1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. Sztuczna Inteligencja (AI)
  4. Nadzór nad rynkiem sztucznej inteligencji w świetle AI Act – co muszą wiedzieć polscy przedsiębiorcy?
Wyszukiwanie...

Nadzór nad rynkiem sztucznej inteligencji w świetle AI Act – co muszą wiedzieć polscy przedsiębiorcy?

Spis treści

Dynamiczny rozwój sztucznej inteligencji oznacza dla firm, instytucji i całego rynku konieczność dostosowania się do nowych regulacji prawnych. Od sierpnia 2024 roku w Unii Europejskiej zaczyna obowiązywać rozporządzenie AI Act, które wprowadza jednolite zasady nadzoru, certyfikacji i odpowiedzialności na rynku AI. W praktyce oznacza to nowe obowiązki i wyzwania dla twórców, dostawców i użytkowników systemów sztucznej inteligencji – zarówno w Polsce, jak i w pozostałych krajach UE. Dowiedz się, na czym polega nadzór nad rynkiem AI, kto będzie go sprawował w Polsce, jakie wymagania muszą spełnić przedsiębiorcy oraz jak skutecznie przygotować się na nadchodzące kontrole i nowe procedury.

Nadzór nad AI – dlaczego to temat kluczowy dla biznesu?

AI Act to pierwsza w historii UE regulacja całościowo obejmująca technologie sztucznej inteligencji. Jej podstawowym celem jest zapewnienie bezpieczeństwa użytkowników, ochrony praw podstawowych oraz podniesienie poziomu zaufania do rozwiązań AI. Nowe przepisy dotyczą nie tylko wielkich korporacji technologicznych, ale także polskich firm wdrażających AI w takich sektorach jak medycyna, finanse, transport czy e-commerce.

Od sierpnia 2025 roku większość regulacji AI Act zacznie być w pełni stosowana – także wobec firm i instytucji w Polsce. Niedostosowanie się do tych wymogów może grozić poważnymi konsekwencjami: wysokimi karami finansowymi, nakazem wycofania produktu z rynku czy nawet wstrzymaniem działalności.

Struktura i podział kompetencji w nadzorze nad AI w UE i Polsce

Nadzór na poziomie unijnym – Urząd ds. Sztucznej Inteligencji (European AI Office)

Kluczowym elementem nadzoru nad rynkiem AI w całej Unii Europejskiej jest Urząd ds. Sztucznej Inteligencji (European AI Office), powołany przez Komisję Europejską (art. 64 rozporządzenia 2024/1689, tzw. AI Act). Urząd ten ma zapewnić jednolitą interpretację i stosowanie przepisów w państwach członkowskich oraz wspierać rozwój fachowej wiedzy w dziedzinie AI.

Co robi Urząd ds. AI?

  • Monitoruje wdrażanie AI Act w krajach UE,
  • Wspiera krajowe organy nadzoru,
  • Koordynuje działania dotyczące systemów AI ogólnego przeznaczenia,
  • Może interweniować w sytuacjach transgranicznych, zwłaszcza gdy dostawca modelu AI ogólnego przeznaczenia jest jednocześnie twórcą końcowego systemu wysokiego ryzyka.

Krajowy nadzór nad AI w Polsce – nowa ustawa i rola KRiBSI

W Polsce nadzór nad rynkiem sztucznej inteligencji ma być wykonywany na podstawie specjalnej ustawy o systemach sztucznej inteligencji, której projekt jest obecnie w fazie opiniowania. Zgodnie z założeniami, funkcję centralnego organu ma pełnić Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI), działająca przy Prezesie Rady Ministrów.

Najważniejsze kompetencje KRiBSI:

  • Koordynacja współpracy z unijnym Urzędem ds. AI,
  • Prowadzenie kontroli i nadzoru nad systemami AI w Polsce,
  • Nakładanie kar administracyjnych (do 6% obrotu przedsiębiorstwa za poważne naruszenia),
  • Dostęp do dokumentacji, testów, a w określonych przypadkach nawet kodu źródłowego systemów AI,
  • Koordynacja z wyspecjalizowanymi organami branżowymi (np. KNF, UOKiK, UODO).

W praktyce oznacza to, że np. w sektorze bankowym głównym organem nadzoru pozostanie KNF, ale działania będą skoordynowane z KRiBSI na potrzeby sprawozdawczości do instytucji unijnych.

Obowiązki przedsiębiorców i dostawców AI – co musisz wdrożyć?

1. Ocena zgodności i rejestracja systemów wysokiego ryzyka

Każdy system AI sklasyfikowany jako wysokiego ryzyka (np. wykorzystywany w medycynie, transporcie czy finansach) musi przejść procedurę oceny zgodności przed wprowadzeniem na rynek (art. 43–51 AI Act). Oznacza to konieczność:

  • Stworzenia i wdrożenia systemu zarządzania ryzykiem,
  • Zapewnienia odpowiedniej jakości danych treningowych i dokumentacji technicznej,
  • Przeprowadzenia audytu przez notyfikowaną jednostkę certyfikującą,
  • Zarejestrowania systemu w centralnym rejestrze systemów AI wysokiego ryzyka, prowadzonym przez Komisję Europejską.

