Część przepisów unijnego rozporządzenia o systemach sztucznej inteligencji (Aktu w sprawie sztucznej inteligencji, AI Act) weszła już w życie: odpowiednio 2 lutego i 2 sierpnia br. Nadal brakuje jednak polskich przepisów, które pozwolą właściwie stosować te regulacje. Lukę ma wypełnić przygotowana przez Ministerstwo Cyfryzacji ustawa o systemach sztucznej inteligencji, której pierwsza wersja została skierowana do konsultacji już w październiku 2024 r.

Najnowsza upubliczniona wersja projektu pochodzi z 2 września 2025 r. i została skierowana do Komitetu Stałego Rady Ministrów. Niedługo po tym Ministerstwo Spraw Zagranicznych alarmowało, że konieczne jest pilne procedowanie ustawy, państwa członkowskie UE powinny bowiem mieć już wyznaczone organy zajmujące się problematyką AI oraz wprowadzić kary i inne środki egzekwowania rozporządzenia.

Dr Maria Dymitruk, radczyni prawna, szefowa praktyki prawa AI w Kancelarii Lubasz i Wspólnicy i laureatka 6. miejsca w tegorocznej edycji konkursu Rising Stars Prawnicy - liderzy jutra podnosi., że ponad sto dni opóźnienia powoduje niepotrzebną niepewność na rynku AI w Polsce.

- Nie tylko rodzi ryzyko nałożenia na Polskę przez Trybunał Sprawiedliwości UE kar finansowych, ale także powoduje, że adresaci rozporządzenia – pomimo rozpoczęcia stosowania części jego przepisów oraz rychłego nadejścia głównej daty rozpoczęcia stosowania Aktu w sprawie sztucznej inteligencji (2 sierpnia 2026 r.- red.) – nie mają pełni informacji potrzebnej im do przemyślanego zaplanowania compliance’u w obszarze AI – wskazuje dr Dymitruk.

 

>> Czytaj: Rising Stars 2025, znamy już młodych prawników - liderów jutra

 

Prawo AI już obowiązuje, ale nie wszyscy o tym wiedzą

Jak dodaje, konsekwencją opóźnienia może być też rozpowszechnianie błędnego przekonania o tym, że przepisów AI Act nie trzeba jeszcze stosować. Tymczasem one już obowiązują. Przykładem są przepisy o tzw. AI literacy, czyli obowiązku zapewnienia określonych kompetencji pracownikom zajmującym się sztuczną inteligencją. Po tym, jak wszedł on w życie 2 lutego br., wiele firm przeprowadziło odpowiednie szkolenia.

- Przepisy AI Act dotyczą nie tylko producentów systemów sztucznej inteligencji, ale także podmiotów stosujących takie systemy – przypomina Artur Piechocki, radca prawny, założyciel kancelarii APLAW. Zaznacza jednak, że większość obowiązków opisanych w unijnym rozporządzeniu odnosi się do tzw. systemów wysokiego ryzyka (zgodnie z aktualnym stanem prawnym, wejdą one w życie 2 sierpnia 2026 r.). Są to m.in. systemy wykorzystywane w obszarach objętych unijnym prawodawstwem harmonizacyjnym w zakresie zdrowia i bezpieczeństwa (np. w zabawkach, samochodach, urządzeniach medycznych, a nawet windach), a także systemy dotyczące obszarów takich jak edukacja i szkolenia zawodowe, infrastruktura krytyczna, zarządzanie migracją, kontrola graniczna. Podmioty działające w którymś z tych obszarów, jeśli wykorzystują narzędzia AI i nie mają zastosowania wyłączenia, podlegają przepisom dotyczącym systemów wysokiego ryzyka.

- Muszą m.in. zapewnić środki techniczne i organizacyjne, aby działać zgodnie z instrukcją obsługi przygotowaną przez producenta, prowadzić i przechowywać rejestr zdarzeń, powierzyć nadzór nad takim systemem człowiekowi posiadającemu określone kompetencje oraz zapewnić adekwatność i reprezentatywność danych wykorzystywanych do trenowania systemu – np. w systemie CMS nie mogą przypadkiem i bez żadnego związku pojawić się dane dotyczące zdrowia pracowników – tłumaczy mec. Piechocki.

