Kam taikomas ES dirbtinio intelekto aktas?

Aktas taikomas visiems DI sistemų tiekėjams, diegėjams ir importuotojams, kurių sistemos veikia ES rinkoje. Taisyklės galioja ir užsienio bendrovėms, jei jų DI sistemų rezultatai pasiekia ES vartotojus.

Kokios baudos numatomos už DI akto pažeidimus?

Baudos siekia iki 35 mln. € arba 7 % metinės pasaulinės apyvartos už draudžiamų praktikų naudojimą, iki 15 mln. € arba 3 % už didelės rizikos reikalavimų nesilaikymą, ir iki 7,5 mln. € arba 1 % už klaidingą informaciją institucijoms.

Kada įsigalioja pagrindiniai DI akto reikalavimai?

Draudimai ir DI raštingumo reikalavimai taikomi nuo 2025 m. vasario 2 d. Pagrindiniai didelės rizikos sistemų reikalavimai įsigalioja 2026 m. rugpjūčio 2 d. Didelės rizikos sistemoms, integruotoms į gaminius, taikomas pratęstas terminas iki 2028 m. rugpjūčio 2 d.

Kas yra didelės rizikos DI sistema?

Didelės rizikos DI sistemos naudojamos srityse, kurios gali daryti reikšmingą įtaką žmonių teisėms: personalo atranka, kreditingumo vertinimas, medicinos diagnostika, teisėsauga, migracijos kontrolė, kritinė infrastruktūra ir kitos.

Ar ChatGPT ar Claude naudojimas el. laiškams laikomas didelės rizikos DI?

Ne. Bendrosios paskirties DI įrankių naudojimas vidiniams procesams (teksto rašymui, analizei) paprastai nepatenka į didelės rizikos kategoriją. Rizikos lygis priklauso nuo konkretaus naudojimo konteksto, ne nuo įrankio.

ES dirbtinio intelekto aktas: viskas, ką verslui reikia žinoti

01 — Pagrindai

Kas yra ES DI aktas ir kodėl jis svarbus?

ES dirbtinio intelekto aktas – pirmasis pasaulyje teisiškai privalomas reglamentas, reguliuojantis dirbtinio intelekto sistemas. Jis nustato aiškias ribas: ką galima, ką privalu ir ką draudžiama daryti su DI ES rinkoje.

Pagrindinis principas – rizika lemia reikalavimus:

Maža arba jokia rizika (pvz., žaidimai, brukalų filtrai) – jokių papildomų reikalavimų.
Didelė rizika (pvz., medicina, personalo atranka) – griežta kontrolė ir dokumentavimas.
Nepriimtina rizika (pvz., socialinis reitingavimas) – visiškas draudimas.

Svarbu diegėjams, ne tik kūrėjams Aktas taikomas ne tik DI kuriančioms įmonėms. Jei naudojate trečiųjų šalių DI įrankius savo versle, tam tikros pareigos tenka ir jums kaip „diegėjui" (angl. „deployer").

Taisyklės galioja ir užsienio bendrovėms, jei jų DI sistemų rezultatai pasiekia ES vartotojus. Registracijos šalis nesvarbi – svarbu, kam sistema siūloma.

Europos Komisija šį aktą vertina kaip esminį žingsnį – panašų į BDAR (GDPR) asmens duomenų srityje. Tikimasi, kad ES DI taisyklės taps globaliu standartu.

02 — Rizikos sistema

Keturios rizikos kategorijos: kur patenka jūsų verslas?

DI aktas visas DI sistemas skirsto į keturias kategorijas. Ši klasifikacija yra bene svarbiausia praktinė DI atitikties užduotis: nuo kategorijos priklauso visas reikalavimų rinkinys.

Pasirinkite kategoriją, kad sužinotumėte daugiau:

⊘ Nepriimtina rizika

Nepriimtina rizika — draudžiama naudoti

Šios sistemos kelia akivaizdžią grėsmę žmonių saugumui, teisėms ir orumui. Draudimai taikomi nuo 2025 m. vasario 2 d.

