AI Act – czym jest, kogo dotyczy i jak przygotować organizację na nowe obowiązki?

clock 11m 20s

AI Act to pierwsze na świecie tak kompleksowe przepisy dotyczące systemów sztucznej inteligencji. Rozporządzenie obejmuje nie tylko firmy technologiczne, ale wszystkie organizacje, które rozwijają lub wykorzystują AI. Co wprowadza Akt o Sztucznej Inteligencji, od kiedy obowiązuje i jak się przygotować, by uniknąć kar? Odpowiedzi na te i inne pytania w poniższym artykule.


Czym jest AI Act? Nowa era odpowiedzialnej sztucznej inteligencji

AI Act (Akt o Sztucznej Inteligencji, ang. Artificial Intelligence Act) to unijne rozporządzenie mające na celu wspieranie godnej zaufania sztucznej inteligencji na całym obszarze UE. Przepisy mają gwarantować, że sztuczna inteligencja jest projektowana, rozwijana i wykorzystywana w sposób bezpieczny, transparentny, identyfikowalny, niedyskryminujący i przyjazny dla środowiska.

W rezultacie systemy AI będą podlegać różnym poziomom nadzoru i obowiązkom – w zależności od stopnia ryzyka, jakie mogą stwarzać dla użytkowników i społeczeństwa.

Akt stanowi kluczowy element unijnej strategii transformacji cyfrowej, której zadaniem jest stworzenie zaufanego i odpowiedzialnego środowiska dla rozwoju technologii, z poszanowaniem praw obywateli oraz interesu publicznego.

Definicja systemu sztucznej inteligencji w rozumieniu AI Act

Akt o Sztucznej Inteligencji wprowadza precyzyjną definicję systemu sztucznej inteligencji. Kluczowe jest rozróżnienie między tradycyjnym oprogramowaniem, które działa według ściśle zaprogramowanych instrukcji, a systemem AI, który potrafi:

    • wnioskować,
    • generować wyniki,
    • działać niezależnie od człowieka,
    • uczyć się, adaptować się do zmieniających się warunków,
    • podejmować decyzje w oparciu o określone lub zależnie od kontekstu cele.

Oznacza to, że nie każdy zaawansowany program komputerowy zostanie uznany za system sztucznej inteligencji. Systemy te mogą działać z różnym poziomem ingerencji człowieka, a ich wpływ może dotyczyć rzeczywistości cyfrowej (np. analiza danych, rekomendacje), jak i fizycznej (np. roboty, pojazdy autonomiczne).

Do kategorii regulowanych systemów AI zalicza się między innymi:

    • narzędzia wykorzystywane w procesach rekrutacyjnych,
    • rozwiązania analizujące zachowania użytkowników,
    • systemy generujące obrazy, dźwięki lub teksty,
    • technologie wspierające podejmowanie decyzji biznesowych lub operacyjnych.

Natomiast proste algorytmy (np. oprogramowanie do księgowości oparte wyłącznie na regułach czy systemy oświetlenia włączające się na ruch), które nie wykazują cech takich jak autonomia, uczenie się czy podejmowanie decyzji na podstawie danych – nie są objęte zakresem AI Act. Ważne jest, by organizacje potrafiły zgodnie z definicją prawa zidentyfikować, które z używanych przez nie technologii spełniają kryteria „sztucznej inteligencji”.

Klasyfikacja ryzyka wg AI Act

Jednym z fundamentów AI Act jest podejście oparte na klasyfikacji ryzyka, jakie system sztucznej inteligencji może stwarzać dla ludzi i społeczeństwa. Rozporządzenie określa cztery poziomy ryzyka:

    • niedopuszczalne ryzyko,
    • wysokie ryzyko,
    • ryzyko związane z transparentnością,
    • minimalne ryzyko lub brak ryzyka.

To właśnie ta klasyfikacja decyduje, jakie obowiązki będą spoczywać na organizacjach opracowujących lub wykorzystujących AI. Im wyższe potencjalne ryzyko, tym bardziej rygorystyczne wymagania w zakresie zgodności, bezpieczeństwa i nadzoru.


Przeczytaj również: Cyber Resilience Act – czym są nowe wymogi dla urządzeń łączących się z Internetem?


