AI Act to pierwsze na świecie kompleksowe rozporządzenie regulujące systemy sztucznej inteligencji w UE. Poniższe 40 pytań i odpowiedzi obejmuje zarówno podstawy prawne, jak i praktyczne różnice między używaniem chmurowych modeli (ChatGPT, Gemini, Claude) a lokalnymi systemami AI uruchamianymi na własnej infrastrukturze.
Podstawy prawne i zakres stosowania
Q1: Czym dokładnie jest AI Act?
To Rozporządzenie UE 2024/1689 – pierwszy na świecie akt prawny kompleksowo regulujący systemy sztucznej inteligencji. Bazuje na podejściu opartym na ryzyku: im wyższe potencjalne zagrożenie dla praw lub bezpieczeństwa człowieka, tym bardziej rygorystyczne wymagania.
Q2: Od kiedy AI Act w pełni obowiązuje?
Rozporządzenie weszło w życie 1 sierpnia 2024 r. Zakazy dotyczące niedopuszczalnych praktyk AI obowiązują od 2 lutego 2025 r. Przepisy dotyczące systemów wysokiego ryzyka stosowane są od 2 sierpnia 2026 r. – czyli już teraz.
Q3: Kogo obejmuje AI Act?
Cztery kategorie podmiotów: dostawców (twórców systemów AI), operatorów (firm wdrażających AI), importerów i dystrybutorów. Dotyczy też podmiotów stosujących AI w kontekście zawodowym, nawet jeśli jedynie konfigurują gotowe narzędzia.
Q4: Czy firmy spoza UE też muszą przestrzegać AI Act?
Tak – jeśli system AI jest udostępniany użytkownikom na terenie UE lub jego wyniki są używane w UE, dostawca podlega rozporządzeniu niezależnie od kraju siedziby. To ta sama zasada co w RODO.
Q5: Co jest wyłączone z zakresu AI Act?
Wyłączone są: systemy AI do celów wyłącznie prywatnych i niezawodowych, AI na potrzeby badań naukowych oraz systemy stosowane przez organy wojskowe i bezpieczeństwa narodowego.
Poziomy ryzyka
Q6: Jakie są cztery poziomy ryzyka?
- Niedopuszczalne – całkowity zakaz (social scoring, manipulacja podprogowa)
- Wysokie – rygorystyczne obowiązki przed wdrożeniem i w trakcie działania
- Ograniczone – głównie obowiązki informacyjne (chatboty, deepfake)
- Minimalne – brak szczególnych wymagań (filtry spamu, rekomendacje produktów)
Q7: Jakie systemy AI są całkowicie zakazane?
Zakazane są m.in.: systemy social scoringu, biometryczna identyfikacja w czasie rzeczywistym w przestrzeni publicznej, systemy manipulujące zachowaniem poniżej progu świadomości, narzędzia AI nakłaniające dzieci do zakupów przez grywalizację.
Q8: Co kwalifikuje system do kategorii „wysokiego ryzyka”?
Systemy wbudowane w krytyczną infrastrukturę, AI oceniająca dostęp do edukacji i zatrudnienia, narzędzia do scoringu kredytowego, systemy biometryczne, AI w wymiarze sprawiedliwości i zarządzaniu migracją.
Q9: Jakie obowiązki mają dostawcy systemów wysokiego ryzyka?
Wdrożenie systemu zarządzania ryzykiem, prowadzenie dokumentacji technicznej, zapewnienie nadzoru ludzkiego, przeprowadzenie oceny zgodności przed rynkiem oraz rejestracja systemu w unijnej bazie danych EU AI Act Database.
Q10: Jakie kary grożą za naruszenie?
Za naruszenie zakazów: do 35 mln EUR lub 7% rocznego obrotu. Za inne naruszenia: do 15 mln EUR lub 3% obrotu. Za wprowadzenie w błąd organów nadzoru: do 7,5 mln EUR lub 1,5% obrotu.
Użytkownicy ChatGPT i chmurowych modeli AI
Q11: Używam ChatGPT prywatnie. Czy AI Act mnie dotyczy?
Nie. Użycie AI wyłącznie do celów prywatnych i niezawodowych jest wprost wyłączone z zakresu rozporządzenia. Możesz pisać przepisy kulinarne czy tworzyć prywatne teksty bez żadnych obowiązków.
Q12: Używam ChatGPT w pracy. Co się zmienia?
