Rozporządzenie UE o sztucznej inteligencji (AI Act) zostało opublikowane 12 lipca 2024 r. jako rozporządzenie (EU) 2024/1689. Celem jest stworzenie spójnej regulacji prawnej dla systemów sztucznej inteligencji, z uwzględnieniem ryzyka, przejrzystości, bezpieczeństwa oraz ochrony praw podstawowych. Regulacja obejmuje zarówno dostawców (providers) systemów AI, jak i użytkowników profesjonalnych (deployers), importerów i dystrybutorów. Obejmuje użycie systemów AI w Unii Europejskiej, a także sytuacje, gdy system jest używany poza UE ale jego skutki odczuwalne są w UE. AI Act zakazuje pewnych zastosowań AI ze względu na "nieakceptowalne ryzyko", wprowadza wymogi szczególne dla "wysokiego ryzyka" (high-risk systems), obowiązki przejrzystości dla niektórych systemów oraz odrębny reżim dla modeli ogólnego użytku (general-purpose AI, GPAI).
Regulacja wchodzi w życie 1 sierpnia 2024 r; jednakże wiele obowiązków zaczyna obowiązywać później, w zależności od kategorii systemu AI i jego roli:
od 2 lutego 2025 obowiązują zakazy dotyczące systemów niespełniających norm oraz obowiązki związane z "AI literacy" – czyli świadomością i wiedzą na temat AI,
od 2 sierpnia 2025 zaczynają obowiązywać przepisy dotyczące modeli ogólnego użytku (GPAI), w tym zobowiązania dotyczące przejrzystości, dokumentacji technicznej, bezpieczeństwa i współpracy z Europai Office,
od 2 sierpnia 2026 obowiązki dla systemów wysokiego ryzyka (high-risk AI systems) staną się w pełni stosowane we wszystkich przypadkach,
dla niektórych systemów wysokiego ryzyka, których użycie jest częścią produktu regulowanego – np. medycznego urządzenia, infrastruktury krytycznej – termin adaptacji może sięgać do 2 sierpnia 2027.
Kto musi się stosować?
Obowiązki rozporządzenia dotyczą różnych podmiotów.
Dostawcy (Providers) – podmioty, które opracowują systemy AI, modele ogólnego użytku, oferują je na rynku UE lub udostępniają je do użycia, także gdy są zlokalizowani poza UE ale ich output trafia do UE.
Użytkownicy profesjonalni / wdrażający (Deployers) – korzystają z systemów AI w organizacjach (np. firmy, instytucje publiczne), mają obowiązki operacyjne np. dotyczącymi monitorowania, nadzoru, właściwego doboru.
Importerzy i dystrybutorzy – mogą być zobowiązani do sprawdzania, czy system AI, który wprowadzają do UE jest zgodny z AI Act, czy ma dokumentację, ocenę zgodności, czy jest poprawnie oznakowany.
W odniesieniu do systemów AI, regulacja wyróżnia:
systemy wysokiego ryzyka,
systemy o ryzyku niedopuszczalnym (zakazane)
systemy z obowiązkami przejrzystości,
modele ogólnego użytku (GPAI).
Kluczowe obowiązki firm wynikające z AI Act
Poniżej szczegółowo opisane obowiązki, które powinny być uwzględnione przez przedsiębiorstwa, z różnicowaniem w zależności od typu systemu AI i statusu (dostawca, użytkownik).
Niektóre zastosowania AI są całkowicie zabronione – m.in. techniki manipulacji behawioralnej, profilowanie w sposób, który może zakłócić wolność decyzyjną człowieka, stosowanie identyfikacji biometrycznej w czasie rzeczywistym w miejscach publicznych bez odpowiednich warunków itp.
Firmy muszą ocenić, czy ich zastosowania AI nie mieszczą się wśród zakazanych i jeśli tak – z nich zrezygnować albo zmodyfikować.
Systemy wysokiego ryzyka muszą spełnić szereg wymogów:
prowadzenie zarządzania ryzykiem (risk management) na całym cyklu życia systemu AI — od projektowania, przez ofertę, wdrożenie, aż po utrzymanie i zakończenie używania,
kontrola jakości i zapewnienie, że system jest testowany, walidowany, dokumentowany,
dokumentacja techniczna (technical documentation, logi, zapis użyć, dane wejściowe, baza referencyjna, identyfikator osób odpowiedzialnych za wynik) — dla zapewnienia śladu audytowego,
nadzór ludzki (human oversight) — musi być możliwa interwencja człowieka, możliwość odrzucenia lub zmiany wyników AI, ograniczenie automatyzacji tam, gdzie może zagrozić zdrowiu, bezpieczeństwu lub prawom podstawowym,
rejestracja systemów wysokiego ryzyka w unijnej bazie,
monitorowanie po wprowadzeniu na rynek (post-market monitoring), raportowanie incydentów, procedury korekcyjne.
