Sztuczna inteligencja wkracza do każdej branży – od rekrutacji po diagnostykę medyczną. Wraz z jej rozwojem pojawiają się znaczące zmiany prawne, porównywalne ze skalą wprowadzenia RODO. Czy Twoja firma jest gotowa na unijny Akt o Sztucznej Inteligencji? Sprawdź, co musisz wiedzieć, aby nie zostać w tyle.
Skuteczne wdrożenie AI w firmie wymaga dziś nie tylko kompetencji technicznych, ale przede wszystkim zrozumienia nadchodzących zmian legislacyjnych. Poniżej znajdziesz przegląd regulacji, ich zasięg, harmonogram i praktyczne kroki, które pomogą Twojej organizacji przygotować się na nową rzeczywistość prawną.
Co się zmienia w prawie dotyczącym AI?
Unijny Akt o Sztucznej Inteligencji
Europejski Akt o Sztucznej Inteligencji (AI Act) to pierwsze na świecie obszerne regulacje dotyczące AI przyjęte w formie rozporządzenia unijnego. Ustanawia jednolite zasady we wszystkich państwach członkowskich – firmy nie muszą się już orientować w 27 różnych reżimach prawnych.
Cele regulacji:
- ochrona praw podstawowych, zdrowia i bezpieczeństwa obywateli
- ochrona fundamentów demokratycznego porządku
- zapewnienie podejścia opartego na ryzyku (risk‑based approach) – im wyższe zagrożenie, tym surowsze wymagania
Regulacje mają zasięg eksterytorialny. Firma spoza UE – amerykańska, chińska czy brytyjska – podlega AI Act, jeśli jej systemy AI są używane na terytorium Unii. Mechanizm ten jest analogiczny do RODO.
Klasyfikacja systemów AI według poziomu ryzyka
Sercem AI Act jest podział systemów AI na cztery kategorie ryzyka.
🔴 Systemy o niedopuszczalnym ryzyku – zakazane. Obejmują:
- manipulację podprogową
- scoring społeczny przez władze publiczne
- biometryczną identyfikację w czasie rzeczywistym w przestrzeni publicznej (z wyjątkami, np. poszukiwanie zaginionych)
🟠 Systemy o wysokim ryzyku – AI w rekrutacji, ocenie zdolności kredytowej, zarządzaniu infrastrukturą krytyczną, egzekwowaniu prawa. Wymogi obejmują:
- obowiązkową ocenę zgodności i audyt
- szczegółową dokumentację techniczną
- nadzór ludzki
Kary: do 35 mln EUR lub 7 % globalnego obrotu. Aby uniknąć tak wysokich sankcji, potrzebny jest rzetelny audyt zgodności z przepisami.
🟡 Systemy o ograniczonym ryzyku – chatboty, systemy rozpoznawania emocji, generatory deepfake. Podstawowy obowiązek to transparentność – użytkownik musi wiedzieć, że wchodzi w interakcję z AI. Kary: do 15 mln EUR lub 3 % obrotu.
🟢 Systemy o minimalnym ryzyku – filtry spamu, proste rekomendacje, podstawowe narzędzia analityczne. Brak specjalnych wymogów prawnych – jedynie zachęta do dobrowolnych kodeksów postępowania.
