Etický kodex AI skupiny LEGIER a „SANDIC by LEGIER“

Obsah

Poznámka: Pokud se automatický adresář zobrazí prázdný, klikněte pravým tlačítkem myši do Wordu → „Aktualizovat pole“.

• 1. preambule a oblast působnosti
• 2. základní hodnoty a hlavní zásady
• 3. řízení a odpovědnosti (etická rada AI, RACI)
• 4. právní a normalizační rámec (zákon EU o umělé inteligenci, GDPR, DSA, autorské právo, obchodní právo)
• 5. klasifikace rizik a posouzení dopadů na umělou inteligenci (AIIA)
• 6. etika a ochrana údajů (právní základ, DPIA, cookies, třetí země)
• 7. životní cyklus modelu a dat (ML-Lifecycle, karty Data, modelové karty)
• 8. transparentnost, vysvětlitelnost a pokyny pro uživatele
• 9. člověk ve smyčce a dozorčí povinnosti
• 10. bezpečnost, robustnost a red-teaming (prompt injection, jailbreaky)
• 11. dodavatelský řetězec, lidská práva a spravedlivá práce (moderní otroctví, LkSG-analog)
• 12. řízení předsudků, spravedlnost a inkluze (zranitelní zákazníci, přístupnost)
• 13. generativní umělá inteligence, důkaz původu a označování (C2PA, vodoznak)
• 14. obsah, moderování a procesy DSA (hlášení, stížnosti, transparentnost)
• 15. specifické použití pro danou oblast (News, Data, Health, Aviation, Yachts, Estate, Pay/Trade/Trust/Coin, Cars)
• 16. třetí strany, zadávání veřejných zakázek a řízení rizik dodavatelů
• 17. provoz, pozorovatelnost, nouzové plány a plány opětovného spuštění
• 18. incidenty a nápravná opatření (etika, ochrana údajů, bezpečnost)
• 19. metriky, klíčové ukazatele výkonnosti a zajištění (interní/externí)
• 20. školení, informovanost a kulturní změna
• 21. implementace a plán (0-6 / 6-12 / 12-24 měsíců)
• 22. role a matice RACI
• 23. kontrolní seznamy (AIIA short, data release, go-live gate)
• 24. formuláře a šablony (vzorová karta, karta Data, hlášení o incidentu)
• 25 Slovníček a odkazy

1. preambule a oblast působnosti

Tento kodex stanoví závazné zásady, postupy a kontrolní mechanismy pro vývoj, pořizování, provoz a používání UI ve skupině LEGIER. Platí v celé skupině pro zaměstnance, manažery, smluvní zpracovatele, dodavatele a partnery. Integruje stávající směrnice Skupiny (ochrana údajů, procesy digitálních služeb, správa a řízení společnosti, udržitelnost, politika lidských práv, prohlášení o moderním otroctví) a rozšiřuje je o požadavky specifické pro UI. Cíl je umožnit přínosy a inovace, umožnit řízení rizik a chránit práva uživatelů, zákazníků a široké veřejnosti. 2. základní hodnoty a hlavní zásady  

• Lidská důstojnost a základní práva stojí nad ekonomickou efektivitou. Umělá inteligence slouží lidem - nikdy ne naopak.
• Soulad s právními předpisy: Soulad s Akt EU o umělé inteligenci, GDPR, DSA a odvětvové normy. Nepoužívání zakázaných postupů.
• Zodpovědnost a odpovědnost: Pro každý systém UI je určen odpovědný vlastník; rozhodnutí jsou sledovatelná a napadnutelná.
• Proporcionalita: Vyváženost účelu, rizika, intenzity zásahu a sociálního dopadu.
• Transparentnost a vysvětlitelnost: Dostatečné informace, dokumentace a komunikační kanály o funkčnosti, datových situacích a omezeních.
• Spravedlnost a začlenění: Systematické testování zaujatosti, ochrana zranitelných skupin, přístupnost a vícejazyčnost.
• Bezpečnost a odolnost: 1TP63Zabezpečení podle návrhu, hloubková ochrana, průběžné zpevňování a monitorování.
• Udržitelnost: Efektivita modelů a datových center (energie, PUE/CFE), pohled na životní cyklus dat/modelů.

