Unia Europejska przyjęła przełomowe rozporządzenie dotyczące sztucznej inteligencji – AI Act, które ustanawia jednolite zasady dla tworzenia, wykorzystywania i nadzoru nad systemami AI na rynku unijnym. Dla przedsiębiorców, producentów technologii oraz organizacji korzystających z rozwiązań AI, oznacza to konieczność szczegółowej weryfikacji stosowanych systemów i wdrożenie nowych procedur zgodności.
Czym jest Akt w sprawie sztucznej inteligencji?
AI Act to pierwszy na świecie tak kompleksowy akt prawny dotyczący sztucznej inteligencji, który opiera się na tzw. antropocentrycznym podejściu – oznacza to, że w centrum regulacji znajduje się człowiek i jego prawa podstawowe, a nie wyłącznie rozwój technologiczny.
Regulacja jest elementem unijnej strategii cyfrowej i ma stać się globalnym wzorcem dla innych krajów, promując „zaufaną sztuczną inteligencję” (trustworthy AI).
📚 W przeciwieństwie do USA czy Chin:
- Stany Zjednoczone skupiają się na wspieraniu innowacji i konkurencyjności firm technologicznych, pozostawiając regulacje w dużej mierze rynkowi.
- Chiny uzależniają rozwój AI od zgodności z wartościami i polityką państwową.
- Unia Europejska natomiast wybrała model, który łączy rozwój technologii z ochroną praw człowieka i przejrzystością działania algorytmów.
Zakres stosowania AI Act
AI Act ma zastosowanie do szerokiego kręgu podmiotów — zarówno producentów (dostawców) systemów sztucznej inteligencji, jak i użytkowników (stosujących) takie rozwiązania.
Co istotne – nie ma znaczenia miejsce siedziby przedsiębiorstwa. Przepisy obejmą także firmy spoza UE, jeśli ich systemy AI będą stosowane lub oddziaływać będą na terytorium Unii.
➡ Jak stanowi art. 2 lit. c Aktu:
„Przepisy stosuje się do dostawców i użytkowników systemów sztucznej inteligencji, niezależnie od ich siedziby, jeśli wyniki działania tych systemów są wykorzystywane w Unii Europejskiej.”
Wyłączenia spod regulacji
Z zakresu AI Act wyłączono:
- bezpieczeństwo narodowe i cele wojskowe,
- badania naukowe oraz działalność rozwojową,
- korzystanie z AI w ramach działalności osobistej i pozazawodowej,
- zasady dotyczące ochrony danych osobowych i prywatności, które nadal podlegają RODO i ePrivacy,
- kwestie odpowiedzialności usług pośrednich uregulowane w Digital Services Act (DSA).
Kluczowe pojęcie: „System sztucznej inteligencji”
Zrozumienie, czym jest system AI w rozumieniu aktu, ma zasadnicze znaczenie dla określenia obowiązków przedsiębiorcy.
Zgodnie z art. 3 pkt 1 Aktu:
„System sztucznej inteligencji oznacza system maszynowy, zaprojektowany do działania z różnym poziomem autonomii, który może po wdrożeniu wykazywać zdolność adaptacji i który – do wyraźnych lub dorozumianych celów – wnioskuje, jak generować na podstawie danych wejściowych wyniki, takie jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne lub wirtualne.”
Ta definicja podkreśla trzy kluczowe cechy AI:
- Zdolność do wnioskowania – system potrafi analizować dane i formułować wnioski lub prognozy,
- Autonomia działania – system działa częściowo samodzielnie, bez ciągłego nadzoru człowieka,
- Zdolność adaptacji – może się uczyć i dostosowywać po wdrożeniu.
Co nie jest systemem AI?
Do zakresu regulacji nie zaliczają się proste systemy automatyczne, które wykonują zaprogramowane instrukcje bez samodzielnego wnioskowania — np. kalkulatory, automatyczne bramki parkingowe czy standardowe systemy ERP bez elementów uczenia maszynowego.
