1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. Sztuczna Inteligencja (AI)
  4. Kary w AI Act – kto podlega odpowiedzialności, jakie są typy kar i za co można je otrzymać?
Wyszukiwanie...

Kary w AI Act – kto podlega odpowiedzialności, jakie są typy kar i za co można je otrzymać?

Spis treści

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689, zwane AI Act, to przełomowa regulacja, która od 1 sierpnia 2024 roku nakłada na przedsiębiorców i inne podmioty stosujące sztuczną inteligencję w Unii Europejskiej zupełnie nowe obowiązki. Jednym z kluczowych elementów tego aktu są kary administracyjne. Dla wielu firm oraz instytucji publicznych ich wysokość, zakres i kryteria wymierzania mogą okazać się zaskakujące. W tym poradniku dowiesz się:

  • Kogo dotyczą kary z AI Act
  • Za jakie działania grożą kary
  • Jakie są kategorie i pułapy kar
  • Co musisz zrobić, by ich uniknąć

Dlaczego temat kar administracyjnych w AI Act jest ważny? Wprowadzenie restrykcyjnych przepisów to nie tylko ryzyko finansowe (nawet do 35 milionów euro lub 7% światowego obrotu!), ale również szansa na uporządkowanie rynku AI i zwiększenie zaufania do nowych technologii. Firmy, które dobrze zrozumieją nowe zasady, mogą uniknąć poważnych sankcji oraz zbudować przewagę konkurencyjną opartą na transparentności i odpowiedzialności.

Kogo dotyczą kary z AI Act?

Adresatami sankcji są szeroko rozumiani operatorzy systemów sztucznej inteligencji. Zgodnie z AI Act obejmuje to:

  • Dostawców – czyli podmioty, które projektują, wytwarzają lub wprowadzają systemy AI na rynek UE.
  • Importerów – firmy sprowadzające systemy AI spoza UE na rynek wspólnotowy.
  • Dystrybutorów – podmioty przekazujące dalej systemy AI w obrębie rynku UE.
  • Podmioty stosujące – organizacje lub przedsiębiorstwa korzystające z AI w działalności zawodowej, niezależnie od tego, czy są producentem systemu.
  • Jednostki notyfikowane – instytucje odpowiedzialne za certyfikację i ocenę zgodności systemów AI (np. laboratoria badawcze).
  • W wybranych przypadkach – organy i instytucje UE oraz podmioty publiczne.

W praktyce oznacza to, że praktycznie każda firma wdrażająca, sprzedająca lub użytkująca systemy AI na terenie Unii Europejskiej podlega przepisom AI Act.

Rodzaje naruszeń i kategorie kar w AI Act

AI Act przewiduje trzy główne kategorie naruszeń, każda z własnym, ustalonym pułapem kary pieniężnej:

1. Naruszenia zakazanych praktyk AI – najwyższy pułap kary

Kara do 35 mln EUR lub do 7% światowego rocznego obrotu (w zależności od tego, która wartość jest wyższa).

Do tej kategorii należą szczególnie niebezpieczne i szkodliwe praktyki, takie jak:

  • Wykorzystanie technik podprogowych lub manipulacyjnych, prowadzących do istotnej zmiany zachowania użytkownika bez jego wiedzy.
  • Wykorzystanie AI do żerowania na słabościach określonych grup (np. dzieci, osoby z niepełnosprawnościami).
  • Stosowanie „scoringu społecznego” – ocenianie i klasyfikacja osób na podstawie ich zachowania społecznego, co prowadzi do krzywdzącego traktowania.
  • Automatyczna ocena ryzyka popełnienia przestępstwa na podstawie cech osobowości, bez udziału weryfikowalnych dowodów.
  • Tworzenie baz danych biometrycznych przez nieukierunkowane zbieranie wizerunków z internetu (tzw. „untargeted scraping”).
  • Rozpoznawanie emocji w pracy lub szkole bez uzasadnienia medycznego.
  • Kategoryzowanie osób według cech biometrycznych (np. rasy, poglądów politycznych).
  • Używanie zdalnej identyfikacji biometrycznej w czasie rzeczywistym w miejscach publicznych do celów ścigania przestępstw (z wyjątkami ściśle określonymi przez prawo).

Przykład praktyczny:
Firma DataMind sp. z o.o. z Wrocławia wdrożyła system AI, który – bez zgody użytkowników – analizował emocje pracowników na podstawie obrazu z kamer. Dodatkowo, narzędzie to nie posiadało żadnego uzasadnienia medycznego ani związanego z bezpieczeństwem. Po kontroli krajowego organu nadzoru, spółce grozi kara do 35 mln EUR lub 7% rocznego światowego obrotu.

2. Naruszenia obowiązków proceduralnych i formalnych

Kara do 15 mln EUR lub do 3% światowego rocznego obrotu.