Kategoria systemów AI wg ryzyka

Systemy AI niedopuszczalnego ryzyka (zakazane)

Zgodnie z art. 5 AI Act zakazane są systemy AI, które m.in.:

      • manipulują użytkownikiem w sposób podprogowy lub wprowadzający w błąd, prowadząc do szkodliwych decyzji,
      • wykorzystują podatności osób (np. wiek, niepełnosprawność, sytuacja społeczna lub ekonomiczna), wpływając negatywnie na ich zachowanie lub narażając na szkodę,
      • przewidują ryzyko popełnienia przestępstwa na podstawie profilowania lub cech osobowości (z nielicznymi wyjątkami),
      • analizują emocje w miejscu pracy lub instytucji edukacyjnej (chyba że służą celom medycznym lub bezpieczeństwa.

Systemy AI wysokiego ryzyka

W art. 6 AI Act mowa również o systemach sztucznej inteligencji uznanych za wysokiego ryzyka. Są to systemy AI, które:

      • wspierają procesy rekrutacyjne,
      • podejmują decyzje dotyczące awansu lub zwolnienia,
      • oceniają, czy dana osoba kwalifikuje się do świadczeń opieki zdrowotnej,
      • wpływają na decyzje o dostępie do instytucji edukacyjnych.

Systemy AI z ryzykiem transparentności

Do tej grupy należą systemy, które nie stwarzają zagrożenia dla bezpieczeństwa czy praw człowieka, ale mogą wprowadzać w błąd lub oddziaływać na decyzje użytkownika, jeśli nie są odpowiednio oznaczone. Zgodnie z art. 50 AI Act mowa tu o:

      • generatywnej AI – tworzącej teksty, obrazy, dźwięki, filmy, deepfake,
      • chatbotach, z którymi użytkownicy wchodzą w interakcję,
      • systemach rozpoznających emocje.

Pozostałe systemy: minimalnego ryzyka / braku ryzyka

W tej grupie mieszczą się systemy AI, które nie zostały zakwalifikowane jako zakazane (niedopuszczalnego ryzyka), wysokiego ryzyka ani z ryzykiem transparentności. Jest to zdecydowanie najliczniejsza grupa, w której przypadku nie ma rozbudowanych wymagań, ale nadal należy przestrzegać ogólnych zasad z zakresie przejrzystości, bezpieczeństwa i odpowiedzialności. Organizacje powinny jednak stale monitorować działanie takich systemów, ponieważ zmiana ich funkcjonalności może wpłynąć na zmianę klasyfikacji ryzyka i tym samym wiązać się z koniecznością spełnienia dodatkowych wymagań.


Przeczytaj również: Unijne wytyczne dla bezpieczeństwa cyfrowego. Co musisz wiedzieć o dyrektywnie NIS2?


Kogo dotyczy Akt o Sztucznej Inteligencji?

AI Act nie jest regulacją stworzoną wyłącznie z myślą o największych graczach technologicznych. Każdy podmiot, który tworzy, wdraża, dystrybuuje lub korzysta z systemów AI na terenie UE, podlega przepisom rozporządzania – niezależnie od sektora, branży czy wielkości organizacji. Dotyczy to również importerów, dystrybutorów, producentów integrujących AI ze swoimi produktami oraz przedstawicieli działających w imieniu firm spoza UE.

Harmonogram wdrożenia AI Act

Rozporządzenie zostało formalnie przyjęte 13 czerwca 2024 roku. Choć jego treść już obowiązuje, zastosowanie poszczególnych przepisów będzie następować stopniowo, tak aby firmy miały czas dostosować się do zmian w sposób przemyślany i uporządkowany. Harmonogram wdrożenia poszczególnych wymogów AI Act przedstawia się następująco:

    • 2 lutego 2025 roku – obowiązuje zakaz stosowania systemów AI uznanych za niedopuszczalne, m.in. tych, które manipulują użytkownikiem, wykorzystują jego podatności (np. wiek, niepełnosprawność), prognozują popełnienie przestępstwa na podstawie profilowania lub analizują emocje w pracy i edukacji;
    • 2 sierpnia 2025 roku – obowiązują przepisy dotyczące modeli AI ogólnego przeznaczenia (np. systemów generujących teksty czy obrazy) i zasady funkcjonowania organów nadzorczych;
    • 2 sierpnia 2026 roku – AI Act zaczyna obowiązywać w pełnym zakresie wobec systemów AI wysokiego ryzyka i pozostałych systemów AI (z wyjątkiem AI wysokiego ryzyka określonych w załączniku nr III do AI ACT); wchodzi w życie m.in. obowiązek zapewnienia nadzoru człowieka na systemami sztucznej inteligencji oraz wymóg rejestrowania zdarzeń i raportowania incydentów;
    • 2 sierpnia 2027 roku – wchodzą w życie dodatkowe obowiązki dla systemów wysokiego ryzyka niewymienionych w załączniku III;
    • 31 grudnia 2030 roku – kończy się okres przejściowy dla systemów AI będących częścią infrastruktury publicznej wymienionej w załączniku X AI Act (np. Systemu Informacyjnego Schengen), które zostały wprowadzone do obrotu lub oddane do użytku przed 2 sierpnia 2027 roku (termin ten nie dotyczy zakazanych praktyk).

