AI Act, czyli akt o sztucznej inteligencji, to unijne rozporządzenie przyjęte w 2024 roku, które jako pierwsze na świecie wprowadza kompleksowe ramy prawne dla rozwoju i stosowania systemów sztucznej inteligencji. Celem aktu jest zapewnienie, że technologie AI będą wdrażane i wykorzystywane w sposób bezpieczny, przejrzysty i zgodny z podstawowymi wartościami Unii Europejskiej – takimi jak poszanowanie praw człowieka, ochrona prywatności czy niedyskryminacja.
Z perspektywy prawnika IT uważam, że AI Act to przełomowy dokument, który diametralnie zmienia krajobraz prawny wokół technologii opartych na uczeniu maszynowym, w tym dużych modeli językowych czy narzędzi predykcyjnych. Rozporządzenie przyjmuje podejście oparte na ocenie ryzyka i różnicuje obowiązki w zależności od stopnia zagrożenia, jakie system AI może stwarzać dla jednostek i społeczeństwa.
Unijny AI Act – cele regulacji
Celem AI Act jest nie tylko ochrona użytkowników, ale także stworzenie zaufanego rynku AI w UE. Wśród głównych założeń rozporządzenia znajdują się:
- zapewnienie wysokiego poziomu bezpieczeństwa i ochrony danych przy stosowaniu AI,
- ochrona praw podstawowych, takich jak prywatność, równość i godność człowieka,
- wspieranie innowacji przy zachowaniu proporcjonalnych obowiązków regulacyjnych,
- przeciwdziałanie nadużyciom i nieprzejrzystym mechanizmom decyzyjnym algorytmów.
Jakie problemy ma rozwiązać nowe prawo o sztucznej inteligencji?
AI Act powstał jako odpowiedź na rosnące obawy dotyczące niekontrolowanego rozwoju sztucznej inteligencji. W szczególności chodzi o zjawiska takie jak:
- inwigilacja biometryczna w czasie rzeczywistym,
- dyskryminujące algorytmy rekrutacyjne i scoringowe,
- brak przejrzystości w automatycznych decyzjach,
- niekontrolowane wykorzystanie generatywnej AI (np. deepfake’ów czy modeli językowych).
Wprowadzenie jednolitych reguł ma zapobiec fragmentacji rynku wewnętrznego i zapewnić, że każda firma oferująca systemy AI w UE będzie działać według tych samych zasad.
Kogo dotyczy AI Act?
AI Act obowiązuje nie tylko podmioty zarejestrowane w Unii Europejskiej, ale także firmy spoza UE, które oferują swoje systemy AI na rynku unijnym lub których działania wpływają na użytkowników w państwach członkowskich. Oznacza to, że każda firma – niezależnie od tego, czy produkuje, wdraża, integruje czy korzysta z systemów AI – może zostać objęta zakresem regulacji.
Dotyczy to zarówno dostawców technologii (np. twórców algorytmów czy platform AI), jak i użytkowników profesjonalnych (np. banków, firm HR, podmiotów medycznych), a także importerów, dystrybutorów i integratorów.
Jakie systemy AI są objęte AI Act?
AI Act klasyfikuje systemy sztucznej inteligencji według poziomu ryzyka. Wyróżnia cztery główne kategorie:
- Systemy zakazane np. te wykorzystujące manipulację ludzkim zachowaniem, masową inwigilację czy ocenę „społecznej wartości” jednostki (social scoring).
- Systemy wysokiego ryzyka np. AI stosowana w obszarach zdrowia, edukacji, sądownictwa, zatrudnienia czy krytycznej infrastruktury.
- Systemy ograniczonego ryzyka np. chatboty czy systemy generatywne, które muszą spełniać obowiązki informacyjne (np. wskazanie, że użytkownik komunikuje się z AI).
- Systemy minimalnego ryzyka np. AI w grach komputerowych czy filtrach zdjęć.