Zobacz też w LEX: AI w kancelarii prawnej – jak korzystać bezpiecznie i zgodnie z prawem? >

 

Komisja od AI niczym komisja od reprywatyzacji

Egzekwowaniem tych i innych przepisów oraz nakładaniem kar za ich łamanie w świetle projektowanej polskiej ustawy ma zająć się nowy organ nadzoru rynku - Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI). Dyskusje na temat jej składu, kompetencji i finansowania trwają od początku prac nad ustawą i prawdopodobnie dotąd się nie zakończyły. Jeszcze 4 listopada br. Hanna Majszczyk, podsekretarz stanu w Ministerstwie Finansów, zaproponowała w piśmie do KSRM, że KRiBSI „mogłaby zostać utworzona np. na wzór Komisji do spraw reprywatyzacji nieruchomości warszawskich w ramach struktury istniejącego urzędu, którym mógłby być Urząd Komunikacji Elektronicznej (UKE)”.

Odwołania od decyzji i zażaleń na postanowienia KRiBSI będzie rozpoznawać Sąd Ochrony Konkurencji i Konsumentów. Ministerstwo Sprawiedliwości domagało się więc zabezpieczenia w tym sądzie dodatkowych etatów, którą to uwagę resort cyfryzacji obiecał uwzględnić. Projektodawca doprecyzował też - co również budziło wątpliwości - że skarga kasacyjna od orzeczenia sądu drugiej instancji przysługuje niezależnie od wartości przedmiotu zaskarżenia. Nie rozwiało to jednak wszystkich wątpliwości MS - wiceminister Arkadiusz Myrcha w piśmie z 9 października wskazywał m.in. na potrzebę wzmocnienia Sądu Apelacyjnego w Warszawie (będzie rozpoznawał odwołania od orzeczeń SOKiK) oraz poprawne uregulowanie przepisów karnych, które wprowadzą odpowiedzialność m.in. za utrudnianie kontroli KRiBSI.

Zarzuty wobec projektu płyną też ze świata biznesu. Jak wskazuje Maria Dymitruk, podstawowy dotyczy rozkładu ciężaru regulacyjnego.

- Projekt ustawy skupiony jest na nadzorze, procedurach weryfikacji zgodności i karach. W niewielu aspektach proponuje wsparcie innowacji polskich przedsiębiorstw w obszarze AI, proponując narzędzia realnie ułatwiające rozwijanie i wdrażanie systemów i modeli sztucznej inteligencji – mówi prawniczka. Jak wskazuje, jedynym narzędziem pomocowym przewidzianym w projekcie ustawy pozostaje piaskownica regulacyjna, wymagana przez samo rozporządzenie.

Piaskownica to specjalne otoczenie prawne dla dostawców lub potencjalnych dostawców systemów AI, które zapewni możliwość rozwoju, trenowania, walidacji i testowania ich rozwiązań z pominięciem niektórych obowiązków. Zgodę na udział w piaskownicy wyda przewodniczący KRiBSI. - Sukces piaskownicy regulacyjnej (lub jego brak) będzie jednak w dużej mierze zależał od organizacyjnej sprawności aparatu państwowego oraz prawdziwej chęci wsparcia podmiotów zobowiązanych na gruncie rozporządzenia, a nie jedynie samej litery prawa – uważa dr Dymitruk.

 

Nowość
Akt o usługach cyfrowych. Komentarz
-80%
Nowość
Akt o usługach cyfrowych. Komentarz

Dominik Lubasz, Monika Namysłowska

Sprawdź  

Cena promocyjna: 79.8 zł

|

Cena regularna: 399 zł

|

Najniższa cena w ostatnich 30 dniach: 119.7 zł


Kogo jeszcze dotyczą przepisy o AI

Obecnie procedowane przepisy powinny zainteresować szerszą grupę przedsiębiorców, zwłaszcza że coraz więcej dziedzin życia jest związanych ze sztuczną inteligencją. Przykładowo, dr Mariusz Woźniakowski z Wydziału Zarządzania Uniwersytetu Łódzkiego w związku z Black Friday zwrócił uwagę na najnowszy trend w e-handlu, jakim staje się hiperpersonalizacja w czasie rzeczywistym. Oznacza to, że dzięki zaawansowanym modelom predykcyjnym i generatywnym AI każdy może otrzymać dynamicznie treści takie jak cena, wygląd strony internetowej i rekomendacje produktowe dynamicznie tworzone w oparciu o jego zachowania konsumenckie, preferencje i przewidywane intencje zakupowe.

Po 2 sierpnia 2026 r. obowiązki wynikające z AI Act obejmą też podmioty stosujące systemy AI ograniczonego ryzyka, przykładowo takie, które mogą posłużyć do wygenerowania deepfaków, manipulacji głosem lub obrazem.

