AI Act to pierwsza unijna regulacja dotycząca tworzenia, udostępniania i stosowania sztucznej inteligencji. Jeśli projektujesz, wdrażasz lub wykorzystujesz AI – rozporządzenie nakłada na Ciebie konkretne obowiązki. Ich nieprzestrzeganie oznacza wysokie kary finansowe i ryzyko odpowiedzialności administracyjnej. Poniżej znajdziesz podstawowe informacje o AI Act, harmonogram wdrożenia oraz definicję systemu AI, od której zależy, czy przepisy w ogóle Cię dotyczą.
Zanim przejdziemy do samej treści AI Act, warto przyjrzeć się wyzwaniom, które doprowadziły do jego powstania. To właśnie one najlepiej pokazują, dlaczego Unia Europejska zdecydowała się uregulować korzystanie ze sztucznej inteligencji.
Wśród najważniejszych problemów, które miały wpływ na kształt tych przepisów, znajdują się:
AI należy do nielicznych technologii, których wynik działania systemu nie zawsze da się jednoznacznie prześledzić i wyjaśnić. Takie nieprzejrzyste algorytmy określa się mianem „black box" – czyli „czarnej skrzynki".
Dla firm oznacza to konieczność działania na dwóch poziomach:
Więc…
W przeciwnym razie możesz nieświadomie udostępnić poufne dane np. do serwera w Chinach. A to dość niekomfortowa sytuacja.
Zagadnienie black box łączy się bezpośrednio z drugim wyzwaniem: danymi, a zwłaszcza ich przetwarzaniem zgodnie z przepisami RODO.
W dużym uproszczeniu AI uczy się na podstawie danych dostarczanych przez jej twórców i użytkowników. Natomiast wiele systemów korzysta też z ogólnodostępnych treści w Internecie, co dodatkowo utrudnia kontrolę nad tym, z czego dokładnie korzystają i jak „dochodzą" do swoich odpowiedzi.
Jeśli w firmie planujesz korzystać z AI, zadaj sobie te pytania – jeszcze zanim zaczniesz przetwarzać jakiekolwiek dane:
To nie są pytania na potem. Od odpowiedzi zależy, czy działasz zgodnie z RODO – i czy nie wystawiasz się na realne ryzyko: kary, utraty zaufania klientów, wycieku danych.
Z punktu widzenia firmy stawką są dwie rzeczy:
Kolejny gorący temat to prawa autorskie do efektów pracy sztucznej inteligencji. Kto ma prawo do grafik, tekstów, kodu czy innych treści wygenerowanych przez AI? Czy można je legalnie wykorzystywać, chronić, a nawet sprzedawać?
Te pytania wprost dotyczą firm – zarówno tych, które tworzą treści przy wsparciu AI, jak i tych, które zamierzają je komercjalizować.
Szczególnie ważne są dwa potencjalne problemy:
1. Ryzyko naruszenia cudzych praw autorskich. To sytuacja, w której AI tworzy np. grafikę, która wygląda bardzo podobnie do już istniejącego obrazu – np. zdjęcia z banku zdjęć albo pracy innego artysty. Ty możesz nawet nie wiedzieć, że to „plagiat" – ale jeśli klient to opublikuje, może odpowiadać za naruszenie praw autorskich. Bo AI nie wymyśla od zera, tylko uczy się na cudzych pracach.
2. Niepewność co do praw do własnych efektów pracy. Prawo autorskie chroni utwory stworzone przez człowieka. Jeśli grafikę, tekst czy kod stworzy wyłącznie AI – formalnie nie ma autora, a więc nie ma też praw autorskich. A jeśli Twoi pracownicy stworzyli coś „z pomocą AI", to i tutaj nie ma prostej odpowiedzi. Trzeba będzie ocenić, na ile praca człowieka jest twórcza, a osiągnięty rezultat indywidualny. Orzecznictwo sądów w tym zakresie nadal się kształtuje i miejmy nadzieję, że w niedalekiej przyszłości określi jasne zasady ustalenia, kiedy powstają prawa autorskie do wytworu stworzonego przez człowieka przy pomocy narzędzi AI.
