Avtor: Nikša Maletić[1]

Izvleček: Nove tehnologije vedno prinašajo nove regulatorne izzive. Za pravilno regulacijo uporabe novih tehnologij je zato pomembno, da regulator spremlja novosti v industriji in razume delovanje takšnih tehnologij. Kako ustvariti ustrezno okolje, v katerem se lahko državni organi neposredno seznanijo z razvojem tehnologij? Odgovor na to morda leži v implementaciji regulativnih peskovnikov. Dne 20.2.2025 je na Fakulteti za matematiko in fiziko potekala konferenca Pravo x AI, na kateri je dr. Til Rozman, vodja Sektorja za kakovost predpisov in razvojno načrtovanje pri Ministrstvu za javno upravo predstavil regulativne peskovnike v luči pravnega urejanja umetne inteligence. Kaj so regulativni peskovniki? Kako delujejo v konkretnih primerih? Odgovor na ta vprašanja podajam skozi analizo pravne ureditve regulativnih peskovnikov v EU in predstavitvijo primerov uporabe le-teh v praksi. Kot izhodiščni vir sem uporabil predavanje dr. Rozmana, pravne predpise, ki implementirajo regulativne peskovnike, ter poročila regulatorjev o njihovi implementaciji.

Oznake: Regulativni peskovnik – Umetna inteligenca – Akt o umetni inteligenci – Pravo EU – Varstvo osebnih podatkov - ZUNPEOVE

1.     Kaj so regulativni peskovniki?[2]

Regulativni peskovnik je pojem, ki v teoriji nima ustaljene definicije. V praksi pa označuje skupek predpisov, ki oblikuje za določen čas ustvarjen sistem s posebnimi normami in postopki, katerega cilj je razvoj tehnologij v realnem okolju, hkrati pa seznanitev regulatorjev z lastnostmi takšnih tehnologij[3]. Namen regulativnih peskovnikov torej ni deregulacija, temveč regulatorno učenje. Regulator se skozi spremljanje dogajanj znotraj sistema regulativnega peskovnika in testiranjem različnih urejevalnih pristopov seznani z novimi tehnologijami in njihovimi (potencialnimi) učinki na družbo, ekonomijo in pravni sistem. Po končanem »testiranju« v regulativnem peskovniku razvijalec tehnologije svoj proizvod prilagodi regulatornim okvirom, regulator pa pridobljeno znanje uporabi pri oblikovanju bolj primernih regulatornih okvirov. Danes se regulativni peskovniki omenjajo predvsem na področjih, kjer obstaja verjetnost, da bodo disruptivne tehnologije povzročile problem za obstoječo pravno ureditev ali celo zapadle izven dometa pravnega sistema. Takšna področja so najpogosteje informacijske in finančne tehnologije, zdravje, energetika, telekomunikacije in transport.

2.     Prednosti in izzivi regulativnih peskovnikov

Regulatorji lahko z implementacijo regulativnih peskovnikov poglobijo znanje o disruptivnih tehnologijah ter ga uporabijo pri oblikovanju novih in adaptaciji obstoječih pravnih okvirov. Ključna lastnost regulativnih peskovnikov je vzpostavitev linij komunikacije med regulatorji in razvijalci novih tehnologij, ki pogosto tudi sami sodelujejo pri pripravi relevantnih pravnih aktov. Inovatorji so tako seznanjeni z regulatornimi zahtevami in pravnimi pravili, ki jih zavezujejo pri razvoju in plasiranju svojih produktov, hkrati pa testirajo, kako bi njihov produkt deloval v realnem svetu ter kakšne (pravne ali dejanske) ovire lahko pričakujejo. Posredno korist od tega imajo tudi potrošniki in širša družba, saj regulativni peskovniki omogočajo hitrejše plasiranje produktov na trg, hkrati pa zaradi ustrezne pravne ureditve povečujejo varnost ter zaupanje javnosti v nove tehnologije.

