Etički kodeks za umjetnu inteligenciju LEGIER i grupe „SANDIC by LEGIER“

Sadržaj

Obavještenje: Ako se automatski direktorij čini praznim, kliknite desnim tasterom miša u Word → "Ažuriraj polje".

1. Preambula i opseg

Dieser Kodex legt verbindliche Grundsätze, Prozesse und Kontrollen für Entwicklung, Beschaffung, Betrieb und Nutzung von KI in der LEGIER Gruppe fest. Er gilt konzernweit für Mitarbeitende, Führungskräfte, Auftragsverarbeiter, Lieferanten und Partner. Er integriert vorhandene Konzernrichtlinien (Datenschutz, Digitale-Dienste-Prozesse, Corporate-Governance, Nachhaltigkeit, Menschenrechtspolitik, Modern-Slavery-Statement) und erweitert sie um KI-spezifische Anforderungen. Gol je omogućavanje koristi i inovacija, upravljanje rizicima i zaštita prava korisnika, kupaca i šire javnosti. 2. Osnovne vrijednosti i vodeći principi  
  • Ljudsko dostojanstvo i temeljna prava imaju prednost nad ekonomskom efikasnošću. Vještačka inteligencija služi ljudima – nikada obrnuto.
  • Usklađenost sa zakonima: Usklađenost sa Zakon EU o umjetnoj inteligencijiGDPRDinamični pretraživački oglas i sektorski specifični standardi. Nema korištenja zabranjenih praksi.
  • Odgovornost i odgovornost: Za svaki sistem vještačke inteligencije određen je odgovorni vlasnik; odluke su transparentne i podložne osporivanju.
  • Proporcionalnost: Ravnoteža između svrhe, rizika, intenziteta intervencije i društvenog utjecaja.
  • Transparentnost i objašnjivost: Odgovarajuće informacije, dokumentacija i komunikacijski kanali u vezi s funkcionalnošću, dostupnošću podataka i ograničenjima.
  • Pravednost i inkluzija: Sistematsko testiranje pristranosti, zaštita ranjivih grupa, pristupačnost i višejezičnost.
  • Sigurnost i otpornost: 1TP63 Zaštita po dizajnu, dubinska odbrana, kontinuirano jačanje i praćenje.
  • Održivost: Efikasnost modela i podatkovnih centara (energija, PUE/CFE), prikaz životnog ciklusa podataka/modela.

3. Upravljanje i odgovornosti (Odbor za etiku umjetne inteligencije, RACI)

Odbor za etiku umjetne inteligencije (AIEB): Interdisciplinarno (Tehnologija, Pravni poslovi/Usklađenost, Zaštita podataka, Sigurnost, Uredništvo/Proizvodi, Ljudi). Odgovornosti: Ažuriranje politika, izdavanje odobrenja (posebno onih visokog rizika), rješavanje sukoba i praćenje izvještaja. Rolanje: Vlasnik slučaja upotrebe, Vlasnik modela, Data upravitelj, DPO, 1TP63 voditelj turizma, odgovorni urednik, vlasnik usluge, voditelj nabave. Odbori i pristupni centri: Odobrenje AIIA prije puštanja u rad; Savjetodavni odbor za promjene za materijalne promjene; godišnji pregledi uprave. RACI princip: Jasna raspodjela odgovornosti za svaku aktivnost (Odgovoran, Položajni, Konsultovani, Informisani).

4. Pravni i regulatorni okvir (Zakon EU o umjetnoj inteligenciji, GDPR, DSA, zakon o autorskim pravima, trgovačko pravo)

  • Zakon EU o umjetnoj inteligenciji: Okvir zasnovan na riziku sa zabranama, obavezama za visokorizične sisteme, dokumentacijom, evidentiranjem, upravljanjem i zahtjevima za transparentnost; fazna primjena od 2025/2026.
  • GDPR: Pravne osnove (čl. 6/9), prava subjekta podataka, privatnost po dizajnu/zadano, procjena utjecaja na zaštitu podataka (DPIA), prijenosi podataka trećim zemljama (čl. 44 i dalje).
  • Dinamični oglas za pretraživačku mrežu: Procesi platforme za izvještavanje, žalbe, izvještaje o transparentnosti i procjene rizika za velike platforme.
  • Autorska prava i sporedna autorska prava / lična prava: Jasni lanci licenci, prava na sliku/ime, prava trećih strana na kuću.
  • Zahtjevi specifični za industriju (npr. zakon o avijaciji/pomorstvu/Health) se također moraju poštovati.

