Etický kódex AI skupiny LEGIER a "SANDIC by LEGIER"

Obsah

Poznámka: Ak sa automatický adresár zobrazí prázdny, kliknite pravým tlačidlom myši na Word → "Aktualizovať pole".

1. Preambula a rozsah pôsobnosti

Tento kódex stanovuje záväzné zásady, postupy a kontrolné mechanizmy pre vývoj, obstarávanie, prevádzku a používanie umelej inteligencie v skupine LEGIER. Vzťahuje sa na zamestnancov, manažérov, zmluvných spracovateľov, dodávateľov a partnerov celej skupiny.

Integruje existujúce usmernenia skupiny (ochrana údajov, procesy digitálnych služieb, riadenie spoločnosti, udržateľnosť, politika ľudských práv, vyhlásenie o modernom otroctve) a rozširuje ich o požiadavky špecifické pre umelú inteligenciu.

Cieľ je umožniť prínosy a inovácie, umožniť riadenie rizík a chrániť práva používateľov, zákazníkov a širokej verejnosti.

2. základné hodnoty a hlavné zásady

Ľudská dôstojnosť a základné práva stojí nad ekonomickou efektívnosťou. Umelá inteligencia slúži ľuďom - nikdy nie naopak.
Právny súlad: Súlad s Akt EÚ o umelej inteligencii, GDPR, DSA a sektorové normy. Žiadne používanie zakázaných postupov.
Zodpovednosť a zodpovednosť: Pre každý systém umelej inteligencie je určený zodpovedný vlastník; rozhodnutia sú vysledovateľné a napadnuteľné.
Proporcionalita: Vyváženosť účelu, rizika, intenzity zásahu a sociálneho vplyvu.
Transparentnosť a zrozumiteľnosť: Primerané informácie, dokumentácia a komunikačné kanály o funkčnosti, dátových situáciách a obmedzeniach.
Spravodlivosť a začlenenie: Systematické testovanie zaujatosti, ochrana zraniteľných skupín, prístupnosť a viacjazyčnosť.
Bezpečnosť a odolnosť: Zabezpečenie podľa návrhu, hĺbková ochrana, nepretržité posilňovanie a monitorovanie.
Udržateľnosť: Účinnosť modelov a dátových centier (energia, PUE/CFE), pohľad na životný cyklus údajov/modelov.

3. riadenie a zodpovednosti (Etická rada AI, RACI)

Etická rada pre umelú inteligenciu (AIEB): Interdisciplinárne (technika, právo/splnenie požiadaviek, ochrana údajov, bezpečnosť, redakcia/produkt, ľudia). Úlohy: Aktualizácia politík, vydávanie povolení (najmä vysoko rizikových), rozhodovanie o konfliktoch, monitorovanie správ.

Úlohy: Vlastník prípadu použitia, vlastník modelu, správca údajov, DPO, vedúci bezpečnosti, zodpovedný redaktor, vlastník služby, vedúci obstarávania.

Výbory a brány: Schválenie AIIA pred uvedením do prevádzky; poradný výbor pre zmeny v prípade podstatných zmien; ročné preskúmania vedením.

Princíp RACI: Jasné určenie zodpovednosti za každú činnosť (Zodpovedný, Zodpovedný, Konzultovaný, Informovaný).

4. právny a normalizačný rámec (zákon EÚ o umelej inteligencii, GDPR, DSA, autorské právo, obchodné právo)

EU-AI-Act: Rámec založený na riziku so zákazmi, povinnosťami pre vysokorizikové systémy, dokumentáciou, protokolovaním, riadením, povinnosťami transparentnosti; postupné uplatňovanie od roku 2025/2026.
GDPR: Právne základy (čl. 6/9), práva dotknutých osôb, ochrana súkromia už v štádiu návrhu, posúdenie vplyvu na ochranu údajov (DPIA), prenosy do tretích krajín (čl. 44 a nasl.).
DSA: Procesy platforiem pre oznámenia, sťažnosti, správy o transparentnosti, hodnotenia rizík veľkých platforiem.
Autorské práva a súvisiace práva / osobnostné práva: Jasné licenčné reťazce, práva na obraz/názov, práva tretích strán na domicil.
Požiadavky špecifické pre dané odvetvie (napr. letecké/námorné právo/zdravotníctvo).

