Nuo entuziazmo prie atsakomybės: ką kiekviena organizacija turi žinoti apie DI reguliavimą

Technologijų teisininkė, advokatų kontoros TRINITI JUREX advokatė ir partnerė Aurelija Rutkauskaitė tvirtina, kad ES DI aktas ypatingas tuo, kad pirmą kartą bandoma reguliuoti pačią technologiją, o ne tik jos naudojimo pasekmes. „Iki šiol buvo sakoma, kad teisės aktai turi būti neutralūs technologijai. Tačiau DI akto atveju ES bando suvaldyti šią svarbią technologiją, nes ji savo poveikiu žmonijai prilyginama garo mašinos ar interneto atsiradimui“, – akcentuoja advokatė.
Pasak ekspertės, teisės akto esmė  – apsaugoti žmogaus teises ir kartu nestabdyti technologijų pažangos.

Draudžiamos praktikos – darbuotojų emocijų vertinimas 

ES DI aktas įsigalioja tam tikrais etapais ir dalimis. Visuomenei ir verslui aktualiausios dvi jau įsigaliojusios teisės akto dalys. „Viena iš jų susijusi su darbuotojų DI raštingumu. Organizacijos yra įpareigotos užtikrinti, kad darbuotojai turėtų pakankamą DI raštingumo lygį, t. y. suprastų technologijos galimybes ir teisines rizikas“, – paaiškina A. Rutkauskaitė.
Taip pat jau galioja ir draudžiamų praktikų nuostatos, pavyzdžiui, negalima pasitelkti DI sprendimų socialiniam reitingavimui ar darbuotojų emocijų vertinimui. „Tokios praktikos nėra labai tolimos, kaip gali pasirodyti iš pirmo žvilgsnio. Pavyzdžiui, skambučių centras pasitelkia DI sprendimus tam, kad įvertintų darbuotojų pokalbių su klientais kokybę. Riba, kai iš balso tembro vertinamos emocijos, visai netoli“, – tvirtina advokatė. 
Kitos DI akto nuostatos įsigalios vėliau: dalis 2026 m. rugpjūtį, dalis – 2027 m. rugpjūtį. Organizacijos turės įsivertinti, kuriam iš rizikos lygių priskiriama jų DI naudojimo veikla. „Rizikos skirstomos į keturis lygius. Be jau aptartų draudžiamų praktikų išskiriamos didelės, ribotos ir minimalios rizikos praktikos. Pagal šiuos rizikos lygius ir kyla pareigos – nuo mažiausių iki didžiausių“, – nurodo technologijų teisininkė.
A. Rutkauskaitė atkreipia dėmesį ir į tai, kad DI aktas taikomas visai DI produkto ar sprendimų gyvavimo ciklo grandinei: tiek kūrėjams, tiek importuotojams, tiek naudotojams, išskyrus vadinamuosius buitinius naudotojus, naudojančius DI savo asmeniniams tikslams. „Vis dėlto, jei aš atėjau į darbą su savo „Chat GPT“ kišenėje, aš negaliu jo naudoti darbo tikslams. DI naudojimas darbe turi būti apibrėžtas ir reglamentuotas“, – perspėja advokatė. 

TRINITI JUREX advokatė ir partnerė Aurelija Rutkauskaitė

Svarba viešajam sektoriui 

Nors DI aktas taikomas visoms organizacijoms, A. Rutkauskaitė pabrėžia, kad viešajame sektoriuje jo poveikis gali būti dar didesnis. „Viešojo sektoriaus organizacijų sprendimai daro poveikį didelėms žmonių grupėms arba socialiai labiau pažeidžiamiems asmenims: nuo sveikatos priežiūros ar švietimo iki viešųjų paslaugų administravimo ar kritinės infrastruktūros“, – sako ji. Todėl būtent viešajam sektoriui gali būti taikomi griežtesni reikalavimai dokumentacijai, kontrolei, gali prireikti ir didesnio žmogaus įsikišimo, daugiau saugiklių ir aiškumo. 
Reikia nepamiršti ir to, kad viešojo sektoriaus organizacijos ne tik pačios turės laikytis DI akto reikalavimų, bet dalis jų bus atsakingos ir už šio akto įgyvendinimo priežiūrą. Čia atsakomybėmis dalinasi kelios institucijos. Inovacijų agentūra padeda verslui ir viešajam sektoriui pasirengti DI akto įsigaliojimui, tuo tarpu Ryšių reguliavimo tarnyba prižiūrės jau veikiančius DI sprendimus ir jų atitiktį. 
„Tačiau tuo viskas nesibaigia: pagal kompetenciją įsitrauks ir Valstybinė vartotojų teisių apsaugos tarnyba, duomenų apsaugos institucijos, medicinos ar vaikų teisių priežiūros institucijos. DI klausimai palies daugelį sričių“, – aiškina advokatė. 

