Duomenų apsauga

DI aktas (AI Act) programinė įranga 2026: atitiktis ir įrankiai

DI aktas (AI Act) programinė įranga 2026: rizikos klasifikavimas, didelės rizikos sistemos, dokumentacija ir sąsajos su BDAR. Įrankių palyginimas ir kainos Lietuvos įmonei.

Also available in:English

DI akto (AI Act, Reglamentas (ES) 2024/1689) programinė įranga automatizuoja pareigas, kylančias iš ES dirbtinio intelekto reglamento: DI sistemų inventorizavimą, rizikos klasifikavimą (draudžiama, didelė rizika, ribota rizika, minimali rizika), didelės rizikos sistemų techninę dokumentaciją, atitikties vertinimą ir sąsajų su BDAR valdymą. DI aktas įsigaliojo 2024 m. rugpjūčio 1 d., o jo pareigos taikomos etapais: draudžiamos praktikos – nuo 2025 m. vasario 2 d., bendrosios paskirties DI modelių pareigos – nuo 2025 m. rugpjūčio 2 d., o didelės rizikos sistemų pagrindinės pareigos – nuo 2026 m. rugpjūčio 2 d. Šis vadovas paaiškina, ko ieškoti programinėje įrangoje, ir kaip DI atitiktis susijusi su duomenų apsauga Lietuvos įmonei.

Kaip etapais įsigalioja DI akto pareigos?

DI aktas taikomas ne iš karto, o palaipsniui, ir tai svarbu planuojant programinės įrangos diegimą:

Data Kas įsigalioja
2024-08-01 Reglamentas įsigalioja
2025-02-02 Draudžiamos DI praktikos; DI raštingumo pareigos
2025-08-02 Bendrosios paskirties DI modelių pareigos; valdymo struktūra
2026-08-02 Didelės rizikos sistemų pagrindinės pareigos
2027-08-02 Likusios didelės rizikos sistemų pareigos (III priedo produktai)

2026 metai yra kritiniai didelės rizikos sistemas naudojančioms ar tiekiančioms įmonėms, nes pagrindinės pareigos pradedamos taikyti nuo 2026 m. rugpjūčio 2 d. Oficialią įgyvendinimo informaciją teikia Europos Komisijos skaitmeninės strategijos svetainė. Todėl programinė įranga, leidžianti iš anksto inventorizuoti ir klasifikuoti DI sistemas, suteikia laiko pasiruošti prieš įsigaliojant griežčiausioms pareigoms.

Kam taikomas DI aktas?

DI aktas taikomas DI sistemų tiekėjams (kūrėjams) ir diegėjams (naudotojams), taip pat importuotojams bei platintojams. Pareigų apimtis priklauso nuo rizikos kategorijos. Daugumai įmonių aktualiausios yra dvi kategorijos: didelės rizikos sistemos (pvz., naudojamos įdarbinime, kredito vertinime, kritinėje infrastruktūroje) su griežtomis dokumentacijos ir priežiūros pareigomis, ir ribotos rizikos sistemos (pvz., pokalbių robotai) su skaidrumo pareigomis. Rizikos klasifikavimo logiką rasite DI akto rizikos klasifikavimo apžvalgoje.

Kokias funkcijas turi turėti DI akto programinė įranga?

Renkantis vertinkite šias funkcijas:

  • DI sistemų inventorius – visų naudojamų ir kuriamų DI sistemų registras (analogiškas ROPA principui).
  • Rizikos klasifikavimas – vedlys, priskiriantis kiekvieną sistemą teisingai kategorijai.
  • Techninė dokumentacija – didelės rizikos sistemų dokumentacijos pagal III priedą palaikymas.
  • Atitikties vertinimas – atitikties procedūrų ir CE ženklinimo logikos sekimas tiekėjams.
  • Sąsajos su BDAR – kai DI tvarko asmens duomenis, reikalingas ryšys su poveikio duomenų apsaugai vertinimu.

Palyginimo kriterijai ir įrankių tipai

Kriterijus Ką vertinti
Sistemų inventorius Ar sekamos visos DI sistemos ir jų vaidmenys?
Rizikos klasifikavimas Ar automatizuotas kategorijos priskyrimas?
Dokumentacija Ar palaikomi didelės rizikos šablonai?
BDAR sąsaja Ar susiejama su PDAV ir teisiniu pagrindu?
ES talpinimas Ar duomenys lieka ES?

Rinkoje veikia trys įrankių tipai: specializuoti DI valdymo (AI governance) sprendimai, platūs GRC debesys ir integruotos platformos, apimančios DI aktą kartu su BDAR. Kadangi DI atitiktis ir duomenų apsauga glaudžiai susijusios, integruotas požiūris dažnai efektyvesnis. Bendrą DI įrankių apžvalgą rasite DI akto atitikties įrankių vadove ir DI akto programinės įrangos apžvalgoje.

Kaip DI aktas susijęs su BDAR?

