- Dlaczego AI Act szczególnie dotyczy JST
- Oś czasu – kiedy samorząd musi być gotowy
- Etap 1: inwentaryzacja systemów AI w JST
- Etap 2: klasyfikacja ryzyka i FRIA
- Etap 3: procedury, dokumentacja i szkolenia urzędników
- Przykłady systemów AI w JST i ich status regulacyjny
- Jak praktycznie zorganizować prace w urzędzie
Akt w sprawie sztucznej inteligencji (AI Act, rozporządzenie 2024/1689) wprowadza pierwsze kompleksowe ramy prawne dla systemów AI w Unii Europejskiej, ze szczególnie wysokimi wymaganiami wobec administracji publicznej – w tym jednostek samorządu terytorialnego (JST). Dla urzędów gmin, powiatów i województw oznacza to konieczność uporządkowania wszystkich zastosowań AI, przeprowadzenia oceny ryzyka, wdrożenia nowych procedur i przeszkolenia pracowników w ściśle określonym harmonogramie czasowym.
Dlaczego AI Act szczególnie dotyczy JST
AI Act opiera się na podejściu „risk-based” – systemy AI dzielone są na kategorie: niedopuszczalne, wysokiego ryzyka, ograniczonego ryzyka oraz minimalnego ryzyka, przy czym kluczowy nacisk położono na systemy wysokiego ryzyka wymienione w załączniku III. Wśród nich znajdują się typowe zadania samorządów: obsługa świadczeń i usług publicznych, rekrutacja do służby publicznej, elementy wymiaru sprawiedliwości i egzekwowania prawa czy zarządzanie infrastrukturą krytyczną.
Urzędy mogą występować zarówno jako „dostawcy” (provider – gdy same tworzą system AI), jak i „użytkownicy / wdrażający” (deployer – gdy kupują lub wynajmują rozwiązanie od zewnętrznego dostawcy), a AI Act nakłada odrębne obowiązki na każdą z tych ról, co trzeba ustalić dla każdego systemu osobno. Sankcje za naruszenie przepisów są porównywalne lub wyższe niż w RODO – za stosowanie systemów zakazanych grożą kary do 35 mln euro lub 7% globalnego obrotu, a inne naruszenia mogą skutkować karami do 3% obrotu.
Oś czasu – kiedy samorząd musi być gotowy
AI Act został opublikowany w Dzienniku Urzędowym UE 12 lipca 2024 r., a w życie wszedł 1 sierpnia 2024 r., przy czym zasadnicze obowiązki materialne stosowane są stopniowo. Od 2 lutego 2025 r. zaczęły obowiązywać zakazy systemów AI uznanych za niedopuszczalne (np. scoring społeczny obywateli) oraz wymogi dotyczące kompetencji w zakresie AI (AI literacy).
Od 2 sierpnia 2025 r. stosuje się przepisy wobec modeli ogólnego przeznaczenia (GPAI), a państwa członkowskie muszą mieć wyznaczone krajowe organy nadzorcze i system kar. Zasadnicza większość pozostałych obowiązków – w tym dla systemów wysokiego ryzyka stosowanych w administracji – zacznie obowiązywać od 2 sierpnia 2026 r., natomiast szczególne przepisy dotyczące klasyfikacji niektórych systemów będą w pełni stosowane od 2 sierpnia 2027 r.
Dodatkowo, dla części systemów wysokiego ryzyka używanych przez organy publiczne, które zostały wprowadzone do użytku przed 2 sierpnia 2026 r., przewidziano okres przejściowy – muszą one być dostosowane do AI Act najpóźniej do 2 sierpnia 2030 r. W praktyce oznacza to, że JST mają ograniczony czas na przygotowanie pełnej zgodności, a pierwszym niezbędnym krokiem jest inwentaryzacja wszystkich zastosowań AI.
Etap 1: inwentaryzacja systemów AI w JST
AI Act nie narzuca wprost daty zakończenia inwentaryzacji, ale w wytycznych i planach wdrożeniowych dla sektora publicznego inwentaryzacja jest wskazywana jako pierwszy krok, który JST powinny zrealizować w ciągu pierwszych kilku miesięcy programu zgodności. Polskie opracowania dotyczące samorządów wprost rekomendują „szczegółowe mapowanie wszystkich stosowanych systemów AI”, aby móc zidentyfikować systemy wysokiego ryzyka oraz obszary wymagające pilnych działań.
