Digital Omnibus nie zwalnia z obowiązków przejrzystości. Co od 2 sierpnia 2026 r. muszą zrobić podmioty stosujące AI?

clock 10m 1s

W ostatnich tygodniach wiele organizacji uznało, że dzięki projektowi „Digital Omnibus on AI” mogą odłożyć przygotowania do wdrożenia AI Act. To jednak zbyt daleko idący wniosek.

Owszem, projekt przewiduje przesunięcie części obowiązków dotyczących systemów wysokiego ryzyka oraz obowiązków związanych z technicznym oznakowaniem i wykrywalnością treści generowanych lub manipulowanych przez AI, w tym m.in. za pomocą znaków wodnych lub metadanych. Nie oznacza to jednak, że cały art. 50 AI Act został odroczony.

Z perspektywy przedsiębiorców korzystających z AI najważniejsze jest to, że obowiązki przejrzystości po stronie podmiotów stosujących (deployers) należy nadal wiązać zasadniczo z 2 sierpnia 2026 r., a projektowane zmiany dotyczą przede wszystkim obowiązków technicznych adresowanych do dostawców systemów AI.

Największy mit: każdą treść stworzoną z AI trzeba oznaczać

To jeden z najczęściej powtarzanych błędów.

AI Act nie nakłada ogólnego obowiązku oznaczania każdej treści przygotowanej z wykorzystaniem sztucznej inteligencji. Nie wystarczy sam fakt użycia systemu AI, aby automatycznie powstał obowiązek oznaczenia materiału.

Najpierw należy odpowiedzieć na dwa pytania:

  1. Czy wykorzystywane rozwiązanie jest systemem AI w rozumieniu AI Act?
  2. Czy sposób wykorzystania tego systemu mieści się w jednej z sytuacji objętych art. 50 AI Act?

Dopiero łączne spełnienie tych przesłanek powoduje powstanie obowiązków przejrzystości.

Kiedy podmiot stosujący ma obowiązki z art. 50?

Dla większości organizacji praktyczne znaczenie mają cztery grupy sytuacji.

    1. Systemy rozpoznawania emocji

Jeżeli organizacja wykorzystuje system AI analizujący dane biometryczne w celu identyfikacji emocji lub wnioskowania o emocjach lub zamiarach osoby, musi poinformować o tym osobę, wobec której system jest stosowany.

Przykłady systemów rozpoznawania emocji[1]:

      • ocena reakcji uczestników badania konsumenckiego na produkt, reklamę albo opakowanie na podstawie obrazu twarzy, ruchu oczu lub innych cech biometrycznych;
      • analiza mimiki klienta w punkcie sprzedaży lub punkcie obsługi (np. kamera przy stanowisku obsługi, system oceniający zadowolenie/irytację);
      • analiza reakcji uczestników wydarzenia, prezentacji albo wideokonferencji (np. system szacujący poziom zaangażowania na podstawie obrazu twarzy lub danych z kamer);
      • analiza głosu użytkownika w trakcie interakcji z voicebotem w celu wnioskowania o frustracji, zadowoleniu albo stresie (analiza cech biometrycznych głosu, a nie wyłącznie treści wypowiedzi).

Informacja powinna zostać przekazana najpóźniej w chwili rozpoczęcia działania systemu wobec danej osoby, a nie dopiero w polityce prywatności.

    1. Systemy kategoryzacji biometrycznej

Analogiczny obowiązek dotyczy systemów przypisujących osoby do określonych kategorii na podstawie danych biometrycznych, np. szacowanego wieku czy innych cech wynikających z analizy twarzy lub głosu.

Również tutaj sama informacja zamieszczona w regulaminie nie będzie wystarczająca. Komunikat powinien zostać przekazany w miejscu i momencie faktycznego wykorzystania systemu.

Dla uznania danego zastosowania za kategoryzację biometryczną muszą być spełnione łącznie trzy przesłanki:

      • kategoryzacji dokonuje system AI – jeżeli przypisywanie do kategorii wykonuje człowiek albo prosty algorytm deterministyczny, nie jest to „kategoryzacja biometryczna” w rozumieniu AI Act;
      • system AI, którego funkcjonalnością jest przypisywanie określonych etykiet (kategorii) osobom fizycznym (np. „osoba młoda”, „osoba z brodą”, ‘osoba w okularach”);
      • etykiety są przypisywane na podstawie danych biometrycznych tych osób jako dane dotyczące cech fizycznych, fizjologicznych lub behawioralnych, takich jak wizerunek twarzy czy dane daktyloskopijne.