Draudžiama:

Manipuliaciniai DI, naudojantys pasąmoninius metodus elgesiui keisti
Sistemų, išnaudojančių pažeidžiamas grupes (vaikus, neįgaliuosius), naudojimas
Socialinio reitingavimo sistemos pagal elgesį ar asmenines savybes
DI nusikalstamo elgesio prognozavimui pagal asmens profilį
Veido atpažinimo duomenų bazių kūrimas be aiškaus teisinio pagrindo
Emocijų atpažinimas darbo vietose ir mokymosi įstaigose
Biometrinis skirstymas pagal saugomas savybes (rasė, politinės pažiūros ir kt.)
Tikralaikis biometrinis tapatybės nustatymas viešose erdvėse teisėsaugos tikslais

⚠ Didelė rizika

Didelė rizika — griežti reikalavimai

Sistemas galima naudoti, tačiau tik atitinkant išsamius techninius ir procedūrinius reikalavimus. Pagrindiniai reikalavimai įsigalioja 2026 m. rugpjūčio 2 d.

Sritys: personalo atranka, kreditingumo vertinimas, medicinos diagnostika, autonominio vairavimo sistemos, teisėsaugos DI, migracijos valdymas, kritinė infrastruktūra, švietimo vertinimo sistemos.

ℹ Ribota rizika

Ribota rizika — skaidrumo pareigos

Šioms sistemoms taikomas vienas pagrindinis reikalavimas: žmonės turi žinoti, kad bendrauja su DI.

Pokalbių robotai privalo informuoti, kad vartotojas kalbasi su mašina
DI sugeneruotas turinys turi būti pažymėtas
Deepfake ir sintetiniai vaizdai turi būti aiškiai identifikuojami
Emocijų atpažinimo sistemos privalo apie tai informuoti

✓ Minimali arba jokia rizika

Minimali arba jokia rizika — be papildomų reikalavimų

Didžioji dauguma ES naudojamų DI sistemų patenka čia. Aktui jiems specialių taisyklių nenustato – galioja tik bendrieji DI raštingumo įpareigojimai.

Brukalų (angl. spam) filtrai
Produktų rekomendacinės sistemos e-parduotuvėse
DI valdomos žaidimų funkcijos
Vidinės analitikos įrankiai be sprendimų priėmimo funkcijų
Bendrieji teksto, vaizdo ar kodo generavimo įrankiai vidiniams tikslams

Pasirinkite lygį, kad sužinotumėte daugiau apie jam taikomas taisykles

Draudžiama

Nepriimtina rizika

Sistemas draudžiama kurti, tiekti ir naudoti. Jokių išimčių.

Socialinio reitingavimo sistemos
Emocijų atpažinimas darbe ir mokykloje
Manipuliaciniai DI
Tikralaikis veido atpažinimas viešose erdvėse

Didelė rizika

Griežti reikalavimai

Galima naudoti, tačiau tik atitikus techninius reikalavimus ir dokumentavimą.

CV filtravimo sistemos
Kreditingumo vertinimas
Medicinos diagnostika
Kritinė infrastruktūra

Ribota rizika

Skaidrumas

Privaloma informuoti vartotojus, kad jie sąveikauja su DI sistema.

Pokalbių robotai
Turinio generavimo įrankiai
Deepfake medžiaga

Minimali rizika

Be reikalavimų

Didžioji dauguma DI patenka čia. Specialių akto reikalavimų nėra.

Brukalų filtrai
Rekomendaciniai varikliai
DI žaidimai
Vidiniai analitiniai įrankiai

03 — Terminų grafikas

Kas jau galioja ir kas dar ateis?

ES DI aktas įsigalioja etapais – suteikiant verslui laiko prisitaikyti. Tačiau dalis reikalavimų jau taikoma dabar.