Senosios atsakomybės niekur nedingo 

A. Rutkauskaitė primena, kad DI aktas nėra vienintelis teisės aktas, kurio organizacijos turi laikytis, kalbant apie DI sprendimus. „Gali būti, kad problemos organizacijoms kils ne tiek dėl DI akto, bet dėl pernelyg neatsakingo technologijų naudojimo žvelgiant per kitas teisinio reguliavimo sritis. Niekur „nedingo“ duomenų apsaugos, intelektinės nuosavybės ar viešųjų pirkimų reikalavimai. Pavyzdžiui, jei DI sprendimas pažeis BDAR ar vartotojų teises, be abejo, atsiras ir teisinė atsakomybė, numatyta šių sričių teisės aktuose“, – sako ji.
Atskiro dėmesio gali pareikalauti ir intelektinės nuosavybės klausimas. „Pavyzdžiui, jei universitetas padaro išradimą, pasitelkdamas DI, autorių teisių apsauga nebūtinai atsiranda automatiškai, nes dabartinis reguliavimas autoriumi pripažįsta tik žmogų,“ – apie įvairias teisines pinkles pasakoja advokatė. 
Keblumų gali kilti ir viešųjų pirkimų vertinimą patikėjus algoritmui, kuris taip pat gali klysti. Kilęs ginčas tuomet būtų nagrinėjamas pagal viešųjų pirkimų teisę, o ne DI aktą. 
Teisininkė pateikia ir realų garsiai nuskambėjusį pavyzdį iš Lietuvos praktikos, kai vienas advokatas parengė kasacinį skundą naudodamasis DI programa, tačiau jame buvo pateiktos neegzistuojančios teismų bylos. „Šis ir kiti pavyzdžiai rodo, kaip svarbu išlaikyti žmogų sprendimų grandinėje, angliškai yra net terminas „human in the loop“. DI negali būti naudojamas be kritiško vertinimo“, – perspėja ji.
Tam pritaria ir „Atea“ procesų automatizavimo skyriaus vadovė Ginta Kirkutė. „Tik pradėjusios dirbti su didžiaisiais kalbos modeliais organizacijos pamato ir jų ribas. Kol organizacijos tik skaito antraštes, DI atrodo neklystantis. Tačiau dirbant praktiškai paaiškėja, kad jis gali užtikrintai meluoti. Tai suformuoja realesnį lūkestį: DI greitai generuoja juodraščius, bet faktų tikrinimas – žmogaus atsakomybė“, – pažymi „Atea“ ekspertė.

Ar kas nors perskaitė „Copilot“ naudojimo taisykles?

A. Rutkauskaitė sako, kad viena dažniausių klaidų organizacijose diegiant DI sprendimus, pernelyg didelis pasitikėjimas technologija ir per mažas dėmesys jos naudojimo sąlygoms. „Paprastas pavyzdys – darbuotojai pradeda naudoti „Copilot“ ar kitą DI įrankį, bet ar kas nors paskaito naudojimo taisykles? Ar bent pasidomi, kokią varnelę verta pažymėti, kad sistema nesimokytų iš jūsų informacijos“, – klausia teisininkė.
Anot jos, darbuotojai neretai mano, kad kalbasi su „juodąja skyle“, ir nesuvokia, kad iš tiesų informaciją perduoda konkrečiai technologijų bendrovei. „Jei į DI sistemą įkeliame konfidencialius dokumentus ar asmens duomenis, mes prarandame jų kontrolę. O atsakomybė tenka ne technologijos kūrėjui, o organizacijai, kuri ją naudojo“, – sako ji.
Dar viena dažna klaida – nepakankamas dėmesys duomenų kokybei. Jei DI mokymosi bazė surinkta iš bet kur, jei ji „nešvari“ ar neteisėtai gauta, technologija gali pateikti klaidingus sprendimus arba sukelti teisinių problemų. Ne mažiau svarbi ir dokumentacija. „Jei organizacija kuria ar diegia DI sprendimą, turi būti aišku, kaip jis buvo vystomas, kokiais duomenimis mokytas“, – pabrėžia A. Rutkauskaitė.
„Atea“ ekspertė pastebi, kad organizacijų lūkesčiai DI atžvilgiu dažnai būna gerokai didesni nei realios technologijos galimybės. „Šiuo metu matome savotišką rinkos brandos etapą. Pirminę euforiją ir ažiotažą keičia praktinis supratimas, ką DI iš tiesų gali, o kur jis vis dar stringa“, – sako G. Kirkutė 
Pasak jos, pradžioje daug organizacijų tikėjosi, kad DI taps savotišku „stebuklingu mygtuku“, kuris pats išspręs verslo problemas, bet iš tiesų DI yra antrasis, o ne pagrindinis pilotas. Rezultatų kokybė labai priklauso nuo užklausos tikslumo, o žmogaus atliekama kokybės kontrolė vis dar išlieka būtina.