Przykłady systemów kategoryzacji biometrycznej[2]:

      • przypisanie odwiedzających do orientacyjnych grup wiekowych na podstawie obrazu twarzy (np. system oceniający, czy osoba jest pełnoletnia);
      • segmentację osób według cech biometrycznych w przestrzeni fizycznej, np. w sklepie, galerii handlowej albo na wydarzeniu (system przypisujący osoby do kategorii klientów na podstawie wyglądu czy sposobu poruszania się);
      • analizę obrazu twarzy odwiedzających salę wystawową w celu przypisania ich do określonych kategorii statystycznych (np. szacowany wiek, płeć, typ sylwetki);
      • kategoryzację użytkowników aplikacji na podstawie cech głosu, twarzy albo sposobu poruszania się, np. do celów segmentacji ryzyka, dopasowania oferty, analizy ruchu.

Przeczytaj również: AI Act – czym jest, kogo dotyczy i jak przygotować organizację na nowe obowiązki?


    1. Deepfake

Najwięcej pytań budzi obowiązek oznaczania materiałów wygenerowanych przez AI.

Nie każda grafika AI jest deepfake’iem.

Deepfake występuje wtedy, gdy wygenerowany lub zmodyfikowany obraz, audio albo wideo przypomina istniejące osoby, miejsca, przedmioty lub zdarzenia w takim stopniu, że odbiorca może błędnie uznać materiał za autentyczny.

W AI Act przewidziano jednak wyjątki i złagodzenia, w szczególności dla treści stanowiących część utworu lub programu o charakterze oczywiście artystycznym, kreatywnym, satyrycznym, fikcyjnym lub analogicznym – wtedy obowiązek ujawnienia powinien być wykonany w sposób odpowiedni, ale niezakłócający odbioru treści.

Samo oznaczenie AI nie legalizuje jednak materiału na innych polach. Nadal należy ocenić zgodność z innymi przepisami, np. w przypadku materiałów reklamowych z przepisami dotyczącymi reklamy, ochrony konsumentów czy czynów nieuczciwej konkurencji.

    1. Teksty generowane lub istotnie modyfikowane przez AI

Nie każdy tekst AI trzeba oznaczać. Drugim często błędnie interpretowanym obowiązkiem jest oznaczanie tekstów.

Art. 50 AI Act nie obejmuje wszystkich tekstów generowanych przez AI. Obowiązek dotyczy wyłącznie sytuacji, gdy tekst:

      • został wygenerowany lub istotnie zmodyfikowany przez AI,
      • jest publikowany,
      • służy informowaniu opinii publicznej,
      • dotyczy spraw interesu publicznego.

Ważne jest więc ustalenie:

      • czy tekst został wygenerowany przez system AI (np. news napisany przez generator tekstu),
      • lub czy tekst został zmanipulowany albo  przetworzony przez system AI w istotny sposób przed publikacją, np. przeredagowanie, streszczenie, przetłumaczenie z jednoczesnym modyfikowaniem treści, „ulepszanie” stylu przez LLM, jeżeli w praktyce prowadzi ono do istotnej zmiany sposobu przedstawienia informacji, akcentów lub sensu wypowiedzi.).

Jeżeli tak, a tekst jest publikowany w celu informowania o sprawach interesu publicznego – wchodzi w zakres obowiązku z art. 50 AI Act.

W przypadku tekstów publikowanych w celu informowania opinii publicznej o sprawach interesu publicznego obowiązek ujawnienia, że tekst został wygenerowany lub zmodyfikowany przez AI, nie znajdzie jednak zastosowania, jeżeli treść została poddana ludzkiej weryfikacji lub kontroli redakcyjnej, a za publikację odpowiada redakcyjnie osoba fizyczna albo prawna. Nie każda edycja tekstu przez AI będzie „manipulacją” w tym znaczeniu. Automatyczna korekta literówek, poprawa interpunkcji, skrócenie tekstu bez zmiany sensu, formatowanie albo językowe wygładzenie tekstu zwykle nie powinny same w sobie uruchamiać obowiązku oznaczenia. Decydujące jest to, czy użycie AI miało istotny wpływ na treść przekazywaną.