DI aktas ir BDAR persidengia visur, kur DI sistema tvarko asmens duomenis. Didelės rizikos DI sistema, tvarkanti asmens duomenis, beveik visada reikalauja poveikio duomenų apsaugai vertinimo pagal BDAR 35 straipsnį, o automatizuoto sprendimų priėmimo atveju taikomas ir BDAR 22 straipsnis. Duomenų apsaugos pareigūnas dažnai tampa natūraliu patarėju DI atitikties klausimais. Todėl įmonei, jau tvarkančiai BDAR atitiktį Lietuvoje, logiška DI aktą valdyti toje pačioje platformoje, kad būtų išvengta dubliavimo.

Kokios sankcijos numatytos pagal DI aktą?

DI aktas numato reikšmingas administracines baudas, kai kuriais atvejais viršijančias net BDAR ribas. Už draudžiamos DI praktikos naudojimą baudos siekia iki 35 mln. eurų arba 7 % pasaulinės metinės apyvartos. Už didelės rizikos sistemų pareigų pažeidimus – iki 15 mln. eurų arba 3 %, o už neteisingos informacijos pateikimą institucijoms – iki 7,5 mln. eurų arba 1 %. Šis sankcijų lygis rodo, kad DI atitiktis nėra formalumas. Reglamento tekstą galima pasitikrinti EUR-Lex.

Lietuvoje DI akto priežiūros institucijų sistema formuojama nacionaliniu lygiu, o programinė įranga, dokumentuojanti DI sistemų inventorių ir rizikos klasifikavimą, teikia įrodymus, kurių prireiktų per priežiūros veiksmus.

Kaip praktiškai klasifikuoti DI sistemas?

Rizikos klasifikavimas yra pirmas ir svarbiausias žingsnis, nuo kurio priklauso visos tolesnės pareigos. Praktinis procesas:

  1. Inventorizuokite visas naudojamas ir kuriamas DI sistemas – nuo pokalbių robotų iki įdarbinimo ar kredito vertinimo įrankių.
  2. Nustatykite savo vaidmenį kiekvienai sistemai – ar esate tiekėjas (kūrėjas), ar diegėjas (naudotojas); pareigos skiriasi.
  3. Priskirkite rizikos kategoriją – draudžiama, didelė, ribota ar minimali rizika.
  4. Nustatykite pareigas pagal kategoriją ir vaidmenį.

Šis procesas struktūriškai panašus į ROPA sudarymą pagal BDAR, todėl įmonės, jau turinčios duomenų tvarkymo registrą, gali panaudoti tą pačią metodiką. Rizikos klasifikavimo logiką detaliau paaiškina DI akto rizikos klasifikavimo apžvalga.

Kiek kainuoja DI akto programinė įranga?

Specializuoti DI valdymo įrankiai kainuoja nuo 200–400 €/mėn., o įmonių GRC platformos siekia dešimtis tūkstančių eurų per metus. Integruotos platformos, apimančios DI aktą kartu su BDAR, MVĮ dažnai pigesnės nei atskirų sprendimų suma. Kainodaros logiką rasite BDAR programinės įrangos kainos vadove.

Legiscope yra europinė, ES talpinama platforma, apimanti persidengiančias BDAR ir DI akto dokumentavimo pareigas, todėl Lietuvos įmonei ji leidžia valdyti abu reguliavimus vienoje vietoje.

Kada DI valdymą reikia jungti su duomenų apsauga?

Praktiškai DI atitiktis ir duomenų apsauga yra neatsiejamos visur, kur DI sistema tvarko asmens duomenis. Įdarbinimo, kredito vertinimo ar klientų segmentavimo sistemos beveik visada apima asmens duomenis, todėl reikalauja tiek DI akto atitikties, tiek poveikio duomenų apsaugai vertinimo pagal BDAR 35 straipsnį. Automatizuoto sprendimų priėmimo atveju papildomai taikomas BDAR 22 straipsnis, suteikiantis asmenims teisę į žmogaus įsikišimą.

Todėl įmonei, kuri jau tvarko BDAR atitiktį Lietuvoje, logiška DI aktą valdyti toje pačioje platformoje – tas pats duomenų apsaugos pareigūnas dažnai tampa natūraliu patarėju DI atitikties klausimais, o bendras rizikos vertinimo procesas pašalina dubliavimą. Atskiras DI valdymo įrankis, neturintis sąsajos su BDAR dokumentacija, verčia tą patį vertinimą atlikti du kartus.

Dažnai užduodami klausimai (FAQ)

Kiek kainuoja DI akto programinė įranga?

Specializuoti DI valdymo įrankiai prasideda nuo 200–400 €/mėn., įmonių GRC platformos – nuo 20 000 €/metus. Integruotos platformos, apimančios DI aktą kartu su BDAR, MVĮ dažnai kainuoja 3 000–12 000 €/metus. Galutinę kainą lemia DI sistemų skaičius ir tai, ar įmonė yra tiekėja, ar tik diegėja.