Po drugi strani lahko neprimerna uporaba regulativnih peskovnikov vodi v pravni partikularizem ali nedosledno regulatorno prakso, predvsem z vidika podjetij, ki v regulativni peskovnik niso vključena. Nekateri kritiki prav tako očitajo preveliko regulatorno popuščanje zavoljo spodbujanja inovacij ter nesorazmerno poseganje v varstvo potrošnikov in varstvo osebnih podatkov.[4]

3.     Regulativni peskovniki v slovenskem pravu – primer Zakona o uvajanju naprav za proizvodnjo električne energije iz obnovljivih virov energije

V slovenski zakonodaji že obstaja zakon, ki uvaja regulativni peskovnik avtonomno od prava EU. To pomeni, da se je zakonodajalec sam odločil, da v specifičen sektor uvede regulativni peskovnik, brez da bi ga k temu zavezoval predpis prava EU. Takšen primer je Zakon o uvajanju naprav za proizvodnjo električne energije iz obnovljivih virov energije (ZUNPEOVE), ki v 29. členu določa oblikovanje regulativnega peskovnika za preizkušanje novih tehnologij na področju obnovljivih virov energije. Tako mora oblikovanje regulativnega peskovnika predhodno odobriti vlada ob izpolnjevanju naslednjih pogojev:

1.     Predlagani projekt je v javno korist;

2.     Regulativni peskovnik in izvedba projekta nista v nasprotju s predpisi EU;

3.     Javna korist mora biti večja od teže posega v določbo predpisa, od katerega se odstopa (sorazmernost).

Regulativni peskovniki se lahko oblikujejo za najdlje 5 let, oblikujejo pa se na pobudo pravne ali fizične osebe. Pristojno ministrstvo v postopku preučitve pobude prejema mnenja in soglasja različnih regulatornih agencij, deležnikov in javnosti. V primeru pozitivnega odziva in izpolnitve zgoraj navedenih pogojev pozove pobudnika na vložitev vloge o kateri nato pristojno ministrstvo odloči z odločbo.

4.     Akt o umetni inteligenci in regulativni peskovniki

Akt o umetni inteligenci[5] uvaja pravni okvir za vzpostavitev regulativnih peskovnikov za spodbujanje inovacij na področju umetne inteligence. V skladu z določbami Akta o umetni inteligenci so države članice zavezane, da najkasneje do 2.8.2026 vzpostavijo vsaj en regulatorni peskovnik za umetno inteligenco. Takšna obveznost se lahko izpolni tudi v okviru že obstoječega peskovnika ali v sodelovanju z drugimi državami članicami. Za preprečevanje razdrobljenosti regulacije po državah članicah pa bo Evropska Komisija sprejela izvedbene akte (predvidoma jeseni 2025), ki bodo podrobneje uredili merila in zahteve za regulatorne peskovnike.

59. člen Akta o umetni inteligenci govori o razmerju med regulativnimi peskovniki za UI in obdelavo osebnih podatkov, kar je po mojem mnenju smiselna določba glede na aktivno delovanje EU na področju varstva osebnih podatkov in same narave sistemov UI, ki so bazirani na obdelavi ogromne količine podatkov. V okviru regulativnega peskovnika za UI je javnim organom ter drugim fizičnim ali pravnim osebam za namene razvoja sistema UI izjemoma dovoljeno obdelovati osebne podatke, ki so sicer zakonito zbrani za druge namene, pod pogojem, da se zasleduje zaščita bistvenega javnega interesa ob izpolnjenosti pogojev iz 1. odstavka 59. člena Akta o umetni inteligenci. To pomeni, da se lahko za namene razvoja sistemov UI v javnem interesu v okviru regulativnega peskovnika za UI uporabljajo osebni podatki, ki niso bili zbrani za točno ta namen. V praksi to predstavlja veliko prednost, saj je ena od omejitev pri obdelavi osebnih podatkov po Splošni uredbi o varstvu osebnih podatkov[6] ravno načelo, da se osebni podatki obdelujejo za namen, za katerega so bili zbrani.

Posebna določba v 62. členu tudi predvideva posebno (prednostno) obravnavo malih in srednjih podjetij (»MSP«), vključno z zagonskimi podjetji, v okviru regulativnih peskovnikov za UI. To pomeni omogočanje prednostnega dostopa, organizacijo posebnih dejavnosti za ozaveščanje MSP glede uporabe regulativnih peskovnikov, vzpostavitev posebnih komunikacijskih kanalov med regulatorji in MSP ter posebne (znižane) regulatorne pristojbine za MSP.

