Πάροχος ή Φορέας Εφαρμογής; Οι Υποχρεώσεις της Επιχείρησης
Με μια ματιά:
- Ο Κανονισμός (ΕΕ) 2024/1689 δεσμεύει κάθε επιχείρηση που αναπτύσσει ή απλώς χρησιμοποιεί σύστημα τεχνητής νοημοσύνης (AI) με εμβέλεια στην αγορά της ΕΕ, ανεξάρτητα από έδρα ή μέγεθος.
- Το πρώτο πρακτικό ερώτημα είναι ο ρόλος: «πάροχος» ή «φορέας εφαρμογής», καθώς οι υποχρεώσεις διαφέρουν ριζικά μεταξύ τους.
- Η ένταση της συμμόρφωσης εξαρτάται από την κατηγορία κινδύνου του συστήματος: απαγορευμένου, υψηλού, περιορισμένου ή ελάχιστου.
- Το χρονοδιάγραμμα συμμόρφωσης είναι σταδιακό. Ο Digital Omnibus on AI (συμφωνία Μαΐου 2026, εκκρεμεί τυπική δημοσίευση) μεταθέτει τις υποχρεώσεις υψηλού κινδύνου στις 2 Δεκεμβρίου 2027 και στις 2 Αυγούστου 2028.
- Η εσωτερική πολιτική χρήσης AI, με βάση την υποχρέωση επάρκειας του άρθρου 4, είναι το εργαλείο που μετατρέπει τη συμμόρφωση σε καθημερινή πρακτική.
Σε ποιες επιχειρήσεις εφαρμόζεται ο Κανονισμός για την Τεχνητή Νοημοσύνη;
Ο Κανονισμός (ΕΕ) 2024/1689 δεσμεύει παρόχους, φορείς εφαρμογής, εισαγωγείς και διανομείς συστημάτων AI που διατίθενται ή χρησιμοποιούνται στην ΕΕ, με εξωεδαφική εμβέλεια. Δεν αφορά μόνο όσους αναπτύσσουν AI.
Ακόμη και μια επιχείρηση που απλώς αξιοποιεί έτοιμο εργαλείο, όπως ένα chatbot εξυπηρέτησης ή ένα σύστημα διαλογής βιογραφικών, είναι φορέας εφαρμογής με δικές της υποχρεώσεις.
Η εξωεδαφικότητα έχει πρακτική σημασία για ελληνικές εταιρείες με πελάτες ή προμηθευτές εκτός ΕΕ. Ο Κανονισμός εφαρμόζεται και σε παρόχους ή φορείς εφαρμογής εγκατεστημένους σε τρίτη χώρα, εφόσον το αποτέλεσμα του συστήματος χρησιμοποιείται εντός της Ένωσης. Το ίδιο ισχύει ανεξαρτήτως κλάδου ή μεγέθους, χωρίς εξαίρεση για τις μικρές επιχειρήσεις.
Το κρίσιμο σημείο είναι ότι η υπαγωγή δεν προϋποθέτει ανάπτυξη λογισμικού. Μια εμπορική ή βιομηχανική επιχείρηση που εντάσσει στη λειτουργία της εργαλεία AI τρίτων αναλαμβάνει υποχρεώσεις φορέα εφαρμογής, ενώ το ευρύτερο πλαίσιο της τεχνητής νοημοσύνης στην επιχείρηση, με τα ζητήματα αστικής ευθύνης και σύμβασης με τον προμηθευτή, αντιμετωπίζεται ως διακριτό κεφάλαιο.
Πάροχος ή φορέας εφαρμογής AI; Πώς κρίνεται ο ρόλος της επιχείρησης;
Ο ρόλος καθορίζει το εύρος των υποχρεώσεων, και ορίζεται στο άρθρο 3 του Κανονισμού.
«Πάροχος» είναι όποιος αναπτύσσει σύστημα AI και το διαθέτει στην αγορά υπό την επωνυμία ή το σήμα του.
«Φορέας εφαρμογής» είναι όποιος το χρησιμοποιεί υπό την ευθύνη του, στο πλαίσιο της επαγγελματικής του δραστηριότητας. Ο εισαγωγέας και ο διανομέας φέρουν ενδιάμεσες υποχρεώσεις διανομής.