Kada įsigalioja DI akto pareigos?

DI aktas įsigaliojo 2024 m. rugpjūčio 1 d. Draudžiamos praktikos taikomos nuo 2025 m. vasario 2 d., bendrosios paskirties DI modelių pareigos – nuo 2025 m. rugpjūčio 2 d., o didelės rizikos sistemų pagrindinės pareigos – nuo 2026 m. rugpjūčio 2 d. Todėl 2026 m. yra kritiniai didelės rizikos sistemas naudojančioms įmonėms.

Ar DI akto programinė įranga apima BDAR?

Kai kurios integruotos platformos apima. Kadangi didelės rizikos DI sistemos, tvarkančios asmens duomenis, reikalauja PDAV pagal BDAR 35 straipsnį, tas pačias vertinimo procedūras galima panaudoti abiem reguliavimams. Legiscope tokį integruotą požiūrį taiko.

Kokios DI sistemos laikomos didelės rizikos?

Didelės rizikos sistemomis paprastai laikomos tos, kurios naudojamos jautriose srityse: įdarbinime ir darbuotojų valdyme, švietime, kredito ir draudimo vertinime, kritinės infrastruktūros valdyme, teisėsaugoje, migracijos ir prieglobsčio procesuose bei biometriniame identifikavime. Tiksliai kategorijai priskirti reikia įvertinti sistemos paskirtį pagal reglamento III priedą. Programinė įranga su rizikos klasifikavimo vedliu šį vertinimą struktūrizuoja.

Kuo skiriasi DI tiekėjo ir diegėjo pareigos?

Tiekėjas (sistemą kuriantis ar rinkai teikiantis subjektas) turi platesnes pareigas: techninės dokumentacijos rengimą, atitikties vertinimą ir, didelės rizikos atveju, CE ženklinimą. Diegėjas (sistemą naudojantis subjektas) turi siauresnes, bet realias pareigas – užtikrinti tinkamą naudojimą, žmogaus priežiūrą ir, kai taikoma, informuoti asmenis. Daugelis Lietuvos įmonių yra diegėjos, todėl programinė įranga turi aiškiai atskirti šiuos vaidmenis.

Ar mažai įmonei reikia DI akto programinės įrangos?

Jei įmonė naudoja bent vieną didelės rizikos DI sistemą (pvz., įdarbinime ar kredito vertinime) arba yra tiekėja, dokumentavimo pareigos realios ir programinė įranga pagreitina jų vykdymą. Jei naudojamos tik minimalios rizikos sistemos, pakanka bazinio inventoriaus – tačiau net jį verta vesti struktūrizuotai, nes DI naudojimas įmonėse sparčiai auga.

Kada reikia pradėti ruoštis DI aktui?

Ruoštis verta jau dabar. Draudžiamos praktikos taikomos nuo 2025 m. vasario, o didelės rizikos sistemų pagrindinės pareigos – nuo 2026 m. rugpjūčio 2 d. Kadangi sistemų inventorizavimas ir rizikos klasifikavimas užtrunka, o didelės rizikos sistemų dokumentacija yra išsami, ankstyvas pasiruošimas suteikia laiko pašalinti spragas prieš įsigaliojant griežčiausiems reikalavimams. Įmonei, jau naudojančiai DI, pirmasis žingsnis – sudaryti visų sistemų inventorių.

Kas Lietuvoje prižiūrės DI akto vykdymą?

DI akto priežiūros institucijų sistema Lietuvoje formuojama nacionaliniu lygiu, kaip reikalauja reglamentas – kiekviena valstybė narė turi paskirti rinkos priežiūros ir notifikuojančias institucijas. ES lygiu koordinavimą vykdo Europos DI tarnyba. Įmonei praktinė reikšmė ta, kad, nepriklausomai nuo institucinės struktūros, dokumentacijos reikalavimai kyla tiesiogiai iš reglamento, todėl DI sistemų inventorių ir rizikos klasifikavimą verta pradėti nelaukiant galutinio nacionalinio institucinio sprendimo.

Išvada

DI akto programinė įranga automatizuoja DI sistemų inventorizavimą, rizikos klasifikavimą ir didelės rizikos dokumentaciją. Kadangi DI atitiktis glaudžiai persidengia su BDAR – ypač per PDAV ir automatizuotą sprendimų priėmimą – integruota, ES talpinama platforma Lietuvos įmonei dažniausiai efektyvesnė nei atskiras DI valdymo įrankis. Atsižvelgiant į etapinį pareigų įsigaliojimą, ankstyvas DI sistemų inventorizavimas suteikia laiko pasiruošti prieš griežčiausius reikalavimus, kurie didelės rizikos sistemoms pradedami taikyti nuo 2026 m. rugpjūčio.

Užsisakykite 15 minučių Legiscope demonstraciją

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →