Jaka ustawa wdraża AI Act w Polsce?

Jako rozporządzenie unijne, AI Act obowiązuje w Polsce bezpośrednio. Jednak, aby system mógł sprawnie działać, konieczna jest tzw. ustawa wspomagająca.

W Polsce jest to Ustawa o systemach sztucznej inteligencji. Według stanu na luty 2026 roku, prace legislacyjne nad tą ustawą dobiegły końca. Najważniejszym elementem polskiej ustawy jest powołanie nowego organu nadzorczego – Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI), która działa przy Ministerstwie Cyfryzacji. To właśnie ta Komisja monitoruje rynek, wydaje certyfikaty i nakłada kary.

Jaki jest cel AI Act?

Główne cele AI Act to:

1. Zapewnienie bezpieczeństwa systemów AI
2. Ochrona praw obywateli i użytkowników
3. Zwiększenie zaufania do technologii AI
4. Ujednolicenie zasad stosowania AI w UE
5. Stworzenie przewidywalnych ram prawnych dla biznesu

Unia Europejska uznała, że sztuczna inteligencja może przynosić ogromne korzyści, ale jednocześnie niesie realne ryzyka prawne, etyczne i operacyjne, które wymagają regulacji.

Kogo dotyczy AI Act?

AI Act ma bardzo szeroki zakres. Obejmuje m.in.:

• producentów i dostawców systemów AI,
• firmy wdrażające AI w swoich procesach (np. HR, marketing, analiza danych),
• dostawców rozwiązań opartych na AI (w tym SaaS),
• organizacje spoza UE, jeśli ich systemy AI są używane w UE lub wpływają na osoby w UE.

Nie ma znaczenia wielkość firmy –regulacja dotyczy zarówno korporacji, jak i MŚP oraz startupów, przy czym dla mniejszych podmiotów przewidziano pewne ułatwienia.

Piramida Ryzyka: Jakie wymagania wprowadza akt?

AI Act dzieli systemy sztucznej inteligencji na cztery kategorie. Od tego, do której grupy trafi dany system, zależą obowiązki organizacji:

1. Ryzyko niedopuszczalne (Systemy ZAKAZANE)

Niektóre zastosowania AI są w UE całkowicie nielegalne od lutego 2025 roku. Należą do nich:

• Systemy manipulujące zachowaniem (np. podprogowe reklamy nakłaniające do niebezpiecznych działań).
• Punkty społeczne (social scoring) – ocenianie obywateli przez rządy.
• Rozpoznawanie emocji w miejscach pracy lub szkołach (z nielicznymi wyjątkami).

2. Wysokie ryzyko (Najostrzejsze wymagania)

Tu znajdują się systemy wpływające na istotne aspekty życia, np. AI stosowana w rekrutacji (ocena CV), bankowości (ocena zdolności kredytowej), edukacji czy ochronie zdrowia.

• Wymagania: Konieczność przeprowadzenia oceny zgodności, posiadania szczegółowej dokumentacji technicznej, zapewnienia nadzoru człowieka nad systemem oraz gwarancji wysokiej jakości danych treningowych (by uniknąć np. rasizmu czy seksizmu w algorytmach).

3. Ograniczone ryzyko (Obowiązki informacyjne)

Chodzi o systemy takie jak chatboty (np. ChatGPT) czy generatory obrazów.

• Wymagania: Przejrzystość. Użytkownik musi wiedzieć, że rozmawia z maszyną, a treści wygenerowane przez AI (deepfakes) muszą być odpowiednio oznaczone.

4. Minimalne ryzyko

Filtry spamu czy gry wideo. Tutaj akt nie wprowadza niemal żadnych dodatkowych obowiązków.

Od kiedy obowiązują przepisy?

AI Act wchodzi w życie etapami, aby biznes mógł się przygotować:

• Luty 2025 r.: Zaczął obowiązywać zakaz stosowania systemów o niedopuszczalnym ryzyku.
• Sierpień 2025 r.: Weszły w życie wymogi dla modeli AI ogólnego przeznaczenia (GPAI).
• Sierpień 2026 r.: Zacznie obowiązywać większość przepisów, w tym te dotyczące systemów wysokiego ryzyka (np. w HR i finansach).
• Sierpień 2027 r.: Wejdą w życie wymogi dla systemów wysokiego ryzyka wbudowanych w produkty już regulowane (np. samochody, wyroby medyczne).