Η διάκριση δεν είναι πάντοτε προφανής. Κατά το άρθρο 25, ο φορέας εφαρμογής μετατρέπεται σε πάροχο, με τις πολύ βαρύτερες υποχρεώσεις που αυτό συνεπάγεται, σε τρεις περιπτώσεις:
- όταν θέτει την επωνυμία του σε σύστημα υψηλού κινδύνου,
- όταν προβαίνει σε ουσιώδη τροποποίησή του, ή
- όταν μεταβάλλει τον προορισμό του.
Η εμπειρία από έργα συμμόρφωσης δείχνει ότι ακριβώς αυτές οι οριακές περιπτώσεις, π.χ. η παραμετροποίηση ενός έτοιμου μοντέλου για νέα χρήση, μετατοπίζουν σιωπηρά την επιχείρηση στην κατηγορία του παρόχου.
Για τον λόγο αυτό, η κατάταξη του ρόλου ανά σύστημα και η συμβατική κατανομή ευθύνης με τον προμηθευτή, αποτελούν στρατηγική απόφαση. Η διατύπωση της σύμβασης προμήθειας καθορίζει συχνά αν οι υποχρεώσεις παρόχου παραμένουν στον κατασκευαστή ή μετακυλίονται στην επιχείρηση που υιοθετεί το εργαλείο.
Σε ποια κατηγορία κινδύνου εμπίπτει το σύστημα AI;
Ο Κανονισμός ακολουθεί προσέγγιση βάσει κινδύνου με τέσσερις βαθμίδες. Όσο υψηλότερος ο κίνδυνος για την υγεία, την ασφάλεια ή τα θεμελιώδη δικαιώματα, τόσο εντονότερες οι υποχρεώσεις, από την πλήρη απαγόρευση έως την απουσία ειδικών απαιτήσεων. Η κατάταξη του συστήματος είναι το βήμα που προσδιορίζει το βάρος συμμόρφωσης.
| Κατηγορία | Ενδεικτικά παραδείγματα | Τι συνεπάγεται |
|---|---|---|
| Απαγορευμένου κινδύνου | Κοινωνική βαθμολόγηση, χειραγωγικές τεχνικές, αναγνώριση συναισθημάτων στην εργασία | Πλήρης απαγόρευση διάθεσης και χρήσης |
| Υψηλού κινδύνου | Διαλογή προσωπικού, αξιολόγηση πιστοληπτικής ικανότητας, βιομετρική ταυτοποίηση | Πλήρεις υποχρεώσεις: τεκμηρίωση, εποπτεία, αξιολόγηση συμμόρφωσης |
| Περιορισμένου κινδύνου | Chatbots, συνθετικό περιεχόμενο (deepfakes) | Υποχρεώσεις διαφάνειας και ενημέρωσης του χρήστη |
| Ελάχιστου κινδύνου | Φίλτρα ανεπιθύμητης αλληλογραφίας, AI σε παιχνίδια | Καμία ειδική υποχρέωση δυνάμει του Κανονισμού |
Ποιες πρακτικές AI απαγορεύονται πλήρως;
Το άρθρο 5 απαριθμεί τις πρακτικές μη αποδεκτού κινδύνου, οι οποίες απαγορεύονται από τις 2 Φεβρουαρίου 2025. Σε αυτές περιλαμβάνονται:
- η κοινωνική βαθμολόγηση φυσικών προσώπων,
- οι υποσυνείδητες ή χειραγωγικές τεχνικές που προκαλούν βλάβη,
- η εκμετάλλευση ευάλωτων ομάδων,
- η μη στοχευμένη συλλογή εικόνων προσώπου για δημιουργία βάσεων αναγνώρισης,
- η αναγνώριση συναισθημάτων σε χώρους εργασίας και εκπαίδευσης καθώς και
- η βιομετρική κατηγοριοποίηση με βάση ευαίσθητα χαρακτηριστικά.
Ορισμένες από αυτές αφορούν άμεσα την καθημερινή λειτουργία επιχειρήσεων, όπως η απαγόρευση συστημάτων που αναγνωρίζουν συναισθήματα εργαζομένων. Ο Digital Omnibus on AI προσθέτει στον κατάλογο νέα απαγόρευση για εφαρμογές παραγωγής μη συναινετικού οικείου υλικού («nudifiers») και υλικού κακοποίησης ανηλίκων.
