Od 2 lutego 2025 roku obowiązuje artykuł 4 unijnego rozporządzenia o sztucznej inteligencji (AI Act, Rozporządzenie (UE) 2024/1689). To jeden z niewielu przepisów tego aktu, który nie dotyczy wyłącznie dostawców systemów wysokiego ryzyka – obejmuje praktycznie każdą organizację, która korzysta z jakiegokolwiek narzędzia opartego na AI. Zanim więc skupisz się na klasyfikacji ryzyka czy audytach technicznych, sprawdź, czy Twoja firma spełnia podstawowy obowiązek: zapewnienie personelowi odpowiednich kompetencji w zakresie sztucznej inteligencji.
Co dokładnie mówi Art. 4 AI Act?
Treść przepisu jest stosunkowo krótka, ale jej zakres jest szeroki. Art. 4 AI Act brzmi:
„Dostawcy i podmioty stosujące systemy AI podejmują działania mające na celu zapewnienie, w możliwie największym stopniu, wystarczającego poziomu kompetencji w zakresie AI wśród swojego personelu i innych osób zajmujących się działaniem i wykorzystaniem systemów AI w ich imieniu, biorąc pod uwagę wiedzę techniczną, doświadczenie, wykształcenie i szkolenia tych osób oraz kontekst, w którym systemy AI mają być stosowane.”
Kluczowe pojęcie to „AI literacy” – zdefiniowane w art. 3 ust. 56 rozporządzenia jako umiejętności, wiedza i rozumienie, które pozwalają świadomie wdrażać systemy AI, a także oceniać związane z nimi możliwości, ryzyka i możliwe szkody. Innymi słowy: nie chodzi o to, żeby wszyscy pracownicy zostali ekspertami od uczenia maszynowego. Chodzi o świadome i odpowiedzialne korzystanie z narzędzi AI w codziennej pracy.
Warto podkreślić kilka elementów technicznych tego przepisu, które mają bezpośrednie skutki organizacyjne:
- Dotyczy zarówno dostawców (providers), jak i podmiotów stosujących (deployers) – jeśli używasz gotowego narzędzia AI, np. Microsoft Copilot, asystenta do rekrutacji lub chatbota obsługi klienta, jesteś podmiotem stosującym i ten przepis Cię obejmuje.
- Zakres personalny wykracza poza etatowych pracowników – obejmuje „inne osoby działające w imieniu organizacji”, co może oznaczać podwykonawców, freelancerów czy zewnętrznych konsultantów mających kontakt z systemami AI w ramach świadczonych usług.
- Poziom szkolenia musi być dostosowany do roli i kontekstu – przepis nie wymaga jednolitego kursu dla wszystkich. Osoba obsługująca system AI wysokiego ryzyka potrzebuje głębszej wiedzy niż pracownik biurowy korzystający z podpowiedzi tekstowych Copilotem.
- Obowiązek ma charakter ciągły – „podejmowanie działań” to proces, nie jednorazowa akcja. Technologia AI zmienia się szybko, więc programy szkoleniowe wymagają regularnej aktualizacji.
Kogo obejmuje obowiązek i w jakim zakresie?
AI Office Komisji Europejskiej opublikowało szczegółowe FAQ do art. 4, w którym określa minimalne podejście do zgodności. Organizacja powinna przejść przez cztery kroki analityczne:
- Krok 1 – Ogólne zrozumienie AI: Czy pracownicy wiedzą, czym jest AI, jak działa i jakie narzędzia są używane w firmie? Jakie są szanse i zagrożenia?
- Krok 2 – Rola organizacji: Czy firma dostarcza systemy AI (provider) czy je tylko stosuje (deployer)? To rozróżnienie wpływa na zakres dodatkowych obowiązków.
- Krok 3 – Poziom ryzyka: Jakie ryzyko niosą używane systemy AI? Pracownicy obsługujący systemy wysokiego ryzyka (np. AI w rekrutacji, scoringu kredytowym lub diagnostyce medycznej) muszą znać konkretne mechanizmy zarządzania ryzykiem i procedury nadzoru ludzkiego.