| Poziom ryzyka | Przykłady | Wymagania | Kary
|
| 🔴 Niedopuszczalny | Manipulacja podprogowa, scoring społeczny | Całkowity zakaz | Najwyższe kary |
| 🟠 Wysoki | AI w rekrutacji, scoring kredytowy | Ocena zgodności, audyt, nadzór ludzki | Do 35 mln EUR / 7 % obrotu |
| 🟡 Ograniczony | Chatboty, deepfake | Informowanie użytkownika | Do 15 mln EUR / 3 % obrotu |
| 🟢 Minimalny | Filtry spamu, rekomendacje | Brak specjalnych wymogów | — |
Nowe obowiązki prawne dla firm
- Transparentność – jasne informowanie użytkowników o interakcji z systemem AI
- Dokumentacja techniczna – architektura systemu, dane treningowe, procesy walidacji, logi decyzji
- Nadzór ludzki – realne mechanizmy przejęcia kontroli nad systemem w sytuacji awaryjnej (dotyczy systemów wysokiego ryzyka)
- Jakość danych treningowych – reprezentatywność, brak błędów systematycznych, dokumentacja
- Zgłaszanie incydentów – każda awaria, błąd decyzyjny czy naruszenie praw użytkownika musi trafić do organu nadzorczego
- Odporność na cyberataki – szczególnie w systemach wysokiego ryzyka
- Ocena wpływu na prawa podstawowe (Fundamental Rights Impact Assessment) – dla zastosowań o wysokim ryzyku
Kogo dotyczą regulacje i jakie role pełnią firmy?
Role w łańcuchu wartości AI
AI Act wprowadza precyzyjną klasyfikację ról w środowisku AI:
- Dostawca (Provider) – opracowuje lub zleca opracowanie systemu AI i wprowadza go do obrotu. Ponosi pełną odpowiedzialność za zgodność z regulacją.
- Wdrażający (Deployer) – korzysta z systemu AI w ramach działalności (np. bank stosujący scoring AI, agencja rekrutacyjna z narzędziem do analizy CV). Musi zapewnić nadzór ludzki i monitorować działanie systemu.
- Importer – wprowadza na rynek UE system AI od dostawcy spoza Unii. Musi weryfikować zgodność z regulacjami.
- Dystrybutor – udostępnia system AI na rynku. Sprawdza oznakowanie CE i zgłasza niezgodności.
Kto w firmie odpowiada za AI?
- Dział prawny – interpretacja regulacji, dostosowanie umów z dostawcami
- Dział IT – wdrożenie technicznych środków zgodności, dokumentacja, monitoring incydentów
- Dział compliance – nadzór nad całością procesu, raportowanie do zarządu
- Zarząd – świadomość, że za niektóre naruszenia przewidziano odpowiedzialność osobistą
Wpływ na pracowników
Systemy AI stosowane w procesach HR – rekrutacja, ocena wydajności, awansowanie – zaliczane są do kategorii wysokiego ryzyka.
- pracownicy mają prawo wiedzieć, że ich kandydatura była oceniana z udziałem algorytmu
- żądać, by ostateczna decyzja została podjęta przez człowieka
- pracodawca musi poinformować pracowników o stosowaniu systemów monitoringu opartych na AI. Nieprzestrzeganie tych zasad grozi sankcjami z AI Act i roszczeniami na gruncie prawa pracy.
Gdzie obowiązują regulacje i jak wygląda krajobraz prawny?
Zasięg geograficzny regulacji UE
AI Act obowiązuje bezpośrednio we wszystkich państwach członkowskich – to rozporządzenie, nie dyrektywa, więc nie wymaga implementacji do prawa krajowego.
Zasada eksterytorialności oznacza, że każda firma – z San Francisco, Szanghaju czy Singapuru – podlega AI Act, jeśli jej systemy AI są dystrybuowane lub używane na terytorium Unii.
Krajobraz regulacji poza UE
| Jurysdykcja | Podejście | Kluczowe regulacje
|
| 🇺🇸 USA | Sektorowe, rozporządzenia wykonawcze | Illinois BIPA (biometria), NY Local Law 144 (rekrutacja AI) |
| 🇨🇳 Chiny | Etapowe, regulacja konkretnych zastosowań | Przepisy o generatywnej AI, rekomendacjach algorytmicznych, deepfake |
| 🇬🇧 Wielka Brytania | „Pro‑innovation” | Istniejące regulatorzy sektorowi (FCA, Ofcom, CMA) |
| 🇨🇦 Kanada | Rozwój AIDA w ramach Bill C‑27 | Prywatność danych, ochrona przed dyskryminacją |
| 🇧🇷 Brazylia | Wzorowane na modelu europejskim | Własne regulacje w toku |
Regulacje krajowe uzupełniające w UE
- Poszczególne państwa członkowskie ustanawiają krajowe organy nadzorcze
- Na szczeblu europejskim działa Europejski Urząd ds. Sztucznej Inteligencji (AI Office)
- Niektóre kraje mogą wprowadzić regulacje wykraczające poza minimum AI Act
Kiedy wchodzą w życie nowe regulacje?
Harmonogram wdrożenia AI Act
| Termin | Co wchodzi w życie | Kogo dotyczy
|
| Luty 2025 | Zakaz praktyk o niedopuszczalnym ryzyku | Wszystkie podmioty |
| Sierpień 2025 | Regulacje modeli GPAI | Dostawcy modeli AI (OpenAI, Google, Meta) |
| Sierpień 2026 | Pełne regulacje dla systemów wysokiego ryzyka | Firmy korzystające z AI w rekrutacji, scoringu, medycynie |
| Sierpień 2027 | Regulacje dla komponentów AI w produktach regulowanych | Producenci sprzętu |
Równoległe regulacje
AI Act nie działa w izolacji. Obok niego funkcjonują lub powstają:
- RODO – już obowiązuje, generuje nowe wytyczne dotyczące AI
- Dyrektywa o odpowiedzialności za AI (AI Liability Directive) – w toku legislacyjnym
- Zrewidowana Dyrektywa o odpowiedzialności za produkt (Product Liability Directive)
- Regulacje dotyczące praw autorskich w kontekście AI
- Akt o Wolności Mediów (European Media Freedom Act)
Dlaczego te regulacje mają znaczenie dla Twojej firmy?
Konsekwencje finansowe niezgodności
- Kary są wysokie – do 35 mln EUR lub 7 % globalnego obrotu – za najpoważniejsze naruszenia
- Dla porównania: RODO przewiduje maksymalnie 20 mln EUR lub 4 % obrotu
- AI Act otwiera drogę do odpowiedzialności cywilnej i pozwów zbiorowych (collective redress)
- Koszty reputacyjne mogą wielokrotnie przewyższyć kary finansowe
Nowy reżim odpowiedzialności cywilnej za AI
- Odwrócony ciężar dowodu – to firma musi udowodnić, że AI nie wyrządziła szkody
- Rozróżnienie odpowiedzialności na zasadzie ryzyka i na zasadzie winy
- Nowa Dyrektywa o odpowiedzialności za produkt rozszerza definicję „produktu” o oprogramowanie, w tym systemy AI
RODO a sztuczna inteligencja
- Profilowanie i zautomatyzowane podejmowanie decyzji (art. 22 RODO) – szczególne wymogi
- Prawo do wyjaśnienia logiki przetwarzania – poważne wyzwanie przy złożonych modelach deep learning
- Dla systemów wysokiego ryzyka: obowiązkowa ocena skutków przetwarzania danych (DPIA)
- Wymogi dotyczące przechowywania i usuwania danych treningowych
Własność intelektualna a AI
- W większości jurysdykcji dzieło musi mieć ludzkiego twórcę, aby podlegać ochronie autorskiej
- Treści wygenerowane wyłącznie przez AI mogą nie być chronione prawem autorskim
- Wykorzystanie materiałów chronionych w danych treningowych jest przedmiotem licznych postępowań sądowych
- AI Act wymaga oznaczania treści generowanych przez AI (watermarking)
- Firmy powinny zadbać o klauzule dotyczące praw własności intelektualnej w umowach z dostawcami AI
Jak firma powinna się dostosować?
System zarządzania zgodnością AI
Zgodność z AI Act to proces ciągły, nie jednorazowy projekt. Oto kluczowe elementy:
- Inwentaryzacja systemów AI (priorytet natychmiastowy) – identyfikacja każdego narzędzia AI w organizacji i klasyfikacja według poziomu ryzyka
- Wewnętrzna polityka AI (priorytet natychmiastowy) – zasady zakupu, rozwoju i wdrażania systemów AI, procedury oceny ryzyka, standardy dla danych treningowych
- Ocena ryzyka (priorytet natychmiastowy) – analiza prawna, etyczna i operacyjna dla każdego systemu AI
- Dokumentacja techniczna (wysoki priorytet) – opis systemu, architektury, danych treningowych, procesów walidacji i logów – gotowa do udostępnienia organom nadzorczym
- Audyty (wysoki priorytet) – regularne, wewnętrzne i zewnętrzne, weryfikujące ciągłą zgodność
- Szkolenia pracowników (wysoki priorytet) – budowanie świadomości organizacji
- Zarządzanie dostawcami AI (wysoki priorytet) – klauzule umowne i weryfikacja zgodności dostawców
Praktyczne kroki dla działu prawnego
- Rewizja kontraktów – umowy z dostawcami i odbiorcami usług AI wymagają aktualizacji klauzul dotyczących odpowiedzialności, gwarancji zgodności i SLA
- Wewnętrzne wytyczne dotyczące korzystania z generatywnej AI – pracownicy używający ChatGPT, Midjourney i innych narzędzi GenAI muszą znać zasady
- Rozważ bezpieczne wdrożenie Gemini z zachowaniem prywatności; izolacja danych firmowych od modeli publicznych
- Procedury oceny zgodności dla nowo wdrażanych systemów AI – ustandaryzowany proces weryfikacji
Tworzenie a kupowanie AI – implikacje prawne
| Scenariusz | Rola | Zakres odpowiedzialności
|
| Samodzielne tworzenie AI | Dostawca | Pełna odpowiedzialność za zgodność |
| Korzystanie z gotowego narzędzia | Wdrażający | Mniejszy, ale istotny zakres obowiązków |
| Znacząca modyfikacja gotowego systemu | Dostawca (de facto) | Pełna odpowiedzialność |
| Open‑source AI | Wyjątki, ale nie bezwzględne | Modele o wysokim ryzyku nadal podlegają regulacjom |
AI generatywna – specyficzne regulacje
- przejrzystość działania modeli
- udostępnianie informacji o danych treningowych
- przestrzeganie praw autorskich
- modele o ryzyku systemowym podlegają jeszcze surowszym regulacjom
- Treści generowane przez AI muszą być oznaczane – wymogi etykietowania i watermarking umożliwiają odróżnienie treści ludzkich od maszynowych
Etyczne aspekty regulacji AI
- Systemy AI dyskryminujące ze względu na płeć, rasę, wiek czy inne cechy chronione naruszają zarówno AI Act, jak i prawo antydyskryminacyjne
- Testowanie stronniczości (bias testing) staje się wymogiem regulacyjnym
- Firmy muszą regularnie przeprowadzać audyty równościowe i dokumentować wyniki
Sektorowe regulacje dotyczące AI
| Sektor | Dodatkowe regulacje | Kluczowe wymagania
|
| 💰 Finanse | DORA, wytyczne EBA i ESMA | Zarządzanie ryzykiem modeli AI w scoringu kredytowym |
| 🏥 Ochrona zdrowia | MDR/IVDR | Walidacja kliniczna AI jako wyrobu medycznego |
| 🚗 Motoryzacja | UNECE WP.29 | Bezpieczeństwo funkcjonalne AI w pojazdach autonomicznych |
| 📺 Media | AI Act + Akt o Wolności Mediów | Oznaczanie deepfake’ów, przejrzystość rekomendacji |
Monitorowanie zmian prawnych
- Nowe przepisy na poziomie unijnym i krajowym
- Orzecznictwo sądowe kształtujące interpretację przepisów
- Normy techniczne harmonizowane uzupełniające regulacje
- Kodeksy postępowania jako narzędzie samoregulacji branży
Rozpocznij audyt zgodności AI w II kwartale 2025 i opracuj plan wdrożenia wymogów regulacyjnych do końca 2025. Dzięki temu firma spełni wymogi AI Act, uniknie wysokich kar i zwiększy zaufanie klientów.
Artykuł sponsorowany