W praktyce oznacza to, że Twoja firma musi zadbać o:
Należy jednak już na wstępie zaznaczyć, że AI Act w zasadzie w żaden sposób nie reguluje opisanych powyżej problemów dotyczących praw autorskich.
Podsumowując dotychczasowe wyzwania – sztuczna inteligencja może dziś działać całkowicie autonomicznie. Decydować o zatrudnieniu i zwolnieniu pracownika, przyznawać kredyty, oceniać ryzyko finansowe czy zachowanie użytkownika, profilować klientów, a nawet wpływać na poglądy polityczne i decyzje zakupowe.
Skala wpływu na ludzi, firmy i całe społeczeństwa jest ogromna – i nie zawsze pozytywna.
Dlatego konieczne stało się jasne określenie, do czego AI wolno wykorzystywać, jakie zastosowania wymagają dodatkowej kontroli, a które są całkowicie zakazane.
Właśnie to porządkuje AI Act.
To, że nie stworzyłeś systemu AI, nie znaczy, że nie ponosisz za niego odpowiedzialności. Jeśli korzystasz z AI w firmie – temat ryzyka prawnego dotyczy również Ciebie. AI decyduje, doradza, rekomenduje, czasem wręcz działa za człowieka. Ale gdy pojawi się błąd, szkoda albo skarga – ktoś przecież musi wziąć na siebie odpowiedzialność.
Wszystko zależy od tego, jaką rolę pełni Twoja firma:
Dlatego AI Act precyzuje obowiązki dostawców systemów AI i podmiotów stosujących, a obowiązki te zależą od poziomu ryzyka związanego ze stosowaniem danego rodzaju systemu i od ustalenia, czy jest to w ogóle system AI w rozumieniu AI Act.
Akt o sztucznej inteligencji wszedł w życie 1 sierpnia 2024 roku. Nie wszystkie jego przepisy zaczęły jednak obowiązywać od razu – ich wdrażanie zostało rozłożone w czasie. Miało to umożliwić firmom i instytucjom dostosowanie się do nowych obowiązków bez nadmiernych zakłóceń operacyjnych.
Harmonogram wygląda następująco:
Jeśli tworzysz lub korzystasz z oprogramowania, które nie spełnia definicji systemu AI, to AI Act Cię nie dotyczy. W takiej sytuacji nowe przepisy nie będą miały zastosowania, a Ty nie musisz wprowadzać żadnych zmian.
AI Act definiuje system sztucznej inteligencji jako:
„system maszynowy zaprojektowany do działania z różnym poziomem autonomii, który po wdrożeniu może wykazywać zdolność adaptacji i który – w celu osiągnięcia wyraźnych lub dorozumianych celów – wnioskuje, jak generować na podstawie danych wejściowych wyniki, takie jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne lub wirtualne."
Sprawdź, czy Twoje oprogramowanie spełnia poniższe warunki:
Jeśli Twój system spełnia te warunki – nawet częściowo – warto założyć, że podlega pod AI Act i wymaga przynajmniej wstępnej analizy zgodności.
Już teraz zapraszam Cię do następnego wpisu, w którym omówię bardziej szczegółowo, kogo konkretnie dotyczy rozporządzenie, a które podmioty nie muszą stosować przepisów rozporządzenia.
Rozporządzenie AI Act wprowadza pierwsze w Unii Europejskiej pełne ramy prawne dotyczące tworzenia i wykorzystania systemów sztucznej inteligencji. Nowe przepisy nie tylko porządkują zasady stosowania AI, ale również nakładają szereg obowiązków – zarówno na producentów czy dostawców systemów AI, jak i użytkowników sztucznej inteligencji.
Sprawdź, czy dane rozwiązanie spełnia definicję systemu AI – ponieważ tylko wówczas podlega regulacjom AI Act.
Zastanawiasz się, czy AI Act dotyczy Twojej firmy? Czy Twoje systemy kwalifikują się jako systemy AI?
