Jak dostosować firmę do AI Act? Przewodnik po nowym prawie i obowiązkach
Unijne rozporządzenie o sztucznej inteligencji (AI Act) to już nie tylko temat konferencji technologicznych, ale konkretne wyzwanie dla każdego polskiego przedsiębiorcy. Warto na wstępie podkreślić ważną kwestię terminologiczną: AI Act jest rozporządzeniem unijnym, które obowiązuje bezpośrednio we wszystkich państwach członkowskich – nie wymaga implementacji do prawa krajowego.
Zadaniem firm nie jest wiec „wdrożenie” AI Act, lecz dostosowanie się do jego wymogów. Prawidłowe dostosowanie pozwoli uniknąć gigantycznych kar finansowych, a przede wszystkim zbudować przewagę rynkową opartą na zaufaniu i bezpieczeństwie technologicznym.
Harmonogram stosowania AI Act – co i kiedy wchodzi w życie?
Zanim przejdziemy do obowiązków, kluczowe jest zrozumienie harmonogramu. AI Act wszedł w życie 1 sierpnia 2024 roku, ale poszczególne przepisy stosuje się stopniowo:
- od 2 lutego 2025 r. – zakazy stosowania systemów AI niedopuszczalnego ryzyka (np. social scoring, biometryczne systemy kategoryzacji osób);
- od 2 sierpnia 2025 r. – przepisy dotyczące modeli ogólnego przeznaczenia (GPAI), w tym modeli takich jak GPT-4;
- od 2 sierpnia 2026 r. – wymogi dla systemów wysokiego ryzyka wymienionych w Załączniku III (m.in. rekrutacja, ocena pracowników, ocena zdolności kredytowej);
- od 2 sierpnia 2027 r. – wymogi dla systemów wysokiego ryzyka w produktach objętych sektorowym prawem UE (Załącznik II).
Znajomość tych terminów jest niezbędna do właściwego zaplanowania działań.
Audyt i klasyfikacja posiadanych rozwiązań
Pierwszym etapem jest dokładna inwentaryzacja wszystkich systemów i narzędzi AI używanych w firmie. Często zdarza się, że działy marketingu czy HR korzystają z aplikacji, o których zarząd nie wie, a które mogą generować poważne ryzyka prawne.
Każdemu narzędziu należy przypisać odpowiednią kategorię ryzyka: od systemów zakazanych, przez te o wysokim ryzyku (Załącznik III – lista enumeratywna i zamknięta), aż po rozwiązania o ograniczonym i minimalnym wpływie.
Uwaga praktyczna: lista systemów wysokiego ryzyka w Załączniku III jest enumeratywna i konkretna – nie wolno klasyfikować systemów na podstawie ogólnych opisów.
Jeżeli system nie mieści się w żadnej z kategorii Załącznika III, nie jest systemem wysokiego ryzyka, nawet jeśli jego wpływ na użytkowników może być istotny. Jeśli systemy służą np. do oceny pracowników lub rekrutacji, firma musi przygotować się na surowe rygory dokumentacyjne, których stosowanie stanie się obowiązkowe od sierpnia 2026 r.
Zrozumienie roli firmy w ekosystemie AI
Kolejnym krokiem jest ustalenie roli, jaką firma pełni w świetle przepisów. AI Act rozróżnia cztery kategorie podmiotów, z których każda niesie odmienny zakres obowiązków:
- Dostawca (Provider) – podmiot, który opracowuje lub zleca opracowanie systemu AI i wprowadza go do obrotu pod własną nazwą. Ciąży na nim najszerszy katalog obowiązków technicznych i certyfikacyjnych.
- Wdrażający (Deployer) – podmiot, który używa cudzego systemu AI w swoim procesie biznesowym. Większość firm będzie pełnić tę rolę, choć nie zwalnia to z odpowiedzialności za bezpieczne użytkowanie.
- Importer – podmiot wprowadzający do UE system AI od dostawcy spoza Unii. Ponosi odpowiedzialność zbliżoną do dostawcy, jeśli ten nie dopełnił obowiązków.
- Dystrybutor – podmiot udostępniający system AI na rynku unijnym bez wprowadzania go do obrotu we własnym imieniu.
Ważna granica: firma, która rozwija własne narzędzie AI na bazie cudzego modelu (np. poprzez fine-tuning), może zostać uznana za dostawcę, co znacząco zmienia zakres jej obowiązków. Jako wdrażający należy dbać o to, by system był wykorzystywany zgodnie z instrukcją dostawcy i by dane wejściowe nie naruszały prywatności osób trzecich. Warto przejrzeć umowy z dostawcami SaaS i upewnić się, że techniczna zgodność z AI Act leży po ich stronie.
Budowanie systemów zarządzania i dokumentacji
Dla systemów sklasyfikowanych jako wysokiego ryzyka (Załącznik III) dostosowanie się do AI Act wymaga stworzenia profesjonalnego systemu zarządzania jakością oraz dokumentacji technicznej. Firma musi być w stanie wykazać, że kontroluje działanie algorytmu, a dane użyte do trenowania są rzetelne i nie wprowadzają dyskryminacji.
Istotne rozróżnienie: jako wdrażający nie odpowiadasz za dane treningowe – to obowiązek dostawcy. Twoja odpowiedzialność dotyczy natomiast danych wejściowych i kontekstu użycia systemu.
Ważnym elementem jest też nadzór ludzki (human oversight), co oznacza, że maszyna nigdy nie powinna podejmować kluczowych decyzji bez możliwości ich weryfikacji przez człowieka. Takie podejście chroni przed niekontrolowanymi skutkami błędów AI, które mogą prowadzić do pozwów o dyskryminację lub naruszenie dóbr osobistych.
Transparentność i komunikacja z użytkownikiem
AI Act kładzie ogromny nacisk na to, by ludzie wiedzieli, że mają do czynienia ze sztuczną inteligencją. Jeśli korzystacie z chatbotów w obsłudze klienta, generujecie treści lub wizerunki przy użyciu AI, musicie o tym jasno informować.
Obowiązek ujawniania dotyczy w szczególności treści – obrazów, dźwięków i tekstów – które zostały wygenerowane lub zmanipulowane przez AI, jeśli mogą zostać uznane za autentyczne (deep fakes).
Transparentność to nie tylko obowiązek prawny, ale też sposób na budowanie zaufania klientów. Warto zaktualizować polityki prywatności i przygotować komunikaty informujące użytkowników o stosowaniu AI.
Edukacja personelu jako klucz do bezpieczeństwa
Nawet najlepsze procedury zawiodą, jeśli pracownicy nie będą rozumieć zagrożeń płynących z niekontrolowanego używania AI. Program budowania świadomości (AI Literacy) powinien być stałym elementem szkolenia każdego nowego pracownika. Ludzie muszą wiedzieć:
- jakich poufnych danych firmy nie wolno wprowadzać do publicznych modeli językowych;
- jak weryfikować wyniki pracy AI, aby nie opierać się na tzw. halucynacjach modelu;
- jakie są wewnętrzne zasady dopuszczalnego użycia narzędzi AI.
Świadomy zespół to najlepsza bariera przed wyciekami danych i błędami, które mogłyby narazić firmę na kontrolę organów nadzorczych.
Podsumowanie
Skuteczne dostosowanie się do AI Act wymaga połączenia wiedzy technicznej z prawną, ale nie musi być paraliżujące dla biznesu.
Praktyczna rada: już teraz dodajcie do wszystkich nowych umów z dostawcami oprogramowania klauzule gwarantujące, że ich produkt będzie spełniał wymogi AI Act w momencie wejścia w życie odpowiednich terminów.
Taki ruch pozwoli uniknąć kosztownych wymian systemów i przerzuci część ryzyka na podmiot, który faktycznie kontroluje kod źródłowy algorytmu. Pamiętajcie też o harmonogramie – część obowiązków już obowiązuje, część wejdzie w życie w 2026 i 2027 roku.
ℹ️ FAQ – Najczęściej zadawane pytania
1. Czy każda firma musi dostosować się do AI Act?
Tak. AI Act jest rozporządzeniem unijnym i obowiązuje bezpośrednio – dotyczy wszystkich podmiotów, które używają systemów AI na terenie UE lub wprowadzają je do obrotu, niezależnie od wielkości firmy.
2. Jakie kary grożą za naruszenie AI Act?
Kary są bardzo wysokie. Za naruszenia zakazów stosowania systemów AI – do 35 mln euro lub 7% światowego rocznego obrotu. Za inne naruszenia – od 7,5 mln euro lub 1% obrotu, w zależności od rodzaju naruszenia i wielkości firmy.
3. Czy korzystanie z ChatGPT w biurze jest bezpieczne?
Jest dopuszczalne, pod warunkiem posiadania wewnętrznej polityki korzystania z AI. Pracownicy muszą wiedzieć, jakich danych nie mogą tam wprowadzać, aby nie naruszyć tajemnicy przedsiębiorstwa ani danych osobowych.
4. Co to są systemy AI wysokiego ryzyka?
Systemy AI wysokiego ryzyka są enumeratywnie wymienione w Załączniku III do AI Act. Należą do nich m.in. algorytmy oceniające kandydatów do pracy, systemy analizujące zdolność kredytową oraz narzędzia do nadzoru biometrycznego. Klasyfikacja wymaga odniesienia do konkretnych pozycji Załącznika – nie wystarczy ogólny opis.
5. Czy muszę oznaczać zdjęcia wygenerowane przez AI?
Tak. AI Act nakłada obowiązek ujawniania, że treści (obrazy, dźwięki, teksty) zostały wygenerowane lub zmanipulowane przez AI, zwłaszcza jeśli mogą zostać uznane za autentyczne.
6. Jestem dostawcą SaaS – czy jestem dostawcą w rozumieniu AI Act?
To zależy od charakteru produktu. Jeśli rozwijasz narzędzie AI i wprowadzasz je do obrotu pod własną nazwą, jesteś dostawcą z pełnym zakresem obowiązków. Jeśli natomiast korzystasz z cudzego modelu i jedynie go konfigurujesz, możesz być traktowany jako wdrażający. Granica bywa płynna – szczególnie gdy firma prowadzi fine-tuning modelu.
