Wróć doBloga

Czy AI Act dotyczy mojej firmy?

Prawo IT

Rozporządzenie unijne w sprawie sztucznej inteligencji, które zostało przyjęte przez Parlament Europejski 13 marca 2024 roku, znane powszechnie jako AI Act, to pierwsze na świecie tak kompleksowe prawo regulujące sztuczną inteligencję. Nakłada ono konkretne obowiązki na podmioty tworzące oraz wdrażające takie technologie, uzależniając poziom narzuconych rygorów bezpośrednio od stopnia ryzyka generowanego przez dany system.

Dokument ten jest prawnie wiążącym aktem – działa bezpośrednio na terenie wszystkich państw członkowskich i nie wymaga osobnego wdrażania za pomocą ustaw krajowych. Zasadniczym celem regulacji AI Act jest zagwarantowanie możliwie najwyższego poziomu ochrony praw podstawowych, bezpieczeństwa oraz godności człowieka, przy jednoczesnym inteligentnym wspieraniu innowacyjności biznesowej.

Zakres terytorialny nowych przepisów jest niezwykle szeroki. Obejmuje on wszystkie podmioty gospodarcze działające na unijnym rynku, jeśli używają, dostarczają lub wdrażają AI w kontekście objętym rozporządzeniem, nawet jeśli ich główna siedziba znajduje się poza Europą (np. w Stanach Zjednoczonych). Wymogom, które stawia AI Act, podlega nie tylko wprowadzanie nowatorskich systemów do obrotu, ale także oddawanie ich do użytku oraz codzienna eksploatacja w działalności operacyjnej każdego przedsiębiorstwa.

Spis treści:

  1. Kiedy wchodzą w życie nowe przepisy?
  2. Klasyfikacja systemów AI według poziomów ryzyka.
  3. Kluczowe obowiązki dla firm i kary finansowe.
  4. AI Act a innowacyjność i użytkownicy indywidualni.

Kiedy wchodzą w życie nowe przepisy?

Ustawodawca unijny zdecydował się na stopniowe rozłożenie obowiązków w czasie. Okresy przejściowe dla poszczególnych norm prawnych wynoszą od sześciu miesięcy do nawet trzech lat. Najwcześniejsze etapy wdrażania uderzają w praktyki uznane za najbardziej niebezpieczne i całkowicie zakazane, co pozwala na płynne dostosowanie reszty procesów biznesowych.

1 sierpnia 2024 r.

Formalne wejście w życie rozporządzenia

2 lutego 2025 r.

Zakazane systemy AI oraz wymogi dotyczące edukacji (AI literacy) dla pracowników

2 sierpnia 2025 r.

Regulacje dla modeli ogólnego przeznaczenia (GPAI) oraz przepisy o karach finansowych

2 sierpnia 2026 r.

Pełne obowiązywanie większości zasad ujętych w rozporządzeniu

2 sierpnia 2027 r.

Regulacje dla systemów wysokiego ryzyka zintegrowanych z produktami już podlegającymi unijnym przepisom sektorowym.

(stan prawny na dzień 25 czerwca 2026 r.)

Klasyfikacja systemów AI według poziomów ryzyka

Istotnym założeniem nowych przepisów jest czterostopniowa hierarchia ryzyka. Narzuca ona różnice w prawnym traktowaniu poszczególnych rodzajów algorytmów obecnych na rynku.

Systemy zakazane a systemy wysokiego ryzyka

Należy rozróżnić dwie najwyższe kategorie. Systemy zakazane nie mogą być stosowane terenie Unii Europejskiej, co w praktyce prowadzi do konieczności wycofania takich systemów z rynku UE lub powstrzymania się od ich stosowania. Do tej grupy zalicza się algorytmy służące do szerokiej oceny społecznej (social scoring), rozpoznawania ludzkich emocji w miejscu pracy i placówkach edukacyjnych, kategoryzacji biometrycznej oraz wykorzystywania podprogowych technik manipulacyjnych.

Z kolei oprogramowanie generujące wysokie ryzyko można legalnie stosować, jednak wymaga to od przedsiębiorców spełnienia szeregu restrykcyjnych procedur. Kategoria ta najsilniej oddziałuje na sferę biznesową, wymuszając sporządzanie wnikliwych ocen wpływu, prowadzenie skrupulatnej dokumentacji technicznej, logowanie działań systemu oraz zagwarantowanie ciągłego i kompetentnego nadzoru ze strony człowieka. Katalog systemów wysokiego ryzyka wynika z załącznika III do AI Act i obejmuje m.in. biometrię (w określonych przypadkach opartych na cechach wrażliwych), infrastrukturę krytyczną, edukację, zatrudnienie, egzekwowanie prawa, migrację oraz wymiar sprawiedliwości. Do tej wymagającej grupy zalicza się między innymi systemy wspierające rekrutację pracowniczą, zautomatyzowane algorytmy badające zdolność kredytową, narzędzia przeznaczone do oceny uczniów czy newralgiczne rozwiązania służące zarządzaniu infrastrukturą krytyczną.

Ryzyko ograniczone i minimalne

Systemy operujące na poziomie ograniczonego ryzyka wymagają od wdrożeniowców zachowania elementarnej przejrzystości. Główny prawny obowiązek sprowadza się do upewnienia się, by użytkownik jednoznacznie wiedział, że wchodzi w interakcję z maszyną, a nie z żywym operatorem. Obostrzenia te obejmują przede wszystkim popularne chatboty oraz oprogramowanie odpowiedzialne za generowanie treści i deepfake’ów.