2024 m. rugpjūčio 1 d. Įsigaliojo

DI aktas oficialiai įsigaliojo

Reglamentas (EU) 2024/1689 pasirašytas ir įsigaliojo. Prasidėjo pereinamasis laikotarpis.

2025 m. vasario 2 d. Taikoma

Draudimai ir DI raštingumas

Draudžiamos DI praktikos neteisėtos visoje ES. Visos DI naudojančios įmonės privalo užtikrinti darbuotojų DI raštingumą. Tai jau taikoma jūsų įmonei.

2025 m. rugpjūčio 2 d. Taikoma

Bendrosios paskirties DI modelių taisyklės

Taisyklės modeliams kaip GPT-4, Claude, Gemini – skaidrumo ir autorių teisių reikalavimai. Sisteminę riziką keliančiems modeliams – papildomi vertinimo reikalavimai.

2026 m. rugpjūčio 2 d. Artėja

Pagrindiniai didelės rizikos reikalavimai

Visos didelės rizikos DI sistemos privalo atitikti išsamius techninius reikalavimus: rizikos valdymas, duomenų dokumentavimas, žmogaus priežiūra, registravimas, kibernetinis saugumas.

2027 m. gruodžio 2 d. Planuojama

Biometrika, infrastruktūra, švietimas, migracija

Savarankiškoms didelės rizikos DI sistemoms šiose srityse taikomas pratęstas terminas pagal „DI Omnibus" supaprastinimą.

2028 m. rugpjūčio 2 d. Planuojama

DI sistemos, integruotos į gaminius

Didelės rizikos DI, integruotas į reglamentuojamus gaminius – medicinos prietaisus, automobilius, liftus, žaislus. Pratęstas terminas suteikia gamintojams daugiau laiko prisitaikyti.

„DI Omnibus" supaprastinimas (2025 m. lapkritis – 2026 m. gegužė) Europos Komisija pasiūlė taisyklių supaprastinimą – sutrumpintus terminus MVĮ, aiškesnius reikalavimus ir du atskirus terminus didelės rizikos sistemoms. Politinis susitarimas pasiektas 2026 m. gegužės 7 d. Planuojant atitiktį, rekomenduojame remtis 2026 m. rugpjūčio 2 d. data.

04 — Didelės rizikos DI sistemos

Didelės rizikos DI sistemos: kas tai ir ar jūsų verslas turi tokių?

Didelės rizikos DI sistemos gali reikšmingai paveikti žmonių teises, sveikatą ar ekonominę padėtį. Jos nėra draudžiamos – tačiau jų naudojimas be rizikos valdymo sistemos ir dokumentacijos nuo 2026 m. rugpjūčio 2 d. bus neteisėtas.

Sritys, kuriose DI sistemos klasifikuojamos kaip didelės rizikos

Sritis	Pavyzdžiai
Žmogiškieji ištekliai	CV filtravimas, pokalbių vertinimas, paaukštinimų sprendimai, veiklos stebėjimas
Finansai	Kreditingumo vertinimas, paskolų sprendimai, draudimo rizikos vertinimas
Sveikata	Medicinos diagnostika, robotizuota chirurgija, DI saugos komponentai
Švietimas	Egzaminų vertinimas, priėmimo sprendimai, mokymosi pritaikymo sistemos
Teisėsauga	Įrodymų patikimumo vertinimas, biometrinė identifikacija, profiliavimas
Migracija ir sienos	Vizų nagrinėjimas, prieglobsčio prašymų sprendimai, sienų kontrolė
Kritinė infrastruktūra	Energetika, vandens tiekimas, transporto valdymo sistemos
Teisingumas	DI sprendimai teismo procesams, teisės aktų interpretavimas

Dažniausias atvejis mažoms įmonėms ChatGPT, Claude ar Gemini naudojimas rašymui ar analizei nėra didelės rizikos sistema. Rizika kyla, kai DI tiesiogiai lemia sprendimus, turinčius įtakos žmonių teisėms – pvz., nusprendžia, kuris kandidatas gauna darbą arba kam suteikiama paskola.