3. řízení a odpovědnosti (etická rada AI, RACI)

Etická komise pro umělou inteligenci (AIEB): Mezioborové (technika, právo/splnění předpisů, ochrana dat, bezpečnost, redakce/produkt, lidé). Úkoly: Aktualizace zásad, vydávání souhlasů (zejména vysoce rizikových), rozhodování o konfliktech, sledování zpráv. Role: Vlastník případu užití, vlastník modelu, Data Steward, DPO, Security Lead, Responsible Editor, Service Owner, Procurement Lead. Výbory a brány: Schválení AIIA před uvedením do provozu; poradní sbor pro změny v případě podstatných změn; každoroční přezkoumání vedením. Princip RACI: Jasné určení odpovědnosti za každou činnost (Responsible, Accountable, Consulted, Informed).

4. právní a normalizační rámec (zákon EU o umělé inteligenci, GDPR, DSA, autorské právo, obchodní právo)

• EU-AI-Act: Rámec založený na riziku se zákazy, povinnostmi pro vysoce rizikové systémy, dokumentací, protokolováním, správou a transparentností; postupná použitelnost od roku 2025/2026.
• GDPR: Právní základy (čl. 6/9), práva subjektů údajů, ochrana soukromí již od návrhu, posouzení vlivu na ochranu osobních údajů (DPIA), předávání údajů do třetích zemí (čl. 44 a násl.).
• DSA: Procesy platforem pro oznamování, stížnosti, zprávy o transparentnosti, hodnocení rizik velkých platforem.
• Autorská a sousedská práva / osobnostní práva: Jasné licenční řetězce, práva k obrázkům/názvům, práva třetích stran na bydliště.
• Požadavky specifické pro dané odvětví (např. letecké/námořní právo/Health).

5. klasifikace rizik a posouzení dopadů na umělou inteligenci (AIIA)

Klasifikace:

1. Zakázané postupy (nejsou povoleny)
2. Systémy s vysokým rizikem (přísné povinnosti)
3. Omezené riziko (transparentnost)
4. Minimalizované riziko

Postup AIIA: Popis Účel/rozsah, zúčastněné strany, právní základ, zdroje dat; analýza rizik (právní, etická, bezpečnostní, zaujatost, dopad na životní prostředí); plán zmírnění; rozhodnutí (schválení AIEB). Opětovné hodnocení: V případě významných změn, u vysokého rizika každoročně; dokumentace v centrálním registru.

6. etika a ochrana údajů (právní základ, DPIA, cookies, třetí země)

• Minimalizace údajů a omezení účelu; Upřednostňuje se pseudonymizace/anonymizace.
• Transparentnost: Informace o ochraně údajů, informace a kanály pro výmaz; přenositelnost; možnosti vznesení námitky.
• Soubory cookie/sledování: Správa souhlasu; odvolání souhlasu; anonymizace IP; pouze schválené nástroje.
• Převody do třetích zemí: Pouze s vhodnými zárukami (SCC/adekvátnost); pravidelné testování dílčích zpracovatelů.
• DPIA: Povinné pro vysoce rizikové zpracování; dokumentujte technická/organizační opatření (TOM).

7. životní cyklus modelu a dat (ML-Lifecycle, karty Data, modelové karty)

Data Životní cyklus: Akvizice → Kurátorství → Označování → Brány kvality → Verzování → Uchovávání/vyřazování. Životní cyklus modelu: Definice problému → Výběr architektury → Školení/ladění → Vyhodnocení (offline/online) → Vydání → Provoz → Monitorování → Přeškolení/odstavení. Karty Data: Původ, reprezentativnost, kvalita, zjištění o zkreslení, omezení použití. Modelové karty: Účel, tréninková data, referenční hodnoty, metriky, omezení, očekávané chybové vzorce, doporučení/nedoporučení. Provenience a reprodukovatelnost: Hashe, verze dat/modelu, ověřování potrubí.

8. transparentnost, vysvětlitelnost a pokyny pro uživatele

• Označování pro interakci s umělou inteligencí a obsah generovaný umělou inteligencí.
• Vysvětlitelnost: Používejte laická vysvětlení přizpůsobená konkrétnímu případu (místní/globální).
• Pokyny pro uživatele: Účel, hlavní ovlivňující faktory, limity; metody zpětné vazby a korekce.

9. člověk ve smyčce a dozorčí povinnosti

• Lidský dohled jako standard pro příslušná rozhodnutí (zejména vysoce riziková).
• Zásada čtyř očí pro redakčně/společensky citlivé úkoly.
• Přepisování/zrušení funkcí; eskalační cesty; dokumentace.