Klasyfikacja systemów AI – cztery poziomy ryzyka
AI Act opiera się na zasadzie podejścia opartego na ryzyku (risk-based approach). Oznacza to, że obowiązki firm i stopień dopuszczalności korzystania z AI zależą od poziomu zagrożenia, jakie dany system może generować.
1. Systemy zakazane (prohibited AI practices)
To kategoria obejmująca systemy uznane za nieakceptowalne z punktu widzenia praw człowieka. Ich stosowanie jest całkowicie zabronione.
Do zakazanych praktyk należą m.in.:
- Podprogowe techniki manipulacji – np. wpływanie na decyzje użytkownika za pomocą bodźców dźwiękowych lub wizualnych poza jego świadomością.
- Wykorzystywanie słabości określonych grup, np. dzieci, osób starszych lub w kryzysie ekonomicznym, w celu manipulacji ich zachowaniem.
- Scoring społeczny – klasyfikowanie obywateli na podstawie ich zachowań lub cech osobistych, np. w celu oceny „przydatności społecznej”.
- Predictive policing – przewidywanie zachowań przestępczych wyłącznie na podstawie profili lub cech jednostki.
- Niecelowane gromadzenie wizerunków ludzi (tzw. untargeted scraping) z internetu lub monitoringu publicznego.
- Rozpoznawanie emocji w miejscu pracy lub szkole – zakazane ze względu na brak naukowych podstaw i ryzyko naruszenia prywatności.
- Kategoryzacja biometryczna w celu ustalania cech wrażliwych (np. orientacji seksualnej, poglądów politycznych).
- Zdalna identyfikacja biometryczna w czasie rzeczywistym w przestrzeni publicznej – dozwolona jedynie w ściśle określonych przypadkach, np. przy ściganiu ciężkich przestępstw.
📄 art. 5 Aktu – zakaz określonych praktyk w zakresie AI.
📘 Przykład
Firma marketingowa z Krakowa planuje wykorzystanie AI do analizy emocji uczestników konferencji biznesowej w celu dostosowania treści reklam. Taki system, analizujący mimikę twarzy i ton głosu, byłby zakazany w świetle AI Act, ponieważ ingeruje w emocje uczestników i może prowadzić do niepożądanej manipulacji.
2. Systemy wysokiego ryzyka (High-Risk AI Systems)
To kluczowa i najbardziej rozbudowana kategoria AI Act. Uznano, że pewne zastosowania sztucznej inteligencji są dopuszczalne tylko pod warunkiem spełnienia bardzo surowych wymogów technicznych i organizacyjnych.
Dwie grupy systemów wysokiego ryzyka:
1️⃣ Produkty objęte szczególnym prawodawstwem UE, w których bezpieczeństwo ma znaczenie krytyczne – np.:
- lotnictwo cywilne,
- pojazdy i transport,
- windy, koleje linowe, urządzenia ciśnieniowe,
- zabawki i sprzęt medyczny.
2️⃣ Systemy wykorzystywane w kluczowych sferach życia społecznego:
- infrastruktura krytyczna (np. zarządzanie ruchem drogowym, sieci energetyczne),
- edukacja i rekrutacja,
- zatrudnienie i HR (np. algorytmy oceniające kandydatów do pracy),
- dostęp do usług publicznych i prywatnych (np. ocena zdolności kredytowej, ubezpieczenia zdrowotne),
- wymiar sprawiedliwości i procesy demokratyczne (np. systemy wspomagające decyzje sądowe lub wpływające na głosowanie).
Systemy wysokiego ryzyka będą musiały zostać zarejestrowane w unijnej bazie danych AI.
Wyjątki od klasyfikacji wysokiego ryzyka
Nie każdy system AI działający w obszarze objętym przepisami zostanie automatycznie uznany za „wysokiego ryzyka”. Akt przewiduje wyjątki, gdy zastosowanie AI nie generuje znaczącego zagrożenia dla zdrowia, bezpieczeństwa lub praw podstawowych człowieka.