Praktyczny zakres inwentaryzacji w urzędzie gminy/powiatu/województwa zazwyczaj obejmuje:
- zebranie informacji o wszystkich narzędziach wykorzystujących uczenie maszynowe, rozpoznawanie obrazu, analizę języka naturalnego, generowanie treści czy zautomatyzowane podejmowanie decyzji;
- ustalenie, czy urząd jest dostawcą (sam tworzy model lub aplikację), czy wdrażającym (korzysta z gotowego rozwiązania dostawcy);
- opis celu, zakresu danych, użytkowników, interfejsów i wpływu każdego systemu na prawa i obowiązki obywateli;
- zmapowanie zależności z innymi regulacjami – w szczególności RODO (DPIA), prawem zamówień publicznych i przepisami branżowymi.
Część polskich planów wdrożeniowych dla JST sugeruje, aby w okresie 0–3 miesięcy od startu projektu zgodności przeprowadzić inwentaryzację, wstępną klasyfikację ryzyka oraz eliminację funkcji mogących podpadać pod zakazy z art. 5 AI Act. Choć nie jest to sztywny wymóg prawny, wykonanie tej pracy do końca 2025 r. jest realistycznym celem, który daje czas na klasyfikację, przygotowanie FRIA i modyfikacje kontraktów przed wejściem w życie większości obowiązków w sierpniu 2026 r.
Etap 2: klasyfikacja ryzyka i FRIA
Po zebraniu listy zastosowań AI urząd musi ustalić, do której kategorii ryzyka należy każdy system: niedopuszczalny, wysokiego, ograniczonego lub minimalnego ryzyka. W praktyce oznacza to sprawdzenie, czy zastosowanie mieści się w katalogu systemów wysokiego ryzyka z załącznika III (np. świadczenia społeczne, rekrutacja, edukacja, egzekwowanie prawa), czy też jest typowym systemem ograniczonego ryzyka (np. chatbot informacyjny) objętym głównie wymogami przejrzystości.
Dla JST kluczowe jest to, że jako „podmioty prawa publicznego” należą do grupy wdrażających, którzy – przed wdrożeniem systemu wysokiego ryzyka – muszą przeprowadzić ocenę skutków dla praw podstawowych (FRIA) zgodnie z art. 27 AI Act. FRIA dotyczy szerokiej grupy systemów wysokiego ryzyka, z wyjątkiem tych używanych jako elementy bezpieczeństwa infrastruktury krytycznej (np. sterowanie ruchem, sieci wodociągowe), które są wyłączone z obowiązku FRIA, choć nadal podlegają innym wymogom AI Act.
Treść FRIA musi obejmować co najmniej: opis procesów urzędu, w których wykorzystywany jest system, okres i częstotliwość jego używania, kategorie osób objętych działaniem systemu, konkretne ryzyka naruszenia praw podstawowych, środki nadzoru ludzkiego oraz działania zaradcze na wypadek materializacji ryzyka. Europejskie i krajowe opracowania podkreślają, że FRIA powinna być skoordynowana z oceną skutków dla ochrony danych (DPIA) na gruncie RODO – te dwa dokumenty mogą być przygotowywane równolegle, z wyraźnym rozdzieleniem zakresu (FRIA – prawa podstawowe szerzej, DPIA – ochrona danych osobowych).
Wdrożenie FRIA dla systemów wysokiego ryzyka w JST wymaga nie tylko analizy, ale także formalnej dokumentacji i zgłoszenia wyników do właściwego organu nadzoru rynku za pomocą standardowego formularza, którego wzór przygotowuje unijne AI Office. Pierwsze wytyczne wskazują, że obowiązek ten zacznie mieć realne znaczenie od momentu stosowania przepisów o systemach wysokiego ryzyka (sierpień 2026 r.), ale przygotowanie metodyki FRIA i pilotażowych ocen powinno rozpocząć się wcześniej, aby uniknąć spiętrzenia prac.