05 — DI atitiktis

Kokie reikalavimai taikomi didelės rizikos sistemoms?

Jei jūsų verslas naudoja didelės rizikos DI sistemą, nuo 2026 m. rugpjūčio 2 d. privalote atitikti šiuos reikalavimus. Tai taikoma tiek DI kūrėjams, tiek diegėjams.

!
Rizikos valdymo sistema
Dokumentuota sistema, apimanti visą DI ciklą nuo kūrimo iki eksploatavimo: identifikuotos rizikos, jų vertinimas ir mažinimo priemonės.
!
Duomenų valdymas ir dokumentavimas
Mokymo duomenys turi būti dokumentuoti: šaltiniai, reprezentatyvumas, šališkumo rizika ir jos valdymas. Specialių kategorijų duomenis galima tvarkyti tik esant griežtam būtinumo pagrindui.
!
Techninė dokumentacija
Dokumentai, aprašantys sistemos veikimo principus, sprendimų logiką ir paskirtį – pakankami, kad priežiūros institucija galėtų įvertinti atitiktį.
!
Žmogaus priežiūra
Būtina užtikrinti, kad žmogus gali stebėti DI veikimą ir prireikus įsikišti. Visiškai autonominiai sprendimai, turintys didelę įtaką žmonėms, nėra leistini.
!
Veiklos registravimas (logai)
Sistemos sprendimai turi būti registruojami, kad būtų galima atsekti jų pagrindą – atsakomybės ir audito tikslais.
!
Tikslumas, patvarumas, kibernetinis saugumas
Sistema privalo veikti tiksliai ir patikimai, būti apsaugota nuo kibernetinių atakų ir neautorizuoto manipuliavimo rezultatais.
!
Skaidrumas diegėjui
Tiekėjas privalo suteikti diegėjui aiškią informaciją apie sistemos paskirtį, apribojimus ir tinkamo naudojimo sąlygas.
!
Registracija ES duomenų bazėje
Savarankiškos didelės rizikos DI sistemos privalo būti registruotos Europos Komisijos administruojamoje viešoje duomenų bazėje.

DI auditas kaip praktinis žingsnis Prieš 2026 m. rugpjūčio 2 d. rekomenduojama atlikti vidinį DI auditą: identifikuoti visas naudojamas sistemas, klasifikuoti pagal rizikos lygį ir įvertinti reikalavimų spragas. Tai leidžia prioritetizuoti veiksmus ir išvengti paskutinės minutės skubėjimo.

06 — DI raštingumas darbuotojams

DI raštingumas darbuotojams: reikalavimas, kuris jau taikomas

DI raštingumo įpareigojimas taikomas nuo 2025 m. vasario 2 d. Jis galioja visoms įmonėms, naudojančioms DI sistemas – nepriklausomai nuo dydžio ar sektoriaus.

DI akto 4 straipsnis reikalauja, kad DI sistemų tiekėjai ir diegėjai imtųsi priemonių užtikrinti pakankamą darbuotojų informuotumą apie DI sistemas, su kuriomis jie dirba.

Ką tai reiškia praktiškai?

Reikalavimas proporcingas: nereikalaujama, kad visi darbuotojai būtų DI ekspertai. Žmonės, dirbantys su DI sistemomis, turi suprasti:

Kaip veikia naudojama DI sistema
Kokie yra jos apribojimai ir galimos klaidos
Kokia rizika kyla naudojant sistemą
Kaip sistema priima sprendimus
Kokios yra jų pareigos naudojant DI
Kada reikia žmogaus sprendimo, o ne DI
Kaip pranešti apie incidentus ar gedimus
Kokie reguliaciniai reikalavimai taikomi

Kaip tai įgyvendinti?