10. bezpečnost, robustnost a red-teaming (prompt injection, jailbreaky)

• Modelování hrozeb (STRIDE + specifická AI): Injekce podnětů, otrávení tréninkových dat, krádež modelu, únik ochrany dat.
• Red teaming a testy protistrany; prevence útěku z vězení; omezování rychlosti; filtrování výstupu; skenování běhounů 1TP63.
• Robustnost: Záložní výzvy, ochranná zábradlí, plány zpětného přechodu; uvolnění kanárků; testy chaosu pro bezpečnost.

11. dodavatelský řetězec, lidská práva a spravedlivá práce (moderní otroctví, LkSG-analog)

• Řádná péče v oblasti lidských práv: Analýza rizik, kodex chování dodavatele, smluvní závazky, audity, nápravná opatření.
• Moderní otroctví: Roční prohlášení, informovanost, kanály pro podávání zpráv.
• Pracovní normy: Spravedlivá mzda, pracovní doba, ochrana zdraví; ochrana oznamovatelů.

12. řízení předsudků, spravedlnost a inkluze (zranitelní zákazníci, přístupnost)

• Kontroly předpojatosti: Analýzy souborů dat, vyvažování, různé testovací skupiny, metriky spravedlnosti; zdokumentované zmírnění.
• Ohrožení zákazníci: Cíle ochrany, alternativní kanály, jasný jazyk; žádné zneužívání kognitivních slabin.
• Přístupnost: WCAG-konformita; vícejazyčnost; inkluzivní přístup.

13. generativní umělá inteligence, důkaz původu a označování (C2PA, vodoznak)

• Označování: Viditelné popisky/metadata pro obsah UI; nápověda pro interakce.
• Záruky původu: C2PA-kontext, podpisy/vodoznaky, pokud je to technicky možné.
• Autorská práva/ochrana služeb: Objasnění licencí; školení o souladu údajů; dokumentace řetězce práv.

14. obsah, moderování a procesy DSA (hlášení, stížnosti, transparentnost)

• Zpravodajské kanály: Nízkoprahové hlášení uživatelů; prioritní zpracování nelegálního obsahu.
• Procesy podávání stížností: Transparentní zdůvodnění, námitka, eskalace.
• Zprávy o transparentnosti: Pravidelné zveřejňování příslušných klíčových údajů a opatření.

15. specifické použití pro danou oblast (News, Data, Health, Aviation, Yachts, Estate, Pay/Trade/Trust/Coin, Cars)

• Zprávy/vydavatelství: Pomoc při výzkumu, překládání, moderování; jasné označení generativního obsahu.
• SCANDIC DATA: Bezpečná infrastruktura AI/HPC, oddělení klientů, HSM/KMS, pozorovatelnost, artefakty shody.
• Health: Použití založené na důkazech, konečné rozhodnutí člověka, žádné neověřené diagnózy.
• Aviation/Yachts: Bezpečnostní postupy, dohled nad lidmi, nouzové postupy.
• Estate: Modely oceňování s kontrolou spravedlnosti; integrace ESG.
• Pay/Trade/Trust/Coin: Prevence podvodů, KYC/AML, dohled nad trhem, vysvětlitelná rozhodnutí.
• Cars: Personalizované služby s přísnou ochranou dat.

16. třetí strany, zadávání veřejných zakázek a řízení rizik dodavatelů

• Náležitá péče před nástupem: Úroveň zabezpečení/ochrany dat, umístění dat, dílčí zpracovatelé, certifikáty.
• Smlouvy: Práva na audit, ustanovení o transparentnosti a nápravě, metriky SLA/OLA.
• Monitorování: Klíčové ukazatele výkonnosti, výměna poznatků/incidentů, plány odchodu.

17. provoz, pozorovatelnost, nouzové plány a plány opětovného spuštění

• Provoz: Pozorovatelnost (protokoly, metriky, stopy), správa SLO/SLI, plánování kapacity.
• Pohotovost: Knihy úloh, testy DR, časy obnovy, komunikační plány.
• Správa konfigurace/tajných informací: Nejmenší práva, rotace, zpevnění.