Etap 3: procedury, dokumentacja i szkolenia urzędników
Gdy JST zidentyfikuje systemy wysokiego i ograniczonego ryzyka oraz uruchomi proces FRIA, konieczne jest umocowanie AI Act w wewnętrznym systemie zarządzania jakością i bezpieczeństwem. Dla systemów wysokiego ryzyka AI Act wymaga wdrożenia systemu zarządzania jakością (QMS), procedur zarządzania ryzykiem, mechanizmów logowania i monitorowania działania systemu, a także rozwiązań zapewniających realny nadzór człowieka i możliwość zawieszenia działania systemu w razie poważnych incydentów.
W praktyce, w urzędzie oznacza to m.in.:
- prowadzenie rejestru systemów AI wraz z przypisaną kategorią ryzyka i wynikami FRIA/DPIA;
- opracowanie procedur nadzoru ludzkiego (kto, jak i kiedy może ingerować w decyzje systemu lub je zmieniać);
- ustalenie zasad logowania, retencji logów, obsługi incydentów i zgłaszania naruszeń do organów nadzoru;
- aktualizację polityk bezpieczeństwa informacji, w tym zasad testowania i monitorowania systemów AI;
- uwzględnienie wymogów AI Act w specyfikacjach zamówień publicznych i umowach z dostawcami (np. wymóg dokumentacji z załącznika IV, wsparcia w FRIA, oznaczania treści generowanych).
AI Act wymaga również podnoszenia kompetencji w zakresie AI (AI literacy), a polskie programy szkoleniowe dla JST już koncentrują się na umiejętności wstępnej kwalifikacji systemów jako wysokiego ryzyka, identyfikacji zagrożeń prawnych i technicznych oraz zrozumieniu relacji między AI Act a RODO. Szkolenia powinny objąć nie tylko informatyków, ale także kierownictwo, osoby odpowiedzialne za zamówienia publiczne, inspektorów ochrony danych i pracowników merytorycznych korzystających na co dzień z systemów AI.
Przykłady systemów AI w JST i ich status regulacyjny
Poniżej przedstawiono uproszczone zestawienie typowych rozwiązań AI w samorządzie wraz z przykładową kwalifikacją ryzyka i głównymi obowiązkami. Ostateczna ocena zawsze zależy od konkretnego sposobu wdrożenia i kontekstu prawnego.
| Przykład systemu AI | Typowy poziom ryzyka wg AI Act | Kluczowe obowiązki JST |
|---|---|---|
| Monitoring wizyjny z analityką (np. rozpoznawanie twarzy, analiza zachowań) | Jeśli system służy do zdalnej identyfikacji biometrycznej w czasie rzeczywistym lub scoringu społecznego – może być systemem niedopuszczalnym (zakaz). W przypadku zastosowań w egzekwowaniu prawa może zostać zakwalifikowany jako wysokiego ryzyka z bardzo restrykcyjnymi warunkami użycia. | Sprawdzenie, czy funkcje nie podpadają pod zakazy (art. 5); w razie klasyfikacji jako system wysokiego ryzyka – pełen zestaw wymogów (QMS, logowanie, nadzór człowieka) oraz FRIA, o ile JST jest wdrażającym objętym art. 27. |
| Systemy do przyznawania świadczeń i wykrywania nadużyć (scoring w pomocy społecznej, zasiłkach) | Zwykle system wysokiego ryzyka (ocena uprawnień do świadczeń i dostępu do usług publicznych, decyzje o istotnym wpływie na sytuację obywatela). | Ocena zgodności, FRIA i DPIA, rejestr zdarzeń, zapewnienie nadzoru ludzkiego, możliwość odwołania i wyjaśnienia decyzji dla obywatela, rejestracja systemu w unijnej bazie wysokiego ryzyka. |
| E-usługi z automatycznym podejmowaniem decyzji (np. automatyczne wydanie prostych zezwoleń) | Jeśli decyzje wywołują skutki prawne lub w podobny sposób istotnie wpływają na osoby, system może być wysokiego ryzyka w kategorii „niezbędnych usług publicznych” z załącznika III. | FRIA przed wdrożeniem, jasne zasady nadzoru ludzkiego i ścieżki odwoławczej, logowanie decyzji, informowanie obywateli o udziale AI w procesie, dostosowanie formularzy i regulaminów e-usług. |