5. Klasifikacija rizika i procjena utjecaja umjetne inteligencije (AIIA)

Klasifikacija:
  1. Zabranjene prakse (nisu dozvoljene)
  2. Sistemi visokog rizika (stroge obaveze)
  3. Ograničeni rizik (transparentnost)
  4. Minimalni rizik
AIIA proces: Opis svrhe/obuhvata, zainteresovane strane, pravni osnov, izvori podataka; analiza rizika (pravni, etički, sigurnosni, pristrasni, uticaji na okolinu); plan ublažavanja; odluka (odobrenje AIEB-a). Ponovne procjene: Za materijalne promjene, godišnje za stavke visokog rizika; dokumentacija u centralnom registru.

6. Etika podataka i zaštita podataka (pravne osnove, DPIA, kolačići, treće zemlje)

  • Minimiziranje podataka i ograničavanje svrhe; Poželjna je pseudonimizacija/anonimizacija.
  • Transparentnost: Informacije o zaštiti podataka, kanali za informisanje i brisanje; prenosivost; mogućnosti prigovora.
  • Kolačići/Praćenje: Upravljanje pristankom; opoziv; anonimizacija IP adrese; samo odobreni alati.
  • Transferi u treće zemlje: Samo uz odgovarajuće garancije (SCC/adekvatnost); redovne revizije podobrađivača.
  • DPIA: Obavezno za obradu visokog rizika; dokumentirati tehničke/organizacijske mjere (TOM).

7. Životni ciklus modela i podataka (Životni ciklus strojnog učenja, Data kartice, Kartice modela)

Životni ciklus Data: Nabavka → Kuriranje → Označavanje → Kontrole kvalitete → Verziranje → Zadržavanje/Brisanje. Životni ciklus modela: Definicija problema → Odabir arhitekture → Obuka/Fino podešavanje → Evaluacija (Offline/Online) → Objavljivanje → Rad → Praćenje → Ponovna obuka/Ukidanje. Data kartice: Porijeklo, reprezentativnost, kvalitet, nalazi pristranosti, ograničenja upotrebe. Kartice modela: Svrha, podaci za obuku, referentne vrijednosti, metrike, ograničenja, očekivani obrasci grešaka, šta treba/ne treba raditi. Porijeklo i reproducibilnost: Heševi, verzije podataka/modela, dokazi cjevovoda.

8. Transparentnost, objašnjivost i korisničke upute

  • Označavanje za interakciju umjetne inteligencije i sadržaj generiran umjetnom inteligencijom.
  • Objašnjivost: Koristite objašnjenja prilagođena slučaju, jednostavna za laike (lokalna/globalna).
  • Upute za korisnike: Svrha, glavni faktori utjecaja, ograničenja; kanali povratne informacije i korekcije.

9. Čovjek u krugu i nadzorne dužnosti

  • Ljudski nadzor kao standard za relevantne odluke (posebno one visokog rizika).
  • Princip četiri oka za urednički/društveno osjetljive zadatke.
  • Funkcije nadjačavanja/otkazivanja; putevi eskalacije; dokumentacija.

10. Sigurnost, robusnost i Red Teaming (brzo ubrizgavanje, jailbreakovi)

  • Modeliranje prijetnji (STRIDE + specifično za AI): Brzo ubrizgavanje, trovanje podataka za obuku, krađa modela, curenje privatnosti.
  • Crveno timsko testiranje i adversarial testiranje; sprječavanje jailbreaka; ograničavanje brzine; izlazni filter; Secread skeniranje.
  • Robusnost: Rezervni upiti, zaštitne ograde, planovi za vraćanje unazad; kanarinska izdanja; haotično testiranje sigurnosti.

