identifikuoti galimas žalas sveikatai, saugumui, pagrindinėms teisėms.
  • Duomenų kokybė: treniravimo duomenys turi būti pakankamai kokybiški, reprezentatyvūs, kiek įmanoma be diskriminacinių šališkumų.
  • Techninė dokumentacija: parengti išsamią DI sistemos dokumentaciją, kad priežiūros institucijos galėtų ją audituoti.
  • Registracija ES duomenų bazėje: aukštos rizikos DI sistemos turės būti registruojamos specialioje ES platformoje.
  • Žmogaus priežiūra: numatyti, kaip žmogus gali stebėti, prižiūrėti ir prireikus sustabdyti DI sistemą.
  • Kibernetinis saugumas: užtikrinti atsparumą atakoms ir manipuliacijoms.

Naudotojams (deployer) tenkančios pareigos

Lietuvos įmonės, kurios perka ar licencijuoja DI sprendimus, taip pat turės pareigų, ypač jei naudoja aukštos rizikos sistemas:

  • Teisingas naudojimas: naudoti DI pagal paskirtį ir tiekėjo nurodymus.
  • Duomenų kokybės užtikrinimas: jei į DI sistemą tiekiate savo duomenis, turite valdyti jų tikslumą ir šališkumą.
  • Žmogiškoji priežiūra: paskirti atsakingus darbuotojus, kurie supranta DI sistemos veikimą ir gali ją sustabdyti.
  • Skaidrumas klientams: informuoti, kai sprendimą lemia DI (ypač darbo, kredito, paslaugų prieinamumo srityse).
  • Incidentų valdymas: pranešti apie rimtus DI sutrikimus ar žalas atitinkamoms institucijoms.

Kaip DI reguliavimas paveiks skirtingus Lietuvos verslo sektorius

Fintech ir finansų sektorius

Lietuva – vienas aktyviausių fintech centrų ES, todėl DI aktas čia turės didelį poveikį:

  • kreditingumo vertinimo, sukčiavimo prevencijos, rizikos modeliavimo DI sistemos bus laikomos aukštos rizikos;
  • reikės dokumentuoti modelių logiką, treniravimo duomenis, šališkumo mažinimo priemones;
  • turės būti užtikrinta, kad klientai nebūtų diskriminuojami pagal amžių, lytį, tautybę ir pan.;
  • tikėtina glaudesnė priežiūra iš Lietuvos banko ir kitų institucijų.

Personalo atranka ir HR technologijos

Automatizuoti CV filtravimo, kandidatų vertinimo, psichometrinių testų sprendimai dažnai bus laikomi aukštos rizikos DI.

Lietuvos įmonėms tai reiškia:

  • nebegalima „aklai“ pasitikėti juodosiomis dėžėmis atrankoje;
  • reikės įrodyti, kad sistema nediskriminuoja kandidatų;
  • kandidatams gali būti suteikiama daugiau informacijos apie sprendimų priėmimo logiką ir galimybę ginčyti sprendimą.

Gamyba, logistika, pramonė

Pramonės DI sprendimai (prognozinė įrenginių priežiūra, tiekimo grandinės optimizavimas, kokybės kontrolė) dažnai pateks į mažos arba ribotos rizikos kategoriją, tačiau:

  • jei DI valdo kritinę infrastruktūrą ar turi tiesioginį poveikį žmonių saugai, reikalavimai bus griežtesni;
  • didės poreikis dokumentuoti algoritmų veikimą ir testavimo rezultatus;
  • eksportuojant DI sprendimus į kitas ES šalis, teks laikytis bendrų ES standartų.

Viešasis sektorius ir savivaldybės

Lietuva aktyviai diegia e. valdžios ir govtech sprendimus. DI aktas čia ypač akcentuoja:

  • skaidrumą ir atskaitomybę priimant administracinius sprendimus su DI pagalba;
  • piliečių teises ginčyti automatizuotus sprendimus;
  • rizikos vertinimą, kai DI naudojamas socialinės paramos, sveikatos, švietimo srityse.

Galimos baudos ir atsakomybė

ES DI akte numatytos reikšmingos baudos, panašios į BDAR (GDPR) logiką:

  • už draudžiamų DI sistemų naudojimą – iki 35 mln. eurų arba iki 7 % pasaulinės metinės apyvartos (taikoma didžiausia reikšmė);
  • už aukštos rizikos DI reikalavimų nesilaikymą – iki 15 mln. eurų arba 3 % apyvartos;
  • už klaidingą informacijos teikimą priežiūros institucijoms – iki 7,5 mln. eurų arba 1 % apyvartos.

Mažoms ir vidutinėms Lietuvos įmonėms numatytas kiek lankstesnis požiūris ir proporcingumas, tačiau ignoruoti reikalavimų nebus galima.

Kas Lietuvoje prižiūrės DI reguliavimą

Galutinė institucijų architektūra dar formuojama, tačiau tikėtina, kad:

  • bus paskirta nacionalinė priežiūros institucija (arba kelių institucijų modelis);
  • veiks ES dirbtinio intelekto valdyba, koordinuojanti narių veiksmus;
  • Lietuvoje gali būti sukurti specialūs reguliaciniai smėlio dėžės (sandbox) mechanizmai DI inovacijoms testuoti.

