Rząd wreszcie przyjął zapowiadany od dawna projekt ustawy o systemach sztucznej inteligencji, zapewniającej właściwe wdrożenie unijnego rozporządzenia AI Act. Polski prawodawca już zapowiada dalsze działania legislacyjne, w tym odnoszące się do systemów AI wysokiego ryzyka oraz tzw. piaskownic regulacyjnych. Na poziomie unijnym trwa tymczasem uzgadnianie ostatecznej wersji pakietu Digital Omnibus, który odroczy niektóre obowiązki nawet o 16 miesięcy.
Ustawa o systemach sztucznej inteligencji określi przede wszystkim organizację i sposób sprawowania nadzoru nad rynkiem AI. Przewiduje powołanie Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI), nowego organu, który będzie prowadził postępowania w sprawie naruszenia przepisów i wymierzał kary. Trzymając się przykładów podawanych przez Ministerstwo Cyfryzacji, Komisja jako regulator rynku będzie mogła badać zgodność wykorzystania sztucznej inteligencji z unijnymi przepisami np. w bankowości lub diagnostyce medycznej.
Komisja na wniosek przedsiębiorców i innych zainteresowanych podmiotów będzie wydawać opinie indywidualne w konkretnych sprawach, gwarantujące pewność co do zgodności z prawem realizowanych lub planowanych działań. A także tworzyć tzw. piaskownice regulacyjne, czyli wydawać zgody na odstępstwa od stosowania określonych przepisów w celu wspierania nowatorskich rozwiązań technologicznych wykorzystujących sztuczną inteligencję.
- Ustawa o systemach AI jest niewątpliwie bardzo ważnym krokiem - obecnie bez niej AI Act pozostaje w dużej mierze trudny do stosowania w praktyce, ponieważ to właśnie regulacja krajowa ma zapewnić narzędzia do jego egzekwowania. Przykładowo, choć AI Act przewiduje ramy sankcyjne (w tym maksymalne kary), to konkretne procedury ich nakładania oraz tryb postępowania muszą zostać określone na poziomie krajowym. Podobnie jest z zasadami prowadzenia kontroli, rozpatrywania skarg czy funkcjonowania organu nadzoru – mówi Paulina Ostrowska, adwokat, senior associate w Kancelarii Głowacki i Wspólnicy.
Można więc powiedzieć, że AI Act określa co trzeba zrobić, natomiast ustawa krajowa - kto, w jaki sposób i z jakimi konsekwencjami będzie to egzekwował - podsumowuje.
Kluczowe obowiązki dla przedsiębiorców korzystających ze sztucznej inteligencji wynikają jednak nie z polskiej ustawy, a bezpośrednio z AI Actu. - I to one powinny być punktem wyjścia zarówno do działań compliance, jak i budowania systemu zarządzania AI (AI governance) w organizacji – zwraca uwagę mec. Ostrowska.
AI Act, czyli rozporządzenie 2024/1689, jest wprowadzany etapami. Obecne kalendarium przedstawia się następująco:
Prawnicy za najważniejszą z tych dat z reguły uznawali 2 sierpnia 2026 r., wtedy bowiem uregulowane mają być systemy, do których odnosi się większość obowiązków opisanych w AI Act. Zmieniło się to jednak jesienią 2025 r., gdy Komisjad Europejska zapowiedziała przesunięcie tego terminu.
Martyna Popiołek-Dębska, radca prawny prowadzącą własną kancelarię, zwraca uwagę, że zakłada to pakiet Omnibus AI, którego kluczowe przepisy 26 marca br. zatwierdził Parlament Europejski.
- Obecnie rozpoczęły się negocjacje między Parlamentem, Radą (państwami członkowskimi) i Komisją. Przedstawiciele Parlamentu i Rady rozpoczęli w tym tygodniu spotkania techniczne, mając nadzieję na sfinalizowanie zasad Omnibus AI do połowy roku tak, aby były gotowe na wdrożenie 2 sierpnia – mówi mec. Popiołek-Dębska.