Ryzyko minimalne, będące na samym dole ustalonej hierarchii, dotyczy natomiast narzędzi, które nie podlegają szczególnym ograniczeniom ani rygorom rejestracyjnym. Obszar ten obejmuje przeważającą część dzisiejszych komercyjnych zastosowań uczenia maszynowego, w tym chociażby proste i powszechne filtry antyspamowe czy algorytmy zachowania przeciwników w cyfrowej rozrywce.

Kluczowe obowiązki dla firm i kary finansowe

Odpowiedzialność za technologiczną zgodność z regulacjami rozkłada się równolegle wzdłuż niemal całego łańcucha dostaw oprogramowania. Ewentualne uchybienie tym prawom stanowić będzie jedno z największych zagrożeń operacyjnych.

Role biznesowe: Dostawcy vs Przedsiębiorcy wdrażający

Najrozleglejszym obciążeniom dokumentacyjnym podlegają tak zwani dostawcy, (w rozumieniu AI Act), czyli podmioty wprowadzające system AI na rynek lub oddające go do użytku, w tym także dystrybutorzy, importerzy czy wdrażający, jeżeli modyfikują system lub jego przeznaczenie w sposób kwalifikujący ich jako dostawcę.

Ich rola polega na przygotowaniu merytorycznym całościowej dokumentacji i przeprowadzeniu drobiazgowej oceny zgodności jeszcze na etapie poprzedzającym komercjalizację. Dystrybutorzy i importerzy co do zasady nie przejmują wszystkich obowiązków dostawcy, ale muszą upewnić się, że system posiada wymaganą dokumentację, oznakowanie i został prawidłowo oceniony pod kątem zgodności – w określonych sytuacjach mogą jednak sami zostać uznani za dostawcę.

Istotną grupę, obejmującą znaczną część przedsiębiorstw korzystających z gotowych systemów AI, stanowią przedsiębiorcy wdrażający („deployerzy”). Są to podmioty nabywające i zintegrowane rozwiązania na własne zapotrzebowanie. Pełnienie tej roli wymusza eksploatowanie kupionych narzędzi ściśle według instrukcji od dostawcy, nieustanne monitorowanie anomalii oraz zapewnienie załodze rzetelnych kompetencji, zgodnie z narzuconym wymogiem budowania świadomości informatycznej.

Kary za niezgodność z rozporządzeniem

Zaprojektowana struktura administracyjnych sankcji za naruszenia reguł objętych AI Actem mocno przypomina znane środowisku ramy egzekwowania RODO. Wysokość dotkliwych kar skorelowano z wielkością kapitałową i globalnym obrotem przedsiębiorstw. Dodatkowo odpowiedzialność może być nakładana zarówno na samego twórcę silnika algorytmicznego, jak i decydenta wykorzystującego go w organizacji. Organy nadzoru mogą kierować decyzje i nakładać kary na różnych uczestników łańcucha – zarówno na twórcę systemu (dostawcę), jak i na podmiot, który go wdraża w organizacji, jeżeli narusza własne obowiązki wynikające z AI Act. Warto wskazać, że w praktyce błędna kwalifikacja systemu (np. brak uznania przez dostawcę systemu z załącznika III za system wysokiego ryzyka) prowadzi do sankcji dopiero wtedy, gdy dostawca nie wykona w terminie decyzji organu nakazującej dostosowanie systemu.

AI Act a innowacyjność i użytkownicy indywidualni

Wprowadzenie restrykcyjnej księgi rygorów naturalnie spotęgowało branżowe obawy o tłumienie start-upowej zwinności. Należy tu podkreślić wyraźnie widoczną linię podziału pomiędzy komercją a życiem osobistym. W optyce zwykłego mieszkańca zasady te nie niosą ze sobą prawnych ciężarów dla osób fizycznych korzystających z dobrodziejstw uczenia maszynowego do aktywności z natury czysto hobbystycznej i pozazawodowej.

Z perspektywy wektorów postępu w krótkich ramach czasowych pojawi się pewna zauważalna bariera popytowa dla najmniejszych, ze względu na spore wydatki audytowe. Natomiast długoterminowo zjednoczone podwórko cyfrowe ma stanowić siłę napędową ekonomii. Definiowanie uniwersalnego dla kilkudziesięciu państw bezpiecznego środowiska gwarantuje miejscowemu kapitałowi strategiczny walor eksportowy. Regulacja od początku kładzie akcent na formowanie piaskownic regulacyjnych użyczanych podmiotom do prototypowania i laboratoryjnego testowania systemów w bezpiecznych, niekaranych realiach.

W obliczu narastających z każdym upływającym kwartałem wymogów, najważniejszą decyzją, jaką powinno się obecnie powziąć na poziomie najwyższego zarządu, pozostaje gruntowna inwentaryzacja środowiska cyfrowego wewnątrz zespołów. Przeprowadzony precyzyjnie wewnętrzny audyt posiadanych czy budowanych zasobów, a następnie przypisanie narzędziom wlaściwych segmentów ryzyka, eliminuje najpoważniejsze problemy na ścieżce do legalnego zysku.

Skontaktuj się

    Go to top