Etički kodeks za umjetnu inteligenciju kompanija LEGIER i „SANDIC by LEGIER“ Grupe

Sadržaj

Obavještenje: Ako se automatski direktorij čini praznim, kliknite desnim tasterom miša u Word → "Ažuriraj polje".

1. Preambula i opseg

Ovaj Kodeks utvrđuje obavezujuće principe, procese i kontrole za razvoj, nabavku, rad i korištenje umjetne inteligencije unutar LEGIER Grupe. Primjenjuje se na cijelu grupu, na zaposlenike, menadžere, obrađivače, dobavljače i partnere.

Integrira postojeće korporativne politike (zaštita podataka, procesi digitalnih usluga, korporativno upravljanje, održivost, politika ljudskih prava, izjava o modernom ropstvu) i proširuje ih kako bi uključile zahtjeve specifične za umjetnu inteligenciju.

Gol je omogućavanje koristi i inovacija, upravljanje rizicima i zaštita prava korisnika, kupaca i šire javnosti.

2. Osnovne vrijednosti i vodeći principi

Ljudsko dostojanstvo i temeljna prava imaju prednost nad ekonomskom efikasnošću. Vještačka inteligencija služi ljudima – nikada obrnuto.
Usklađenost sa zakonima: Usklađenost sa Zakon EU o umjetnoj inteligenciji, GDPR, Dinamični pretraživački oglas i sektorski specifični standardi. Nema korištenja zabranjenih praksi.
Odgovornost i odgovornost: Za svaki sistem vještačke inteligencije određen je odgovorni vlasnik; odluke su transparentne i podložne osporivanju.
Proporcionalnost: Ravnoteža između svrhe, rizika, intenziteta intervencije i društvenog utjecaja.
Transparentnost i objašnjivost: Odgovarajuće informacije, dokumentacija i komunikacijski kanali u vezi s funkcionalnošću, dostupnošću podataka i ograničenjima.
Pravednost i inkluzija: Sistematsko testiranje pristranosti, zaštita ranjivih grupa, pristupačnost i višejezičnost.
Sigurnost i otpornost: Sigurnost po dizajnu, dubinska odbrana, kontinuirano jačanje i praćenje.
Održivost: Efikasnost modela i podatkovnih centara (energija, PUE/CFE), prikaz životnog ciklusa podataka/modela.

3. Upravljanje i odgovornosti (Odbor za etiku umjetne inteligencije, RACI)

Odbor za etiku umjetne inteligencije (AIEB): Interdisciplinarno (Tehnologija, Pravni poslovi/Usklađenost, Zaštita podataka, Sigurnost, Uredništvo/Proizvodi, Ljudi). Odgovornosti: Ažuriranje politika, izdavanje odobrenja (posebno onih visokog rizika), rješavanje sukoba i praćenje izvještaja.

Rolanje: Vlasnik slučaja upotrebe, vlasnik modela, upravitelj podataka, službenik za zaštitu podataka, voditelj sigurnosti, odgovorni urednik, vlasnik usluge, voditelj nabavke.

Odbori i pristupni centri: Odobrenje AIIA prije puštanja u rad; Savjetodavni odbor za promjene za materijalne promjene; godišnji pregledi uprave.

RACI princip: Jasna raspodjela odgovornosti za svaku aktivnost (Odgovoran, Položajni, Konsultovani, Informisani).

4. Pravni i regulatorni okvir (Zakon EU o umjetnoj inteligenciji, GDPR, DSA, zakon o autorskim pravima, trgovačko pravo)

Zakon EU o umjetnoj inteligenciji: Okvir zasnovan na riziku sa zabranama, obavezama za visokorizične sisteme, dokumentacijom, evidentiranjem, upravljanjem i zahtjevima za transparentnost; fazna primjena od 2025/2026.
GDPR: Pravne osnove (čl. 6/9), prava subjekta podataka, privatnost po dizajnu/zadano, procjena utjecaja na zaštitu podataka (DPIA), prijenosi podataka trećim zemljama (čl. 44 i dalje).
Dinamični oglas za pretraživačku mrežu: Procesi platforme za izvještavanje, žalbe, izvještaje o transparentnosti i procjene rizika za velike platforme.
Autorska prava i sporedna autorska prava / lična prava: Jasni lanci licenci, prava na sliku/ime, prava trećih strana na kuću.
Zahtjevi specifični za industriju (npr. zakon o avijaciji/pomorstvu/zdravlju) se također moraju poštovati.