Jakie obowiązki wprowadza AI Act?

1. Obowiązki dla systemów wysokiego ryzyka

Dostawcy i użytkownicy muszą m.in.:

• przeprowadzić ocenę ryzyka,
• zapewnić wysoką jakość danych uczących,
• prowadzić dokumentację techniczną,
• umożliwić nadzór człowieka nad działaniem AI,
• zapewnić dokładność, odporność i cyberbezpieczeństwo systemu.

2. Transparentność

Użytkownicy muszą być informowani, gdy:

• wchodzą w interakcję z systemem AI,
• treści są generowane lub modyfikowane przez AI (np. deepfake).

3. Obowiązki organizacyjne

Firmy muszą:

• wdrożyć procedury zarządzania AI,
• monitorować działanie systemów,
• reagować na incydenty i nieprawidłowości,
• szkolić personel korzystający z AI.

Jakie kary grożą za nieprzestrzeganie AI Act?

AI Act przewiduje bardzo wysokie kary finansowe.

Maksymalne sankcje:

• do 35 mln euro lub do 7% globalnego rocznego obrotu– za najpoważniejsze naruszenia (np. stosowanie zakazanych systemów),
• do 15 mln euro lub do 3% obrotu– za naruszenie innych obowiązków,
• do 7,5 mln euro lub do 1% obrotu– za przekazanie nieprawdziwych informacji.

Dodatkowo możliwe są:

• nakazy wycofania systemu z rynku,
• zakaz stosowania danego rozwiązania,
• straty reputacyjne i kontraktowe.

Obowiązki dla biznesu

AI Act nakłada różne wymogi zależnie od rodzaju systemu. Dla firm najważniejsze będą:

A. Obowiązki dokumentacyjne

• pełna dokumentacja techniczna,
• raporty z testów i oceny ryzyka,
• instrukcje użycia.

B. Zarządzanie ryzykiem

• systemy wysokiego ryzyka muszą przejść proces identyfikacji, oceny i ograniczania ryzyk,
• nadzór człowieka nad kluczowymi decyzjami AI.

C. Jakość danych

• obowiązek stosowania wysokiej jakości zbiorów danych,
• weryfikacja danych pod kątem stronniczości.

D. Raportowanie incydentów

Firmy wdrażające systemy wysokiego ryzyka muszą raportować poważne incydenty do organów nadzoru.

E. Oznakowanie CE dla systemów high-risk

Po spełnieniu wymogów system może trafić na rynek unijny jako „zgodny z AI Act”.

Podsumowanie

AI Act to kluczowe unijne rozporządzenie regulujące odpowiedzialny rozwój i stosowanie sztucznej inteligencji. Obowiązki dla firm zależą od poziomu ryzyka systemu, a największe wymogi dotyczą rozwiązań wysokiego ryzyka. Harmonogram wdrożenia jest rozłożony na lata 2024–2027. Choć regulacja obowiązuje bezpośrednio, Polska nadal pracuje nad ustawą krajową, która określi zasady nadzoru i sankcji.

Dla biznesu AI Act oznacza przede wszystkim konieczność przeprowadzenia inwentaryzacji używanych narzędzi. Jeśli firma korzysta z gotowych rozwiązań AI (np. do rekrutacji), musi upewnić się, że dostawca dostarczył odpowiednią dokumentację i certyfikaty. Jeśli sama tworzy narzędzia AI, musi wdrożyć procesy oceny ryzyka już na etapie pisania kodu. Nadrzędnym obowiązkiem, który dotyczy niemal wszystkich, jest podnoszenie kompetencji w zakresie AI (AI Literacy) wśród pracowników – tak, aby korzystali z niej świadomie i bezpiecznie.

Opracowanie: prof. Grzegorz Strupczewski