Regulacje sztucznej inteligencji UE przeszły ogromną transformację wraz z wejściem w życie AI Act – pierwszego kompleksowego rozporządzenia Unii Europejskiej dotyczącego sztucznej inteligencji. Nowe przepisy mają bezpośredni wpływ na działalność firm, instytucji publicznych, dostawców technologii oraz pracodawców. Część przepisów AI Act już obowiązuje, ponieważ akt ten został wydany w formie unijnego rozporządzenia. Ma więc bezpośrednio zastosowanie do podmiotów z Unii, które korzystają lub tworzą systemy w oparciu o AI. Jakie zmiany niesie AI Act, kiedy dokładnie wchodzą w życie poszczególne z nich i jak się do nich przygotować? O tym jest ten poradnik.
Czym jest AI Act i dlaczego powstał?
AI Act, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689, to odpowiedź Unii Europejskiej na dynamiczny rozwój technologii opartych na sztucznej inteligencji. Celem regulacji jest zapewnienie, by systemy AI działały w sposób bezpieczny, przejrzysty, zgodny z prawem i wartościami europejskimi.
Podobnie jak RODO w przypadku danych osobowych, AI Act tworzy jednolite ramy prawne dla całej UE. Zamiast 27 różnych podejść krajowych, mamy jedno wspólne rozporządzenie, które obejmuje pełne spektrum zastosowań AI — od chatbotów po zaawansowane modele wykorzystywane w medycynie czy wymiarze sprawiedliwości.
Kiedy i w jakim zakresie AI Act wchodzi w życie?
Wejście w życie regulacji sztucznej inteligencji UE następuje etapami:
- 1 sierpnia 2024 r. – zaczęły obowiązywać pierwsze przepisy, w tym klasyfikacja systemów AI według poziomu ryzyka.
- 2 sierpnia 2025 r. – weszły w życie przepisy dotyczące miejsc pracy oraz dostawców modeli ogólnego przeznaczenia (GPAI).
- 2 sierpnia 2026 r. – wszystkie pozostałe przepisy AI Act znajdą pełne zastosowanie.
Poniżej omawiamy regulacje, które już mają zastosowanie. Jeśli któraś z nich dotyczy Twojej firmy lub organizacji, skontaktuj się z nami, a w kancelarii LO:ME przeprowadzimy audyt prawny i powiemy Ci, czy i w jakim zakresie musisz dostosować się do nowych obowiązków wynikających z regulacji sztucznej inteligencji UE, czyli AI Act.
Cztery poziomy ryzyka – jak wygląda klasyfikacja systemów AI?
1 sierpnia 2024 roku weszła w życie pierwsza część przepisów, regulująca przede wszystkim kwestie związane ze sklasyfikowaniem czterech kategorii ryzyka w zakresie używania AI. To system wysokiego ryzyka, system ograniczonego i minimalnego ryzyka oraz systemy zakazane (niedozwolone).
4 kategorie ryzyka systemów AI według regulacji sztucznej inteligencji UE
1. Systemy niedozwolone
Są to systemy, których stosowanie jest całkowicie zabronione ze względu na ich nieproporcjonalne ryzyko dla praw i wolności człowieka. Przykłady obejmują masową inwigilację obywateli, rozpoznawanie emocji w miejscu pracy, manipulowanie zachowaniami dzieci czy tzw. social scoring – ocenianie obywateli przez algorytm (np. wzorem systemu punktowego stosowanego w Chinach).
2. Systemy wysokiego ryzyka
To systemy, które mogą mieć znaczący wpływ na zdrowie, bezpieczeństwo lub prawa podstawowe obywateli. Znajdują zastosowanie m.in. w medycynie (systemy diagnostyczne), rekrutacji (automatyczna ocena kandydatów), edukacji (systemy oceny studentów), czy wymiarze sprawiedliwości (np. systemy przewidywania recydywy). Ich użycie wymaga ścisłej kontroli, audytów i zgodności z wymaganiami technicznymi.
3. Systemy ograniczonego ryzyka
Systemy te nie ingerują głęboko w prawa użytkowników, ale mogą wpływać na ich decyzje. Przykładem są chatboty, które muszą informować użytkowników, że nie są ludźmi. AI Act wymaga tutaj przejrzystości i oznaczenia komunikacji generowanej przez maszyny – np. przy tworzeniu treści marketingowych czy grafiki.
4. Systemy minimalnego ryzyka
To najczęstsze i najbezpieczniejsze systemy AI, które nie wymagają dodatkowych obowiązków regulacyjnych. Przykłady to filtry antyspamowe, funkcje rekomendacyjne w serwisach streamingowych, czy AI w grach komputerowych. Choć ich zastosowanie jest powszechne, muszą nadal przestrzegać ogólnych zasad etycznych i prawa konsumenckiego.
Porównując rozwiązania AI do ruchu drogowego: systemy niedozwolone to jazda pod wpływem alkoholu (zakazane), wysokiego ryzyka to prowadzenie tira (wymaga uprawnień), ograniczonego – hulajnoga (wymaga ostrożności), a minimalnego – spacer po chodniku.