5. Klasifikacija rizika i procjena utjecaja umjetne inteligencije (AIIA)

Klasifikacija:

Zabranjene prakse (nisu dozvoljene)
Sistemi visokog rizika (stroge obaveze)
Ograničeni rizik (transparentnost)
Minimalni rizik

AIIA proces: Opis svrhe/obuhvata, zainteresovane strane, pravni osnov, izvori podataka; analiza rizika (pravni, etički, sigurnosni, pristrasni, uticaji na okolinu); plan ublažavanja; odluka (odobrenje AIEB-a).

Ponovne procjene: Za materijalne promjene, godišnje za stavke visokog rizika; dokumentacija u centralnom registru.

6. Etika podataka i zaštita podataka (pravne osnove, DPIA, kolačići, treće zemlje)

Minimiziranje podataka i ograničavanje svrhe; Poželjna je pseudonimizacija/anonimizacija.
Transparentnost: Informacije o zaštiti podataka, kanali za informisanje i brisanje; prenosivost; mogućnosti prigovora.
Kolačići/Praćenje: Upravljanje pristankom; opoziv; anonimizacija IP adrese; samo odobreni alati.
Transferi u treće zemlje: Samo uz odgovarajuće garancije (SCC/adekvatnost); redovne revizije podobrađivača.
DPIA: Obavezno za obradu visokog rizika; dokumentirati tehničke/organizacijske mjere (TOM).

7. Životni ciklus modela i podataka (Životni ciklus strojnog učenja, Kartice podataka, Kartice modela)

Životni ciklus podataka: Nabavka → Kuriranje → Označavanje → Kontrole kvalitete → Verziranje → Zadržavanje/Brisanje.

Životni ciklus modela: Definicija problema → Odabir arhitekture → Obuka/Fino podešavanje → Evaluacija (Offline/Online) → Objavljivanje → Rad → Praćenje → Ponovna obuka/Ukidanje.

Kartice s podacima: Porijeklo, reprezentativnost, kvalitet, nalazi pristranosti, ograničenja upotrebe.

Kartice modela: Svrha, podaci za obuku, referentne vrijednosti, metrike, ograničenja, očekivani obrasci grešaka, šta treba/ne treba raditi.

Porijeklo i reproducibilnost: Hešovi, verzije podataka/modela, dokazi cjevovoda.

8. Transparentnost, objašnjivost i korisničke upute

Označavanje za interakciju umjetne inteligencije i sadržaj generiran umjetnom inteligencijom.
Objašnjivost: Koristite objašnjenja prilagođena slučaju, jednostavna za laike (lokalna/globalna).
Upute za korisnike: Svrha, glavni faktori utjecaja, ograničenja; kanali povratne informacije i korekcije.

9. Čovjek u krugu i nadzorne dužnosti

Ljudski nadzor kao standard za relevantne odluke (posebno one visokog rizika).
Princip četiri oka za urednički/društveno osjetljive zadatke.
Funkcije nadjačavanja/otkazivanja; putevi eskalacije; dokumentacija.

10. Sigurnost, robusnost i Red Teaming (brzo ubrizgavanje, jailbreakovi)

Modeliranje prijetnji (STRIDE + specifično za AI): Brzo ubrizgavanje, trovanje podataka za obuku, krađa modela, curenje privatnosti.
Crveno timsko testiranje i adversarial testiranje; sprječavanje jailbreaka; ograničavanje brzine; izlazni filter; tajno skeniranje.
Robusnost: Rezervni upiti, zaštitne ograde, planovi za vraćanje unazad; kanarinska izdanja; haotično testiranje sigurnosti.

11. Lanac snabdijevanja, ljudska prava i pošten rad (Moderno ropstvo, LkSG-analog)

Dužna pažnja u vezi s ljudskim pravima: Analiza rizika, kodeks dobavljača, ugovorne obaveze, revizije, sanacija.
Moderno ropstvo: Godišnja deklaracija, podizanje svijesti, kanali izvještavanja.
Radni standardi: Pravedna plata, radno vrijeme, zdravstvena zaštita; zaštita uzbunjivača.