| Chatboty na stronie urzędu do obsługi mieszkańców | Zazwyczaj systemy ograniczonego ryzyka, objęte głównie obowiązkami przejrzystości (wymóg poinformowania, że obywatel rozmawia z AI) oraz ewentualnie RODO, jeśli przetwarzają dane osobowe. | Oznaczenie interakcji jako prowadzonych z systemem AI, polityka retencji i minimalizacji danych, DPIA, jeśli chatbot przetwarza dane osobowe, szkolenie pracowników co do korzystania z chatbota i przekierowywania trudnych spraw do urzędnika. |
| Inteligentne zarządzanie ruchem (np. sygnalizacja świetlna sterowana analizą natężenia ruchu) | Najczęściej system wysokiego ryzyka w obszarze infrastruktury krytycznej, przy czym dla tej kategorii przewidziano wyłączenie z obowiązku FRIA, choć pozostają wymogi techniczne i organizacyjne AI Act. | Ocena zgodności i zarządzanie ryzykiem, dokumentacja techniczna, logowanie zdarzeń, nadzór człowieka nad zmianami konfiguracji, integracja z politykami bezpieczeństwa infrastruktury, współpraca z dostawcą przy modyfikacjach systemu. |
Jak praktycznie zorganizować prace w urzędzie
Doświadczenia pierwszych przewodników dla administracji publicznej pokazują, że skuteczne wdrożenie AI Act w JST wymaga podejścia projektowego i jasnego przypisania odpowiedzialności. Najczęściej rekomenduje się powołanie koordynatora lub zespołu ds. AI, który współpracuje z IOD, działem zamówień publicznych, informatykami i komórkami merytorycznymi, prowadząc centralny rejestr systemów AI i nadzorując cykl życia każdego rozwiązania.
Polskie i unijne opracowania sugerują następującą sekwencję działań, która dobrze wpisuje się w trzy opisane etapy:
- Etap 1 (0–3 miesiące): inwentaryzacja wszystkich zastosowań AI, wstępna klasyfikacja ryzyka, identyfikacja funkcji zakazanych, zaplanowanie szkoleń i utworzenie wzorów kart/systemowych „paszportów” AI.
- Etap 2 (3–9 miesięcy): pogłębiona klasyfikacja, opracowanie metodyki FRIA/DPIA, przygotowanie procedur nadzoru człowieka i przejrzystości, rozpoczęcie analiz dla systemów wysokiego ryzyka.
- Etap 3 (do połowy 2026 r. i dalej): wdrożenie logowania i monitoringu, zawarcie aneksów do umów z dostawcami, rejestracja systemów wysokiego ryzyka, cykliczne testy jakości i bezpieczeństwa, aktualizacja FRIA przy istotnych zmianach systemu.
Takie uporządkowane podejście pozwala JST nie tylko spełnić wymagania AI Act, ale także lepiej kontrolować ryzyka reputacyjne i społeczne związane z użyciem AI – od dyskryminacji po brak przejrzystości decyzji. Dobrze przygotowany urząd będzie w stanie wykorzystywać monitoring, e-usługi czy chatboty w sposób zgodny z prawem, technicznie bezpieczny i akceptowalny dla mieszkańców, jednocześnie otwierając drogę do dalszej, kontrolowanej automatyzacji procesów.
Źródła
- EU AI Act in the public sector: 2025 government guide
- Implementation Timeline | EU Artificial Intelligence Act
- Article 27: Fundamental Rights Impact Assessment for High-Risk AI Systems
- The fundamental rights impact assessment under the AI Act
- Fundamental rights impact assessments under the EU Artificial Intelligence Act
- Akt w sprawie sztucznej inteligencji – strona Komisji Europejskiej
- Systemy AI wysokiego ryzyka w EU AI Act – przewodnik
- Harmonogram wejścia w życie przepisów AI i plan wdrożeniowy JST
- Ocena skutków systemów AI wysokiego ryzyka dla praw podstawowych (FRIA)
- AI w administracji publicznej – przewodnik
- Czy AI zastąpi urzędnika? Transformacja, która wymaga kontroli
- AI w jednostce samorządu terytorialnego – AI Act (opis szkolenia FRDL)