Atsakomybės pasidalinimas tarp DI tiekėjo ir naudotojo

Teisininkė A. Rutkauskaitė atkreipia dėmesį ir į atsakomybės pasidalijimą tarp tiekėjo ir naudotojo. „Tiekėjas, kuris kuria ar platina DI sprendimą, turi pateikti labai aiškias naudojimo gaires: kaip technologiją galima naudoti ir kokiais atvejais ji tinkama. Jei organizacija naudoja sprendimą taip, kaip numatyta, atsakomybė išlieka tiekėjui. Tačiau jei technologija pritaikoma visai kitam, sakykime, blogam tikslui, už pasekmes atsako pats naudotojas“, – aiškina ji.
Todėl DI projektai neišvengiamai reikš daugiau dokumentų, sutarčių ir atsakomybės pasidalinimo klausimų. „Organizacijos turės ne tik diegti technologiją, bet ir įsivertinti jos tiekėją, saugumą, suderinamumą su duomenų apsaugos reikalavimais. Dažnai technologija perkama net nepatikrinus, ar tiekėjas patikimas, ar sistema saugi, ar iš viso galima ją naudoti konkrečiu tikslu“, – perspėja A. Rutkauskaitė.

Patarimai, kaip ruoštis DI aktui

Paklausta, nuo ko pradėti ruošiantis DI aktui, A. Rutkauskaitė pirmiausia akcentuoja edukaciją. „Pradėčiau nuo DI raštingumo mokymų. Labai svarbu, kad darbuotojai suprastų, kaip ši technologija veikia, kokias rizikas ji kelia ir kokios atsakomybės atsiranda ją naudojant“, – sako ji.
Kitas žingsnis, anot ekspertės, aiškiai apsibrėžti organizacijos vaidmenį. „Reikia atsakyti sau į klausimą: ar mes tik naudosime DI sprendimus, ar ir patys juos vystysime? Nuo to priklauso ir pareigos bei atsakomybė. O tada reikia susidėlioti vidines gaires: kaip technologiją naudojame, kokius duomenis galime kelti, kas prižiūri procesus“, – aiškina ji. Be to, labai svarbu sekti atsakingų valstybės institucijų rekomendacijas ir konsultuotis: jos žada aktyviai padėti organizacijoms pasirengti. 
Svarbi ir vidinė atsakomybės struktūra. „Nebūtinai turės atsirasti DI pareigūnas, kaip BDAR atveju, bet kažkas organizacijoje turės prisiimti šią temą – IT vadovas, saugumo specialistas ar atitikties komanda. Organizacijose dažnai yra smalsių, technologijomis besidominčių žmonių, galbūt juos verta įtraukti ir suteikti atsakomybę“, – pažymi A. Rutkauskaitė. 
Ekspertė pabrėžia, kad absoliutaus saugumo DI srityje nebus, tačiau organizacijos gali tapti gerokai saugesnės. Tam reikia nuolatinio mokymosi, vidinių taisyklių ir atsakingo požiūrio į duomenis bei tiekėjus. 
„Neturėkime iliuzijos, kad DI aktas bus vienkartinis užduočių sąrašas, kuriame, padarius namų darbus, tereiks susidėlioti varneles. DI reguliavimas veiks ciklais – reikės nuolat vertinti rizikas, sekti institucijų rekomendacijas, tikrinti, ar mūsų sprendimai vis dar atitinka reikalavimus“, – sako A. Rutkauskaitė.
Svarbiausia suprasti, kad technologija nepakeičia žmogaus sprendimų. „Žmogaus gebėjimas mąstyti yra tarsi žemėlapis, o dirbtinis intelektas – tik automobilis, keliaujantis pagal tą žemėlapį“, – apibendrina G. Kirkutė. 

Dar daugiau ekspertų įžvalgų – jau šeštą kartą „Atea“ rengiamoje konferencijoje „Atea Public IT“, skirtoje valstybės lyderiams. Šįkart renginyje didžiausias dėmesys bus skirtas strateginiam technologijų vaidmeniui organizacijose: nuo efektyvaus jų naudojimo iki pamatuojamos vertės ir įtakos rezultatams. Daugiau informacijos galima rasti čia: https://www.atea.lt/renginiai/2026/atea-public-it-kaip-technologijos-tampa-efektyvumo-varikliu/