12. Upravljanje predrasudama, pravednost i inkluzija (ranjivi kupci, pristupačnost)

Testovi pristranosti: Analiza skupa podataka, balansiranje, različite testne grupe, metrike pravednosti; dokumentovano ublažavanje.
Ranjivi kupci: Ciljevi zaštite, alternativni kanali, jasan jezik; bez iskorištavanja kognitivnih slabosti.
Pristupačnost: WCAG-Konformizam; višejezičnost; inkluzivna komunikacija.

13. Generativna umjetna inteligencija, dokaz porijekla i označavanje (C2PA, vodeni žig)

Označavanje: Vidljive oznake/metapodaci za AI sadržaj; obavještenja tokom interakcija.
Dokaz o porijeklu: C2PA-Kontekst, potpisi/vodeni žigovi gdje je to tehnički moguće.
Autorska/srodna prava: Pojasniti licence; usklađenost podataka o obuci; dokumentirati lanac prava.

14. Sadržaj, moderiranje i DSA procesi (izvještavanje, žalbe, transparentnost)

Kanali za prijavljivanje: Prijavljivanje korisnika s niskim pragom; prioritetna obrada ilegalnog sadržaja.
Procesi žalbi: Transparentno opravdanje, prigovor, eskalacija.
Izvještaji o transparentnosti: Periodično objavljivanje relevantnih ključnih brojki i mjera.

15. Upotreba specifična za domen (vijesti, podaci, zdravlje, avijacija, jahte, nekretnine, plaćanje/trgovina/povjerenje/kovanice, automobili)

Vijesti/Izdavaštvo: Pomoć u istraživanju, prevođenje, moderiranje; jasno označavanje generativnog sadržaja.
SKANDINSKI PODACI: Sigurna AI/HPC infrastruktura, višestruki zakup, HSM/KMS, mogućnost posmatranja, artefakti usklađenosti.
Zdravlje: Upotreba zasnovana na dokazima, konačna odluka na ljudima, bez neprovjerenih dijagnoza.
Avijacija/Jahte: Sigurnosni procesi, ljudski nadzor, postupci u hitnim slučajevima.
Imanje: Modeli vrednovanja s provjerama pravičnosti; ESG integracija.
Plaćanje/Trgovina/Povjerenje/Kovanica: Sprečavanje prevara, KYC/AML, nadzor tržišta, objašnjive odluke.
Automobili: Personalizirane usluge uz strogu zaštitu podataka.

16. Treće strane, nabavka i upravljanje rizicima dobavljača

Dužna pažnja prije uključivanja: Nivo sigurnosti/privatnosti, lokacije podataka, podobrađivači, certifikati.
Ugovori: Prava revizije, klauzule o transparentnosti i sanaciji, SLA/OLA metrike.
Praćenje: Ključni pokazatelji uspješnosti (KPI), razmjena nalaza/incidenata, planovi za izlazak iz situacije.

17. Operacije, uočljivost, planovi za hitne slučajeve i oporavak

Operacija: Vidljivost (logovi, metrike, tragovi), upravljanje SLO/SLI, planiranje kapaciteta.
Hitni slučaj: Runbookovi, DR testovi, vremena oporavka, komunikacijski planovi.
Upravljanje konfiguracijom/tajnim podacima: Najmanje privilegija, rotacije, kaljenje.

18. Incidenti i sanacija (etika, zaštita podataka, sigurnost)

Etički incidenti: Neželjena diskriminacija, dezinformacije, nejasno porijeklo – hitne mjere i revizija od strane AIEB-a.
Incidenti u vezi sa zaštitom podataka: Procesi izvještavanja službeniku za zaštitu podataka/nadzornim organima; informacije za pogođene; analiza uzroka.
Sigurnosni incidenti: CSIRT procedure, forenzika, naučene lekcije, preventivne mjere.

