Rozwój sztucznej inteligencji przyspieszył cyfryzację procesów biznesowych, ale jednocześnie ujawnił nowe ryzyka prawne, etyczne i organizacyjne. Odpowiedzią Unii Europejskiej na te wyzwania jest AI Act, czyli Rozporządzenie Parlamentu Europejskiego i Rady w sprawie sztucznej inteligencji, przyjęte w marcu 2024 roku. To pierwsza na świecie tak kompleksowa regulacja AI, która podobnie jak RODO, wpłynie na sposób projektowania, wdrażania i wykorzystywania technologii w firmach.
Z tego artykułu dowiesz się:
Czym jest AI Act i jaki jest cel tej regulacji?
AI Act (EU Artificial Intelligence Act) to rozporządzenie unijne, którego celem jest zrównoważenie innowacyjności z ochroną praw podstawowych, takich jak prywatność, równość, bezpieczeństwo i niedyskryminacja. Regulacja powstała w odpowiedzi na dynamiczny rozwój systemów AI, zdolnych m.in. do generowania treści (np. ChatGPT), rozpoznawania twarzy, analizowania zachowania użytkowników czy tworzenia tzw. deepfake’ów.
Komisja Europejska zaproponowała AI Act już 21 kwietnia 2021 r., jednak końcowy kształt regulacji został przyjęty dopiero w 2024 r., po intensywnych pracach legislacyjnych i konsultacjach z rynkiem.
Parlament Europejski przyjął rozporządzenie 13 marca 2024 r., a Rada UE zatwierdziła je jednogłośnie 21 maja 2024 r.
Cel regulacji jest jasny – umożliwić dalszy rozwój AI w UE, ale pod warunkiem, że systemy te będą bezpieczne, transparentne i kontrolowalne przez człowieka.
Jak AI Act definiuje system sztucznej inteligencji?
Regulacja wprowadza precyzyjną, prawną definicję systemu sztucznej inteligencji. Za system AI uznaje się system maszynowy, który spełnia jednocześnie kilka warunków. Po pierwsze, działa z określonym poziomem autonomii po wdrożeniu, czyli wykonuje zadania bez ciągłej ingerencji człowieka. Po drugie, wykazuje zdolność adaptacji – potrafi uczyć się na podstawie nowych danych i modyfikować swoje działanie.
Według rozporządzenia system AI wnioskuje, jak generować wyniki (np. rekomendacje, decyzje, treści) na podstawie danych wejściowych oraz że jego działanie może wpływać na środowisko fizyczne lub cyfrowe.
Oznacza to, że regulacją objęte są nie tylko zaawansowane modele generatywne, ale także systemy automatyzujące decyzje w procesach biznesowych, logistyce, HR czy finansach.
Kategorie systemów AI według poziomu ryzyka
Jednym z ważniejszych elementów AI Act jest podejście oparte na analizie ryzyka. Rozporządzenie dzieli systemy AI na cztery główne kategorie, a od tej klasyfikacji zależy zakres obowiązków po stronie firm.
Systemy AI minimalnego ryzyka – to te, które nie stwarzają istotnego zagrożenia dla użytkowników ani społeczeństwa. Należą do nich m.in. gry komputerowe wykorzystujące AI czy filtry antyspamowe. Dla tej kategorii nie przewidziano dodatkowych obowiązków regulacyjnych, szacuje się, że większość obecnych rozwiązań AI na rynku UE ma trafić właśnie do tej grupy.
Systemy AI niskiego (ograniczonego) ryzyka – czyli m.in. chatboty i systemy generujące treści. AI Act wprowadza tu obowiązek transparentności – użytkownik musi wiedzieć, że ma do czynienia z systemem sztucznej inteligencji. Przykładowo, treści generowane przez AI lub deepfake’i muszą być odpowiednio oznaczane.
Systemy AI wysokiego ryzyka – to najbardziej wymagająca kategoria z perspektywy firm. Obejmuje systemy AI wykorzystywane w obszarach wrażliwych, takich jak medycyna, transport, rekrutacja, scoring kredytowy czy systemy będące elementem bezpieczeństwa produktów regulowanych prawem UE. Wymagane będą m.in. oceny ryzyka, dokumentacja techniczna, nadzór człowieka oraz procedury monitorowania działania systemu po wdrożeniu.
Systemy AI niedopuszczalnego ryzyka – AI Act wprost zakazuje określonych praktyk, uznanych za sprzeczne z prawami podstawowymi UE. Dotyczy to m.in. systemów przewidujących ryzyko popełnienia przestępstwa przez osoby fizyczne czy zdalnej identyfikacji biometrycznej w czasie rzeczywistym w wykorzystywaną w systemie scoringu społecznego.
Harmonogram wdrażania AI Act – kiedy i co zacznie obowiązywać?
AI Act wszedł w życie 1 sierpnia 2024 r., jednak jego przepisy są wdrażane stopniowo, aby umożliwić firmom dostosowanie się do nowych wymagań.
Po 6 miesiącach obowiązkowe stały się ograniczenia dotyczące systemów AI o wysokim ryzyku i zakazy dla tych o niedopuszczalnym ryzyku.
Po 9 miesiącach Europejskie Biuro ds. Sztucznej Inteligencji (European AI Office) zostało zobowiązane do udostępnienia kodeksu postępowania, w szczególności dla dostawców modeli GPAI.
Po 12 miesiącach nowe obowiązki objęły dostawców modeli AI ogólnego przeznaczenia wprowadzanych na rynek UE.