Obowiązki instytucji publicznych
Kolejne regulacje, które już obowiązują, dotyczą szczególnych obowiązków, które Akt AI nakłada na instytucje publiczne. Najistotniejsze w tym zakresie są zapisy dotyczące organów notyfikujących i jednostek notyfikowanych z rozdziału III sekcji 4 Aktu AI (art. 28-29). Państwa członkowskie Unii Europejskiej są zobowiązane do powołania dwóch głównych typów instytucji sprawujących nadzór nad sztuczną inteligencją w ich kraju.
- Organ notyfikujący – krajowy organ weryfikujący zgodność systemów AI z przepisami. Organ ten ma również za zadanie wyznaczanie i opracowanie procedur koniecznych do oceny zgodności funkcjonowania systemów sztucznej inteligencji w danym kraju członkowskim.
- Jednostki notyfikowane – niezależne instytucje oceniające czy korzystanie ze sztucznej inteligencji spełnia wymagania Aktu AI.
To rozwiązanie przypomina strukturę certyfikacji w branży spożywczej: jedna instytucja nadaje uprawnienia, a inna niezależnie kontroluje jakość.
Co oznacza AI Act dla dostawców modeli GPAI?
Od 2 sierpnia 2025 rok również dostawcy modeli GPAI (General Purpose AI czyli Modeli AI ogólnego przeznaczenia) mają nowe obowiązki. Oto niektóre z nich:
- przygotowanie dokumentacji technicznej,
- stosowanie środków ochrony praw autorskich i pozostałych praw dotyczących własności intelektualnej,
- publikowanie streszczenia danych treningowych.
To oznacza, że firmy tworzące duże modele AI, np. wspierające automatyzację procesów, muszą nie tylko zadbać o jakość technologii, ale też o jej przejrzystość i zgodność z prawem.
Definicja modeli GPAI (General Purpose AI)
Model ogólnego przeznaczenia (GPAI) to taki model sztucznej inteligencji, który może być używany do różnych celów i integrowany z wieloma systemami – zarówno ogólnymi, jak i specjalistycznymi. Nie jest projektowany wyłącznie do jednej konkretnej funkcji, lecz może być wykorzystywany w różnych dziedzinach (np. edukacja, marketing, przemysł, analiza danych).
Przykładami GPAI są duże modele językowe (LLM), takie jak ChatGPT czy Claude, które mogą być wykorzystywane w systemach chatbotów, analizatorach danych, automatyzacji obsługi klienta czy generowaniu treści.
Klasyfikacja i obowiązki GPAI według AI Act
W AI Act przewidziano dwa poziomy regulacji modeli GPAI:
1. GPAI ogólnego zastosowania
Muszą one spełniać wymogi dotyczące:
- dokumentacji technicznej,
- zgodności z przepisami UE (np. w zakresie praw autorskich),
- publikowania podsumowania danych wykorzystywanych do szkolenia modeli,
- przejrzystości i odpowiedzialności.
2. GPAI o znacznym wpływie systemowym (systemic GPAI models)
To modele o wyjątkowo dużym zasięgu oddziaływania (np. liczone w setkach milionów użytkowników lub dużej skali adaptacji rynkowej). W stosunku do takich modeli stosuje się dodatkowe obowiązki, w tym:
- ocenę ryzyka systemowego,
- obowiązek testów bezpieczeństwa,
- informowanie Komisji Europejskiej o potencjalnych zagrożeniach,
- zapewnienie nadzoru ludzkiego i odporności systemu na manipulację.
Nadzór rynku AI i współpraca z UE
Kolejne Regulacje sztucznej inteligencji UE, które już obowiązują, wymagają powołania w każdym kraju organu nadzoru nad rynkiem AI. Organ ten będzie współpracować z Europejską Radą ds. Sztucznej Inteligencji (European AI Board).
To rozwiązanie gwarantuje, że prawo będzie egzekwowane w praktyce, a nie tylko na papierze. Działa to podobnie jak krajowe urzędy ochrony konsumentów, które współpracują z Komisją Europejską.
Jakie kary i za co przewiduje AI Act?
Wprowadzenie AI Act to nie tylko nowe obowiązki regulacyjne, ale także surowe sankcje finansowe dla podmiotów, które nie dostosują się do przepisów. Regulacje sztucznej inteligencji UE przewidują konkretne kary dla firm i instytucji naruszających zasady wdrażania, nadzoru i stosowania systemów AI. Warto zrozumieć, kiedy grozi kara i jakie działania mogą prowadzić do jej nałożenia.
AI Act przewiduje wysokie kary finansowe za naruszenia, które polegają m.in. na:
- niewdrożeniu wymogów technicznych,
- braku nadzoru nad systemami ze strony pracowniczek i pracowników,
- nieprawidłowym zarządzaniu danymi,
- braku przejrzystości działania AI,
- braku prawidłowo przeprowadzonego audytu zgodności z przepisami.