- Krok 4 – Budowanie działań edukacyjnych: Na podstawie kroków 1-3 należy zaprojektować szkolenia dopasowane do grup odbiorców, kontekstu wdrożenia i poziomu technicznego uczestników.
W praktyce oznacza to, że firmy powinny wyróżnić co najmniej trzy warstwy szkoleń:
| Grupa pracowników | Minimalny zakres kompetencji | Przykładowe tematy |
|---|---|---|
| Wszyscy użytkownicy narzędzi AI | Ogólna świadomość AI | Czym jest AI, jak działają LLM-y, ryzyko halucynacji, zasady bezpiecznego użycia, prawa użytkowników |
| Menedżerowie i decydenci | Zarządzanie ryzykiem i zgodność | Klasyfikacja ryzyka AI Act, obowiązki dostawcy vs. wdrożeniowca, nadzór ludzki, odpowiedzialność prawna |
| Zespoły techniczne (IT, Data Science, ML) | Zaawansowane kompetencje techniczne i prawne | Wymagania techniczne AI Act, testy fairness i bias, XAI, dokumentacja techniczna, RODO + AI Act |
| Operatorzy systemów wysokiego ryzyka | Obsługa konkretnego systemu + human oversight | Procedury eskalacji, interpretacja wyników AI, ograniczenia systemu, reagowanie na błędy |
Jak dokumentować zgodność z Art. 4?
AI Act nie wymaga formalnych certyfikatów ani narzuconych formatów dokumentacji. Jednak w kontekście potencjalnych kontroli przez krajowe organy nadzoru rynku (które zaczną egzekwować przepisy od 2 sierpnia 2026 roku) warto zbierać dowody działań. AI Office wskazuje, że dokumentacja powinna obejmować:
- Ewidencję uczestników szkoleń (imię, stanowisko, data, temat).
- Nagrania lub materiały z webinarów i kursów e-learningowych.
- Wyniki testów wiedzy lub ankiet samooceny – nie są wymagane, ale wzmacniają dowód zgodności.
- Harmonogramy i plany programów edukacyjnych.
- Wewnętrzne kodeksy postępowania dotyczące korzystania z AI.
Komisja Europejska podkreśla, że nie istnieje podejście „jeden rozmiar dla wszystkich” (one-size-fits-all). Organ nadzoru nie będzie wymagał konkretnej struktury kursu ani określonej liczby godzin szkoleniowych. Niemniej jednak, jeśli dojdzie do incydentu związanego z AI, a firma nie będzie w stanie udowodnić, że podjęła działania edukacyjne – ryzyko sankcji znacząco wzrasta.
Kary i harmonogram egzekwowania
Naruszenia przepisów AI Act, w tym art. 4, mogą skutkować karami finansowymi sięgającymi 35 milionów euro lub 7% globalnego rocznego obrotu – zależnie od tego, która kwota jest wyższa. Jednak art. 4 jest przepisem o charakterze organizacyjnym, więc kary za jego naruszenie będą zazwyczaj niższe niż za naruszenia dotyczące systemów zakazanych lub wysokiego ryzyka.
Harmonogram egzekwowania wygląda następująco:
- 2 lutego 2025 – art. 4 wszedł w życie; obowiązek AI literacy obowiązuje od tej daty.
- 2 sierpnia 2025 – państwa członkowskie UE były zobowiązane do przyjęcia krajowych przepisów regulujących sankcje za naruszenia AI Act.
- 2 sierpnia 2026 – krajowe organy nadzoru rynku oficjalnie rozpoczynają egzekwowanie przepisów, w tym art. 4.
Warto też odnotować, że Komisja Europejska zaproponowała w ramach pakietu Digital Omnibus pewne zmiany do art. 4 – mające na celu przeniesienie głównego ciężaru promocji AI literacy na państwa członkowskie i Komisję, a nie na pojedyncze organizacje. Jednak zmiany te są na etapie projektu, a obecne brzmienie przepisu obowiązuje i powinno być realizowane już teraz.