Stajesz się „podmiotem stosującym” (deployer) w rozumieniu AI Act. Masz obowiązek zapewnienia AI literacy w zespole (art. 4 – już w mocy), stosowania AI zgodnie z przeznaczeniem i nieprzetwarzania danych w sposób naruszający RODO.
Q13: Jak sklasyfikowany jest ChatGPT w AI Act?
ChatGPT to model GPAI (General Purpose AI) o ograniczonym ryzyku w warstwie interakcji z użytkownikiem. OpenAI jako dostawca ma dodatkowe obowiązki: dokumentacja techniczna modelu, polityka praw autorskich, przestrzeganie unijnych zasad dotyczących treści.
Q14: Jakich danych NIE wolno wysyłać do ChatGPT i podobnych?
Danych osobowych klientów, numerów PESEL i dowodów tożsamości, poufnych strategii firmy, danych objętych tajemnicą zawodową (np. dokumentacji medycznej czy prawnej). Naruszenie może skutkować odpowiedzialnością na gruncie RODO niezależnie od AI Act.
Q15: Dlaczego niektóre funkcje ChatGPT są niedostępne w UE?
Dostawcy chmurowi muszą dostosować swoje produkty do wymogów AI Act i RODO. Część funkcji modeli GPAI (np. niektóre tryby agentowe) jest wstrzymana w Europie ze względu na wymagania przejrzystości i oceny ryzyka.
Q16: Czy muszę informować klientów, że używam AI w obsłudze?
Tak – jeśli klient kontaktuje się z chatbotem AI, musi być o tym wyraźnie poinformowany przed rozmową lub w jej trakcie. To wymóg art. 50 AI Act dotyczący systemów ograniczonego ryzyka.
Q17: Co z AI Act a wygenerowanymi przez AI obrazami lub wideo?
Treści syntetyczne (deepfake, wygenerowane wideo) muszą być oznakowane jako stworzone przez AI. Dostawca systemu generującego te treści ma obowiązek stosowania znakowania cyfrowego (np. watermarking) – to obowiązek po stronie twórcy modelu, nie końcowego użytkownika.
Q18: Czy AI Act dotyczy też integracji API ChatGPT w aplikacji?
Tak. Jeśli budujesz aplikację korzystającą z API OpenAI, jesteś operatorem. Musisz ocenić ryzyko swojego produktu końcowego, zapewnić właściwą dokumentację i przestrzegać ograniczeń wynikających z polityki OpenAI oraz AI Act.
Q19: Czy AI Act wpływa na umowy z dostawcami chmurowych modeli AI?
Tak. Dostawcy modeli GPAI muszą udostępnić operatorom dokumentację techniczną, warunki użytkowania i politykę praw autorskich. W praktyce oznacza to nowe klauzule w umowach SaaS i Terms of Service.
Q20: Jak AI Act ma się do RODO przy używaniu ChatGPT?
AI Act i RODO się uzupełniają – nie zastępują się nawzajem. Przetwarzanie danych osobowych przez ChatGPT podlega RODO, a sam system AI podlega AI Act. W praktyce należy mieć podstawę prawną do przetwarzania danych (RODO) i ocenić ryzyko systemu AI (AI Act).
Lokalny AI – co zmienia uruchomienie modelu na własnym serwerze?
Q21: Czym jest „lokalny model AI” w kontekście AI Act?
Lokalny model AI to system uruchamiany na własnej infrastrukturze (serwer, PC, NAS) bez przesyłania danych do zewnętrznych chmur. Przykłady: Llama 3, Mistral, Phi-3, Gemma 2 uruchamiane przez Ollama, LM Studio czy llama.cpp.
Q22: Czy uruchamiając Llama lokalnie, podlegam AI Act?
Jeśli robisz to wyłącznie do celów prywatnych – nie. Jeśli wdrażasz lokalny model jako narzędzie pracy lub usługę dla klientów, podlegasz AI Act jako operator. Twórca modelu (Meta w przypadku Llamy) jako dostawca ma własne obowiązki niezależnie od Ciebie.