11. Lanac snabdijevanja, ljudska prava i pošten rad (Moderno ropstvo, LkSG-analog)

  • Dužna pažnja u vezi s ljudskim pravima: Analiza rizika, kodeks dobavljača, ugovorne obaveze, revizije, sanacija.
  • Moderno ropstvo: Godišnja deklaracija, podizanje svijesti, kanali izvještavanja.
  • Radni standardi: Pravedna plata, radno vrijeme, zdravstvena zaštita; zaštita uzbunjivača.

12. Upravljanje predrasudama, pravednost i inkluzija (ranjivi kupci, pristupačnost)

  • Testovi pristranosti: Analiza skupa podataka, balansiranje, različite testne grupe, metrike pravednosti; dokumentovano ublažavanje.
  • Ranjivi kupci: Ciljevi zaštite, alternativni kanali, jasan jezik; bez iskorištavanja kognitivnih slabosti.
  • Pristupačnost: WCAG-Konformizam; višejezičnost; inkluzivna komunikacija.

13. Generativna umjetna inteligencija, dokaz porijekla i označavanje (C2PA, vodeni žig)

  • Označavanje: Vidljive oznake/metapodaci za AI sadržaj; obavještenja tokom interakcija.
  • Dokaz o porijeklu: C2PA-Kontekst, potpisi/vodeni žigovi gdje je to tehnički moguće.
  • Autorska/srodna prava: Pojasniti licence; usklađenost podataka o obuci; dokumentirati lanac prava.

14. Sadržaj, moderiranje i DSA procesi (izvještavanje, žalbe, transparentnost)

  • Kanali za prijavljivanje: Prijavljivanje korisnika s niskim pragom; prioritetna obrada ilegalnog sadržaja.
  • Procesi žalbi: Transparentno opravdanje, prigovor, eskalacija.
  • Izvještaji o transparentnosti: Periodično objavljivanje relevantnih ključnih brojki i mjera.

15. Implementacija specifična za domen (Vijesti, Data, Health, Avijacija, Yachts, Estate, Pay/Trgovina/Trust/Novčanice, Cars)

  • Vijesti/Izdavaštvo: Pomoć u istraživanju, prevođenje, moderiranje; jasno označavanje generativnog sadržaja.
  • SCANDIC DATA: Sigurna AI/HPC infrastruktura, višestruki zakup, HSM/KMS, mogućnost posmatranja, artefakti usklađenosti.
  • Health: Upotreba zasnovana na dokazima, konačna odluka na ljudima, bez neprovjerenih dijagnoza.
  • Avijacija/Yachts: Sigurnosni procesi, ljudski nadzor, postupci u hitnim slučajevima.
  • Estate: Modeli vrednovanja s provjerama pravičnosti; ESG integracija.
  • Pay/Trgovina/Trust/Kovanica: Sprečavanje prevara, KYC/AML, nadzor tržišta, objašnjive odluke.
  • Cars: Personalizirane usluge uz strogu zaštitu podataka.

16. Treće strane, nabavka i upravljanje rizicima dobavljača

  • Dužna pažnja prije uključivanja: Nivo sigurnosti/privatnosti, lokacije podataka, podobrađivači, certifikati.
  • Ugovori: Prava revizije, klauzule o transparentnosti i sanaciji, SLA/OLA metrike.
  • Praćenje: Ključni pokazatelji uspješnosti (KPI), razmjena nalaza/incidenata, planovi za izlazak iz situacije.

17. Operacije, uočljivost, planovi za hitne slučajeve i oporavak

  • Operacija: Vidljivost (logovi, metrike, tragovi), upravljanje SLO/SLI, planiranje kapaciteta.
  • Hitni slučaj: Runbookovi, DR testovi, vremena oporavka, komunikacijski planovi.
  • Upravljanje konfiguracijom/tajnim podacima: Najmanje privilegija, rotacije, kaljenje.

18. Incidenti i sanacija (etika, zaštita podataka, sigurnost)

  • Etički incidenti: Neželjena diskriminacija, dezinformacije, nejasno porijeklo – hitne mjere i revizija od strane AIEB-a.
  • Incidenti u vezi sa zaštitom podataka: Procesi izvještavanja službeniku za zaštitu podataka/nadzornim organima; informacije za pogođene; analiza uzroka.
  • Sigurnosni incidenti: CSIRT procedure, forenzika, naučene lekcije, preventivne mjere.