Τι υποχρεώσεις έχει η επιχείρηση ως φορέας εφαρμογής συστήματος υψηλού κινδύνου;
Ο φορέας εφαρμογής συστήματος υψηλού κινδύνου δεν φέρει τις υποχρεώσεις παραγωγής του παρόχου, αλλά δεσμεύεται από το άρθρο 26. Έχει υποχρέωση χρήσης σύμφωνα με τις οδηγίες, ανάθεσης της ανθρώπινης εποπτείας σε καταρτισμένα πρόσωπα, παρακολούθησης της λειτουργίας και τήρησης των αρχείων που παράγει το σύστημα. Σε περίπτωση κινδύνου, οφείλει να αναστείλει τη χρήση και να ενημερώσει τα επηρεαζόμενα πρόσωπα.
Δύο υποχρεώσεις έχουν ιδιαίτερη σημασία στο εργασιακό περιβάλλον. Πριν τεθεί σε λειτουργία σύστημα υψηλού κινδύνου στον χώρο εργασίας, ο εργοδότης ενημερώνει τους εργαζομένους και τους εκπροσώπους τους, ζήτημα που συνδέεται με τον εσωτερικό κανονισμό εργασίας. Παράλληλα, τα συστήματα υψηλού κινδύνου υπόκεινται σε απαιτήσεις στιβαρότητας και ασφάλειας, που εντάσσονται στο ευρύτερο πλαίσιο της κυβερνοασφάλειας της επιχείρησης.
Προκειμένου να υπάρχει μέτρο σύγκρισης, ο πάροχος φέρει το βαρύτερο σκέλος των υποχρεώσεων κατά το άρθρο 16, όπως σύστημα διαχείρισης κινδύνου, τεχνική τεκμηρίωση, αξιολόγηση συμμόρφωσης και σήμανση CE. Η εμπειρία από έργα συμμόρφωσης δείχνει ότι η ορθή οριοθέτηση των δύο ρόλων στη σύμβαση εξοικονομεί στην επιχείρηση το κόστος υποχρεώσεων που ανήκουν στον κατασκευαστή.
Πως κινδυνεύει η επιχείρηση σε μη συμμόρφωση;
Το άρθρο 99 προβλέπει τρεις κλίμακες διοικητικών προστίμων. Η παραβίαση των απαγορευμένων πρακτικών του άρθρου 5 επισύρει πρόστιμο έως 35.000.000 ευρώ ή έως 7% του παγκόσμιου ετήσιου κύκλου εργασιών, όποιο είναι υψηλότερο. Η μη συμμόρφωση με λοιπές υποχρεώσεις, όπως εκείνες των φορέων εφαρμογής, των παρόχων και της διαφάνειας, επισύρει έως 15.000.000 ευρώ ή 3%, ενώ η παροχή ανακριβών ή παραπλανητικών πληροφοριών στις αρχές έως 7.500.000 ευρώ ή 1%.
Για τις μικρομεσαίες και τις νεοφυείς επιχειρήσεις ισχύει αναλογική μεταχείριση. Κατά την παράγραφο 6, το πρόστιμο υπολογίζεται στο χαμηλότερο από τα δύο μεγέθη, όχι στο υψηλότερο. Πρακτικά, μια μικρομεσαία εταιρεία ή startup με κύκλο εργασιών 2.000.000 ευρώ αντιμετωπίζει ανώτατο πρόστιμο πρώτης κλίμακας 140.000 ευρώ αντί για 35.000.000 ευρώ. Τα ποσά αυτά είναι ανώτατα όρια και οι αρχές συνεκτιμούν τη βαρύτητα, την πρόθεση και τα διορθωτικά μέτρα.
Πότε ισχύουν οι υποχρεώσεις; Το χρονοδιάγραμμα μετά τον Digital Omnibus
Οι διατάξεις εφαρμόζονται σταδιακά. Ο Κανονισμός τέθηκε σε ισχύ την 1η Αυγούστου 2024, οι απαγορεύσεις και η υποχρέωση επάρκειας ισχύουν από τις 2 Φεβρουαρίου 2025, και οι κανόνες για τα μοντέλα γενικής χρήσης (GPAI) από τις 2 Αυγούστου 2025. Ο Digital Omnibus on AI, δέσμη τροποποιήσεων του Κανονισμού, μεταθέτει τις βαρύτερες προθεσμίες.