Po besedah dr. Rozmana bi se faze v okviru regulativnega peskovnika za UI lahko delile na (i) postopek pred oddajo vloge, (ii) prijavo in izbirni postopek (iii) priprave na začetek delovanja regulativnega peskovnika, (iv) sodelovanje v regulativnem peskovniku, (v) evalvacijo in izstop iz regulativnega peskovnika ter (vi) postopek po zaključku sodelovanja v regulativnem peskovniku.

Čeprav je Akt o umetni inteligenci dobra izhodiščna točka za razvoj regulativnih peskovnikov za UI in posledično spodbujanje splošnega družbenega napredka skozi tehnološki razvoj in optimizacijo regulacije, je še veliko neznank v obliki implementacijskih standardov, ki še morajo biti postavljeni. Države članice morajo najprej prenesti Akt o umetni inteligenci v svoje pravne rede in določiti pristojne organe, nato mora Evropska komisija sprejeti izvedbene uredbe ter implementacijske standarde za regulativne peskovnike za UI, v okviru katerih bodo pristojni organi lahko oblikovali regulativne peskovnike. Ker se sprejetje izvedbenih aktov Evropske komisije pričakuje v drugi polovici leta 2025, je na državah članicah dejansko velika naloga, da v slabem letu (do avgusta 2026) vzpostavijo delujoč regulativni peskovnik za UI, kot jim to nalaga Akt o umetni inteligenci.

5.     Regulativni peskovniki za UI v praksi – primeri Švedske in Norveške

Nekatere države so že vzpostavile regulativne peskovnike za UI, bodisi kot samostojne projekte, bodisi v okviru že obstoječih regulativnih peskovnikov.

Na Švedskem je bil leta 2022 izveden prvi regulativni peskovnik za zaščito osebnih podatkov, v okviru katerega so sodelovali tudi projekti za UI. Regulativni peskovnik je potekal pod nadzorom Švedskega organa za zaščito zasebnosti (»IMY«). IMY je v okviru pilotnega regulativnega peskovnika izvedel projekt »Decentralizirana UI in zdravstvena nega: Federativno strojno učenje med dvema ponudnikoma zdravstvene nege,« v katerem sta sodelovala dva ponudnika storitev v zdravstveni industriji: Region Halland in Univerzitetni klinični center Sahlgrenska. Udeleženca sta raziskovala možnosti skupnega razvoja sistema strojnega učenja (UI), katerega namen je doseganje bolj natančnih diagnoz in terapij. Konkretno je analiziran program za ocenjevanje verjetnosti ponovne hospitalizacije srčnih bolnikov v tridesetih dneh od zadnje hospitalizacije. Regulativni peskovnik je bil oblikovan okoli treh regulatornih vprašanj: (i) ali obstaja pravna podlaga za obdelavo osebnih podatkov v primerih, ko ponudniki zdravstvenih storitev za namene razvoja sistema UI obdelujejo zgolj osebne podatke svojih pacientov? (ii) ali v primeru federativnega strojnega učenja prihaja do razkritja osebnih podatkov med ponudniki zdravstvenih storitev? ter (iii) ali obstaja pravna podlaga za razkrivanje osebnih podatkov med ponudniki zdravstvenih storitev. Celoten pilotni projekt regulativnega peskovnika na Švedskem je potekal ob pomoči nacionalnega centra za uporabno UI.

Norveška Agencija za varstvo podatkov (Datatilsynet) že od leta 2020 eksperimentira z regulativnimi peskovniki za UI. V nedavnem projektu pod imenom SALT peskovnik je norveška Agencija za varstvo podatkov s podjetjem Mobai raziskovala regulacijo sistemov za varstvo digitalne identitete. Podjetje Mobai, ustanovljeno v okviru Norveške univerze za znanost in tehnologijo, je razvilo programsko rešitev SALT, katere cilj je povečanje robustnosti in odpornosti verifikacije digitalne identitete z uporabo biometričnih podatkov v realnem času. Zaradi občutljivosti uporabe biometričnih podatkov pa so že z GDPR vzpostavljeni strogi regulatorni okviri za pridobivanje, shranjevanje in uporabo takšnih podatkov. Za zagotavljanje skladnosti s temi predpisi je Mobai želel razvijati in uporabljati sistem UI. V ta namen je norveška Agencija za varstvo podatkov ustvarila regulativni peskovnik, v okviru katerega so iskali odgovore na naslednja vprašanja: (i) ali so slike obraza biometrični podatek? (ii) ali so zaščiteni biometrični vzorci osebni podatki po GDPR? (iii) ali obdelava biometričnih podatkov, v okviru potrjevanja identitete zapade pod obdelavo posebnih vrst osebnih podatkov? (iv) kakšna je razlika med primarno in sekundarno obdelavo podatkov v okviru SALT? ter (v) ali je možno biometrične podatke hraniti na centralnem strežniku? Delo v okviru SALT peskovnika je omogočilo razvijalcem programske opreme seznanitev z regulatornimi ovirami obenem pa seznanilo regulatorja s cilji in tehnološkim ozadjem programske rešitve.