5. klasifikácia rizík a posúdenie vplyvu umelej inteligencie (AIIA)

Klasifikácia:

Zakázané postupy (nepovolené)
Systémy s vysokým rizikom (prísne povinnosti)
Obmedzené riziko (transparentnosť)
Minimalizované riziko

Postup AIIA: Opis Účel/rozsah, zainteresované strany, právny základ, zdroje údajov; analýza rizík (právne, etické, bezpečnostné, zaujatosť, vplyv na životné prostredie); plán zmiernenia; rozhodnutie (schválenie AIEB).

Opätovné posúdenie: V prípade významných zmien, v prípade vysokého rizika každoročne; dokumentácia v centrálnom registri.

6. etika a ochrana údajov (právny základ, DPIA, cookies, tretia krajina)

Minimalizácia údajov a obmedzenie účelu; Uprednostňuje sa pseudonymizácia/anonymizácia.
Transparentnosť: Informácie o ochrane údajov, informácie a kanály na vymazanie údajov; prenosnosť; možnosti námietky.
Súbory cookie/sledovanie: Správa súhlasu; odvolanie; anonymizácia IP; len schválené nástroje.
Transfery do tretích krajín: Iba s vhodnými zárukami (SCC/adekvátnosť); pravidelné testovanie čiastkových spracovateľov.
DPIA: Povinné pre vysokorizikové spracovanie; zdokumentovať technické/organizačné opatrenia (TOM).

7. životný cyklus modelu a údajov (životný cyklus ML, karty údajov, karty modelov)

Životný cyklus údajov: Akvizícia → Kurátorstvo → Označovanie → Brány kvality → Verzovanie → Uchovávanie/vyradenie.

Životný cyklus modelu: Definícia problému → Výber architektúry → Školenie/ladenie → Hodnotenie (offline/online) → Uvoľnenie → Prevádzka → Monitorovanie → Preškolenie/odstavenie.

Dátové karty: Pôvod, reprezentatívnosť, kvalita, zistenia o skreslení, obmedzenia používania.

Modelové karty: Účel, tréningové údaje, referenčné hodnoty, metriky, obmedzenia, očakávané vzory chýb, odporúčania/neodporúčania.

Pôvod a reprodukovateľnosť: Hashe, verzie údajov/modelu, overovanie potrubia.

8. transparentnosť, zrozumiteľnosť a pokyny pre používateľov

Označovanie pre interakciu s umelou inteligenciou a obsah vytvorený umelou inteligenciou.
Vysvetliteľnosť: Používajte laické vysvetlenia prispôsobené konkrétnemu prípadu (miestne/globálne).
Pokyny pre používateľa: Účel, hlavné ovplyvňujúce faktory, limity; spätná väzba a metódy korekcie.

9. človek v slučke a dozorné povinnosti

Ľudský dohľad ako štandard pre príslušné rozhodnutia (najmä vysokorizikové).
Zásada štyroch očí pre redakčne/spoločensky citlivé úlohy.
Funkcie prepisovania/zrušenia; cesty eskalácie; dokumentácia.

10. bezpečnosť, robustnosť a red-teaming (prompt injection, jailbreaky)

Modelovanie hrozieb (STRIDE + špecifické pre AI): Injekcia podnetu, otrávenie tréningových údajov, krádež modelu, únik ochrany údajov.
Red teaming a nepriateľské testy; prevencia úniku z väzenia; obmedzovanie rýchlosti; filtrovanie výstupu; tajné skenovanie.
Robustnosť: Záložné výzvy, ochranné zábradlia, plány na vrátenie; uvoľňovanie kanárikov; testy chaosu pre bezpečnosť.

11. dodávateľský reťazec, ľudské práva a spravodlivá práca (moderné otroctvo, LkSG-analóg)

Riadna starostlivosť v oblasti ľudských práv: Analýza rizík, kódex správania dodávateľa, zmluvné záväzky, audity, nápravné opatrenia.
Moderné otroctvo: Ročné vyhlásenie, informovanosť, kanály na podávanie správ.
Pracovné normy: Spravodlivá mzda, pracovný čas, ochrana zdravia; ochrana oznamovateľov.