Jau dabar svarbu sekti Ekonomikos ir inovacijų ministerijos, Teisingumo ministerijos, Lietuvos banko, Valstybinės duomenų apsaugos inspekcijos komunikaciją – čia atsiras pirmosios praktinės gairės verslui.

Praktiniai žingsniai Lietuvos verslui iki 2026 m.

Nors visas reglamentas pilnai įsigalios etapais, ruoštis verta jau dabar. Pagrindiniai žingsniai:

1. DI inventorizacija įmonėje

  • sudarykite sąrašą, kur ir kaip naudojate DI (įskaitant trečiųjų šalių sprendimus);
  • identifikuokite, kurie sprendimai gali būti laikomi aukštos rizikos pagal ES DI akto priedus;
  • įvertinkite, ar naudojate generatyvinį DI viešai komunikacijai, klientų aptarnavimui, sprendimų priėmimui.

2. Teisinė ir atitikties analizė

  • peržiūrėkite sutartis su DI tiekėjais – ar jos apima atsakomybę už atitiktį ES DI aktui;
  • pasitarkite su teisininkais, turinčiais patirties technologijų ir duomenų apsaugos srityje;
  • derinkite BDAR (GDPR) ir DI akto reikalavimus – daug kur jie persidengia.

3. Duomenų ir modelių valdymo politika

  • įdiekite duomenų valdymo (data governance) principus;
  • aprašykite, kaip renkami, valomi, anonimizuojami, saugomi treniravimo duomenys;
  • numatykite, kaip bus atliekami šališkumo ir diskriminacijos testai.

4. Žmogiškosios priežiūros ir atsakomybės modelis

  • paskirkite atsakingus asmenis už DI sistemų priežiūrą;
  • aprašykite, kada ir kaip žmogus gali perimti sprendimą iš DI;
  • apmokykite darbuotojus suprasti DI ribas ir rizikas.

5. Skaidrumas klientams ir partneriams

  • parenkite aiškius paaiškinimus (angl. AI factsheets) apie tai, kur ir kaip naudojate DI;
  • užtikrinkite, kad klientai žinotų, kada bendrauja su DI, o ne žmogumi;
  • sukurkite kanalus skundams ir klausimams dėl DI pagrįstų sprendimų.

Rizika ar galimybė: ką DI reguliavimas reiškia Lietuvos inovacijoms

Nors daliai verslo DI aktas atrodo kaip dar viena „reguliacinė našta“, jis gali tapti ir konkurenciniu pranašumu:

  • Pasitikėjimas: klientai ir partneriai labiau pasitikės sprendimais, kurie atitinka aukštus ES standartus.
  • Eksporto potencialas: Lietuvos įmonės, kurios anksti prisitaikys, galės lengviau plėstis į kitas ES šalis.
  • Aiškios žaidimo taisyklės: mažėja teisinis neapibrėžtumas dėl DI naudojimo.

Valstybės lygmeniu Lietuva gali išnaudoti savo dydžio ir lankstumo pranašumą – greičiau kurti testavimo aplinkas, pritraukti DI startuolius ir tapti viena iš „AI compliance by design“ lyderių regione.

Išvados

ES dirbtinio intelekto reguliavimas keičia žaidimo taisykles visoje Europoje. Lietuvos verslui tai reiškia ne tik papildomus reikalavimus, bet ir šansą įsitvirtinti kaip patikimų, atsakingų ir inovatyvių DI sprendimų kūrėjams ir naudotojams.

Įmonės, kurios jau 2024–2025 m. pradės ruoštis DI aktui – inventorizuos sistemas, peržiūrės duomenų valdymą, investuos į skaidrumą ir darbuotojų kompetencijas – 2026 m. turės aiškų konkurencinį pranašumą tiek Lietuvos, tiek platesnėje ES rinkoje.

DUK: Dirbtinio intelekto reguliavimas ES ir Lietuvos verslas

Ar ES DI aktas galios mažoms Lietuvos įmonėms ir startuoliams?

Taip. Reglamentas taikomas visoms įmonėms, nepriklausomai nuo dydžio, jei jos kuria ar naudoja DI ES rinkoje. Tačiau startuoliams ir MVĮ numatytos tam tikros palengvinančios priemonės – konsultacijos, sandbox aplinkos, proporcingas priežiūros institucijų požiūris.

Kaip sužinoti, ar mano naudojama DI sistema yra „aukštos rizikos“?

Reikia patikrinti, ar jūsų sistema patenka į DI akto prieduose išvardytas sritis: kritinė infrastruktūra, švietimas, darbo santykiai, kreditingumo vertinimas, sveikatos priežiūra, teisėsauga ir pan. Jei kyla abejonių, verta pasitarti su teisininkais arba laukti nacionalinių gairių, kurias turėtų pateikti Lietuvos institucijos.

Ką daryti, jei DI sprendimą perku iš užsienio tiekėjo?

Net jei DI sistemą sukūrė trečioji šalis, kaip naudotojas Lietuvoje turite pareigų: įsitikinti, kad sprendimas atitinka ES DI akto reikalavimus, tinkamai jį naudoti, užtikrinti duomenų kokybę ir skaidrumą klientams. Sutartyse su tiekėjais verta aiškiai apibrėžti atsakomybę už atitiktį ir reikalingą dokumentaciją.