Dotyczy to m.in.:

  • Braku oceny zgodności systemu AI z wymogami prawa.
  • Nieprowadzenia wymaganej dokumentacji technicznej i rejestrów.
  • Niewłaściwego oznakowania produktów (np. brak znaku CE w przypadku systemów wysokiego ryzyka).
  • Naruszenia obowiązków importerów, dystrybutorów, użytkowników oraz jednostek notyfikowanych.
  • Braku przejrzystości wobec użytkowników – np. nieoznaczanie treści generowanej przez AI.

Przykład praktyczny:
Spółka Algorytmy Biznesowe S.A. wprowadziła na rynek nowy system AI do analizy danych medycznych, jednak nie przygotowała pełnej dokumentacji technicznej i nie uzyskała wymaganej certyfikacji CE. W razie wykrycia tej nieprawidłowości przez organ nadzorczy, firmie grozi kara do 15 mln EUR lub 3% obrotu.

3. Przekazywanie nieprawidłowych informacji organom nadzoru

Kara do 7,5 mln EUR lub do 1% światowego rocznego obrotu.

Obejmuje sytuacje, gdy operator:

  • Świadomie lub przez zaniedbanie przekazuje fałszywe, niepełne lub wprowadzające w błąd informacje w toku kontroli.
  • Odmawia współpracy z organem nadzoru lub nie odpowiada na wezwania.
  • Ukrywa incydenty związane z niezgodnością systemu AI.

Przykład praktyczny:
Firma DigitalFutura z Poznania w trakcie audytu krajowego organu ds. AI zataja istotne informacje o jednym z incydentów związanych z bezpieczeństwem ich systemu. Taka praktyka może skutkować karą do 7,5 mln EUR lub 1% obrotu.

Specjalne zasady odpowiedzialności – MŚP, instytucje UE, modele ogólnego przeznaczenia

1. MŚP i startupy – łagodniejsze limity kar

AI Act przewiduje specjalne, korzystniejsze zasady dla mikro, małych i średnich przedsiębiorstw (MŚP) oraz startupów. Co to oznacza w praktyce?

  • Kara pieniężna za naruszenie przepisów AI Act dla MŚP nie może przekroczyć niższej z dwóch wartości: nominalnej kwoty (np. 15 mln EUR) lub określonego procenta rocznego obrotu (np. 3%).
  • Ten limit stosuje się automatycznie, jeśli przedsiębiorca spełnia kryteria MŚP (do 250 pracowników i obrót do 50 mln EUR rocznie, zgodnie z zaleceniem Komisji 2003/361/WE).

Przykład praktyczny:
Startup AI+Med, zatrudniający 15 osób i osiągający roczny obrót 2 mln EUR, dopuścił się naruszenia obowiązków dokumentacyjnych. Zamiast pełnej kary 15 mln EUR, organ nadzorczy może nałożyć maksymalnie 60 tys. EUR (3% obrotu), ponieważ ta kwota jest niższa niż nominalny pułap.

Dzięki temu mniejsze firmy nie zostaną obciążone karą, która mogłaby uniemożliwić im dalsze funkcjonowanie – choć nadal muszą spełniać wszystkie wymogi AI Act.

2. Instytucje i organy Unii Europejskiej

Specjalny reżim odpowiedzialności dotyczy także instytucji i organów UE, takich jak agencje, jednostki badawcze czy urzędy administracyjne. Za naruszenia AI Act kary nakłada Europejski Inspektor Ochrony Danych (EIOD):

  • Do 1,5 mln EUR za praktyki zakazane z art. 5 AI Act,
  • Do 750 tys. EUR za inne naruszenia.

Podkreśla to, że również instytucje publiczne muszą stosować się do zasad bezpieczeństwa i transparentności w obszarze AI. Dla podmiotów finansowanych ze środków publicznych sankcje mają głównie charakter dyscyplinujący.

3. Dostawcy modeli AI ogólnego przeznaczenia (tzw. foundation models, np. duże modele językowe)

Dla największych dostawców modeli AI, które mogą być wykorzystywane w różnych branżach i zastosowaniach, AI Act przewiduje odrębny reżim odpowiedzialności (art. 101 AI Act):

  • Kompetencję do nakładania kar posiada bezpośrednio Komisja Europejska, nie organy krajowe.
  • Kara może wynieść do 15 mln EUR lub do 3% światowego obrotu, zależnie od tego, która wartość jest wyższa.
  • Dotyczy to przypadków rażącego lekceważenia przepisów, odmowy współpracy, czy braku wdrożenia środków minimalizujących poważne ryzyka społeczne.

Przykład praktyczny:
Duża międzynarodowa firma SoftLogic Ltd., oferująca model językowy dostępny dla setek firm w UE, odmawia przeprowadzenia oceny zgodności i nie wdraża wymaganych zabezpieczeń po wykryciu zagrożeń przez Komisję Europejską. W takiej sytuacji kara może sięgnąć 3% światowego obrotu firmy.