12. riadenie predsudkov, spravodlivosť a inklúzia (zraniteľní zákazníci, prístupnosť)

Kontroly zaujatosti: Analýzy súborov údajov, vyvažovanie, rôzne testovacie skupiny, metriky spravodlivosti; zdokumentované zmiernenie.
Ohrození zákazníci: Ciele ochrany, alternatívne kanály, jasný jazyk; žiadne využívanie kognitívnych slabín.
Prístupnosť: WCAG-konformita; viacjazyčnosť; inkluzívny prístup.

13. generatívna umelá inteligencia, dôkaz pôvodu a označovanie (C2PA, vodoznak)

Označovanie: Viditeľné štítky/metadáta pre obsah AI; nápoveda pre interakcie.
Záruky pôvodu: C2PA-kontext, podpisy/vodoznaky, pokiaľ je to technicky možné.
Autorské práva/ochrana služieb: Objasnenie licencií; súlad školiacich údajov; dokumentácia reťazca práv.

14. obsah, moderovanie a procesy DSA (podávanie správ, sťažnosti, transparentnosť)

Kanály na podávanie správ: Nízkoprahové nahlasovanie používateľov; prioritné spracovanie nezákonného obsahu.
Procesy podávania sťažností: Transparentné odôvodnenie, námietka, eskalácia.
Správy o transparentnosti: Pravidelné zverejňovanie príslušných kľúčových údajov a opatrení.

15. použitie v konkrétnej doméne (správy, údaje, zdravie, letectvo, jachty, nehnuteľnosti, platba/obchod/veriteľstvo/mince, autá)

Novinky/vydavateľstvo: Pomoc pri výskume, preklad, moderovanie; jasné označenie generatívneho obsahu.
SCANDIC DATA: Bezpečná infraštruktúra AI/HPC, oddelenie klientov, HSM/KMS, pozorovateľnosť, artefakty zhody.
Zdravie: Použitie založené na dôkazoch, konečné rozhodnutie človeka, žiadne neoverené diagnózy.
Letectvo/jachty: Bezpečnostné procesy, dohľad nad ľuďmi, núdzové postupy.
Majetok: Modely oceňovania s kontrolou spravodlivosti; integrácia ESG.
Pay/Trade/Trust/Coin: Prevencia podvodov, KYC/AML, dohľad nad trhom, vysvetliteľné rozhodnutia.
Automobily: Personalizované služby s prísnou ochranou údajov.

16. tretie strany, verejné obstarávanie a riadenie rizík dodávateľov

Náležitá starostlivosť pred nástupom na palubu: Úroveň zabezpečenia/ochrany údajov, umiestnenie údajov, subprocesory, certifikáty.
Zmluvy: Práva na audit, doložky o transparentnosti a náprave, metriky SLA/OLA.
Monitorovanie: Kľúčové ukazovatele výkonnosti, výmena zistení/incidentov, plány odchodu.

17. prevádzka, pozorovateľnosť, núdzové a reštartovacie plány

Prevádzka: Pozorovateľnosť (logy, metriky, traces), správa SLO/SLI, plánovanie kapacity.
Núdzové situácie: Runbooky, testy DR, časy obnovy, komunikačné plány.
Správa konfigurácie/tajných údajov: Najmenšie privilégiá, rotácie, spevňovanie.

18. incidenty a nápravné opatrenia (etika, ochrana údajov, bezpečnosť)

Etické incidenty: Nežiaduca diskriminácia, dezinformácie, nejasný pôvod - okamžité opatrenia a preskúmanie AIEB.
Incidenty súvisiace s ochranou údajov: Procesy podávania správ ÚOŠS/dohľadu; informácie pre dotknuté strany; analýza hlavných príčin.
Bezpečnostné incidenty: Postupy CSIRT, forenzná analýza, získané skúsenosti, preventívne opatrenia.