Dla pewnych systemów – nawet tych mniejszych lub mniej ryzykownych – wprowadzono obowiązki transparentności:
użytkownicy muszą być informowani, gdy wchodzą w interakcję z AI („wykrywalne”, że to AI) — chyba że kontekst jednoznacznie tego wymaga,
oznaczanie treści generowanej przez AI, np. deepfake’ów lub manipulowanych materiałów — żeby odbiorca wiedział, że materiały są sztuczne lub zmanipulowane,
pełna dokumentacja techniczna i instrukcje użytkowania, zwłaszcza dla systemów high-risk; informacje o ograniczeniach, warunkach użycia, nadzorze ludzkim.
Obowiązki dotyczące modeli ogólnego użytku (GPAI)
Obowiązki dotyczące modeli ogólnego użytku (GPAI) obejmują szereg wymagań, które mają zapewnić bezpieczeństwo i przejrzystość ich stosowania. W pierwszej kolejności konieczne jest przygotowanie dokumentacji technicznej, zawierającej m.in. informacje o zbiorach danych użytych do trenowania modelu, zastosowanych mechanizmach bezpieczeństwa oraz ograniczeniach systemu. Modele tego typu, zwłaszcza gdy są publicznie dostępne, wykorzystywane na szeroką skalę lub wiążą się z potencjalnym ryzykiem społecznym czy gospodarczym, mogą podlegać dodatkowej ocenie zgodności. Ważnym obowiązkiem jest również wprowadzenie procedur umożliwiających zgłaszanie incydentów oraz monitorowanie wpływu modeli na użytkowników i środowisko biznesowe, tak aby minimalizować ryzyko systemowych zakłóceń. W praktyce oznacza to konieczność stałej współpracy dostawców modeli z instytucjami nadzorczymi oraz transparentnej komunikacji wobec odbiorców. Firmy wdrażające GPAI powinny także opracować wewnętrzne mechanizmy kontroli i polityki bezpieczeństwa, które pozwolą szybko reagować na potencjalne zagrożenia oraz budować zaufanie użytkowników do wykorzystywanych rozwiązań. Firmy powinny zapewnić, że osoby korzystające z systemów AI — zarówno użytkownicy wewnątrz organizacji, jak i kadra techniczna / zarządzająca — znają ograniczenia i ryzyka AI. AI literacy to wymóg od 2 lutego 2025 dla wielu obowiązków.
Współpraca z dostawcami, audyty, monitoring
Współpraca z dostawcami, audyty i monitoring to obszary, które mają kluczowe znaczenie dla zgodności z AI Act i bezpiecznego korzystania z systemów sztucznej inteligencji. Wybór dostawcy powinien być poprzedzony szczegółową weryfikacją, czy spełnia on wymogi rozporządzenia, posiada odpowiednią dokumentację oraz wdrożone procedury zapewniające zgodność. Równie istotne są audyty wewnętrzne i zewnętrzne, obejmujące zarówno analizę działania systemów AI, jak i ocenę ich skutków, błędów czy ryzyk dla użytkowników. Firmy muszą również prowadzić ciągłe monitorowanie funkcjonowania narzędzi, szybko reagować na pojawiające się incydenty oraz aktualizować procedury zarządzania ryzykiem w miarę rozwoju technologii i zmieniających się regulacji. Tego rodzaju podejście nie tylko minimalizuje ryzyko sankcji, ale także wspiera budowanie odpowiedzialnej kultury organizacyjnej. Co więcej, regularna współpraca z dostawcami oraz audytorami zewnętrznymi sprzyja wzajemnemu transferowi wiedzy i ułatwia utrzymanie wysokiego poziomu jakości systemów. Ostatecznie skuteczny monitoring i audyt stają się nie tylko obowiązkiem prawnym, lecz także przewagą konkurencyjną w dynamicznie rozwijającym się rynku AI.
Sankcje i ryzyka prawne
Nieprzestrzeganie AI Act niesie za sobą ryzyko:
grzywny do 35 mln euro lub 7% rocznego światowego obrotu firmy – za przypadki największych naruszeń, np. zakazane praktyki AI,
za inne obowiązki (np. obowiązki high-risk, nie spełnienie warunków) – grzywna do 15 mln euro lub do 3% obrotu,
za przekazywanie władzom informacji niepełnych, błędnych lub wprowadzających w błąd – grzywna do 7,5 mln euro lub do 1% obrotu.