19. Metrike, KPI-jevi i osiguranje (interno/eksterno)

Obavezni ključni pokazatelji uspješnosti (KPI): 100% pokrivenost AIIA produktivnih slučajeva upotrebe umjetne inteligencije; <14 dana medijan vremena rješavanja pritužbi; >95% stope obuke; 0 otvorenih kritičnih nalaza revizije.
Mjerila pravednosti: Nejednak uticaj, izjednačene šanse (specifično za slučaj upotrebe).
Održivost: Energija/PUE/metrike ugljika u podatkovnim centrima; efikasnost modela.

20. Obuka, podizanje svijesti i kulturne promjene

Obavezna obuka (godišnje): Etika umjetne inteligencije, zaštita podataka, sigurnost, medijska etika; moduli specifični za ciljne grupe.
Kampanje za podizanje svijesti: Smjernice, sesije sa smeđom vrećom, konsultacije; interne zajednice prakse.
Kultura: Funkcija uzora liderstva, kultura grešaka, nagrada za odgovorno djelovanje.

21. Implementacija i plan (0–6 / 6–12 / 12–24 mjeseca)

0–6 mjeseci: Popis slučajeva upotrebe umjetne inteligencije; AIIA proces; minimalne kontrole; val obuke; provjera dobavljača.
6–12 mjeseci: Uvođenje crvenog timskog rada; početni izvještaji o transparentnosti; energetski program; finalizacija RACI-ja.
12–24 mjeseca: Usklađenost sa ISO/IEC 42001 standardom; ograničeno osiguranje; kontinuirano poboljšanje; priprema CSRD/ESRS (ako je primjenjivo).

22. Uloge i RACI matrica

Vlasnik slučaja upotrebe (A): Svrha, koristi, KPI-jevi, budžet, ponovne procjene.
Vlasnik modela (R): Podaci/Trening/Evaluacija, Model kartica, Praćenje drifta.
DPO (C/A za zaštitu podataka): Pravna osnova, DPIA, prava subjekta podataka.
Voditelj sigurnosti (C): Modeliranje prijetnji, crveno timiranje, TOM-ovi.
Odgovorni urednik (C): Medijska etika, etiketiranje, registar korekcija.
Vlasnik usluge (R): Operacije, SLO, upravljanje incidentima.
Voditelj nabavke (R/C): Treće strane, ugovori, planovi izlaska.

23. Kontrolne liste (AIIA sažetak, objavljivanje podataka, početak rada)

Brza provjera AIIA-e: Svrha? Pravna osnova? Oni na koje se to odnosi? Rizici (pravni/etički/sigurnosni/pristrasni/ekološki)? Ublažavanje? Kontrole zdravstvenog osiguranja?
Objavljivanje podataka: Da li je izvor legitiman? Minimiziranje? Zadržavanje? Pristup? Treća zemlja?
Kapija za pokretanje uživo: Jesu li artefakti (kartice s podacima/modelima, zapisnici) kompletni? Jesu li nalazi Crvenog tima obrađeni? Je li uspostavljeno praćenje/DR?

24. Obrasci i predlošci (Model kartice, Kartica s podacima, Izvještaj o incidentu)

Predložak kartice modela: Svrha, podaci, obuka, mjerila, ograničenja, rizici, odgovorne osobe, kontakt.
Predložak podatkovne kartice: Porijeklo, licenca, kvalitet, reprezentativnost, provjere pristranosti, ograničenja upotrebe.
Predložak izvještaja o incidentu: Događaj, uticaj, pogođeno, hitna akcija, uzrok, lijek, naučene lekcije.

25. Glosar i reference

Glosar: AI sistem, generativna AI, sistem visokog rizika, AIIA, HIL, C2PA, crveni tim, DPIA, RACI, SLO/SLI.

Reference:

Zakon EU o umjetnoj inteligenciji
GDPR
Dinamični pretraživački oglas
OECD-ovi principi umjetne inteligencije
NIST AI RMF
ISO/IEC 42001
Interne smjernice (zaštita podataka, DSA procesi, moderno ropstvo, održivost)

Obavještenje: Ovaj Kodeks umjetne inteligencije dopunjuje postojeće LEGIER politike, uključujući one o zaštiti podataka, digitalnim uslugama, ljudskim pravima/lancu snabdijevanja, korporativnom upravljanju, održivosti i modernom ropstvu. Sastavni je dio okvira za usklađenost LEGIER Grupe (LEGIER Beteiligungs mbH).