Sudarykite DI sistemų sąrašą

Identifikuokite visus DI įrankius įmonėje: nuo rinkodaros automatizacijos iki CV filtravimo. Daugelis įmonių nustembama suvokę, kiek DI jau naudoja.

Parenkite vidines gaires

Dokumentas su kiekvienos sistemos aprašu: ką ji daro, kaip veikia, kokie apribojimai, kada kreiptis į žmogų. Paprastas wiki arba PDF pakanka.

Organizuokite trumpus mokymus

1–2 valandos per komandos susirinkimą, aptariant DI galimybes, rizikas ir įmonės politiką – dažnai pakankama daugeliui darbuotojų.

Fiksuokite ir atnaujinkite

Saugokite dalyvių sąrašus, datas ir mokymo turinį. DI aplinka keičiasi greitai – numatykite reguliarius atnaujinimus, bent kartą per metus.

07 — Baudos

Kokios baudos numatytos už pažeidimus?

ES DI aktas nustato trijų lygių baudų sistemą, pagrįstą pažeidimo sunkumu. Baudos skaičiuojamos kaip įmonės praėjusių metų metinės pasaulinės apyvartos procentas arba fiksuota suma – taikoma ta, kuri yra didesnė.

35 mln. €

arba 7 % metinės pasaulinės apyvartos

Draudžiamų DI praktikų naudojimas

15 mln. €

arba 3 % metinės pasaulinės apyvartos

Didelės rizikos reikalavimų pažeidimas

7,5 mln. €

arba 1 % metinės pasaulinės apyvartos

Klaidingos informacijos pateikimas institucijoms

MVĮ ir startuolių lengvatos Mažosioms ir vidutinėms įmonėms taikomi proporcingai mažesni baudų dydžiai. „DI Omnibus" supaprastinimas taip pat išplečia lengvatas mažosioms vidutinės kapitalizacijos įmonėms. Vis dėlto net mažesnės baudos gali būti reikšmingos – prevencija ekonomiškesnė.

Baudų sistema – kraštutinė priemonė. Reguliatoriai greičiausiai pirmiausia taikys perspėjimus ir reikalavimus ištaisyti pažeidimus. Dokumentuotas atitikties procesas yra stipriausias apsaugos įrankis.

08 — Pasiruošimas DI aktui

Konkretūs žingsniai pasiruošimui iki 2026 m. rugpjūčio 2 d.

Pasiruošimas nereikalauja milžiniškų resursų – reikia struktūruoto požiūrio. Štai praktinis veiksmų planas daugumai Lietuvos įmonių:

DI sistemų inventorizacija Skubiai

Sudarykite visų naudojamų DI sistemų sąrašą. Prie kiekvienos: pavadinimas, paskirtis, tiekėjas, naudotojai. Daugelis įmonių nustembama suvokę, kiek DI jau naudoja.

Rizikos kategorijų klasifikavimas

Kiekvienai sistemai nustatykite kategoriją. Klausimai: ar sistema tiesiogiai lemia sprendimus, turinčius įtakos žmonių teisėms? Ar naudojama personalo, finansų, švietimo ar kitose jautriose srityse?

DI raštingumo reikalavimų įgyvendinimas Jau privaloma

Pradėkite nuo to, kas jau taikoma. Parengiamos vidinės gairės, organizuojami trumpi mokymai, fiksuojami dalyviai. Šis žingsnis taikytinas kiekvienai DI naudojančiai įmonei.

Didelės rizikos sistemų atitikties planas

Jei turite didelės rizikos sistemų, pradėkite rengti dokumentaciją: rizikos valdymo sistema, duomenų aprašai, techninė dokumentacija, žmogaus priežiūros procedūros.

Tiekėjų sutarčių peržiūra

Patikrinkite trečiųjų šalių DI tiekėjų sutartis. Ar tiekėjas užtikrina atitiktį? Ar yra prieiga prie techninės dokumentacijos? Ar aiškiai apibrėžta atsakomybė?