Dodatkowym ryzykiem jest utrata reputacji, a dokładnie publiczne informacje o naruszeniu mogą wpłynąć na zaufanie klientów, partnerów, inwestorów. Należy wspomnieć też o odpowiedzialności cywilnej. AI Act pierwotnie nie przewiduje automatycznych roszczeń indywidualnych w każdym przypadku, firmy mogą być narażone na odszkodowania zgodnie z innymi przepisami prawa krajowego.
Co należy robić już teraz – rekomendowana ścieżka przygotowania
Firmy, które chcą uniknąć ryzyka związanego z naruszeniem AI Act, powinny działać proaktywnie i już teraz rozpocząć proces przygotowania do nowych obowiązków. Pierwszym krokiem jest dokładne zmapowanie wykorzystania sztucznej inteligencji w organizacji, czyli identyfikacja wszystkich używanych lub planowanych systemów, określenie, kto je dostarcza, jakie mają zastosowanie oraz jakie dane są przez nie przetwarzane. Następnie konieczna jest ocena ryzyka i klasyfikacja systemów – należy sprawdzić, czy dany system może wpływać na zdrowie, bezpieczeństwo lub prawa podstawowe użytkowników i czy w konsekwencji kwalifikuje się jako system wysokiego ryzyka. Kolejnym etapem powinno być stworzenie procedur zarządzania ryzykiem, opracowanie pełnej dokumentacji technicznej, wdrożenie testów, logowanie działań systemu i zapewnienie jakości danych wejściowych. Bardzo ważnym elementem jest transparentność i komunikacja, co oznacza informowanie użytkowników o korzystaniu z AI, a w przypadku generowania deepfake’ów czy treści zmanipulowanych – ich odpowiednie oznaczanie. Równocześnie należy zadbać o jasne i precyzyjne kontrakty z dostawcami, które określą obowiązki prawne, ochronę danych, własność intelektualną i odpowiedzialność za zgodność z regulacjami. Istotnym filarem jest także bieżące monitorowanie działania systemów, zbieranie informacji o incydentach, przeprowadzanie audytów wewnętrznych i zewnętrznych oraz podejmowanie działań korygujących w ramach oceny po-wprowadzeniu na rynek. Niezbędne jest również zapewnienie szkoleń dla pracowników, tak aby znali wymogi prawne, byli świadomi ograniczeń i ryzyk związanych z AI oraz potrafili stosować procedury nadzoru ludzkiego tam, gdzie to konieczne. Całość przygotowań powinna zostać uzupełniona opracowaniem regulaminów wewnętrznych i polityk dotyczących korzystania z AI, które jasno określą zasady, odpowiedzialności i procedury na wypadek naruszeń lub błędów. Dzięki temu organizacja zyskuje nie tylko zgodność z przepisami, ale także większą kontrolę nad technologią i przewagę konkurencyjną w obszarze odpowiedzialnego wykorzystania sztucznej inteligencji.
Wyzwania interpretacyjne i trudności praktyczne
Wdrażanie AI Act będzie wiązało się z trudnościami:
niejasność definicji i granic – co dokładnie oznacza “wysokie ryzyko” w konkretnej dziedzinie; kiedy model jest “udostępniony” na rynku; jakie zbioru danych użyto do trenowania; kiedy coś staje się systemem generatywnym itp.,
koszty i nakład pracy – testy, walidacje, audyty, dokumentacja, zatrudnienie specjalistów, prawników, ekspertów ds. etyki AI,
zarządzanie zmianami technologicznymi – AI często się rozwija, modele są aktualizowane, użytkownicy mogą używać ich w nowych kontekstach; to wymaga podejścia iteracyjnego,
regio-specyficzne adaptacje – chociaż AI Act jest rozporządzeniem UE (więc bezpośrednio obowiązuje we wszystkich państwach członkowskich), mogą wystąpić różnice w organach nadzorczych, interpretacji i wykładni, szczególnie w obszarach jak ochrona danych, odpowiedzialność cywilna.
Podsumowanie
Regulacja AI Act to największa jak dotąd próba uregulowania sztucznej inteligencji na poziomie unijnym. Wprowadza obowiązki skrojone pod poziom ryzyka, stawia na przejrzystość, bezpieczeństwo, nadzór ludzki i odpowiedzialność. Dla firm oznacza to potrzebę oceny użycia AI w organizacji, klasyfikacji ryzyka, wprowadzenia wymaganego nadzoru, dokumentacji, polityk, szkolenia oraz monitoringu. Nieprzystosowanie się grozi wysokimi karami finansowymi, ale także utratą reputacji.
