Rozporządzenie (UE) 2024/1689 – znane jako AI Act – weszło w życie 1 sierpnia 2024 roku. Dla polskich firm oznacza to jedno: zegar tyka. Harmonogram wdrożenia jest etapowy, ale kolejne daty mijają szybciej, niż większość działów prawnych zdążyła to zauważyć. Złożoność regulacji nie zwalnia z obowiązku działania.
AI Act (Rozporządzenie UE 2024/1689) wprowadza obowiązki dla dostawców, wdrażających i użytkowników systemów sztucznej inteligencji. Rozporządzenie weszło w życie 1 sierpnia 2024 roku i stosuje się etapowo – pierwsze zakazy obowiązują od 2 lutego 2025 roku, a pełne stosowanie nastąpi od 2 sierpnia 2027 roku. Firmy działające w sektorach objętych DORA i RODO muszą uwzględnić AI Act jako trzecią warstwę compliance.
Ten alert wyjaśnia trzy rzeczy: co się zmieniło, kogo dotyczą poszczególne etapy harmonogramu oraz jakie działania trzeba podjąć teraz. Regulacja wyprzedza rynek – i tym razem dotyczy to firm z każdej branży, nie tylko technologicznych.
Co zmienił AI Act i kogo dotyczy?
AI Act po raz pierwszy w historii UE wprowadza horyzontalne ramy prawne dla systemów sztucznej inteligencji. Regulacja obejmuje dostawców (providerów) systemów AI, podmioty wdrażające te systemy (deployers) oraz importerów i dystrybutorów. Polska firma korzystająca z gotowego narzędzia AI – na przykład w rekrutacji lub ocenie kredytowej – jest deployerem. Ponosi własne obowiązki, niezależnie od producenta oprogramowania.
Zakres podmiotowy jest szeroki. Obejmuje firmy spoza UE, jeśli ich systemy AI są używane na terytorium Unii. Dla polskich przedsiębiorców współpracujących z dostawcami z USA, Ukrainy czy Azji oznacza to konieczność weryfikacji umów i łańcucha odpowiedzialności. Ochrona danych w rozumieniu RODO i obowiązki wynikające z AI Act nakładają się – jedno naruszenie może skutkować odpowiedzialnością na dwóch podstawach prawnych.
Firmy z sektora finansowego mają dodatkową warstwę. DORA (Rozporządzenie UE 2022/2554), obowiązujące od 17 stycznia 2025 roku, wymaga zarządzania ryzykiem ICT. Systemy AI wbudowane w infrastrukturę finansową podlegają jednocześnie DORA i AI Act. KNF jako organ nadzoru może żądać dokumentacji z obu reżimów.
W praktyce – wiele firm o tym zapomina – AI Act dotyczy też kancelarii prawnych, firm HR, platform e-commerce i systemów obsługi klienta. Jeśli Państwa firma używa algorytmu do podejmowania decyzji wpływających na osoby fizyczne, warto sprawdzić klasyfikację ryzyka tego systemu.
Jakie terminy obowiązują w harmonogramie wdrożenia?
Harmonogram AI Act jest podzielony na cztery etapy. Każdy etap uruchamia nowe obowiązki. Nieznajomość dat nie zwalnia z odpowiedzialności – a kary mogą sięgać 35 milionów EUR lub 7% globalnego obrotu rocznego dla naruszeń dotyczących systemów zakazanych.
Etap pierwszy – 2 lutego 2025 roku – to zakaz praktyk AI uznanych za niedopuszczalne. Chodzi m.in. o systemy social scoringu, manipulację podprogową i biometryczną identyfikację w czasie rzeczywistym w przestrzeni publicznej (z wyjątkami). Firmy, które korzystały z takich narzędzi, musiały je wyłączyć. Brak działania w tym terminie oznacza naruszenie już aktywne.
Etap drugi – 2 sierpnia 2025 roku – obejmuje obowiązki dotyczące systemów AI ogólnego przeznaczenia (GPAI), w tym modeli takich jak duże modele językowe. Dostawcy tych modeli muszą spełnić wymogi przejrzystości i dokumentacji technicznej. Polskie firmy rozwijające własne modele AI lub integrujące modele zewnętrzne powinny mieć gotową dokumentację do tej daty.
Etap trzeci – 2 sierpnia 2026 roku – to pełne stosowanie przepisów dotyczących systemów wysokiego ryzyka. Systemy AI używane w rekrutacji, ocenie kredytowej, edukacji i infrastrukturze krytycznej wymagają oceny zgodności, rejestracji w unijnej bazie danych i wdrożenia systemu zarządzania ryzykiem. To największy obowiązek dla polskich firm z sektora finansowego, HR i ochrony zdrowia. Więcej o procedurach oceny zgodności można przeczytać w naszym wcześniejszym omówieniu AI Act.