Przykłady sytuacji, w których system nie zostanie uznany za wysokiego ryzyka:
- AI wspomaga nauczyciela, sugerując jedynie stylistyczne poprawki w ocenach uczniów,
- system organizuje lub sortuje pliki w firmie bez wpływu na decyzje personalne,
- narzędzie analizuje język i sugeruje zmiany, ale nie ma wpływu na rekrutację czy ocenę pracowników.
Jednak każdy system, który profiluje osoby fizyczne, automatycznie trafia do kategorii wysokiego ryzyka, nawet jeśli działa w teoretycznie „nieszkodliwym” kontekście.
Kto odpowiada za zgodność z AI Act?
Rozporządzenie precyzyjnie wskazuje uczestników łańcucha wartości AI, którzy ponoszą obowiązki prawne. Są to:
1️⃣ Dostawcy (providers)
To podmioty, które tworzą, rozwijają lub wprowadzają system AI do obrotu. Ich odpowiedzialność jest największa, bo to oni odpowiadają za:
- zaprojektowanie i ocenę ryzyka systemu,
- wdrożenie odpowiednich zabezpieczeń i kontroli jakości danych,
- opracowanie dokumentacji technicznej,
- przeprowadzenie oceny zgodności (conformity assessment),
- oznakowanie systemu znakiem CE,
- rejestrację systemu wysokiego ryzyka w unijnej bazie.
📌 Dostawca musi zapewnić, że system działa zgodnie z zasadą bezpieczeństwa, dokładności i transparentności oraz umożliwia nadzór człowieka (human oversight).
2️⃣ Importerzy
Importerzy to przedsiębiorcy wprowadzający do obrotu systemy AI opracowane poza UE. Muszą upewnić się, że produkt:
- posiada oznakowanie CE,
- ma kompletną dokumentację techniczną,
- spełnia wymogi zgodności AI Act.
W praktyce importer odpowiada za kontrolę jakości i formalną zgodność produktów spoza Unii z unijnym prawem – podobnie jak w przypadku urządzeń elektronicznych czy medycznych.
3️⃣ Dystrybutorzy
Podmioty, które sprzedają lub rozpowszechniają systemy AI stworzone przez inne firmy, również mają obowiązki – w szczególności:
- muszą weryfikować, czy produkt ma odpowiednie oznakowanie,
- czy towarzyszą mu niezbędne instrukcje i informacje,
- oraz czy system nie był modyfikowany w sposób wpływający na jego bezpieczeństwo.
4️⃣ Podmioty stosujące (deployers)
To firmy lub organizacje używające AI w praktyce – np. banki wykorzystujące systemy scoringowe, firmy HR analizujące CV, czy szpitale stosujące AI do diagnozy obrazowej.
Ich obowiązki obejmują m.in.:
- nadzór nad działaniem systemu,
- kontrolę poprawności danych wejściowych,
- prowadzenie rejestrów zdarzeń i raportowanie nieprawidłowości,
- zapewnienie przejrzystości wobec osób, których dane są przetwarzane.
📘 Przykład:
Firma rekrutacyjna z Wrocławia korzysta z AI do analizy CV kandydatów. Ponieważ system ma wpływ na decyzję o zatrudnieniu, jest to system wysokiego ryzyka. Firma musi więc:
- poinformować kandydatów, że decyzja jest wspomagana przez AI,
- zapewnić możliwość odwołania się od decyzji,
- i przeprowadzać okresowe audyty skuteczności oraz braku dyskryminacji algorytmu.
Modele AI ogólnego przeznaczenia (GPAI)
W końcowej fazie prac nad Aktem wprowadzono dodatkową kategorię: modele AI ogólnego przeznaczenia (general-purpose AI models). To modele, które nie są tworzone dla konkretnego zadania, lecz mogą być wykorzystane do wielu różnych celów — np. generatywne systemy językowe, obrazy, dźwięk czy wideo.
Przykłady GPAI:
- modele językowe (np. chatboty konwersacyjne),
- modele graficzne (generatory obrazów),
- systemy multimodalne łączące tekst, dźwięk i obraz.