| Υποχρέωση | Αρχική ημερομηνία | Νέα ημερομηνία (Omnibus) |
|---|---|---|
| Απαγορευμένες πρακτικές και επάρκεια (άρθρο 4) | 2 Φεβρουαρίου 2025 | Αμετάβλητη |
| Μοντέλα γενικής χρήσης, διακυβέρνηση, κυρώσεις | 2 Αυγούστου 2025 | Αμετάβλητη |
| Διαφάνεια φορέων εφαρμογής (άρθρο 50) | 2 Αυγούστου 2026 | Αμετάβλητη |
| Σήμανση συνθετικού περιεχομένου από παρόχους (άρθρο 50 παρ. 2) | 2 Αυγούστου 2026 | 2 Δεκεμβρίου 2026 |
| Υψηλού κινδύνου, αυτοτελή συστήματα (Παράρτημα III) | 2 Αυγούστου 2026 | 2 Δεκεμβρίου 2027 |
| Υψηλού κινδύνου, ενσωματωμένα σε προϊόντα (Παράρτημα I) | 2 Αυγούστου 2027 | 2 Αυγούστου 2028 |
| Ρυθμιστικά δοκιμαστήρια (sandboxes) | 2 Αυγούστου 2026 | 2 Αυγούστου 2027 |
Μία λεπτομέρεια είναι καθοριστική για τον σχεδιασμό. Ο Digital Omnibus έχει συμφωνηθεί σε επίπεδο προσωρινής πολιτικής συμφωνίας τον Μάιο του 2026, αλλά κατά τον χρόνο σύνταξης του παρόντος εκκρεμεί η τυπική υιοθέτηση και δημοσίευσή του στην Επίσημη Εφημερίδα της ΕΕ.
Μέχρι τη δημοσίευση, οι αρχικές ημερομηνίες, και ιδίως η 2η Αυγούστου 2026, παραμένουν τυπικά ενεργές. Η αναβολή δεν θεωρείται δεδομένη πριν ολοκληρωθεί η νομοθετική διαδικασία.
Χρειάζεται η επιχείρηση εσωτερική πολιτική χρήσης AI και τι πρέπει να περιλαμβάνει;
Η υποχρέωση επάρκειας σε θέματα AI του άρθρου 4, σε ισχύ από τις 2 Φεβρουαρίου 2025, απαιτεί από παρόχους και φορείς εφαρμογής να διασφαλίζουν επαρκή κατάρτιση του προσωπικού που χειρίζεται συστήματα AI.
Η εσωτερική πολιτική χρήσης AI είναι το πρακτικό εργαλείο που υλοποιεί την υποχρέωση αυτή και, παράλληλα, οριοθετεί τους κινδύνους που δεν ρυθμίζει ευθέως ο Κανονισμός.
Μια λειτουργική πολιτική, που εντάσσεται στους εσωτερικούς κανόνες λειτουργίας της επιχείρησης, καλύπτει κατ’ ελάχιστον τα εξής:
- Αποδεκτή χρήση: ποια εργαλεία AI επιτρέπονται και για ποιες εργασίες, με ρητό αποκλεισμό μη εγκεκριμένων εφαρμογών.
- Εμπιστευτικότητα και εμπορικό απόρρητο: απαγόρευση εισαγωγής εμπιστευτικών ή πελατειακών δεδομένων σε δημόσια μοντέλα, ζήτημα που συνδέεται με την προστασία του επιχειρηματικού απορρήτου.
- Προσωπικά δεδομένα: τήρηση των αρχών του GDPR σε κάθε επεξεργασία μέσω AI, με νόμιμη βάση και ενημέρωση υποκειμένων.
- Πνευματικά δικαιώματα: διευκρίνιση της ιδιοκτησίας και των αδειών χρήσης για το παραγόμενο περιεχόμενο.
- Ανθρώπινη εποπτεία και ευθύνη: ποιος ελέγχει το αποτέλεσμα πριν αξιοποιηθεί, ώστε να μην υποκαθίσταται η ανθρώπινη κρίση.
- Έγκριση εργαλείων: διαδικασία αξιολόγησης και έγκρισης νέων εφαρμογών AI πριν την ενσωμάτωσή τους.
Η εμπειρία από τη σύνταξη τέτοιων πολιτικών δείχνει ότι η αξία τους βρίσκεται στην προσαρμογή στις συγκεκριμένες ροές εργασίας της επιχείρησης και στην τεκμηριωμένη κατάρτιση που αποδεικνύει τη συμμόρφωση με το άρθρο 4.
