AI Act – co to jest i dlaczego zmienia wszystko?

Nowe ramy prawne dla sztucznej inteligencji w UE

AI Act to rozporządzenie (UE) 2024/1689 ustanawiające pierwsze na świecie kompleksowe, horyzontalne zasady dla systemów sztucznej inteligencji na rynku unijnym. W przeciwieństwie do sektorowych regulacji, obejmuje ono cały cykl życia systemu AI – od projektowania i trenowania modeli, przez ich wprowadzanie do obrotu, aż po eksploatację i nadzór, koncentrując się na ochronie zdrowia, bezpieczeństwa i praw podstawowych obywateli.

Rozporządzenie przyjmuje podejście oparte na ryzyku: im wyższy potencjalny wpływ systemu AI na ludzi i społeczeństwo, tym ostrzejsze wymagania organizacyjne i techniczne dla podmiotów, które go tworzą i wykorzystują. Jednocześnie ma ograniczać obciążenia dla mniej ryzykownych zastosowań, aby nie blokować innowacji.

Geneza AI Act: od propozycji do obowiązującego prawa

Komisja Europejska zaproponowała AI Act w kwietniu 2021 r. jako element szerszej strategii cyfrowej UE i odpowiedź na rosnące wykorzystanie AI w obszarach wrażliwych, takich jak zdrowie, zatrudnienie czy sektor publiczny. Celem od początku było stworzenie „kodeksu bezpieczeństwa” dla sztucznej inteligencji, podobnego do istniejących ram dla wyrobów medycznych czy maszyn, ale obejmującego także systemy czysto software’owe.

Po wieloletnich negocjacjach między Parlamentem Europejskim, Radą i Komisją osiągnięto polityczne porozumienie w grudniu 2023 r., a ostateczny tekst rozporządzenia opublikowano w Dzienniku Urzędowym UE 12 lipca 2024 r. Zgodnie z zasadami prawa unijnego akt wszedł w życie 1 sierpnia 2024 r., stając się obowiązującym elementem porządku prawnego we wszystkich państwach członkowskich jednocześnie.

Wejście w życie i harmonogram stosowania

Wejście w życie (1 sierpnia 2024 r.) nie oznaczało, że wszystkie obowiązki zaczęły obowiązywać od razu – AI Act ma rozłożoną w czasie, kilkuletnią ścieżkę stosowania. Taki model ma dać czas administracji i biznesowi na zbudowanie struktur nadzoru, procesów zgodności i narzędzi technicznych, szczególnie dla systemów wysokiego ryzyka.

Najważniejsze daty wynikające z art. 113 AI Act i analizy prawnej są następujące:

Klasy ryzyka w AI Act

AI Act dzieli systemy AI na cztery główne kategorie ryzyka: niedopuszczalne, wysokie, ograniczone i minimalne (lub brak szczególnego ryzyka). Kategorie te przekładają się bezpośrednio na intensywność wymagań – od całkowitego zakazu po brak szczególnych obowiązków poza ogólną starannością.

Systemy o niedopuszczalnym ryzyku – np. społeczne punktowanie obywateli czy manipulacyjne systemy wykorzystujące podatność określonych grup – są wprost zakazane. Systemy wysokiego ryzyka, typowo używane w obszarach takich jak zdrowie, edukacja, zatrudnienie, infrastruktura krytyczna czy egzekwowanie prawa, muszą spełniać rygorystyczne wymogi dotyczące zarządzania ryzykiem, jakości danych, dokumentacji, nadzoru człowieka, cyberbezpieczeństwa i rejestrowania zdarzeń.

Kogo obejmuje AI Act: dostawcy, użytkownicy i inni uczestnicy rynku

AI Act nie jest regulacją wyłącznie „dla big techu” – obejmuje cały łańcuch podmiotów uczestniczących w rozwoju i eksploatacji systemów AI. Rozporządzenie stosuje się m.in. do dostawców wprowadzających systemy AI lub modele GPAI na rynek UE, podmiotów wdrażających (deployerów) systemy w swojej działalności, importerów i dystrybutorów, a także producentów produktów, którzy łączą AI z wyrobami objętymi innymi regulacjami (np. wyroby medyczne).

Podobnie jak RODO, AI Act ma zasięg eksterytorialny: dotyczy nie tylko podmiotów z siedzibą w UE, lecz także tych spoza UE, jeżeli wprowadzają systemy AI na rynek unijny lub ich wyniki są wykorzystywane w Unii. Przykładowo amerykańska firma sprzedająca oprogramowanie AI do klientów w Europie będzie objęta AI Act, nawet jeśli cała infrastruktura techniczna znajduje się poza UE.

RODO vs AI Act: różny zakres i przedmiot regulacji

RODO (GDPR) i AI Act często pojawiają się w jednym zdaniu, ale regulują coś zupełnie innego: pierwsze dotyczy ochrony danych osobowych, drugie – bezpieczeństwa i odpowiedzialnego użycia systemów AI jako takich. Ten sam system może podlegać jednocześnie obu aktom, jeżeli wykorzystuje dane osobowe i mieści się w jednej z kategorii ryzyka zdefiniowanych przez AI Act.

Adresaci i role: administrator vs provider/deployer

W RODO centralną figurą jest osoba, której dane dotyczą, oraz podmioty decydujące o sposobie przetwarzania (administrator) lub działające w jego imieniu (podmiot przetwarzający). Kluczowe pytanie brzmi: „kto kontroluje cele i sposoby przetwarzania danych osobowych?”.