Obowiązki organizacji wobec AI Act – co trzeba zrobić w praktyce?

Obowiązki wynikające z AI różnią się w zależności od klasyfikacji systemu AI, jednak nawet w przypadku systemów o minimalnym ryzyku należy spełnić wymogi w zakresie przejrzystości, a więc między innymi informować użytkowników, że mają do czynienia z rozwiązaniem opartym na sztucznej inteligencji.

Dostawcy systemów AI zaklasyfikowanych jako wysokiego ryzyka objęci są najszerszym zakresem obowiązków, do których należy między innymi:

    • wdrożenie systemu zarządzania ryzykiem AI,
    • przeprowadzanie testów AI,
    • prowadzenie szczegółowej dokumentacji technicznej,
    • zarządzanie danymi w systemach AI wykorzystujących techniki trenowania modeli z użyciem danych,
    • automatyczne rejestrowania zdarzeń.

Organizacje są zobowiązane do prowadzenia ciągłego nadzoru nad systemami AI, co obejmuje:

    • dokumentowanie cyklu życia systemu (od projektowania po wycofanie),
    • aktualizację analiz ryzyka w przypadku zmian lub rozbudowy systemu,
    • gotowość na kontrolę organów nadzorczych uprawnionych do przeprowadzania audytów zgodności.

Dla firm oznacza to potrzebę stworzenia wewnętrznych mechanizmów zapewniających stałą gotowość do wykazania zgodności, nie tylko w momencie wdrożenia, ale również na każdym kolejnym etapie użytkowania systemu.

Ryzyka i sankcje – jakie są konsekwencje braku zgodności?

Akt o Sztucznej Inteligencji wprowadza poważne konsekwencje finansowe i prawne dla organizacji, które nie spełnią wymogów. Rozporządzenie jasno wyznacza granice odpowiedzialności i zmusza do traktowania sztucznej inteligencji jako obszaru wymagającego realnego nadzoru, a nie tylko wdrożenia technologii.

Kary za nieprzestrzeganie AI Act mogą wynosić (w zależności, która z tych kwot będzie wyższa):

    • do 35 mln euro lub 7% globalnego rocznego obrotu z ostatniego roku finansowego za stosowanie zakazanych praktyk AI,
    • do 15 mln euro lub 3% światowego obrotu za nieprzestrzeganie innych wymagań rozporządzenia,
    • do 7,5 mln euro lub 1% ich globalnego obrotu z ostatniego roku finansowego za przekazywanie nieprawidłowych informacji organom nadzorującym.

Sytuacjami prowadzącymi do nałożenia sankcji mogą być:

    • stosowanie zakazanych systemów, takich jak systemy oceniające obywateli (tzw. social scoring) czy narzędzi do zdalnej identyfikacji biometrycznej bez podstawy prawnej,
    • błędna klasyfikacja systemu AI, która skutkuje nieprzestrzeganiem obowiązków przypisanych danej kategorii ryzyka,
    • brak przeprowadzenia analizy ryzyka lub oceny wpływu systemu AI na podstawowe prawa użytkowników,
    • nieprawidłowości w dokumentacji technicznej, w tym niepełne, przestarzałe lub wprowadzające w błąd dane,
    • brak nadzoru nad systemem po wdrożeniu, co może skutkować niekontrolowanymi skutkami działania AI.

Przeczytaj również: Czym jest rozporządzenie DORA i jakie ma znaczenie dla sektora finansowego?