Nie zostawiaj tych pytań bez odpowiedzi – szczególnie w obliczu zbliżającego się terminu wdrożenia przepisów dotyczących systemów AI wysokiego ryzyka, który upływa 2 sierpnia 2026 roku.
Skontaktuj się z naszą kancelarią, jeśli potrzebujesz wsparcia w ocenie ryzyk prawnych, wdrożeniu zgodności z AI Act lub przygotowaniu dokumentacji AI w Twojej firmie. Specjalizujemy się w prawie nowych technologii i sztucznej inteligencji, a nasze doświadczenie łączymy z praktycznym podejściem do biznesu.
Czym dokładnie jest system AI w rozumieniu AI Act? AI Act definiuje system AI jako system maszynowy zaprojektowany do działania z różnym poziomem autonomii, który po wdrożeniu może wykazywać zdolność adaptacji i który wnioskuje, jak generować na podstawie danych wejściowych wyniki (predykcje, treści, zalecenia lub decyzje) mogące wpływać na środowisko fizyczne lub wirtualne. Jeśli Twoje oprogramowanie spełnia te warunki – nawet częściowo – załóż, że podlega pod AI Act i wymaga przynajmniej wstępnej analizy zgodności.
Skąd mam wiedzieć, czy narzędzie AI używane w mojej firmie podlega pod AI Act? Sprawdź pięć cech narzędzia: czy jest systemem maszynowym (działa automatycznie lub półautomatycznie), czy działa z pewnym poziomem autonomii (nie tylko na sztywnych regułach), czy wykazuje zdolność adaptacji („uczy się" na danych), czy wnioskuje i generuje wyniki na podstawie danych wejściowych oraz czy te wyniki wpływają na środowisko fizyczne lub wirtualne. Jeśli narzędzie nie spełnia tej definicji, AI Act Cię nie dotyczy i nie musisz wprowadzać żadnych zmian.
Od kiedy poszczególne obowiązki z AI Act zaczynają obowiązywać firmy? AI Act wszedł w życie 1 sierpnia 2024 r., ale obowiązki wdrażane są etapami: od 2 lutego 2025 r. obowiązują zakazy praktyk manipulacyjnych, scoringu społecznego i profilowania pod kątem ryzyka przestępstwa; od 2 sierpnia 2025 r. stosuje się przepisy o modelach AI ogólnego przeznaczenia, organach nadzoru i karach; od 2 sierpnia 2026 r. zaczną obowiązywać przepisy dotyczące systemów AI wysokiego ryzyka i oceny ich zgodności. Zaplanuj działania wdrożeniowe z wyprzedzeniem – ten ostatni termin dotyczy największej grupy firm.
Jakie ryzyka prawne bierze na siebie firma, która korzysta z AI, ale nie jest twórcą systemu? Nawet jeśli nie stworzyłeś systemu AI, odpowiadasz za sposób, w jaki z niego korzystasz – w szczególności za przestrzeganie zasad ochrony danych, za to, czy system nie narusza praw użytkowników, nie powoduje szkody oraz czy jego decyzje są zgodne z prawem. AI Act precyzuje obowiązki zarówno dostawców, jak i podmiotów stosujących AI, a ich zakres zależy od poziomu ryzyka związanego z danym systemem. Brak działania oznacza ryzyko kar finansowych i odpowiedzialności administracyjnej – niezależnie od tego, że producent systemu to ktoś inny.
Na co trzeba uważać przy wprowadzaniu danych osobowych lub poufnych informacji do narzędzi AI? Zanim wprowadzisz jakiekolwiek dane do systemu AI, ustal cztery rzeczy: jakie dane faktycznie możesz wprowadzać (osobowe, klientów, poufne), czy system uczy się na tych danych i co się z nimi dalej dzieje, czy dostawca AI ma prawo wykorzystywać je do trenowania modelu lub udostępniać innym podmiotom oraz czy masz odpowiednie podstawy prawne (zgody, politykę prywatności, zapisy umowne). Wiele systemów AI działa jak „black box" – nie zawsze wiadomo, gdzie trafiają dane – a naruszenie RODO grozi karami do 20 mln euro lub 4% rocznego obrotu i utratą zaufania klientów.