AI Act wprowadza własną siatkę pojęciową, skupioną na cyklu życia systemu AI: dostawca to podmiot, który rozwija system AI lub model GPAI i wprowadza go na rynek, natomiast deployer to organizacja, która wykorzystuje system w ramach swojej działalności zawodowej. Te role mogą się nakładać – np. dostawca rozwiązania chmurowego z AI będzie często jednocześnie administratorem danych na gruncie RODO i dostawcą systemu wysokiego ryzyka na gruncie AI Act.

W praktyce oznacza to, że umowy między stronami muszą równocześnie spełniać wymagania RODO (np. umowy powierzenia, art. 28) i AI Act (podział obowiązków dotyczących nadzoru człowieka, zarządzania ryzykiem czy aktualizacji modeli). Niektóre scenariusze będą wymagały skoordynowania oceny skutków dla ochrony danych (DPIA) z oceną wpływu na prawa podstawowe z perspektywy AI Act.

Dlaczego AI Act „zmienia wszystko”

Po pierwsze, AI Act traktuje systemy sztucznej inteligencji jak produkty wysokiego ryzyka, wymagające certyfikacji, oznakowania CE, dokumentacji technicznej i rejestracji w unijnej bazie dla wielu zastosowań wysokiego ryzyka. To przesuwa AI z etapu „eksperymentalnego projektu IT” do kategorii regulowanego produktu, podobnie jak w przypadku wyrobów medycznych czy urządzeń bezpieczeństwa.

Po drugie, w wielu projektach AI do gry wchodzi podwójny reżim: jednoczesne stosowanie RODO i AI Act, z kumulacją obowiązków i potencjalnych sankcji. Naruszenie zasad ochrony danych może skutkować karą do 4% globalnego obrotu, a naruszenie zakazu stosowania określonych praktyk AI – do 7% obrotu, co razem tworzy bardzo silny bodziec do inwestycji w compliance.

Po trzecie, podobnie jak RODO, AI Act ma ambicję stać się standardem de facto również poza UE – firmy globalne, które chcą sprzedawać systemy AI w Europie, będą często wdrażać te same standardy techniczne i organizacyjne we wszystkich regionach. Dla polskich organizacji oznacza to, że wymagania AI Act będą w praktyce wyznaczać minimalny poziom „cywilizowanego” wykorzystania AI także w relacjach z partnerami spoza Unii.

Praktyczne konsekwencje dla firm i instytucji

Dla organizacji korzystających z AI (banków, firm technologicznych, szpitali, administracji publicznej, uczelni itd.) AI Act oznacza konieczność systemowego podejścia do zarządzania ryzykiem związanym z algorytmami. Nie wystarczy opis „używamy trochę machine learningu” – potrzebny będzie pełny rejestr systemów, ich klasyfikacja ryzyka oraz przypisanie ról (dostawca/deployer) i odpowiedzialności.

Kluczowe praktyczne kroki to m.in.:

• Inwentaryzacja wszystkich systemów i funkcji wykorzystujących AI (w tym modeli dostarczanych przez zewnętrznych vendorów i usługi chmurowe).
• Klasyfikacja każdego systemu według kategorii ryzyka z AI Act oraz sprawdzenie, czy przetwarza dane osobowe (co aktywuje także RODO).
• Wdrożenie procesów zarządzania ryzykiem, dokumentacji technicznej, testowania, monitoringu i nadzoru człowieka dla systemów wysokiego ryzyka.
• Uporządkowanie umów z dostawcami (SaaS, chmura, integratorzy) tak, aby jasno określały obowiązki stron zarówno z perspektywy RODO, jak i AI Act.
• Szkolenia z zakresu „AI literacy” dla zespołów biznesowych, IT, prawnych i compliance, ponieważ obowiązek podnoszenia kompetencji użytkowników jest wyraźnie wskazany w rozporządzeniu.

Co zrobić już teraz?

Mimo że większość wymogów wysokiego ryzyka zacznie w pełni obowiązywać w 2026 r., organizacje nie powinny czekać do ostatniej chwili – doświadczenia z wdrażania RODO pokazały, że projekty zgodności tego kalibru trwają lata. Szczególnie złożone będą projekty w instytucjach finansowych, ochronie zdrowia, sektorze publicznym i dużych platformach cyfrowych, gdzie systemy AI są często rozproszone i głęboko zintegrowane z procesami biznesowymi.

Praktyczne minimum na najbliższe miesiące to:

• Wyznaczenie właściciela obszaru AI governance (np. w pionie compliance lub ryzyka) i zbudowanie interdyscyplinarnego zespołu z udziałem IT, prawników, bezpieczeństwa i biznesu.
• Stworzenie mapy systemów AI i powiązań z danymi osobowymi, procesami biznesowymi i zewnętrznymi dostawcami.
• Przegląd strategii wykorzystania modeli ogólnego przeznaczenia (GPAI), takich jak duże modele językowe, w świetle nadchodzących obowiązków dokumentacyjnych i oceny ryzyka systemowego.
• Zaplanowanie spójnego podejścia do DPIA (RODO) i ocen wpływu wymaganych przez AI Act, tak aby uniknąć dublowania analiz i rozbieżnych wniosków.
• Uwzględnienie wymogów AI Act w nowych projektach już na etapie analizy i projektowania (privacy‑ & AI‑by‑design), zamiast prób „doklejania” zgodności tuż przed wdrożeniem.

Źródła

• European Commission – AI Act enters into force
• White & Case – Long awaited EU AI Act becomes law
• A&O Shearman – EU AI Act published: Key rules ahead of August 2024 start
• Glocert – EU AI Act Timeline & Key Dates
• AiActo – AI Act vs GDPR: Key Differences and Complementarity
• activeMind – GDPR and AI Act: similarities and differences
• artificial-intelligence-act.com – EU Artificial Intelligence Act overview
• IBM – What is the EU AI Act?
• GDPR Advisor – GDPR fines and penalties