19. Metrike, KPI-jevi i osiguranje (interno/eksterno)

  • Obavezni ključni pokazatelji uspješnosti (KPI): 100 AIIA pokrivenost produktivnih slučajeva upotrebe umjetne inteligencije; <14 dana medijan vremena rješavanja pritužbi; >95 AIIA stopa obuke; 0 otvorenih kritičnih nalaza revizije.
  • Mjerila pravednosti: Nejednak uticaj, izjednačene šanse (specifično za slučaj upotrebe).
  • Održivost: Energija/PUE/metrike ugljika u podatkovnim centrima; efikasnost modela.

20. Obuka, podizanje svijesti i kulturne promjene

  • Obavezna obuka (godišnje): Etika umjetne inteligencije, zaštita podataka, sigurnost, medijska etika; moduli specifični za ciljne grupe.
  • Kampanje za podizanje svijesti: Smjernice, sesije sa smeđom vrećom, konsultacije; interne zajednice prakse.
  • Kultura: Funkcija uzora liderstva, kultura grešaka, nagrada za odgovorno djelovanje.

21. Implementacija i plan (0–6 / 6–12 / 12–24 mjeseca)

  • 0–6 mjeseci: Popis slučajeva upotrebe umjetne inteligencije; AIIA proces; minimalne kontrole; val obuke; provjera dobavljača.
  • 6–12 mjeseci: Uvođenje crvenog timskog rada; početni izvještaji o transparentnosti; energetski program; finalizacija RACI-ja.
  • 12–24 mjeseca: Usklađenost sa ISO/IEC 42001 standardom; ograničeno osiguranje; kontinuirano poboljšanje; priprema CSRD/ESRS (ako je primjenjivo).

22. Uloge i RACI matrica

  • Vlasnik slučaja upotrebe (A): Svrha, koristi, KPI-jevi, budžet, ponovne procjene.
  • Vlasnik modela (R): Podaci/Trening/Evaluacija, Model kartica, Praćenje drifta.
  • DPO (C/A za zaštitu podataka): Pravni osnov, DPIA, prava subjekta podataka.
  • Securistički olovni (C): Modeliranje prijetnji, crveno timiranje, TOM-ovi.
  • Odgovorni urednik (C): Medijska etika, etiketiranje, registar korekcija.
  • Vlasnik usluge (R): Operacije, SLO, upravljanje incidentima.
  • Voditelj nabavke (R/C): Treće strane, ugovori, planovi izlaska.

23. Kontrolne liste (AIIA sažetak, objavljivanje podataka, početak rada)

  • Brza provjera AIIA-e: Svrha? Pravna osnova? Pogođeni? Rizici (pravni/etički/humanitarni/pristrasni/ekološki)? Ublažavanje? Kontrole zdravstvenog osiguranja?
  • Objavljivanje podataka: Da li je izvor legitiman? Minimiziranje? Zadržavanje? Pristup? Treća zemlja?
  • Kapija za pokretanje uživo: Jesu li artefakti kompletni (Data/Model kartice, dnevnici)? Jesu li nalazi Crvenog tima riješeni? Je li uspostavljeno praćenje/DR?

24. Obrasci i predlošci (Model kartice, Data kartica, Izvještaj o incidentu)

  • Predložak kartice modela: Svrha, podaci, obuka, mjerila, ograničenja, rizici, odgovorne osobe, kontakt.
  • Data predložak kartice: Porijeklo, licenca, kvalitet, reprezentativnost, provjere pristranosti, ograničenja upotrebe.
  • Predložak izvještaja o incidentu: Događaj, uticaj, pogođeno, hitna akcija, uzrok, lijek, naučene lekcije.

25. Glosar i reference

Glosar: AI sistem, generativna AI, sistem visokog rizika, AIIA, HIL, C2PA, crveni tim, DPIA, RACI, SLO/SLI. Reference:
Obavještenje: Ovaj Kodeks umjetne inteligencije dopunjuje postojeće politike LEGIER, uključujući one o zaštiti podataka, digitalnim uslugama, ljudskim pravima/lancu snabdijevanja, korporativnom upravljanju, održivosti i modernom ropstvu. Sastavni je dio okvira za usklađenost Grupe LEGIER (LEGIER Beteiligungs mbH).