Pasinaudokite Lietuvos DI smėliadėže

Lietuva sukūrė DI reguliacinę smėliadėžę, kurią administruoja Lietuvos inovacijų agentūra ir RRT. Programa suteikia konsultacijas ir reguliacinį palydėjimą – nemokama MVĮ.

09 — Dažni klausimai

Dažniausi klausimai apie ES dirbtinio intelekto aktą

Taip. Aktas taikomas ir „diegėjams" – įmonėms, naudojančioms trečiųjų šalių DI sistemas. Pareigos kaip DI raštingumas, žmogaus priežiūra ir naudojimo protokolai tenka diegėjui. Techninė dokumentacija ir atitikties vertinimas – tiekėjui. Tačiau diegėjas privalo patikrinti, kad tiekėjas šias pareigas vykdo.

Paprastai ne. Bendrosios paskirties DI modelių naudojimas vidiniams tikslams (teksto rašymui, analizei, kodo kūrimui) nepatenka į didelės rizikos kategoriją. Tačiau jei šie įrankiai integruojami į sistemą, kuri automatiškai priima sprendimus turinčius įtakos žmonių teisėms (pvz., filtruoja CV), situacija gali keistis.

DI akto 4 str. reikalauja, kad darbuotojai, dirbantys su DI sistemomis, turėtų pakankamą supratimą apie jas. Reikalavimas taikomas ne visiems – tik tiesiogiai su DI dirbančioms asmenims. Pakanka, kad asmuo suprastų sistemos paskirtį, apribojimus ir savo atsakomybes. Draudimai ir DI raštingumo pareigos taikomos nuo 2025 m. vasario 2 d.

Du pagrindiniai kriterijai: (1) ar sistema veikia srityje, išvardytoje DI akto III priede (personalo atranka, finansai, sveikata, teisėsauga ir kt.)? (2) ar sistema gali tiesiogiai lemti sprendimus su reikšmingu poveikiu žmonėms? Jei abu atsakymai teigiami – sistema greičiausiai didelės rizikos. Rekomenduojama kreiptis į DI atitikties specialistus arba Lietuvos RRT.

Baudų sistema nustato proporcingas sankcijas MVĮ – tiek fiksuotos sumos, tiek procentiniai apribojimai yra mažesni nei didelėms korporacijoms. Reguliatoriai pirmuosius metus greičiausiai orientuosis į šviečiamąją veiklą ir reikalavimus ištaisyti trūkumus. Tačiau sistemingi pažeidimai – ypač draudžiamų praktikų naudojimas – gali sulaukti greito atsakymo.

Ryšių reguliavimo tarnyba (RRT) paskirta pagrindine DI akto priežiūros institucija Lietuvoje. RRT taip pat dalyvauja administruojant Lietuvos DI reguliacinę smėliadėžę kartu su Lietuvos inovacijų agentūra.

Bendrosios paskirties DI modeliai (angl. GPAI) – tai modeliai, galintys atlikti įvairias užduotis: GPT-4, Claude, Gemini, Llama ir kiti. Akto taisyklės jiems taikomos nuo 2025 m. rugpjūčio 2 d. Tiekėjai privalo laikytis skaidrumo, autorių teisių ir saugos reikalavimų. Sisteminę riziką keliančioms modeliams – papildomi vertinimo ir ataskaitų reikalavimai.

Taip. Emocijų atpažinimas darbo vietose ir švietimo įstaigose yra draudžiama praktika nuo 2025 m. vasario 2 d. Išimtis galioja tik aiškiai apibrėžtiems medicinos ar saugos tikslams. Produktyvumo ar nuotaikos stebėjimo sistemos, grindžiamos emocijų analize, nėra leidžiamos.

ES dirbtinio intelekto aktas: viskas, ką verslui reikia žinoti