Pakiet zakłada, że przepisy o systemach AI wysokiego ryzyka zostaną opóźnione o 16 miesięcy i zaczną obowiązywać dopiero 2 grudnia 2027 r. Nadal trwają dyskusje, czy okres przejściowy dla generatywnej AI wydłużyć o 6 miesięcy (do 2 lutego 2027 r.), czy o 3 miesiące (do 2 listopada 2026 r.). Natomiast załącznik I do AI Actu, wprowadzający AI jako komponent bezpieczeństwa produktów objętych zharmonizowanym prawem UE, miałby wejść w życie 2 sierpnia 2028 r. (opóźnienie o 12 miesięcy).
Martyna Popiołek-Dębska dodaje, że Omnibus AI dodaje też inne regulacje, m.in. zakazujące systemów generujących treści intymne (NCII) i dotyczące wykorzystywania dzieci (CSAM). Przewiduje też, że przetwarzanie szczególnych kategorii danych osobowych w celu wykrywania uprzedzeń jest dozwolone tylko wtedy, gdy jest „ściśle” konieczne.
- Co to oznacza w praktyce? Regulatorzy i przedsiębiorcy mają więcej czasu na przygotowanie się do wdrożenia przepisów AI Act. Firmy będą mogły spokojniej dostosować swoje procesy. Szczególnie istotne jest przesunięcie sierpniowych terminów obowiązywania przepisów AI Act na grudzień 2027 roku, co dałoby czas na dostosowanie architektury i procedur u przedsiębiorców stosujących te przepisy - komentuje mec. Popiołek-Dębska.
Dodaje, że polska ustawa może wymagać pewnych modyfikacji po ewentualnym ustaleniu ostatecznego brzmienia przepisów Omnibus AI.
Ministerstwo Cyfryzacji w uzasadnieniu projektu polskiej ustawy o AI przyznaje, że jej rozwiązania „nie wyczerpują docelowego, kompletnego zakresu nadzoru nad systemami sztucznej inteligencji w Polsce”. Nie obejmują bwiem obszaru wysokiego ryzyka. Projektodawca tłumaczy, że opracowanie i przyjęcie przepisów w tym zakresie wstępnie uwarunkowane było opublikowaniem wytycznych Komisji Europejskiej, obecnie zaś procedowany jest pakiet Omnibus AI/
- Omawiane działania na szczeblu unijnym mają bezpośredni wpływ na przyjęcie przepisów włączających w system nadzoru organy odpowiedzialne sektorowo za nadzór nad stosowaniem systemów AI w obszarach takich jak m.in. medycyna i produkty lecznicze, transport i motoryzacja czy bezpieczeństwo publiczne, ochrona granic i polityka migracyjna - podaje Ministerstwo Cyfryzacji.
Zapowiada też, że „planuje prowadzenie dalszych działań legislacyjnych (…) które będą wchodzić w życie w terminie od 2026 do 2027 r.”. Z zapowiedzi wynika, że poza krajowymi przepisami odnoszącymi się do systemów AI wysokiego ryzyka, wprowadzone mają być nowe regulacje dotyczące piaskownic regulacyjnych.
Paulina Ostrowska ocenia, że w zakresie systemów AI wysokiego ryzyka zapowiadane prace legislacyjne mogą obejmować uszczegółowienie krajowych procedur związanych z oceną zgodności. - Z kolei w zakresie piaskownic regulacyjnych obecne przepisy (art. 91 i n. projektu) mają charakter ogólny, co oznacza, że dalsze działania legislacyjne mogą zmierzać do określenia szczegółowych warunków dopuszczenia do udziału w piaskownicy, przebiegu testów, a także sposobu sprawowania nadzoru nad uczestnikami i projektami realizowanymi w jej ramach – dodaje mec. Ostrowska.
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.