Każdy system zaklasyfikowany jako wysokiego ryzyka musi spełniać szereg wymogów dotyczących bezpieczeństwa, nadzoru ludzkiego, przejrzystości, dokumentacji i jakości danych treningowych.
Jakie obowiązki nakłada AI Act na firmy?
Zakres obowiązków zależy od rodzaju systemu oraz roli, jaką pełni dana firma (czy jest dostawcą, użytkownikiem czy dystrybutorem). W przypadku systemów wysokiego ryzyka firmy muszą:
- przeprowadzać ocenę zgodności systemu z wymogami AI Act,
- prowadzić dokumentację techniczną i rejestry zdarzeń,
- zapewnić przejrzystość działania algorytmu i możliwość jego audytu,
- wdrożyć procedury nadzoru ludzkiego,
- stosować wysokie standardy jakości danych wykorzystywanych do uczenia AI,
- zgłaszać incydenty związane z nieprawidłowym działaniem AI do organów nadzorczych.
W przypadku generatywnej AI (np. modeli językowych) na dostawcach ciążyć będą obowiązki informacyjne, obowiązek oznaczania treści wygenerowanych przez AI oraz raportowania w zakresie wykorzystywanych danych treningowych.
Jak przygotować firmę na wdrożenie AI Act?
Moim zdaniem kluczowym działaniem jest mapowanie wszystkich systemów AI wykorzystywanych w organizacji oraz ich wstępna klasyfikacja ryzyka. Następnie należy przeanalizować, czy firma pełni rolę dostawcy, użytkownika czy podmiotu pośredniego i dobrać odpowiednie środki prawne oraz techniczne.
Zalecam wdrożenie następujących kroków:
- przeprowadzenie audytu AI (systemów, dostawców, danych),
- stworzenie rejestru systemów wysokiego ryzyka,
- opracowanie procedur oceny zgodności i dokumentacji,
- uregulowanie odpowiedzialności kontraktowej (w tym w umowach licencyjnych i serwisowych),
- wdrożenie polityki etycznej AI i szkoleń dla zespołów IT oraz compliance.
Sankcje za nieprzestrzeganie przepisów AI Act
Rozporządzenie przewiduje wysokie kary administracyjne, nawet do 35 milionów euro lub 7% globalnego rocznego obrotu (w zależności od rodzaju naruszenia i pozycji podmiotu). Najwyższe sankcje grożą za stosowanie systemów zakazanych lub za brak przeprowadzenia oceny zgodności dla systemów wysokiego ryzyka.
Odpowiedzialność może dotyczyć nie tylko twórców systemu, ale również użytkowników, którzy korzystają z AI w sposób sprzeczny z przepisami — np. bez odpowiedniego nadzoru lub bez spełnienia obowiązków informacyjnych wobec użytkowników końcowych.
AI Act a inne regulacje prawne – RODO, DORA, NIS2
AI Act nie funkcjonuje w próżni prawnej. Przeciwnie, nakłada się na inne akty, zwłaszcza RODO, DORA i NIS2, które również regulują kwestie bezpieczeństwa, odpowiedzialności i przejrzystości w systemach IT.
Czy AI Act pokrywa się z RODO?
Tak, ale tylko częściowo. AI Act uzupełnia RODO w zakresie przetwarzania danych przez systemy AI, w tym danych osobowych. RODO nadal reguluje podstawy prawne przetwarzania, prawa osób fizycznych (np. sprzeciwu wobec automatyzacji), a AI Act dodaje do tego warstwę zgodności technologicznej, jakości danych i obowiązków dokumentacyjnych.
Podmioty zobowiązane do stosowania AI Act muszą zatem zadbać o spójność wewnętrznych polityk i procedur w obu obszarach. To samo dotyczy obowiązków wynikających z dyrektywy NIS2 (w zakresie cyberbezpieczeństwa) oraz rozporządzenia DORA (w sektorze finansowym i ICT).