Dwa typy GPAI:
- Zwykłe modele AI ogólnego przeznaczenia – o ograniczonym zasięgu i oddziaływaniu.
- Modele z ryzykiem systemowym (systemic risk) – obejmujące bardzo duże modele o „zdolności dużego oddziaływania”.
Zgodnie z Aktem, model AI ma „zdolność dużego oddziaływania”, jeśli:
„liczba obliczeń wykorzystywanych do trenowania przekracza 10²⁵ operacji zmiennoprzecinkowych (FLOP).”
Obecnie taką skalę osiągają jedynie największe modele globalne.
Obowiązki dostawców modeli GPAI
Każdy dostawca modelu ogólnego przeznaczenia musi:
- dokumentować proces trenowania,
- respektować prawo autorskie (zarówno w zakresie danych wejściowych – input, jak i generowanych wyników – output),
- prowadzić testy bezpieczeństwa i niezawodności,
- publikować szczegółowe informacje techniczne o architekturze modelu, jego możliwościach i ograniczeniach,
- informować o przypadkach ryzyka systemowego.
Dla modeli o ryzyku systemowym wprowadza się dodatkowo obowiązki:
- oceny ryzyka przed wdrożeniem,
- wdrożenia środków zarządzania ryzykiem,
- przekazywania raportów Komisji Europejskiej.
📘 Przykład:
Polska spółka opracowująca generator grafik AI korzysta z modelu trenowanego na publicznych zdjęciach. Jeśli model był uczony na danych z sieci (tzw. web scraping), spółka musi wykazać, że:
- respektuje prawa autorskie,
- informuje użytkowników o źródłach danych,
- a wygenerowane treści oznacza w sposób możliwy do odczytu maszynowego.
Obowiązki w zakresie przejrzystości (Transparency obligations)
AI Act wprowadza powszechny obowiązek przejrzystości, który dotyczy wszystkich systemów wchodzących w interakcję z ludźmi, niezależnie od kategorii ryzyka.
1️⃣ Informowanie użytkowników o interakcji z AI
Każdy system, który komunikuje się z człowiekiem (np. chatbot), musi poinformować użytkownika, że nie rozmawia on z człowiekiem, lecz z maszyną.
➡ Wyjątek: gdy jest to oczywiste (np. robot obsługujący podróżnych na lotnisku).
2️⃣ Oznaczanie treści generowanych przez AI
Systemy tworzące treści syntetyczne – obrazy, dźwięki, wideo, tekst – muszą je oznaczać jako wygenerowane sztuczniew formacie nadającym się do odczytu maszynowego.
Cel: zapobieganie dezinformacji i manipulacji opinią publiczną (np. deepfake).
➡ Wyjątkiem są systemy, które wykonują standardowe zadania edycyjne, np. poprawianie jakości obrazu.
3️⃣ Ujawnianie deepfake
Każdy podmiot, który publikuje lub wykorzystuje treści mogące sprawiać wrażenie prawdziwych, a które w rzeczywistości zostały wygenerowane lub zmodyfikowane przez AI, ma obowiązek ujawnienia tej informacji.
📘 Przykład:
Agencja marketingowa używa AI do tworzenia filmów reklamowych z realistycznymi wizerunkami osób, które w rzeczywistości nie istnieją. Materiały te muszą być oznaczone jako sztucznie wygenerowane, aby odbiorcy nie byli wprowadzeni w błąd co do ich autentyczności.
System nadzoru i organy odpowiedzialne za wdrożenie AI Act
AI Act tworzy nowy, wielopoziomowy system nadzoru nad sztuczną inteligencją w Unii Europejskiej. Ma on zapewnić jednolite i skuteczne stosowanie przepisów we wszystkich państwach członkowskich.
1️⃣ Europejska Rada ds. Sztucznej Inteligencji (European Artificial Intelligence Board)
Na poziomie unijnym powołano Europejską Radę ds. AI, której głównym zadaniem jest:
- koordynacja działań krajowych organów nadzoru,
- promowanie jednolitego stosowania przepisów,
- opiniowanie wytycznych i zaleceń Komisji Europejskiej,
- doradztwo w sprawach technicznych i etycznych.