19. metriky, KPI a zabezpečenie (interné/externé)

Povinné KPI: 100 % AIIA pokrytie produktívnych prípadov použitia AI; 95 % miera školenia; 0 otvorených kritických zistení auditu.
Metriky spravodlivosti: Rozdielny vplyv, vyrovnané šance (použite pre konkrétny prípad).
Udržateľnosť: Údaje o spotrebe energie/PUE/uhlíkových hodnotách dátových centier; účinnosť modelov.

20. odborná príprava, informovanosť a kultúrna zmena

Povinné školenie (každoročne): Etika umelej inteligencie, ochrana údajov, bezpečnosť, etika médií; moduly špecifické pre cieľovú skupinu.
Informačné kampane: Sprievodcovia, stretnutia v hnedých taškách, konzultačné hodiny; interné komunity praxe.
Kultúra: Vedenie ako vzor, kultúra chýb, odmeňovanie zodpovedného správania.

21. implementácia a plán (0-6 / 6-12 / 12-24 mesiacov)

0-6 mesiacov: Súpis prípadov použitia AI; proces AIIA; minimálne kontroly; vlna školení; kontrola dodávateľov.
6-12 mesiacov: Zavedenie červeného tímu; prvé správy o transparentnosti; energetický program; dokončenie RACI.
12-24 mesiacov: zosúladenie s ISO/IEC-42001; obmedzené zabezpečenie; neustále zlepšovanie; príprava CSRD/ESRS (ak sa uplatňuje).

22. roly a matica RACI

Vlastník prípadu použitia (A): Účel, prínosy, KPI, rozpočet, prehodnotenie.
Model-vlastník (R): Data/Training/Eval, Model Card, Drift Monitoring.
DPO (C/A pre ochranu údajov): Právny základ, DPIA, práva dotknutých osôb.
Vedúci bezpečnosti (C): Modelovanie hrozieb, red teaming, TOM.
Zodpovedný redaktor (C): Etika médií, označovanie, register opráv.
Vlastník služby (R): Prevádzka, SLO, riadenie incidentov.
Vedúci verejného obstarávania (R/C): Tretie strany, zmluvy, plány odchodu.

23. kontrolné zoznamy (krátky AIIA, uvoľnenie údajov, vstup do prevádzky)

Rýchla kontrola AIIA: Účel? Právny základ? Dotknuté strany? Riziká (právne/etické/bezpečnostné/objektívne/environmentálne)? Zmiernenie? Kontroly HIL?
Zverejnenie údajov: Zdroj zákonný? Minimalizácia? Uchovávanie? Prístup? Tretia krajina?
Go-Live-Gate: Kompletné artefakty (karty údajov/modelov, protokoly)? Riešené výsledky červeného tímu? Nastavené monitorovanie/DR?

24. formuláre a šablóny (vzorová karta, karta údajov, správa o incidente)

Model-Card-Template: Účel, údaje, školenie, referenčné hodnoty, obmedzenia, riziká, zodpovedné osoby, kontakt.
Vzor karty s údajmi: Pôvod, licencia, kvalita, reprezentatívnosť, kontroly zaujatosti, obmedzenia používania.
Šablóna správy o incidente: Incident, účinky, postihnuté osoby, okamžité opatrenia, hlavná príčina, náprava, získané skúsenosti.

25 Slovník pojmov a odkazy

Slovník pojmov: Systém AI, generatívna AI, vysokorizikový systém, AIIA, HIL, C2PA, red teaming, DPIA, RACI, SLO/SLI.

Odkazy:

Akt EÚ o umelej inteligencii
GDPR
DSA
Zásady OECD v oblasti umelej inteligencie
NIST AI RMF
ISO/IEC 42001
Interné smernice (ochrana údajov, procesy DSA, moderné otroctvo, udržateľnosť)

Poznámka: Tento kódex AI dopĺňa existujúce usmernenia LEGIER, ako sú okrem iného: (ochrana údajov, digitálne služby, ľudské práva/dodávateľský reťazec, správa a riadenie spoločnosti, udržateľnosť, moderné otroctvo). Je neoddeliteľnou súčasťou rámca dodržiavania predpisov skupiny LEGIER (LEGIER Beteiligungs mbH).