Kto decyduje o wymiarze kary i na jakiej podstawie?

AI Act precyzuje, że wysokość kary jest zawsze ustalana indywidualnie przez właściwy organ nadzoru (w Polsce planowana jest Krajowa Rada ds. Innowacji i Bezpieczeństwa Sztucznej Inteligencji – KRIBSI). Przy jej ustalaniu bierze się pod uwagę m.in.:

  • charakter, wagę i czas trwania naruszenia,
  • skalę działania i wielkość podmiotu,
  • stopień współpracy z organami,
  • umyślność lub niedbalstwo,
  • uzyskane korzyści finansowe,
  • powtarzalność naruszeń.

Dzięki temu kary mają nie tylko odstraszać, ale też motywować do rzetelnej współpracy i samodoskonalenia procesów compliance.

Praktyczne przykłady naruszeń i sankcji

Przykład 1 – duży operator IT:
Firma TechSolution S.A., lider rynku AI w Polsce, zignorowała obowiązek przeprowadzenia oceny zgodności nowego systemu do analizy zachowań klientów. Kontrola wykazała brak dokumentacji, a także ukrycie informacji o incydencie, w którym AI podjęła niezgodne z prawem decyzje o odmowie usług. Za takie połączone naruszenia firma może zostać ukarana łącznie nawet do 15 mln EUR + 7,5 mln EUR (lub odpowiedni procent obrotu, jeśli ten pułap będzie wyższy).

Przykład 2 – publiczny szpital:
Wojewódzki Szpital Specjalistyczny w Gdańsku korzystał z narzędzia AI do wstępnej diagnozy pacjentów. System gromadził dane biometryczne bez odpowiedniego uzasadnienia medycznego, naruszając art. 5 AI Act. Po interwencji EIOD, placówce grozi kara do 1,5 mln EUR.

Podsumowanie – jak unikać kar według AI Act?

Nowe przepisy wprowadzone przez AI Act wymagają od przedsiębiorców, instytucji publicznych i innych operatorów AI szczególnej ostrożności. Najważniejsze zasady, które pomogą uniknąć nałożenia wysokiej kary:

  • Dokładnie przeanalizuj, czy Twoja firma podlega AI Act – sprawdź, czy jesteś dostawcą, importerem, dystrybutorem, podmiotem stosującym czy jednostką notyfikowaną.
  • Zidentyfikuj poziom ryzyka systemu AI zgodnie z AI Act – czy nie wchodzi on w obszar praktyk zakazanych? Czy system podlega szczególnym wymogom jako system wysokiego ryzyka?
  • Zadbaj o pełną dokumentację techniczną, ocenę zgodności, oznakowanie (np. CE) oraz przejrzystość wobec użytkowników.
  • Nie lekceważ obowiązku współpracy z organem nadzoru – przekazuj kompletne, prawdziwe informacje i nie ukrywaj żadnych incydentów.
  • W przypadku MŚP korzystaj z łagodniejszych limitów kar, ale nie traktuj ich jako zachęty do zaniedbań – także małe firmy mogą zostać ukarane, jeśli naruszenie będzie poważne.
  • Monitoruj zmiany przepisów krajowych, szczególnie ustaw wdrażających AI Act w Polsce (np. projekt powołania KRIBSI).
  • Regularnie szkol personel i aktualizuj wewnętrzne procedury compliance.
  • W przypadku wątpliwości, skorzystaj z profesjonalnej pomocy prawnej lub doradztwa technologicznego.

Pamiętaj – każda firma wdrażająca lub stosująca AI na terenie UE jest zobowiązana do przestrzegania AI Act. Ignorowanie nowych przepisów może kosztować nie tylko finansowo, ale i wizerunkowo.

Podstawy prawne

  • art. 99, art. 100, art. 101 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji (AI Act)
  • art. 3 – Definicje operatorów systemów AI
  • art. 5 – Zakazane praktyki AI
  • art. 16, art. 22, art. 23, art. 24, art. 26, art. 31–34, art. 50 – Szczegółowe obowiązki operatorów systemów AI
  • Zalecenie Komisji 2003/361/WE z dnia 6 maja 2003 r. dotyczące definicji MŚP
  • Krajowy projekt ustawy o systemach sztucznej inteligencji – prace legislacyjne, 2024–2025 (planowana KRIBSI)

Tematy porad zawartych w poradniku (frazy SEO)

  • kary administracyjne AI Act
  • odpowiedzialność za naruszenie AI Act
  • operator systemu sztucznej inteligencji kogo dotyczy
  • sankcje za sztuczną inteligencję 2025
  • compliance AI Act

Adresy urzędowe do polecenia czytelnikom

Ostatnia aktualizacja: 26.06.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: