Unijny akt o sztucznej inteligencji czyli kilka słów o AI Act

12 lipca 2024 r. opublikowane zostało Rozporządzenie Parlamentu Europejskiego i Rady (EU) o sztucznej inteligencji. Dokument ma istotne znaczenie dla wszystkich podmiotów, które dostarczają lub korzystają z rozwiązań opartych na sztucznej inteligencji (AI). Dokument określa szereg obowiązków dla podmiotów, które mają zamiar wdrożyć lub użytkować sztuczną inteligencje na terenie Unii Europejskiej. Jeżeli jesteś dostawcą systemów AI lub (oraz) podmiotem korzystającym z AI i masz siedzibę w UE to podlegasz pod AI Act.

r. pr. Patryk Skłodowski 3 listopada 2025

Unijny akt o sztucznej inteligencji czyli kilka słów o AI Act.

Czym jest AI Act oraz kogo dotyczy?

AI Act to pierwsza regulacja określająca zasady stosowania sztucznej inteligencji (AI). Regulacja ma kluczowe znaczenie nie tylko dla podmiotów, które tworzą rozwiązania oparte na AI (z ang. providers = dostawcy AI) i mają zamiar je dostarczać innym podmiotom, ale również dla podmiotów, które korzystają ze sztucznej inteligencji (bez kontroli nad nią) w ramach własnej działalności (z ang. deployers = wdrażający AI). Co istotne AI Act tworzy definicje systemu AI. Definicja systemu sztucznej inteligencji – według AI Act:

(…) „system maszynowy, który został zaprojektowany do działania z różnym poziomem autonomii po jego wdrożeniu oraz który może wykazywać zdolność adaptacji po jego wdrożeniu, a także który – na potrzeby wyraźnych lub dorozumianych celów – wnioskuje, jak generować na podstawie otrzymanych danych wejściowych wyniki, takie jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne lub wirtualne”.

Co istotne w motywie 12 AI Act dookreślone co należy rozumieć przez „system AI”. Wskazano tam, że (…) „Jedną z kluczowych cech systemów AI jest ich zdolność do wnioskowania. Ta zdolność do wnioskowania odnosi się do procesu uzyskiwania wyników, takich jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne i wirtualne, oraz do zdolności systemów AI do tworzenia modeli lub algorytmów na podstawie informacji wejściowych lub danych. Techniki, które umożliwiają wnioskowanie podczas tworzenia systemu AI, obejmują mechanizmy uczenia maszynowego, które na podstawie danych uczą się, jak osiągnąć określone cele, oraz podejścia oparte na logice i wiedzy, które polegają na wnioskowaniu na podstawie zakodowanej wiedzy lub symbolicznego przedstawienia zadania, które należy rozwiązać. Zdolność systemu AI do wnioskowania wykracza poza podstawowe przetwarzanie danych w wyniku umożliwiania uczenia się, rozumowania lub modelowania. Termin „maszynowy” odnosi się do faktu, że systemy AI działają z wykorzystaniem maszyn. Odniesienie do wyraźnych lub dorozumianych celów podkreśla, że systemy AI mogą działać według jasno określonych lub dorozumianych celów.”

Dlaczego AI Act jest ważne?

Regulacje AI Act wprowadzają nie tylko szereg obowiązków w związku z korzystaniem ze sztucznej inteligencji lub jej dostarczeniem, ale przede wszystkim przypisują kategorie poszczególnym systemom AI. AI Act dokonuje rozróżnienia na systemy cechujące się wysokim poziomem ryzyka ale również na te z których korzystanie jest zabronione.

Wszystkie kategorie systemów AI opisane są poniżej w tabeli.

AI – nieakceptowalny poziom ryzyka – te systemy AI nie mogą być stosowane. Zaliczyć do nich można m.in.: systemy stosujące techniki podprogowe, systemy stosujące techniki manipulacyjne, systemy wykorzystujące słabości ludzkie celem zmiany ich zachowania, systemy służące do tzw. scoringu społecznego, systemy predykcyjne, oceniające możliwość popełnienia przestępstwa.
AI wysokiego ryzyka – te systemy wymagają spełnienia szczególnych norm i przepisów bezpieczeństwa o których mowa w załącznikach do AI Act. Dodatkowo te systemy AI objęte są dodatkowymi obowiązkami. Przede wszystkim chodzi tutaj o odpowiednie zarządzanie ryzykiem oraz posiadanie stosownej dokumentacji.
AI ograniczonego ryzyka – w ramach takich systemów nakłada się pewne obowiązki, związane z zachowaniem przejrzystości działania tych systemów AI.
AI minimalnego ryzyka – te systemy nie wymagają żadnych specjalnych obowiązków oraz realizacji wymogów prawnych. Co istotne do tych systemów zaliczają się wszystkie te systemy, które nie mogą być uznane za systemy wysokiego bądź ograniczonego ryzyka.

Kiedy wejdzie w życie AI Act?

AI Act weszło w życie 1 sierpnia 2024 r. Warto jednak pamiętać, że stosowanie aktu ws. sztucznej inteligencji w całości nastąpi dopiero 2 sierpnia 2026 z zastrzeżeniem kilku dat, o których mowa poniżej.

02 lutego 2025 r. – wchodzą w życie zakazane praktyki dotyczące stosowania AI, o których mowa w rozdziale I i II AI Act.
02 sierpnia 2025 r. – wchodzą w życie zapisy dotyczące:
1. organów notyfikujących i jednostkach notyfikowanych w kontekście systemów AI wysokiego ryzyka (rozdział III sekcja 4 AI Act),
2. modeli AI ogólnego przeznaczenia (rozdział V AI Act),
3. zarządzania (rozdział VII AI Act),
4. kar (rozdział XII AI Act),
5. poufności (art. 78 AI Act).
02 sierpnia 2026 r. – wejście w życie art. 101 AI Act.
02 sierpnia 2027 r. – wchodzą w życie wymagania dotyczące systemów wysokiego ryzyka, określone w art. 6 ust. 1 AI Act.

Co grozi za brak przestrzegania AI Act?

Zgodnie z postanowieniami AI Act sankcje (wysokość kar) za naruszenie stosowania AI Act mają być określone przez regulacje krajowe. Tym samym wysokość kar z pewnością zostanie wskazana w ustawie o systemach sztucznej inteligencji, które będą miały charakter kar administracyjnych.

Warto jednak wskazać, że AI Act określa trzystopniowy system naruszeń AI Act, które należy określić jako pewne ramy do nakładania kar w przypadku naruszeń postanowień AI Act.

Nieprzestrzeganie zakazów z AI Act – najwyższe grzywny nakładane są za korzystanie z zakazanych systemów AI. Wysokość grzywny wynosi do 35 milionów euro lub do 7% rocznego obrotu przedsiębiorstwa.
Niezgodność z obowiązującymi wymaganiami (obowiązkami) z AI Act – nieprzestrzeganie obowiązków z AI Act podlega grzywnom w wysokości do 15 milionów euro lub do 3% rocznego obrotu przedsiębiorstwa.
Dostarczanie organom nadzorczym informacji nieprawidłowych, niekompletnych lub wprowadzających w błąd – w przypadku udzielenia na żądanie organów krajowych lub tzw. jednostek notyfikowanych odpowiedzi zawierającej informacje nieprawidłowe, niekompletne lub wprowadzające w błąd może podlegać karze grzywny w wysokości do 7,5 miliona euro lub 1% całkowitego obrotu przedsiębiorstwa.

AI Act a ustawa o systemach sztucznej inteligencji

16 października 2024 r. opublikowany został projekt ustawy o systemach sztucznej inteligencji. Obecnie ustawa jest po etapie konsultacji. Co istotne w ramach projektu ustawy wprowadzono m.in. następujące rozwiązania:

utworzenie Rady Społecznej ds. AI jako organu opiniodawczego;
możliwość wydawania przez Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI) interpretacji generalnych i indywidualnych dla firm oraz rekomendacji najlepszych praktyk dotyczących wykorzystywania sztucznej inteligencji;
możliwość składania skarg na naruszenie przepisów Aktu w sprawie sztucznej inteligencji, zwłaszcza w kwestii praktyk zakazanych;
wprowadzenie kar administracyjnych za naruszenia Aktu w sprawie sztucznej inteligencji;
wskazanie ministra właściwego do spraw informatyzacji jako organu odpowiedzialnego za notyfikowanie jednostek oceniających zgodność systemów sztucznej inteligencji.

AI Act a RODO

AI Act w swojej treści nie odnosi się do ochrony danych osobowych, tym samym w zakresie dotyczącym ochrony danych osobowych należy stosować postanowienia RODO. Warto podkreślić, że rozwiązania oparte na sztucznej inteligencji w ramach, których dochodzi do przetwarzania danych osobowych muszą być zgodne z RODO, nawet jeżeli przetwarzanie danych osobowych odbywa się w fazie testowania modeli AI. Co istotne EROD (Europejska Rada Ochrony Danych Osobowych) w opinii 28/2024 wydała wytyczne, które dotyczą przetwarzania danych osobowych w kontekście modeli sztucznej inteligencji.