Συχνές ερωτήσεις
Αναβλήθηκε το AI Act;
Όχι συνολικά. Ο Digital Omnibus on AI, που συμφωνήθηκε τον Μάιο του 2026, μεταθέτει μόνο τις υποχρεώσεις υψηλού κινδύνου, στις 2 Δεκεμβρίου 2027 και στις 2 Αυγούστου 2028, ενώ εκκρεμεί η τυπική δημοσίευσή του. Οι απαγορευμένες πρακτικές, η υποχρέωση επάρκειας και οι κανόνες για τα μοντέλα γενικής χρήσης ήδη ισχύουν.
Ισχύει το AI Act για μικρή επιχείρηση ή startup;
Ναι, ανεξαρτήτως μεγέθους. Προβλέπεται όμως αναλογική μεταχείριση. Τα πρόστιμα για μικρομεσαίες και νεοφυείς επιχειρήσεις υπολογίζονται στο χαμηλότερο από τα δύο μεγέθη, ενώ ο Κανονισμός προβλέπει προτεραιότητα πρόσβασης σε ρυθμιστικά δοκιμαστήρια για δοκιμή συστημάτων υπό την εποπτεία των αρχών.
Τι είναι σύστημα AI «υψηλού κινδύνου»;
Είναι σύστημα που ενδέχεται να επηρεάσει σημαντικά την υγεία, την ασφάλεια ή τα θεμελιώδη δικαιώματα, όπως εργαλεία διαλογής προσωπικού, αξιολόγησης πιστοληπτικής ικανότητας ή βιομετρικής ταυτοποίησης. Αυτά φέρουν τις αυστηρότερες υποχρεώσεις τεκμηρίωσης, εποπτείας και αξιολόγησης συμμόρφωσης.
Η χρήση εργαλείων AI για διαλογή βιογραφικών εμπίπτει στον Κανονισμό;
Ναι. Η επιχείρηση που χρησιμοποιεί τέτοιο εργαλείο είναι φορέας εφαρμογής. Επειδή τα συστήματα διαλογής προσωπικού κατατάσσονται κατά κανόνα ως υψηλού κινδύνου, ισχύουν οι υποχρεώσεις του άρθρου 26, μεταξύ άλλων η ανθρώπινη εποπτεία και η ενημέρωση των εργαζομένων.
Ποια αρχή εποπτεύει το AI Act στην Ελλάδα;
Ο Κανονισμός εφαρμόζεται άμεσα. Κάθε κράτος μέλος ορίζει εθνικές αρμόδιες αρχές εποπτείας της αγοράς και κοινοποίησης κατά το άρθρο 70. Στην Ελλάδα ο ορισμός και η οργάνωση των αρχών βρίσκονται σε εξέλιξη, ενώ οι υποχρεώσεις των επιχειρήσεων απορρέουν ήδη απευθείας από τον Κανονισμό.
Πρακτικές Επισημάνσεις
Χαρτογράφηση συστημάτων AI: Καταγραφή κάθε εργαλείου AI που αναπτύσσει ή χρησιμοποιεί η επιχείρηση, με προσδιορισμό του ρόλου και της κατηγορίας κινδύνου ανά σύστημα, ως πρώτο βήμα κάθε σχεδίου συμμόρφωσης.
Συμβατική κατανομή ευθύνης με τον πάροχο: Στις συμβάσεις προμήθειας AI, ρητός προσδιορισμός ποιος φέρει τις υποχρεώσεις παρόχου και τι εγγυάται ο προμηθευτής ως προς τη συμμόρφωση, ώστε να αποφεύγεται η σιωπηρή μετακύλιση ευθυνών στην επιχείρηση.
Εσωτερική πολιτική και κατάρτιση: Θέσπιση πολιτικής χρήσης AI και τεκμηρίωση της κατάρτισης του προσωπικού, ώστε να καλύπτεται η υποχρέωση επάρκειας του άρθρου 4.
Παρακολούθηση του Omnibus: Επιβεβαίωση της τυπικής δημοσίευσης του Digital Omnibus πριν θεωρηθεί δεδομένη η αναβολή των προθεσμιών υψηλού κινδύνου, καθώς μέχρι τότε παραμένουν ενεργές οι αρχικές ημερομηνίες.
Το Δικηγορικό μας Γραφείο, για περισσότερα από 20 χρόνια εξειδικεύεται στο Εταιρικό και Εμπορικό Δίκαιο. Επικοινωνήστε μαζί μας για σας καθοδηγήσουμε και να σας συμβουλεύσουμε σε κάθε θέμα σχετικά με την AI Act και τη συμμόρφωση των επιχειρήσεων.