Przykłady tekstów, które mogą być objęte obowiązkiem oznaczania, jeżeli nie znajdzie zastosowania wyjątek dotyczący ludzkiej weryfikacji lub kontroli redakcyjnej[3]:

      • wygenerowane przez AI streszczenie artykułu napisanego przez człowieka, publikowane na stronie gazety i omawiające decyzję rady miejskiej;
      • zmanipulowane przez AI fragmenty opublikowanego artykułu naukowego porównującego wpływ diet na chorobę;
      • zmanipulowany przez AI raport korporacyjny spółki giełdowej zawierający informacje dla inwestorów;
      • wygenerowany przez AI publiczny post instytutu meteorologicznego ostrzegający obywateli przed burzami i środkami ostrożności.

Natomiast zwykłe opisy produktów, newslettery sprzedażowe, landing page’e, korespondencja prywatna czy dokumenty wewnętrzne co do zasady nie będą objęte tym obowiązkiem, ponieważ zwykle nie są publikowane w celu informowania opinii publicznej o sprawach interesu publicznego. Każdorazowo trzeba jednak ocenić nie tylko to, czy przy tworzeniu tekstu wykorzystano AI, ale również cel publikacji, temat tekstu, zakres ingerencji AI oraz to, czy przed publikacją przeprowadzono realną kontrolę człowieka.


Przeczytaj również: Nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa – najważniejsze zmiany i obowiązki


Czy wystarczy informacja w regulaminie o użyciu AI?

Nie. Jednym z najważniejszych wniosków płynących z art. 50 ust. 5 AI Act jest to, że komunikaty muszą być:

    • jasne,
    • zrozumiałe,
    • wyraźne,
    • łatwo dostępne,
    • przekazane najpóźniej przy pierwszej interakcji z systemem albo pierwszym kontakcie z treścią.

Informacja nie może być ukryta w regulaminie, polityce prywatności czy dokumentacji technicznej. Użytkownik powinien otrzymać ją w momencie, w którym rzeczywiście korzysta z systemu lub odbiera materiał.

Przykładowo:

    • chatbot powinien poinformować użytkownika już na początku rozmowy,
    • oznaczenie materiału typu deepfake powinno być widoczne przy materiale,
    • informacja o tekście AI powinna stanowić element samej publikacji.

Dostawca AI również ma znaczenie

Podmiot stosujący nie przejmuje obowiązków dostawcy z art. 50 ust. 1 i 2 AI Act, ale w praktyce powinien dobierać takie narzędzia i dostawców, które umożliwiają mu wykonanie własnych obowiązków informacyjnych i oznaczeniowych. Oznacza to co najmniej konieczność sprawdzenia, czy system pozwala na prawidłowe informowanie użytkownika albo oznaczanie treści tam, gdzie jest to wymagane. Nie oznacza to obowiązku pełnego audytu technicznego dostawcy, ale wymaga uzyskania podstawowych informacji o tym, czy i jak system realizuje obowiązki przejrzystości przewidziane dla dostawcy.

Minimalne wymogi wobec dostawcy systemu AI objętego art. 50 ust. 1 i 2 AI Act (systemu bezpośrednio wchodzącego w interakcję z osobą fizyczną albo systemu generującego lub manipulującego treści syntetyczne), które – jeżeli nie są spełnione – powinny być traktowane przez podmiot stosujący jako „czerwone światło” dla wdrożenia, obejmują co najmniej:

    • możliwość uzyskania od dostawcy jasnej informacji czy system jest objęty obowiązkami przejrzystości i w jaki sposób dany system realizuje te obowiązki;
    • dokumentację opisującą mechanizmy przejrzystości (np. gdzie i kiedy pojawiają się komunikaty o interakcji z AI, jakie środki techniczne wykrywalności treści syntetycznych – znaki wodne, metadane – są stosowane);
    • brak klauzul umownych, które w praktyce uniemożliwiałyby podmiotowi stosującemu spełnienie jego własnych obowiązków z art. 50 (np. klauzule wyłączające odpowiedzialność dostawcy za zgodność systemu z AI Act);
    • techniczną możliwość takiego skonfigurowania systemu, aby podmiot stosujący mógł faktycznie zapewnić przejrzystość wobec użytkownika końcowego (np. pole na komunikat o interakcji z AI, brak „twardego” usuwania watermarków przy standardowym eksporcie plików).

Przeczytaj również: Cyber Resilience Act – czym są nowe wymogi dla urządzeń łączących się z Internetem?


Wnioski

Największym błędem przy wdrażaniu AI Act jest dziś przekonanie, że Digital Omnibus odroczył wszystkie obowiązki związane z art. 50.