2. Stały monitoring i raportowanie incydentów

Dostawcy i użytkownicy systemów wysokiego ryzyka mają obowiązek monitorowania działania AI także po jego wdrożeniu. Każde poważne zdarzenie (np. błąd prowadzący do szkody, ujawnienie dyskryminacji, zagrożenie dla zdrowia lub praw podstawowych) musi być raportowane do organu nadzoru rynku (art. 61–62 AI Act).

3. Udostępnianie dokumentacji i współpraca z organami nadzoru

Na żądanie organu kontrolnego przedsiębiorca musi przekazać:

  • Dokumentację techniczną,
  • Wyniki testów,
  • Informacje o wykorzystywanych zbiorach danych,
  • W szczególnych przypadkach – nawet dostęp do kodu źródłowego (art. 74 ust. 12–13 AI Act).

Pamiętaj: Dane te mogą być udostępnione zdalnie (np. przez API), z zachowaniem poufności i ochrony tajemnicy handlowej.

Praktyczne przykłady wdrażania nowych przepisów

Przykład 1: Spółka MedicoTech wdraża system AI w szpitalu

Opis sytuacji:
MedicoTech sp. z o.o., działająca w Warszawie, planuje wdrożyć nowy system AI do wsparcia diagnostyki radiologicznej w publicznym szpitalu. System należy do kategorii wysokiego ryzyka, ponieważ wspiera podejmowanie decyzji medycznych.

Obowiązki firmy:

  • Przeprowadzenie oceny zgodności i uzyskanie certyfikatu od uprawnionej jednostki,
  • Rejestracja systemu w centralnej bazie UE,
  • Prowadzenie stałego monitoringu i raportowanie poważnych incydentów do KRiBSI,
  • Udostępnienie dokumentacji technicznej i raportów z testów na żądanie organu nadzoru.

Konsekwencje braku wdrożenia:
W przypadku pominięcia procedury certyfikacji lub braku rejestracji, KRiBSI może nałożyć karę do 6% rocznego obrotu firmy i nakazać natychmiastowe wycofanie systemu z obrotu.

Przykład 2: Firma transportowa z AI do zarządzania flotą

Opis sytuacji:
TransFleet S.A. wdraża w swojej flocie ciężarówek system AI do automatycznego zarządzania trasami i analizowania zachowań kierowców. System analizuje ogromne ilości danych i wpływa na decyzje o bezpieczeństwie oraz efektywności przewozów.

Obowiązki firmy:

  • Zgłoszenie systemu do oceny zgodności i uzyskanie wymaganych certyfikatów,
  • Rejestracja w publicznym rejestrze UE,
  • Ciągły monitoring i regularne raportowanie problemów (np. nieprawidłowości w działaniu algorytmu, ryzyko dyskryminacji pracowników).

Współpraca z organami:
W razie kontroli TransFleet musi udostępnić wszelką dokumentację techniczną i wyniki audytów zarówno KRiBSI, jak i – w przypadku aspektów związanych z bezpieczeństwem drogowym – właściwym organom transportowym.

Mechanizmy nadzoru i współpracy – jak przebiega kontrola systemów AI?

Kontrola rynku AI – uprawnienia i przebieg

Nowe przepisy przewidują zaawansowane uprawnienia kontrolne dla organów nadzoru rynku, w tym KRiBSI oraz organów branżowych (np. KNF, UOKiK, UODO). Kontrola może mieć charakter zarówno fizyczny (np. w siedzibie firmy), jak i zdalny (szczególnie istotne dla systemów chmurowych i rozproszonych).

Najważniejsze uprawnienia organów nadzoru:

  • Żądanie udostępnienia pełnej dokumentacji technicznej oraz rejestrów operacyjnych systemu,
  • Wgląd do kodu źródłowego systemu AI – wyłącznie w uzasadnionych przypadkach (np. podejrzenie poważnych naruszeń bezpieczeństwa lub praw podstawowych),
  • Zabezpieczanie dowodów i dostęp do środowisk testowych,
  • Współpraca z Policją lub innymi służbami (jeśli zachodzi potrzeba natychmiastowego działania).

System raportowania i wzajemnej pomocy

Organy krajowe i unijne mają obowiązek wymieniać się informacjami o incydentach, wykrytych nieprawidłowościach oraz wynikach kontroli. W szczególnych przypadkach, jeśli polski organ nie ma dostępu do kluczowych informacji (np. dotyczących modelu AI stworzonego przez firmę z innego kraju UE), może zwrócić się o pomoc do Urzędu ds. AI na poziomie unijnym.

Ważne:
Współpraca i raportowanie obejmuje także zgłaszanie informacji do organów ochrony konkurencji (np. UOKiK), jeśli w trakcie nadzoru zostaną wykryte praktyki mogące naruszać zasady uczciwej konkurencji.