6.     Zaključek

Razumevanje regulatorja je ključno pri razvoju novih tehnologij in plasiranju le-teh na trg. Tudi v praksi je lažje vzpostaviti kvalitetno komunikacijo s pristojnim regulatorjem, ko se najprej pojasni ozadje določene tehnologije in rešitve, ki bi jih ta tehnologija prinesla. Zato so regulativni peskovniki zelo koristno orodje za vzpostavitev efektivne komunikacije, predvsem pri sistemih UI, kjer se razvijalci sistemov vsakodnevno srečujejo z regulatornimi ovirami, predvsem z vidika varstva podatkov. Toda, kot je dr. Rozman poudaril, regulativni peskovniki niso »čarobna palčka«, ki bi čez noč optimizirala regulacijo na določenem področju, prav tako pa niso »prazen hype«, saj so se v nekaterih državah že pokazali za zelo koristne. Menim, da so za uspeh prihajajočega okvira regulativnih peskovnikov za UI v okviru Akta o umetni inteligenci pomembne tri stvari: (i) priprava kakovostnih implementacijskih standardov s strani Evropske Komisije ob sodelovanju relevantnih deležnikov v vseh fazah, (ii) ustrezna kadrovska opremljenost in strokovna podkovanost nacionalnih regulatorjev za izvedbo projektov regulativnih peskovnikov ter (iii) da so razvijalci sistemov za UI ustrezno obveščeni o njihovem izvajanju in udeležba v njih ne predstavlja prevelikega finančnega zalogaja.

Seznam literature

-       Madiega, Tambiama; Van De Pol, Anne Louise: Artificial intelligence act and regulatory sandboxes, URL: https://www.europarl.europa.eu/RegData/etudes/BRIE/2022/733544/EPRS_BRI(2022)733544_EN.pdf (5. marec 2025)

-       Integritetsskydsmyndigheten: English Summary: Swedish Authority for Privacy Protection, IMY, finishes first Sandbox Pilot, IMY-2023-2602, 15. marec 2023.

-       Datatilsymet: SALT (Mobai et al.), exit report: Securing Digital Identities, januar 2025

-       Dr. Rozman, Til: Regulativni peskovniki – vsebinsko prazen hype ali nov disruptivni pravni koncept? Predavanje na AIxPravo 2025 Konferenca, PPT: https://law-brainer.com/wp-content/uploads/2025/02/Komercialno-pravni-dan.pdf  (str. 7 – 17).

OPOMBE

[1] Odvetniški pripravnik v Odvetniški družbi Ilić in Partnerji (ODI Law);

[2] Ang. “Regulatory Sandbox”;

[3] Madiega, Van De Pol, Artificial intelligence act and regulatory sandboxes, URL: https://www.europarl.europa.eu/RegData/etudes/BRIE/2022/733544/EPRS_BRI(2022)733544_EN.pdf ;

[4] Prav tam;

[5] Uredba (EU) 2024/1689 Evropskega parlamenta in Sveta z dne 13. junija 2024 o določitvi harmoniziranih pravil o umetni inteligenci in spremembi uredb (ES) št. 300/2008, (EU) št. 167/2013, (EU) št. 168/2013, (EU) 2018/858, (EU) 2018/1139 in (EU) 2019/2144 ter direktiv 2014/90/EU, (EU) 2016/797 in (EU) 2020/1828 (Akt o umetni inteligenci)

[6] Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)