Q23: Jakie są największe praktyczne różnice między ChatGPT a lokalnym modelem?
| Aspekt | ChatGPT (chmura) | Lokalny model (np. Llama) |
|---|---|---|
| Gdzie przetwarzane są dane | Serwery OpenAI (USA) | Twój własny sprzęt |
| Ryzyko wycieku danych | Wyższe – dane opuszczają organizację | Niższe – dane zostają lokalnie |
| Obowiązki RODO | Umowa powierzenia z OpenAI | Brak powierzenia zewnętrznemu podmiotowi |
| Obowiązki AI Act (operator) | Tak, jeśli zawodowo | Tak, jeśli zawodowo |
| Kontrola nad modelem | Brak – OpenAI decyduje o zmianach | Pełna – sam zarządzasz wersją modelu |
| Koszt skalowania | Per token / miesięczna subskrypcja | Jednorazowy koszt infrastruktury |
| Jakość modelu | Bardzo wysoka (GPT-4o, o3) | Zależy od modelu i sprzętu GPU |
Q24: Czy lokalny model AI eliminuje obowiązki RODO?
Nie eliminuje RODO, ale upraszcza sytuację. Nie masz obowiązku zawierania umowy powierzenia przetwarzania danych z zewnętrznym dostawcą – dane pozostają w kontrolowanym przez Ciebie środowisku. Nadal jednak musisz przestrzegać zasad RODO: minimalizacji danych, bezpieczeństwa, retencji.
Q25: Czy lokalny model AI to sposób na ominięcie AI Act?
Nie. AI Act nie skupia się na tym, gdzie fizycznie działa model, ale na tym, jak jest używany i jaki wpływ wywiera. Lokalny model używany np. do scoringu pracowników lub oceny zdolności kredytowej nadal jest systemem wysokiego ryzyka.
Q26: Jakie są obowiązki firmy uruchamiającej lokalny model open source?
Firma staje się operatorem – musi zapewnić AI literacy pracownikom (art. 4), monitorować działanie systemu, nie stosować go do celów zakazanych i prowadzić odpowiednią dokumentację użycia. Obowiązki twórcy modelu spoczywają natomiast na organizacji publikującej model (np. Meta, Mistral AI).
Q27: Czy modele open source mają lżejsze wymogi w AI Act?
Tak – dostawcy modeli open source mają mniej obowiązków niż dostawcy modeli komercyjnych, pod warunkiem że model jest udostępniany na licencji open source i nie jest stosowany do celów wysokiego ryzyka. Jednak jeśli lokalny model open source jest wdrażany przez firmę jako system wysokiego ryzyka, operator ponosi pełną odpowiedzialność.
Q28: Czy lokalne LLM (Large Language Models) są bezpieczniejsze z perspektywy AI Act?
Z perspektywy ochrony danych – często tak, bo dane nie opuszczają organizacji. Z perspektywy AI Act – nie ma automatycznie niższego ryzyka. Liczy się zastosowanie systemu, nie jego lokalizacja. Lokalny model używany do rekrutacji to nadal system wysokiego ryzyka.
Q29: Co oznacza AI literacy dla firmy używającej lokalnych modeli?
Art. 4 AI Act (obowiązujący od 2025 r.) wymaga zapewnienia pracownikom wiedzy o AI proporcjonalnej do ich roli. Dotyczy to zarówno użytkowników ChatGPT, jak i firm hostujących własne modele – administratorzy systemów AI powinni rozumieć zasady działania, ograniczenia i ryzyka stosowanych narzędzi.
Q30: Czy uruchomienie lokalnego modelu do analizy dokumentów prawnych to wysokie ryzyko?
Samo przetwarzanie dokumentów niekoniecznie. Jeśli jednak model jest używany do wspierania decyzji w postępowaniach sądowych lub administracyjnych (np. sugeruje wyrok lub decyzję organu), wchodzi w zakres systemów wysokiego ryzyka (Załącznik III AI Act).
Lokalny AI a e-commerce i praktyczne zastosowania
Q31: Czy lokalny chatbot obsługi klienta wymaga oznaczeń AI?
Tak. Obowiązek informowania klienta o rozmowie z systemem AI (art. 50) dotyczy wszystkich chatbotów – niezależnie od tego, czy model działa w chmurze OpenAI, czy na Twoim serwerze. Lokalizacja modelu nie ma znaczenia dla tego wymogu.
Q32: Sklep ma lokalny model do dynamicznego ustalania cen. Czy to wysokie ryzyko?
Dynamic pricing oparty wyłącznie na podaży i popycie to ryzyko minimalne. Problem pojawia się, gdy model personalizuje ceny na podstawie danych wrażliwych (wiek, lokalizacja wskazująca na zamożność, historia medyczna). Takie zastosowanie może przekroczyć próg ograniczonego lub wysokiego ryzyka.
Q33: Jaka jest różnica w obsłudze incydentów między chmurą a modelem lokalnym?