Współpraca z Radą ds. Sztucznej Inteligencji i ciałami doradczymi UE

Europejska Rada ds. Sztucznej Inteligencji – rola i zadania

Rada ds. AI (European Artificial Intelligence Board) to organ doradczy Komisji Europejskiej i państw członkowskich, złożony z przedstawicieli krajów UE i obserwatora z ramienia Europejskiego Inspektora Ochrony Danych (art. 65–66 AI Act).

Najważniejsze funkcje Rady:

  • Koordynacja wdrażania i stosowania AI Act w państwach UE,
  • Wydawanie opinii i zaleceń technicznych dotyczących praktyk w zakresie AI,
  • Promocja świadomości o ryzykach i korzyściach związanych z AI,
  • Współpraca z innymi agencjami UE (np. ENISA w zakresie cyberbezpieczeństwa, EDPB w zakresie ochrony danych osobowych).

Forum doradcze i panel naukowy

Forum doradcze (art. 67 AI Act) oraz panel naukowy niezależnych ekspertów (art. 68–69 AI Act) to dodatkowe ciała wspierające Rade ds. AI i Komisję w zakresie konsultacji technicznych, wytycznych czy oceny ryzyk systemowych.

W praktyce oznacza to:
Firmy mogą liczyć na dostęp do wytycznych, najlepszych praktyk oraz wsparcia eksperckiego na poziomie unijnym – szczególnie przy wdrażaniu lub testowaniu innowacyjnych rozwiązań AI.

Sankcje i środki naprawcze – co grozi za naruszenia?

Kary finansowe i zakazy rynkowe

Za najpoważniejsze naruszenia (np. wdrożenie systemu wysokiego ryzyka bez oceny zgodności, brak zgłoszenia incydentu, utrudnianie kontroli) KRiBSI lub inny właściwy organ może nałożyć kary sięgające do 6% rocznego światowego obrotu przedsiębiorstwa.

Możliwe są również inne środki:

  • Zakaz dalszego udostępniania systemu AI na rynku,
  • Nakaz wdrożenia środków naprawczych (np. poprawy jakości danych, wprowadzenia poprawek do algorytmu),
  • Wycofanie certyfikatu zgodności przez jednostkę notyfikowaną.

Odpowiedzialność cywilna

Oprócz sankcji administracyjnych, przedsiębiorca lub dostawca systemu AI może ponosić odpowiedzialność cywilną na zasadach ogólnych prawa krajowego (np. za szkodę wyrządzoną przez działanie lub błąd systemu AI). W przypadku braku dedykowanej dyrektywy UE, zastosowanie mają tu przepisy kodeksu cywilnego oraz ustaw sektorowych.

Kluczowe wskazówki dla przedsiębiorców – jak przygotować się do nadzoru nad AI?

  • Przeprowadź audyt zgodności swoich rozwiązań AI – weryfikacja dokumentacji, procesu uczenia maszynowego, zarządzania danymi i bezpieczeństwa systemu.
  • Ustal, czy Twój system jest klasyfikowany jako wysokiego ryzyka w rozumieniu AI Act.
  • Zadbaj o odpowiednią rejestrację i certyfikację – wybierz jednostkę notyfikowaną, przygotuj się na procedurę oceny zgodności.
  • Wdroż system monitoringu i raportowania incydentów – wyznacz odpowiedzialną osobę lub zespół do bieżącej obsługi zgłoszeń i kontaktów z organem nadzoru.
  • Przygotuj się na ewentualną kontrolę – zgromadź i zabezpiecz dokumentację techniczną, testy oraz protokoły z wdrożenia.
  • Śledź zmiany w prawie i wytyczne krajowe oraz unijne – regularnie aktualizuj polityki zgodności, procedury bezpieczeństwa i standardy dokumentacji.

Podsumowanie

Rozporządzenie AI Act oraz polska ustawa wdrażająca wprowadzają nową jakość w zakresie nadzoru nad technologiami sztucznej inteligencji. Każda firma wdrażająca lub rozwijająca AI powinna jak najszybciej rozpocząć proces dostosowania do nowych wymogów. Dzięki temu uniknie nie tylko ryzyka sankcji, ale zbuduje przewagę rynkową opartą na zaufaniu i zgodności z europejskimi standardami bezpieczeństwa.

Podstawa prawna

  • art. 64–94 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (AI Act)
  • art. 74–83 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/1020 z 20 czerwca 2019 r. w sprawie nadzoru rynku i zgodności produktów oraz zmieniające dyrektywę 2004/42/WE oraz rozporządzenia (WE) nr 765/2008 i (UE) nr 305/2011
  • art. 5–8, 41–45 projektu ustawy o systemach sztucznej inteligencji (UC71)
  • art. 30 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. (RODO) – w zakresie ochrony danych osobowych
  • art. 70 ust. 2, art. 75, art. 76, art. 77 – AI Act

Tematy porad zawartych w poradniku

  • nadzór nad rynkiem AI w Polsce
  • obowiązki przedsiębiorców AI Act 2025
  • certyfikacja systemów wysokiego ryzyka AI
  • kontrole i sankcje za naruszenie AI Act
  • rejestracja i monitoring systemów AI

Przydatne adresy urzędowe

Ostatnia aktualizacja: 26.06.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: