Obowiązki firm i instytucji stosujących systemy AI wysokiego ryzyka

Sztuczna inteligencja coraz mocniej przenika do biznesu, usług publicznych i codziennych procesów zarządczych. Wraz z wejściem w życie AI Act 2024 w całej Unii Europejskiej, korzystanie z zaawansowanych systemów AI podlega ściśle określonym regulacjom – zwłaszcza, gdy chodzi o tzw. systemy AI wysokiego ryzyka. Poniżej dowiesz się, jakie obowiązki spoczywają na podmiotach stosujących takie systemy: zarówno w sektorze prywatnym, jak i publicznym.

Dzięki temu poradnikowi dowiesz się m.in.:

• Kiedy Twoja firma lub instytucja uznawana jest za podmiot stosujący AI,
• Jakie są obowiązki wobec pracowników i klientów,
• Jak zadbać o zgodność z nowym prawem i uniknąć ryzyka kar,
• Jakie środki techniczne, organizacyjne i dokumentacyjne musisz wdrożyć.

---

Kogo dotyczą obowiązki? Kiedy jesteś „podmiotem stosującym AI”?

Zgodnie z art. 3 pkt 4 AI Act, podmiotem stosującym system AI jest:

• osoba fizyczna lub prawna,
• organ publiczny, agencja,
• dowolna inna organizacja,
  która wykorzystuje system AI nad którym sprawuje kontrolę (za wyjątkiem prywatnego, niekomercyjnego użytku).

Co oznacza „sprawowanie kontroli”?
To nie tylko techniczna możliwość zmiany systemu, ale przede wszystkim korzystanie z AI we własnym imieniu i na własną odpowiedzialność. Nawet jeżeli używasz AI w modelu SaaS, a nie masz dostępu do kodu źródłowego – ale korzystasz z systemu, zarządzasz jego działaniem i wdrażasz go w swojej firmie, jesteś podmiotem stosującym.

Przykład nr 1:

Firma TechSolution Sp. z o.o. wdraża narzędzie AI do analizy dokumentów kadrowych swoich klientów. Nawet jeśli rozwiązanie jest dostarczane przez zagranicznego dostawcę w chmurze, firma ta ponosi odpowiedzialność za użycie systemu – jeśli korzysta z niego w ramach swojej działalności.

Przykład nr 2:

Miejski Ośrodek Pomocy Społecznej w Częstochowie wdraża system AI wspierający decyzje o przyznaniu świadczeń. Choć technologia pochodzi od międzynarodowego koncernu, to ośrodek – jako użytkownik podejmujący decyzje w oparciu o AI – uznawany jest za podmiot stosujący.

---

Główne obowiązki podmiotów stosujących systemy AI wysokiego ryzyka

Wszystkie firmy i instytucje, które korzystają z systemów AI wysokiego ryzyka, muszą wypełniać szereg obowiązków. Dzielimy je na trzy kategorie:

1. Obowiązki wszystkich podmiotów,
2. Obowiązki wobec pracowników (w przypadku wdrażania AI w miejscu pracy),
3. Dodatkowe obowiązki dla sektora publicznego.

1. Obowiązki ogólne – dotyczą wszystkich podmiotów stosujących

a) Wdrożenie środków technicznych i organizacyjnych

Musisz zapewnić, że korzystasz z systemu AI zgodnie z instrukcją obsługi dostarczoną przez producenta.
Co to oznacza w praktyce?

• Zidentyfikuj potencjalne ryzyka (np. niewłaściwe zastosowanie algorytmu, zły dobór danych).
• Opracuj polityki i procedury użytkowania AI.
• Przeszkol odpowiedni personel.
• Zapewnij systemy monitorowania i raportowania błędów.

b) Nadzór człowieka nad systemem AI

Każdy system AI wysokiego ryzyka musi być nadzorowany przez osobę fizyczną o odpowiednich kompetencjach, uprawnieniach i wsparciu.
Przykładowo – jeśli AI podejmuje decyzje o przyjęciu klienta do szpitala, lekarz lub administrator musi móc kontrolować i weryfikować te decyzje.

c) Zapewnienie reprezentatywności danych wejściowych

Jeśli masz kontrolę nad danymi, musisz zadbać, by:

• były one adekwatne do celu systemu,
• reprezentatywne (np. nie zawierały ukrytych uprzedzeń).

d) Monitorowanie i informowanie

• Monitoruj działanie systemu według instrukcji.
• Informuj dostawcę lub dystrybutora o wszelkich nieprawidłowościach, incydentach i zagrożeniach.
• W przypadku wykrycia poważnego incydentu – natychmiast zgłoś go odpowiednim organom i dostawcy.

e) Przechowywanie rejestrów zdarzeń (logów)

Jeśli masz dostęp do logów generowanych przez AI, przechowuj je co najmniej przez 6 miesięcy lub dłużej – w zależności od przeznaczenia i regulacji branżowych.

f) Wykorzystanie przekazanych informacji do oceny skutków dla ochrony danych

Jeśli masz obowiązek przeprowadzenia oceny skutków dla ochrony danych (np. na podstawie RODO lub dyrektywy 2016/680), musisz uwzględnić informacje przekazane przez dostawcę AI, w szczególności instrukcję obsługi.

g) Obowiązek informacyjny wobec osób fizycznych

Każda osoba, wobec której system AI wysokiego ryzyka podejmuje decyzję (np. klient, kandydat do pracy), musi być o tym poinformowana.

h) Współpraca z organami nadzoru

Na żądanie urzędu musisz udostępnić dokumentację i współpracować w zakresie kontroli, audytów i wyjaśniania spraw.

Obowiązki podmiotów stosujących systemy AI wysokiego ryzyka w miejscu pracy

Korzystanie z AI wysokiego ryzyka w firmie może dotyczyć np. rekrutacji, oceny efektywności pracowników czy planowania grafików pracy. AI Act 2024 nakłada tu dodatkowy, bardzo istotny obowiązek.

Obowiązek informowania pracowników

Jeżeli jako pracodawca zamierzasz wdrożyć system AI wysokiego ryzyka, musisz poinformować o tym wszystkich pracowników, których to dotyczy oraz przedstawicieli pracowników.
Ta informacja powinna:

• być przekazana z wyprzedzeniem,
• zawierać jasne wskazanie, do czego będzie używany system AI,
• opisywać potencjalny wpływ na sytuację zawodową pracowników (np. automatyczna ocena wyników, selekcja kandydatów).

To nie tylko obowiązek formalny – dzięki temu pracownicy mogą skorzystać z przysługujących im praw, np. zakwestionować decyzję podjętą przez AI lub domagać się wyjaśnień.

Przykład:

Firma logistyczna Cargo24 z Poznania wdraża AI do automatycznego przydzielania tras kierowcom. Przed uruchomieniem systemu, musi przeszkolić kierowców, wyjaśnić jak działa algorytm i jak mogą zgłaszać zastrzeżenia do decyzji AI.

---

Dodatkowe obowiązki instytucji publicznych korzystających z AI wysokiego ryzyka

Podmioty publiczne mają dodatkowe powinności – zwłaszcza, gdy korzystają z AI wysokiego ryzyka przy obsłudze obywateli czy prowadzeniu postępowań administracyjnych i karnych.

a) Obowiązek rejestracji systemu AI w europejskim rejestrze

Każdy system AI wysokiego ryzyka, zanim zostanie wdrożony przez organ publiczny lub jednostkę UE, musi zostać zarejestrowany w specjalnej bazie Unii Europejskiej.
Jeśli dany system nie znajduje się w rejestrze, instytucja nie może go używać i musi zgłosić ten fakt dostawcy lub dystrybutorowi.

Przykład:

Powiatowy Urząd Pracy w Rzeszowie chce wdrożyć AI do selekcji ofert pracy. Musi upewnić się, że system figuruje w unijnej bazie systemów AI wysokiego ryzyka.

b) Wykorzystanie AI do zdalnej identyfikacji biometrycznej (np. rozpoznawanie twarzy)

Stosowanie takich systemów w postępowaniach karnych podlega ściśle określonym warunkom:

• AI nie może być używana do zdalnej identyfikacji osób bez konkretnego powodu (np. prewencyjnie na ulicy),
• wykorzystanie w ramach śledztwa wymaga zgody sądu lub innego nadzorującego organu,
• wszystkie przypadki użycia muszą być rejestrowane i raportowane do organów nadzoru rynku oraz ochrony danych osobowych.

Jeśli zgoda nie zostanie udzielona, system musi zostać natychmiast wyłączony, a powiązane dane – usunięte.

---

Ocena skutków systemów AI wysokiego ryzyka dla praw podstawowych

W niektórych przypadkach, zanim zaczniesz korzystać z systemu AI wysokiego ryzyka, musisz przeprowadzić ocenę skutków dla praw podstawowych.
Obowiązek ten dotyczy:

• jednostek publicznych,
• firm prywatnych świadczących usługi publiczne,
• podmiotów wykorzystujących AI m.in. do oceny zdolności kredytowej, scoringu kredytowego, oceny ryzyka ubezpieczeniowego (oprócz wykrywania oszustw finansowych).

Co musi zawierać taka ocena skutków?

• Opis przewidywanych zastosowań AI,
• Wskazanie potencjalnych zagrożeń dla praw i wolności osób fizycznych,
• Plan zarządzania ryzykiem i mechanizmy ochronne,
• Określenie osób odpowiedzialnych za nadzór i reakcję na incydenty,
• Informacje, jak osoby dotknięte decyzjami AI mogą zgłaszać sprzeciw.

Pamiętaj! Ocena skutków musi być aktualizowana w przypadku zmian w funkcjonowaniu systemu AI lub jego zastosowaniach.

Przykład:

Spółka MedData S.A. wdraża AI do oceny ryzyka chorób u pacjentów szpitali. Zanim zacznie używać systemu, przygotowuje ocenę skutków – identyfikuje możliwe zagrożenia dyskryminacją oraz wprowadza procedury zgłaszania błędów przez pacjentów i personel.

---

Podsumowanie – najważniejsze wskazówki dla podmiotów stosujących AI wysokiego ryzyka

• Przed wdrożeniem AI wysokiego ryzyka sprawdź, czy jesteś podmiotem stosującym w rozumieniu AI Act.
• Opracuj i wdroż odpowiednie środki techniczne oraz organizacyjne.
• Zapewnij nadzór osoby kompetentnej nad każdym systemem AI wysokiego ryzyka.
• Informuj pracowników, klientów i osoby fizyczne o korzystaniu z AI wysokiego ryzyka.
• Przechowuj rejestry zdarzeń oraz monitoruj pracę systemu zgodnie z instrukcją obsługi.
• W razie incydentów lub poważnych naruszeń natychmiast informuj dostawcę i odpowiednie organy.
• Jeżeli jesteś instytucją publiczną – pamiętaj o rejestracji systemu w unijnej bazie i przestrzeganiu zasad przy identyfikacji biometrycznej.
• Regularnie dokonuj oceny skutków działania systemu AI wysokiego ryzyka dla praw podstawowych – i aktualizuj ją przy każdej istotnej zmianie.
• Współpracuj z organami nadzoru – udostępniaj dokumentację i reaguj na ich żądania.

---

Podstawa prawna

• art. 2 ust. 1 lit. b, art. 3 pkt 4, art. 26, art. 27, art. 35, art. 49, art. 72, art. 79 ust. 1 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji (AI Act)
• art. 35 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)
• art. 27 – Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r.

---

Tematy porad zawartych w poradniku

• obowiązki użytkownika AI wysokiego ryzyka
• AI Act wdrożenie w firmie
• informowanie pracowników o AI
• rejestracja systemu AI w sektorze publicznym
• ocena skutków AI dla praw podstawowych

---

Przydatne adresy urzędowe

• https://www.gov.pl/web/cyfryzacja
• https://uodo.gov.pl/
• https://ec.europa.eu/info/index_pl
• https://eur-lex.europa.eu/