Projektowane zmiany dotyczą przede wszystkim części obowiązków dostawców oraz harmonogramu technicznego oznakowania i wykrywalności treści generowanych lub manipulowanych przez AI. Nie oznacza to automatycznego przesunięcia obowiązków informacyjnych i oznaczeniowych spoczywających na podmiotach stosujących.

Dla większości organizacji najważniejsze pytanie nie brzmi więc: „Czy używamy AI?”, lecz: „Czy wykorzystujemy system AI w jednej z sytuacji objętych art. 50 AI Act i czy potrafimy wykazać, że prawidłowo wykonaliśmy obowiązki przejrzystości?”

To właśnie od odpowiedzi na to pytanie powinny rozpocząć się przygotowania do 2 sierpnia 2026 r.


Chcesz wiedzieć, jak powinna wyglądać ikona AI oraz oznaczenia? Gdzie je zamieścić, aby spełnić wymogi art. 50? Jakie są wyjątki od powyższych reguł? Czym jest Code of Practice on Transparency of AI-Generated Content i jakie znaczenie może mieć w praktyce? Zajrzyj na naszego bloga już wkrótce.


Przygotuj się do zgodności z AI Act. Wspieramy firmy w analizie ryzyk, obowiązków i wdrożeniu wymagań dotyczących sztucznej inteligencji.

Dostosuj się z nami do AI Act

Napisz na [email protected] lub skorzystaj z formularza w stopce strony.

 

Akt o Sztucznej Inteligencji

 


[1] Draft Guidelines on the implementation of the transparency obligations for certain AI systems under Article 50 of Regulation (EU) 2024/1689 (the ‘AI Act’)
[2] Draft Guidelines on the implementation of the transparency obligations for certain AI systems under Article 50 of Regulation (EU) 2024/1689 (the ‘AI Act’)

[3] Draft Guidelines on the implementation of the transparency obligations for certain AI systems under Article 50 of Regulation (EU) 2024/1689 (the ‘AI Act’)


Autorka tekstu: Anna Żmijewska (Regulatory & Compliance Practice Lead)

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
G43 Office Center
ul. Grzybowska 43
00-855 Warszawa

KRS 0000379789
NIP 5222972858
REGON 142839818


    Wyrażam zgodę na otrzymywanie od Resilia Sp. z o.o. informacji handlowych dotyczących oferowanych produktów i usług w formie:

    Szczegóły dotyczące przetwarzania danych osobowych znajdują się w Polityce prywatności.


    Zgoda jest dobrowolna i w każdej chwili możesz ją wycofać.



    Administratorem Twoich danych osobowych jest Resilia Sp. z o.o. z siedzibą w Warszawie, ul. Grzybowska 43, 00-855 Warszawa, zarejestrowana w KRS prowadzonym przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XII Wydział Gospodarczy KRS pod nr. KRS 0000379789, NIP 5222972858, REGON 142839818. Twoje dane osobowe będą przetwarzane w celu obsługi zapytania przesłanego za pośrednictwem formularza kontaktowego – na podstawie art. 6 ust. 1 lit. f RODO, tj. prawnie uzasadnionego interesu Administratora polegającego na prowadzeniu bieżącej komunikacji. Dane mogą być również przetwarzane w celu realizacji prawnie uzasadnionego interesu Administratora polegającego na prowadzeniu marketingu bezpośredniego własnych produktów i usług, w tym poprzez wysyłkę informacji handlowych drogą elektroniczną – na podstawie art. 6 ust. 1 lit. f RODO, przy czym komunikacja taka odbywa się wyłącznie w przypadku uzyskania uprzedniej zgody w rozumieniu przepisów prawa komunikacji elektronicznej. W przypadku wyrażenia zgody na otrzymywanie newslettera, Twoje dane osobowe będą przetwarzane także w celu zawarcia i wykonania umowy o dostarczanie treści cyfrowych w postaci newslettera, tj. realizacji usługi jego wysyłki (który może zawierać informacje handlowe o produktach i usługach Administratora) na podany adres e-mail – na podstawie art. 6 ust. 1 lit. b RODO. Przysługuje Ci prawo dostępu do Twoich danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych oraz wniesienia sprzeciwu. Masz również prawo do wniesienia skargi do PUODO, jeśli w Twojej ocenie przetwarzamy dane w sposób nieprawidłowy. Więcej informacji w Polityce prywatności.

    Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
    Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.






      Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:



      Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

      Zgłoszenie zostało wysłane!