W skład Rady wchodzą przedstawiciele państw członkowskich, Europejski Inspektor Ochrony Danych (EIOD) jako obserwator oraz Urząd ds. AI, który wspiera działania organizacyjne, ale bez prawa głosu.
Rada może również powoływać forum techniczne (do analiz eksperckich) oraz panel naukowy (do opiniowania aspektów etycznych i badawczych).
2️⃣ Organy krajowe
Każde państwo członkowskie UE musi powołać:
- co najmniej jeden organ notyfikujący – odpowiedzialny za certyfikację i ocenę zgodności systemów AI wysokiego ryzyka,
- co najmniej jeden organ nadzoru rynku – prowadzący kontrolę ex post, czyli po wprowadzeniu systemów do obrotu.
➡ Jak stanowi art. 70 ust. 1 zd. pierwsze Aktu:
„Państwa członkowskie wyznaczają co najmniej jeden organ notyfikujący i co najmniej jeden organ nadzoru rynku jako właściwe organy krajowe.”
W Polsce rolę tę prawdopodobnie przejmą istniejące instytucje – np. UOKiK (w zakresie nadzoru rynkowego) oraz Urząd Komunikacji Elektronicznej lub Ministerstwo Cyfryzacji (w zakresie certyfikacji technicznej). Ostateczne decyzje w tej sprawie mają zostać przyjęte w 2025 roku.
Kary i sankcje za naruszenia AI Act
AI Act wprowadza surowe kary finansowe, które są porównywalne, a nawet wyższe niż w RODO. Ich wysokość zależy od rodzaju naruszenia i pozycji podmiotu na rynku.
1️⃣ Naruszenie zakazu praktyk w zakresie AI
Za stosowanie zakazanych praktyk (np. podprogowej manipulacji, scoringu społecznego, analizy emocji) grozi:
kara administracyjna do 35 mln euro lub do 7% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego – w zależności od tego, która z tych kwot jest wyższa.
2️⃣ Naruszenie obowiązków dostawców modeli GPAI
Dla dostawców modeli AI ogólnego przeznaczenia (w tym generatywnych modeli językowych) maksymalna kara wynosi:
do 15 mln euro lub 3% rocznego światowego obrotu.
3️⃣ Nieprawidłowe przekazanie danych lub informacji
Za dostarczenie nieprawdziwych lub niekompletnych danych podczas postępowań kontrolnych:
kara może wynieść do 7,5 mln euro lub 1% rocznego obrotu.
4️⃣ Odpowiedzialność osób fizycznych
AI Act nie przewiduje odpowiedzialności karnej w sensie ścisłym, ale członkowie zarządów i osoby odpowiedzialne za zgodność (compliance officers) mogą odpowiadać cywilnie lub zawodowo, jeśli doprowadzą do poważnego naruszenia obowiązków.
📘 Przykład:
Spółka technologiczna z Poznania wdrożyła system AI analizujący emocje kandydatów podczas rozmowy rekrutacyjnej. Pomimo ostrzeżeń, nie wyłączyła tej funkcji. Po kontroli organu nadzoru system został uznany za naruszający art. 5 Aktu, a spółka otrzymała karę 2 mln euro i nakaz natychmiastowego zaprzestania stosowania oprogramowania.
Okresy przejściowe i daty stosowania przepisów
AI Act wchodzi w życie i stosowanie w kilku etapach, co ma umożliwić przedsiębiorcom przygotowanie się do nowych obowiązków.
| Etap | Zakres | Data rozpoczęcia |
|---|---|---|
| Wejście w życie | Akt formalnie wchodzi w życie po 20 dniach od publikacji w Dzienniku Urzędowym UE | 1 sierpnia 2024 r. |
| Zakaz praktyk niedozwolonych | Zakazane praktyki z art. 5 Aktu | od 2 lutego 2025 r. |
| Możliwość nakładania kar | Sankcje za naruszenie zakazów | od 2 sierpnia 2025 r. |
| Pełne stosowanie przepisów Aktu | Wszystkie obowiązki podmiotów, w tym dotyczące systemów wysokiego ryzyka i GPAI | od 2 sierpnia 2026 r. |
➡ Oznacza to, że przedsiębiorcy mają okres przejściowy około dwóch lat, aby dostosować swoje procesy, dokumentację techniczną i systemy zarządzania AI.