Zlokalizowałeś w swojej firmie lub organizacji któryś z tych problemów? Napisz do nas, a w kancelarii LO:ME zrobimy prawny audyt i pomożemy Ci uniknąć potencjalnych kar za brak zgodności z przepisami dotyczącymi AI Act.
AI Act przewiduje wysokie kary finansowe za naruszenia
W AI Act stosuje się dwa równoległe kryteria kar: kwotowe i procentowe. Progi tych kar wyglądają następująco, w zależności od wagi naruszenia:
- do 7,5 mln euro lub 1% obrotu,
- do 15 mln euro lub 3% obrotu,
- do 35 mln euro lub 7% obrotu.
To, które z kryteriów – kwotowe czy procentowe ma zastosowanie, zależy od statusu podmiotu. Kryterium kwotowe dotyczy podmiotów, które nie są przedsiębiorstwami. Chodzi m.in. o instytucje publiczne, organizacje non-profit, uczelnie i jednostki badawcze. Te podmioty nie mają obrotu handlowego, więc stosuje się wobec nich tylko karę w określonej kwocie pieniężnej.
Z kolei kryterium procentowe, liczone od rocznego obrotu, stosuje się wobec przedsiębiorstw, czyli firm prywatnych, korporacji, startupów czy spółek technologicznych. Wysokość kar zależy tu od obrotu całkowitego z poprzedniego roku obrotowego. Zapewnia to proporcjonalność względem wielkości firmy.
Zastosowanie kar za naruszenia AI Act w praktyce
Oczywiście podane wartości są maksymalne. Na jakim poziomie ukształtują się realne kary wymierzane organizacjom niedostosowanym do AI Act pokaże praktyka. Natomiast od czego zależy, czy firma dostanie karę kwotową czy procentową? Zawsze stosuje się wartość wyższą – tzn. jeśli 1% obrotu przekracza 7,5 mln euro, to przedsiębiorstwo zapłaci wyższą z tych dwóch wartości. Tak samo w przypadku większych naruszeń (3% lub 7%).
1. Najwyższe kary (do 35 mln euro lub 7% obrotu)
Przewidziano je za najcięższe naruszenia, np. stosowanie zakazanych systemów AI lub nieprzestrzeganie podstawowych obowiązków związanych z systemami wysokiego ryzyka.
2. Średnie kary (do 15 mln euro lub 3% obrotu)
Stosuje się je wobec naruszeń obowiązków dokumentacyjnych, braku przejrzystości lub nienależytego monitorowania AI.
3. Najniższy próg kary (do 7,5 mln euro lub 1% obrotu)
Dotyczy on mniej poważnych naruszeń, np. opóźnień we wdrożeniu wymaganych środków lub uchybień o charakterze technicznym.
AI Act przewiduje różne limity w zależności od wielkości i rodzaju organizacji – podobnie jak RODO. Mniejsze firmy mogą być objęte proporcjonalnie niższymi sankcjami, choć sam procent (1%, 3%, 7%) nadal odnosi się do całkowitego rocznego światowego obrotu.
Wysokość kary może być również modulowana przez:
- umyślność naruszenia,
- powtarzalność nieprawidłowości,
- skalę szkód (np. liczba osób dotkniętych nieprawidłowym działaniem AI),
- działania naprawcze lub ich brak.
Porównanie z karami RODO
Dla porównania: kary za naruszenie RODO sięgają maksymalnie 20 mln euro. AI Act w niektórych przypadkach przewiduje większe sankcje.
Co dalej z AI Act w Polsce?
Obecnie w Polsce, tj. na moment powstania tego artykułu, trwają prace nad ustawą krajową wdrażającą regulacje sztucznej inteligencji UE. Projekt przepisów jest procedowany przez Komitet ds. Europejskich. Do czasu jej przyjęcia, firmy powinny przygotować się na bezpośrednie stosowanie rozporządzenia unijnego.
Podsumowanie
AI Act to kamień milowy w tworzeniu bezpiecznej i przejrzystej przestrzeni dla rozwoju sztucznej inteligencji w Europie. Dla wielu firm oznacza to konieczność aktualizacji procesów, dokumentacji i modelu zarządzania AI. Warto zacząć od analizy, czy dana technologia podlega przepisom AI Act i jakiego rodzaju obowiązki się z tym wiążą.
Jak kancelaria LO:ME może pomóc w dostosowaniu się do AI Act?
Nasza kancelaria wspiera firmy i instytucje w procesie wdrożenia regulacji sztucznej inteligencji UE. Oferujemy:
- audyty zgodności z AI Act,
- doradztwo przy klasyfikacji systemów AI,
- opracowanie dokumentacji technicznej i procedur,
- szkolenia dla pracowników i zespołów IT,
- bieżące wsparcie prawne w kontaktach z regulatorami.
Skontaktuj się z nami, jeśli chcesz działać zgodnie z przepisami i uniknąć ryzyka kar finansowych. Pomagamy zarówno dużym podmiotom, jak i mniejszym firmom korzystającym z AI w codziennej działalności.