Przy modelu chmurowym część odpowiedzialności za incydenty (awarie, błędy, naruszenia) spoczywa na dostawcy zgodnie z umową SLA. Przy modelu lokalnym całość odpowiedzialności operacyjnej spada na Twoją organizację – musisz samodzielnie monitorować, logować i raportować poważne incydenty.
Q34: Czy lokalny model AI może przetwarzać dane biometryczne pracowników?
To jedno z najbardziej rygorystycznie regulowanych zastosowań. Biometryczna identyfikacja pracowników za pomocą AI (rozpoznawanie twarzy, głosu) jest systemem wysokiego ryzyka z bardzo ograniczonymi wyjątkami. Lokalne uruchomienie modelu nie zmniejsza poziomu ryzyka ani obowiązków.
Q35: Czy firma może uruchomić lokalny model AI do oceny CV bez obowiązków AI Act?
Nie. Systemy AI wspomagające lub zastępujące selekcję kandydatów w procesach rekrutacyjnych są wprost wymienione w Załączniku III AI Act jako systemy wysokiego ryzyka. Niezależnie od tego, czy model działa lokalnie, czy w chmurze, firma musi m.in. przeprowadzić ocenę zgodności i zapewnić nadzór ludzki.
Porównanie kluczowych obowiązków
| Obowiązek | Użytkownik ChatGPT (zawodowo) | Operator lokalnego modelu AI |
|---|---|---|
| AI literacy (art. 4) | Tak | Tak |
| Informowanie o AI (art. 50) | Tak (dla chatbotów) | Tak (dla chatbotów) |
| Umowa powierzenia RODO | Tak (z OpenAI) | Nie (dane lokalne) |
| Dokumentacja techniczna systemu | Zapewnia OpenAI | Firma musi sama prowadzić |
| Ocena zgodności (wysokie ryzyko) | Tak, jeśli zastosowanie tego wymaga | Tak, jeśli zastosowanie tego wymaga |
| Rejestracja w EU AI Database | Tak, jeśli wysokie ryzyko | Tak, jeśli wysokie ryzyko |
| Monitorowanie i logowanie | Częściowo po stronie OpenAI | W całości po stronie firmy |
Praktyczne kroki dla firm – co zrobić teraz
Q36: Od czego zacząć dostosowanie do AI Act?
Przeprowadź inwentaryzację AI w organizacji – wypisz wszystkie narzędzia AI używane przez pracowników (ChatGPT, Copilot, lokalne modele, narzędzia wbudowane w oprogramowanie). Następnie dla każdego oceń poziom ryzyka według kryteriów z Załącznika III.
Q37: Jak szybko wdrożyć AI literacy w firmie?
Minimalny poziom to szkolenie pracowników z: czym jest AI generatywna, jakie dane można jej powierzać, jak rozpoznać błędy i halucynacje modelu oraz jakie są wewnętrzne zasady użycia AI. Dla firm używających modeli lokalnych warto dodać szkolenie dla administratorów systemów.
Q38: Czy istnieje oficjalna baza systemów wysokiego ryzyka?
Tak – Komisja Europejska prowadzi EU AI Act Database, w której rejestrowane są systemy wysokiego ryzyka. Dostęp do bazy jest publiczny, co oznacza, że kontrahenci i klienci będą mogli sprawdzić, jakie systemy AI stosuje Twoja firma.
Q39: Czy małe firmy i startupy mają ulgi w AI Act?
Tak – AI Act przewiduje uproszczone procedury dla MŚP i startupów: uproszczone wzory dokumentacji technicznej, dostęp do regulacyjnych piaskownic (regulatory sandboxes) umożliwiających testowanie systemów AI pod nadzorem organów, oraz obniżone koszty dostępu do zasobów obliczeniowych w ramach programów UE.
Q40: Jakie jest jedno zdanie podsumowujące różnicę między chmurą a lokalnym AI w kontekście AI Act?
Lokalny model AI daje większą kontrolę nad danymi i upraszcza relację z RODO, ale nie zwalnia z żadnych obowiązków wynikających z AI Act – poziom ryzyka systemu zależy od jego zastosowania, a nie od miejsca, w którym działa serwer.
Źródła
- Komisja Europejska – AI Act Service Desk FAQ
- IAB Polska – Przewodnik po AI
- Silesia Legal House – AI Act w praktyce
- Co do zasady – AI Act i nowe obowiązki
- My Company Polska – ChatGPT i AI Act
- Komisja Europejska – AI Literacy Q&A
- K3System – AI Act w pigułce