Co powinni zrobić przedsiębiorcy już teraz?
W praktyce, każdy podmiot korzystający z technologii AI powinien rozpocząć przygotowania już dziś. W szczególności:
✅ 1. Przeprowadzić inwentaryzację systemów AI
Zidentyfikuj wszystkie narzędzia, algorytmy i rozwiązania zawierające elementy sztucznej inteligencji w organizacji (zarówno własne, jak i dostarczane przez podwykonawców).
✅ 2. Dokonać klasyfikacji systemów
Ustal, które z nich należą do kategorii wysokiego ryzyka – np. systemy HR, scoringowe, medyczne, czy infrastrukturalne.
✅ 3. Zbadać zgodność z przepisami
Sprawdź, czy systemy spełniają wymogi dotyczące danych, nadzoru człowieka, dokumentacji, testów bezpieczeństwa i przejrzystości.
✅ 4. Przygotować dokumentację techniczną i procedury audytu
Opracuj procesy zgodne z zasadami AI Act – w tym raportowanie błędów, zgłaszanie incydentów oraz kontrolę danych wejściowych.
✅ 5. Wyznaczyć osobę ds. zgodności AI (AI compliance officer)
Podobnie jak przy RODO, wskazane jest powołanie osoby odpowiedzialnej za nadzór nad zgodnością systemów AI z rozporządzeniem.
📘 Przykład:
Spółka finansowa, która wykorzystuje AI do oceny zdolności kredytowej klientów, musi do sierpnia 2026 r. opracować i wdrożyć procedury zgodności, m.in.:
- rejestrować decyzje algorytmu,
- zapewnić możliwość interwencji człowieka,
- udokumentować proces trenowania i źródła danych,
- a w razie wątpliwości – zarejestrować system w bazie UE.
Wnioski dla przedsiębiorców
AI Act jest przełomowym aktem, który zmienia zasady gry dla wszystkich firm wykorzystujących sztuczną inteligencję. Oznacza on początek nowej ery odpowiedzialności technologicznej, gdzie zaufanie, transparentność i zgodność prawna stają się równie ważne jak innowacja.
Dla polskich przedsiębiorców oznacza to konieczność:
- stworzenia rejestru systemów AI w firmie,
- analizy ryzyka,
- i wdrożenia środków zgodnych z rozporządzeniem do 2026 roku.
Podmioty, które rozpoczną przygotowania wcześniej, uzyskają przewagę konkurencyjną — nie tylko w wymiarze prawnym, ale również wizerunkowym.
📄 Podstawa prawna
- art. 2 lit. c – Akt w sprawie sztucznej inteligencji (Artificial Intelligence Act, 2024)
- art. 3 pkt 1 – definicja systemu AI
- art. 5 – zakaz praktyk niedozwolonych w zakresie AI
- art. 70 ust. 1 – obowiązek wyznaczenia organów notyfikujących i nadzorczych
- rozporządzenie (UE) 2024/1689 Parlamentu Europejskiego i Rady z dnia 13 czerwca 2024 r. w sprawie sztucznej inteligencji (AI Act)
🔍 Tematy zawarte w poradniku
- obowiązki przedsiębiorców wynikające z AI Act,
- systemy AI wysokiego ryzyka – klasyfikacja i rejestracja,
- zakazane praktyki w sztucznej inteligencji,
- modele AI ogólnego przeznaczenia (GPAI) i ich regulacja,
- nadzór, kary i terminy stosowania przepisów AI Act.