Jak się przygotować? Rekomendacje dla zarządów i działów operacyjnych

W obliczu obowiązków wynikających z AI Act, kluczowe staje się systematyczne i kompleksowe przygotowanie organizacji. Działania te powinny obejmować nie tylko działy techniczne, ale również zarząd, zespoły prawne, compliance i operacyjne. Poniżej przedstawiamy najważniejsze kroki, które warto podjąć już teraz:

  1. Inwentaryzacja systemów AI
    Pierwszym krokiem jest zidentyfikowanie wszystkich rozwiązań w organizacji, które mogą być uznane za systemy sztucznej inteligencji. Dotyczy to zarówno rozwiązań opracowanych wewnętrznie, jak i zakupionych od zewnętrznych dostawców.
  2. Klasyfikacja ryzyka
    Po zidentyfikowaniu systemów AI należy przypisać im odpowiedni poziom ryzyka zgodnie z wymaganiami AI Act.
  3. Przegląd zgodności
    Na podstawie klasyfikacji ryzyka organizacja powinna ocenić, czy aktualny sposób działania danego systemu spełnia wymogi regulacji, a jeśli nie – przygotować plan wdrożenia.
  4. Przegląd polityk, procedur i ról
    Należy zaktualizować polityki dotyczące wykorzystania AI w organizacji, sprawdzić procedury zarządzania danymi, ryzykiem i incydentami oraz jasno przypisać odpowiedzialności za zgodność, nadzór i kontakt z regulatorami.
  5. Wdrożenie zarządzania ryzykiem AI
    Konieczne jest zbudowanie formalnych ram zarządzania ryzykiem AI, obejmujących testowanie, monitorowanie, ocenę wpływu oraz reagowanie na nieprawidłowości.
  6. Szkolenia i budowanie świadomości
    Organizacja powinna zadbać o edukację wszystkich interesariuszy: od zarządu po użytkowników końcowych – tak aby rozumieli istotę regulacji i konsekwencje korzystania z AI.

Jak możemy pomóc w spełnieniu wymagań AI Act?

Akt o Sztucznej Inteligencji wprowadza szereg nowych obowiązków, które wymagają praktycznego przygotowania organizacji – zarówno od strony technologicznej, jak i zarządczej. Wiemy, że dla wielu firm może to stanowić spore wyzwanie. Dlatego oferujemy kompleksowe wsparcie w zakresie zgodności z AI Act, dostosowane do indywidualnych potrzeb i rozwiązań Twojej organizacji.

Doradztwo strategiczne w zakresie zgodności z AI Act

Pomożemy zrozumieć, jak przepisy AI Act wpływają na Twoją działalność i jakie konkretne kroki należy podjąć, aby zapewnić zgodność. Dokonamy analizy systemów i procesów, wskażemy luki oraz opracujemy strategię dostosowania – krok po kroku, z uwzględnieniem specyfiki branży, skali działalności i ryzyk.

Audyty systemów AI i analiza ryzyka

Przeprowadzimy szczegółowy audyt systemów AI w Twojej organizacji. Zweryfikujemy, czy spełniają one wymogi regulacji, sklasyfikujemy je według poziomu ryzyka i opracujemy plan działań naprawczych. Przygotujemy również dokumentację na potrzeby kontroli lub zgłoszeń do organów nadzorczych.

Wdrażanie AI Governance i procedur ciągłości działania

Wesprzemy Twoją organizację we wdrażaniu struktur zarządzania ryzykiem AI, czyli zestawu polityk, procesów i ról, które pozwalają nadzorować rozwój, wdrożenie i działanie systemów AI w sposób zgodny z prawem oraz bezpieczny dla użytkowników. Zintegrujemy te działania z już istniejącymi systemami zarządzania bezpieczeństwem, ryzykiem czy ciągłością działania, aby uniknąć powielania obowiązków i uprościć zarządzanie.

Szkolenia i warsztaty dla zespołów IT, compliance oraz zarządu

Przeprowadzimy szkolenia dla różnych grup odbiorców – od zarządów, przez działy IT i compliance, aż po użytkowników końcowych systemów AI. Pomożemy zbudować świadomość regulacyjną, technologiczną i etyczną, pokazując, jak realnie stosować zasady AI Act w codziennej pracy.


Zacznij przygotowania już dziś!

Dostosuj się z nami do AI Act

Napisz do nas na [email protected] lub skorzystaj z formularza w stopce strony. Pomożemy Ci przeprowadzić ocenę ryzyka, przygotować organizację i zbudować zgodność krok po kroku. 

 

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818


    Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:




    Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

    Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
    Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.






      Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:



      Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

      Zgłoszenie zostało wysłane!