Etap czwarty – 2 sierpnia 2027 roku – zamyka harmonogram. Od tej daty wszystkie przepisy AI Act stosują się w pełni, łącznie z wymogami dla systemów wbudowanych w produkty objęte dyrektywami sektorowymi (np. wyroby medyczne, maszyny). Firmy produkcyjne i medtech muszą uwzględnić ten termin w planach certyfikacji produktów.
Co zrobić teraz – lista działań priorytetowych
Złożoność AI Act nie musi paraliżować. Działanie krok po kroku pozwala ograniczyć ryzyko bez konieczności natychmiastowego przebudowania całej infrastruktury IT. Poniżej cztery priorytety na najbliższe miesiące.
- Inwentaryzacja systemów AI – sporządź listę wszystkich narzędzi AI używanych w firmie, w tym narzędzi SaaS i rozwiązań dostawców zewnętrznych.
- Klasyfikacja ryzyka – dla każdego systemu określ, czy jest zakazany, wysokiego ryzyka, ograniczonego ryzyka czy minimalnego ryzyka według kryteriów AI Act.
- Weryfikacja umów z dostawcami – sprawdź, czy umowy z providerami AI zawierają klauzule compliance i podział odpowiedzialności zgodny z AI Act.
- Dokumentacja techniczna dla GPAI – jeśli firma integruje modele językowe lub inne systemy GPAI, przygotuj dokumentację wymaganą do 2 sierpnia 2025 roku.
- Koordynacja z RODO i DORA – oceń, gdzie obowiązki nakładają się, aby uniknąć luk i dublowania dokumentacji.
Kwestia ochrony danych osobowych przetwarzanych przez systemy AI wymaga szczególnej uwagi. RODO i AI Act stosują się równolegle. Ocena skutków dla ochrony danych (DPIA) wymagana przez RODO powinna uwzględniać klasyfikację systemu AI. W sporach dotyczących odpowiedzialności za decyzje algorytmiczne pomocna może być analiza roli biegłych sądowych w polskim postępowaniu – szczególnie gdy firma musi wykazać prawidłowość działania systemu przed sądem.
Regulacja wyprzedza rynek. Firmy, które zaczną inwentaryzację teraz, unikną sytuacji, w której audyt compliance zbiega się z terminem wdrożenia. To nie jest scenariusz teoretyczny – w przypadku systemów wysokiego ryzyka brak oceny zgodności przed 2 sierpnia 2026 roku może zamknąć drogę do legalnego używania narzędzia w UE.
Konkretna sytuacja Państwa firmy wymaga oceny, które systemy AI podlegają któremu etapowi harmonogramu. Brak klasyfikacji przed terminem jest nieodwracalny – nie można retroaktywnie uniknąć naruszenia, które już nastąpiło.
Jeśli Państwa firma używa systemów AI w rekrutacji, ocenie ryzyka lub obsłudze klienta i nie przeprowadziła jeszcze klasyfikacji ryzyka – przeprowadzimy inwentaryzację, ocenę zgodności i przygotujemy dokumentację wymaganą przez AI Act: info@kordeckipartners.com.
Często zadawane pytania
P: Czy AI Act dotyczy małych firm, które tylko korzystają z gotowych narzędzi AI, a nie je tworzą?
O: Tak. Firma korzystająca z systemu AI jako deployer ponosi własne obowiązki wynikające z AI Act, niezależnie od tego, kto system stworzył. Dotyczy to m.in. obowiązku zapewnienia nadzoru ludzkiego nad systemami wysokiego ryzyka oraz prowadzenia dokumentacji użytkowania. Małe firmy nie są zwolnione z tych wymogów, choć skala obowiązków zależy od klasyfikacji używanego systemu.
P: Kiedy zaczną obowiązywać kary za naruszenia AI Act?
O: Kary za naruszenia zakazu stosowania niedopuszczalnych praktyk AI mogą być nakładane już od 2 lutego 2025 roku. Kary za naruszenia dotyczące systemów wysokiego ryzyka będą stosowane od 2 sierpnia 2026 roku. Maksymalna kara wynosi 35 milionów EUR lub 7% globalnego rocznego obrotu – w zależności od tego, która kwota jest wyższa.
P: Jak AI Act ma się do RODO – czy to dwa oddzielne systemy compliance?
O: AI Act i RODO stosują się równolegle i wzajemnie się uzupełniają. Artykuł 10 AI Act wymaga, aby dane treningowe spełniały wymogi jakości i były przetwarzane zgodnie z prawem – co odsyła bezpośrednio do RODO. Ocena skutków dla ochrony danych (DPIA) wymagana przez RODO powinna obejmować analizę ryzyk związanych z systemem AI. Wdrożenie AI Act bez koordynacji z RODO grozi lukami w dokumentacji i podwójną odpowiedzialnością.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa własności intelektualnej, technologii i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
O autorze
Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.