Po 18 miesiącach zacznie obowiązywać akt wykonawczy dotyczący monitorowania systemów AI po wdrożeniu.
Już od 2 lutego na terenie całej Unii Europejskiej zacznie obowiązywać bezwzględny zakaz stosowania oraz wprowadzania do obrotu systemów sztucznej inteligencji uznanych za szczególnie niebezpieczne i zakwalifikowanych jako praktyki niedopuszczalne.
Naruszenie przepisów rozdziału II AI Act może skutkować nałożeniem dotkliwych sankcji administracyjnych – do 35 mln euro lub do 7% globalnego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.
Jak AI Act będzie funkcjonować w Polsce?
Polska jako państwo członkowskie, jest zobowiązana do wdrożenia działań, zawartych w rozporządzeniu AI Act. Najprawdopodobniej odbędzie się to bez konieczności implementacji do krajowego porządku prawnego w drodze ustawy, tak jak miało to miejsce w przypadku RODO.
Oznacza to, że od momentu pełnego wejścia w życie przepisów, wszystkie podmioty działające na terytorium Polski, które projektują, wdrażają lub wykorzystują systemy sztucznej inteligencji, będą zobowiązane do stosowania się do wymogów określonych w AI Act.
Jednocześnie, rozporządzenie nakłada na państwa UE obowiązek zbudowania krajowego systemu nadzoru i egzekwowania przepisów, co będzie miało duże znaczenie dla praktycznego funkcjonowania AI Act w Polsce.
Krajowe organy ds. sztucznej inteligencji – obowiązek państwa członkowskiego
Zgodnie z AI Act każde państwo członkowskie UE musi wyznaczyć co najmniej jeden krajowy organ właściwy odpowiedzialny za nadzór nad stosowaniem przepisów dotyczących sztucznej inteligencji. Organy te będą pełnić funkcję analogiczną do organów nadzorczych znanych z RODO (np. Prezesa UODO), ale w obszarze AI.
Do ich zadań należeć będzie m.in.:
- nadzorowanie zgodności systemów AI z przepisami AI Act,
- kontrola systemów AI wysokiego ryzyka wdrażanych lub wykorzystywanych na terytorium Polski,
- przyjmowanie i rozpatrywanie zgłoszeń dotyczących naruszeń przepisów,
- współpraca z innymi organami krajowymi oraz z instytucjami unijnymi,
- nakładanie kar administracyjnych w przypadku stwierdzenia nieprawidłowości.
Państwa członkowskie będą miały swobodę w zakresie modelu organizacyjnego, co oznacza, że Polska może powołać nowy, wyspecjalizowany organ ds. AI albo przypisać kompetencje istniejącym instytucjom (np. regulatorom sektorowym), tworząc jednocześnie mechanizm koordynacji między nimi.
AI Act przewiduje również wyznaczenie przez państwa członkowskie organów notyfikujących, odpowiedzialnych za ocenę i certyfikację jednostek badających zgodność systemów AI wysokiego ryzyka. To oznacza, że w Polsce pojawi się system instytucjonalny umożliwiający:
- ocenę zgodności systemów AI przed ich wprowadzeniem na rynek,
- kontrolę dokumentacji technicznej, procesów zarządzania ryzykiem i mechanizmów nadzoru człowieka,
- nadzorowanie systemów AI już po ich wdrożeniu.
Dla firm oznacza to, że kontakt z organami krajowymi stanie się realnym elementem procesu wdrażania AI, szczególnie w obszarach regulowanych (finanse, HR, transport, zdrowie, administracja publiczna).
Współpraca z instytucjami unijnymi – rola Europejskiej Rady ds. AI
Krajowe organy w Polsce nie będą działać w oderwaniu od struktur unijnych. AI Act powołuje Europejską Radę ds. Sztucznej Inteligencji, która będzie koordynować działania nadzorcze na poziomie UE oraz zapewniać jednolite stosowanie przepisów.
Polski organ nadzorczy będzie zobowiązany do wymiany informacji z innymi państwami członkowskimi, udziału w pracach Rady, stosowania wspólnych wytycznych i interpretacji przepisów oraz reagowania na decyzje podejmowane na poziomie unijnym, zwłaszcza w odniesieniu do modeli AI ogólnego przeznaczenia (GPAI).
Co to oznacza dla firm działających w Polsce?
Z perspektywy przedsiębiorstw AI Act wprowadza nową rzeczywistość regulacyjną, w której kontakt z krajowym organem ds. AI stanie się równie istotny, jak dziś kontakt z organem ochrony danych osobowych.
Organizacje będą musiały nie tylko dostosować swoje systemy do wymogów technicznych i prawnych, ale również przygotować się na audyty i kontrole, obowiązki sprawozdawcze, postępowania wyjaśniające, a nawet ryzyko kar administracyjnych za brak zgodności.
Od 2 lutego tego roku zacznie obowiązywać również wymóg zapewnienia kompetencji w zakresie sztucznej inteligencji, tzw. AI Literacy, wynikający z art. 4 AI Act. Przepis ten nakłada na pracodawców, zarówno dostawców, jak i podmioty wykorzystujące systemy AI, obowiązek podejmowania działań mających na celu wyposażenie pracowników w odpowiednią wiedzę i umiejętności niezbędne do bezpiecznego i świadomego korzystania z rozwiązań opartych na AI.
Wdrożenie AI przestanie być wyłącznie projektem technologicznym, a stanie się procesem wymagającym zarządzania zgodnością, dokumentacją i relacjami z organami nadzorczymi.