Praktyczna checklista: AI literacy w firmie
Poniższa lista kontrolna pozwala szybko ocenić stan zgodności organizacji z art. 4 AI Act. Wersja do pobrania w formacie PDF dostępna jest pod artykułem.
- Identyfikacja systemów AI – sporządź rejestr wszystkich narzędzi AI używanych w organizacji (własnych i dostarczanych przez zewnętrznych dostawców).
- Klasyfikacja ryzyka – określ, które z tych narzędzi są systemami wysokiego ryzyka zgodnie z Załącznikiem III AI Act.
- Mapowanie grup pracowników – zidentyfikuj, kto w firmie wchodzi w bezpośredni kontakt z systemami AI (w tym podwykonawcy i freelancerzy).
- Ocena obecnych kompetencji – przeprowadź badanie bazowego poziomu wiedzy pracowników o AI (ankieta, quiz).
- Projekt programu szkoleniowego – przygotuj plan szkoleń podzielony na grupy (ogólni użytkownicy, menedżerowie, IT, operatorzy systemów wysokiego ryzyka).
- Realizacja szkoleń – przeprowadź pierwsze szkolenia; wybierz formę dopasowaną do grup (e-learning, webinar, warsztaty stacjonarne).
- Dokumentacja – utwórz ewidencję uczestników, zbieraj materiały szkoleniowe, wyniki testów wiedzy.
- AI Champions / Ambasadorzy AI – wyznacz osoby kontaktowe w poszczególnych działach, które będą wspierać bieżące pytania związane z korzystaniem z AI.
- Wewnętrzny kodeks postępowania AI – opracuj lub zaktualizuj wewnętrzne zasady korzystania z narzędzi AI (dopuszczalne zastosowania, zasady bezpieczeństwa danych, zakaz używania do celów zakazanych przez art. 5 AI Act).
- Harmonogram przeglądów – zaplanuj cykliczne aktualizacje programu szkoleniowego (minimum raz w roku lub po wdrożeniu nowych systemów AI).
- Przegląd podwykonawców i dostawców – sprawdź, czy umowy z zewnętrznymi partnerami korzystającymi z AI w Twoim imieniu zawierają klauzule dotyczące kompetencji AI.
- Raport zgodności – przygotuj wewnętrzny dokument podsumowujący podjęte działania na potrzeby ewentualnego audytu przez organ nadzoru.
Jak zacząć – wskazówki praktyczne
Jeśli firma nie podjęła jeszcze żadnych działań, dobrym punktem startowym jest Living Repository of AI Literacy Practices opublikowany przez AI Office Komisji Europejskiej. Zawiera on przykłady wdrożeń z firm takich jak IBM, Booking.com czy SAP – można je analizować pod kątem adaptacji do własnego kontekstu. Dla małych i średnich przedsiębiorstw dodatkowym wsparciem są europejskie Centra Innowacji Cyfrowych (EDIH), które oferują bezpłatne warsztaty, konsultacje i szkolenia z zakresu AI.
Warto pamiętać, że art. 4 nie wymaga outsourcowania szkoleń do zewnętrznych firm – wewnętrzne webinary, baza wiedzy w intranecie czy seria newsletterów edukacyjnych mogą być wystarczające dla mniejszych organizacji z niskim profilem ryzyka AI. Kluczowe jest, aby działania były udokumentowane, powtarzalne i dostosowane do roli pracownika – a nie jednorazowa akcja „odfajkowania” wymogu regulacyjnego.
Źródła
- gov.pl – Pierwsze przepisy AI Act zaczynają obowiązywać (30.01.2025)
- Komisja Europejska – AI Literacy Questions & Answers (AI Office)
- Andersen – Budowanie kompetencji w zakresie AI – nowy obowiązek pracodawcy
- JDP Law – Jak przygotować organizację na spełnienie obowiązku AI Literacy?
- EY Polska – AI nowe obowiązki dla firm
- EITT – AI Act i kompetencje zespołów
- Paperclipped – AI Literacy EU AI Act Article 4 Training Requirement