18. incidenty a nápravná opatření (etika, ochrana údajů, bezpečnost)

• Etické incidenty: Nežádoucí diskriminace, dezinformace, nejasný původ - okamžitá opatření a přezkum AIEB.
• Incidenty v oblasti ochrany údajů: Procesy podávání zpráv DPO/dohledu; informace pro dotčené strany; analýza hlavních příčin.
• Bezpečnostní incidenty: Postupy CSIRT, forenzní analýza, získané zkušenosti, preventivní opatření.

19. metriky, klíčové ukazatele výkonnosti a zajištění (interní/externí)

• Povinné klíčové ukazatele výkonnosti: 100 % AIIA pokrytí produktivních případů použití AI; 95 % míra školení; 0 otevřených kritických zjištění auditu.
• Metriky spravedlnosti: Rozdílný dopad, vyrovnané šance (použijte pro konkrétní případ).
• Udržitelnost: Údaje o spotřebě energie/PUE/uhlíkatých emisích datových center; účinnost modelů.

20. školení, informovanost a kulturní změna

• Povinné školení (každoročně): Etika umělé inteligence, ochrana dat, bezpečnost, etika médií; moduly pro jednotlivé cílové skupiny.
• osvětové kampaně: Průvodci, hnědé pytle, konzultační hodiny; interní společenství praxe.
• Kultura: Vedení jako vzor, kultura chyb, odměňování odpovědného chování.

21. implementace a plán (0-6 / 6-12 / 12-24 měsíců)

• 0-6 měsíců: Soupis případů použití AI; proces AIIA; minimální kontroly; vlna školení; prověřování dodavatelů.
• 6-12 měsíců: Zavedení red teamingu; první zprávy o transparentnosti; energetický program; dokončení RACI.
• 12-24 měsíců: Sladění s ISO/IEC-42001; omezené ujišťování; neustálé zlepšování; příprava CSRD/ESRS (pokud je to relevantní).

22. role a matice RACI

• Vlastník případu užití (A): Účel, přínosy, KPI, rozpočet, přehodnocení.
• Model-vlastník (R): Data/Training/Eval, Model Card, Drift Monitoring.
• DPO (C/A pro ochranu údajů): Právní základ, DPIA, práva subjektů údajů.
• 1TP63Olovo čistoty (C): Modelování hrozeb, red teaming, TOM.
• Odpovědný redaktor (C): Etika médií, označování, rejstřík oprav.
• Vlastník služby (R): Provoz, SLO, řízení incidentů.
• Vedoucí oddělení veřejných zakázek (R/C): Třetí strany, smlouvy, plány odchodu.

23. kontrolní seznamy (AIIA short, data release, go-live gate)

• Rychlá kontrola AIIA: Účel? Právní základ? Dotčené strany? Rizika (právní/etická/Security/objektivita/životní prostředí)? Zmírnění? Kontrolní mechanismy HIL?
• Zveřejnění údajů: Zdroj je zákonný? Minimalizace? Uchovávání? Přístup? Třetí země?
• Go-Live-Gate: Artefakty kompletní (Data/Modelové karty, Deníky)? Řeší se výsledky červeného týmu? Nastaveno monitorování/DR?

24. formuláře a šablony (vzorová karta, karta Data, hlášení o incidentu)

• Model-Card-Template: Účel, údaje, školení, referenční hodnoty, omezení, rizika, odpovědné osoby, kontakt.
• Data-Card-Template: Původ, licence, kvalita, reprezentativnost, kontroly zkreslení, omezení použití.
• Šablona zprávy o incidentu: Incident, následky, postižené osoby, okamžitá opatření, hlavní příčina, náprava, získané zkušenosti.

25 Slovníček a odkazy

Slovníček pojmů: Systém AI, generativní AI, vysoce rizikový systém, AIIA, HIL, C2PA, red teaming, DPIA, RACI, SLO/SLI. Odkazy:

• Akt EU o umělé inteligenci
• GDPR
• DSA
• Zásady OECD v oblasti umělé inteligence
• NIST AI RMF
• ISO/IEC 42001
• Interní směrnice (ochrana údajů, procesy DSA, moderní otroctví, udržitelnost)

Poznámka: Tento kodex AI doplňuje stávající pokyny LEGIER, jako např.: (ochrana údajů, digitální služby, lidská práva/dodavatelský řetězec, správa a řízení společnosti, udržitelnost, moderní otroctví). Je nedílnou součástí rámce pro dodržování předpisů skupiny LEGIER (LEGIER Beteiligungs mbH).