- Zakres tych obowiązków jest jednak znacznie mniejszy niż przy systemach wysokiego ryzyka, przede wszystkim są to obowiązki informacyjne wskazujące, że użytkownik ma do czynienia z systemem AI – zastrzega jednak mec. Artur Piechocki.

Dodaje, że wymagania nakładane przez AI Act będą musieli spełnić także dostawcy modeli AI ogólnego przeznaczenia, głównie tych, które wiążą się z tzw. ryzykiem systemowym, w tym narzędzi generatywnej sztucznej inteligencji.

 

Nie tylko AI Act – ważne też np. RODO

- Sam AI Act nie nakłada natomiast obowiązków na podmioty korzystające z takich narzędzi, np. ChatGPT. Należy jednak pamiętać, aby przy ich używaniu nie zakłócać funkcjonowania systemów oraz nie naruszać praw osób trzecich wynikających z innych przepisów, w szczególności dotyczących danych osobowych i utworów objętych prawem autorskim – mówi prawnik.

Innymi słowy: firma, która korzysta z ChatGPT może nie być związana żadnymi przepisami AI Act ani ustawy o systemach sztucznej inteligencji, ale nadal obowiązują ją przepisy np. prawa autorskiego oraz RODO.

Zobacz też w LEX: Identyfikowanie ról na gruncie AI Act i RODO >

Martyna Popiołek-Dębska, radczyni prawna i inspektor ochrony danych prowadząca kancelarię MP-D, uczula, że sztucznej inteligencji nie powinno się udostępniać jakichkolwiek informacji umożliwiających identyfikację osoby.

- Dotyczy to zarówno własnych danych, jak i osób trzecich. Nie wrzucamy do analizy bazy danych klientów, nawet poddanej pseudoanonimizacji – mówi prawniczka. - Wiele osób nie zdaje sobie sprawy z tego, że to, co wpisują w okienko czatu, może być przechowywane, analizowane lub wykorzystywane do ulepszania modeli. W efekcie wyświetlone innej osobie. Dlatego warto wiedzieć, jakich informacji nie wolno przekazywać AI, niezależnie od tego, czy jest to chatbot, narzędzie online do pracy własnej czy system firmowy - dodaje.

Czytaj też w LEX: Odpowiedzialność za korzystanie przez pracowników z narzędzi AI >

Jak wylicza, nie należy udostępniać AI danych dostępowych i technicznych (haseł i PIN-ów, kodów 2FA, kluczy prywatnych SSH), jak również danych poufnych ( strategii biznesowych, analiz finansowych, kodu źródłowego, planów produktów, umów, danych klientów czy kontrahentów).

- Aby bezpiecznie korzystać z AI należy anonimizować dane. Oddzielać treści, które można udostępnić od danych wrażliwych. Ważne aby sprawdzić politykę prywatności narzędzia, z którego korzystamy oraz regulamin świadczenia usług.

Czytaj też w LEX: Obowiązki dokumentacyjne przy wdrażaniu rozwiązań AI w przedsiębiorstwie – ocena ryzyka, zarządzanie jakością, procedury i informacje ?

 

Digital Omnibus, czyli KE proponuje uproszczenia

19 listopada Komisja Europejska ogłosiła pakiet Digital Omnibus, który zakłada m.in. uproszczenie w zakresie RODO i raportowania związanego z cyberbezpieczeństwem, ale też dotyczące sztucznej inteligencji.

KE proponuje, by wejście w życie regulacji o systemach AI wysokiego ryzyka powiązać z dostępnością niezbędnych norm i narzędzi wsparcia dla przedsiębiorców, które zostaną dopiero zatwierdzone. Harmonogram wdrożenia tych przepisów może zostać wydłużony do maksymalnie 16 miesięcy.

Komisja proponuje również w AI Act:

  • rozszerzenie niektórych preferencji dla sektora MŚP (oraz nowej kategorii - małym spółkom o średniej kapitalizacji), w tym uproszczonych wymogów dotyczących dokumentacji technicznej;
  • rozszerzenie możliwości korzystania z piaskownic regulacyjnych;
  • wzmocnienie pozycji Europejskiego Urzędu ds. AI i scentralizowanie nadzoru nad systemami sztucznej inteligencji opartymi na modelach AI ogólnego przeznaczenia.

Zobacz też w LEX: 

Profilowanie i automatyczne podejmowanie decyzji przy wykorzystaniu AI – mechanizmy ochrony w RODO i AIA >

>> Czytaj także: 

Granice ochrony własności intelektualnej w erze AI: wnioski z głośnego wyroku

Prof. Markiewicz: „Pełzająca śmierć” Beksińskiego i AI

 

-------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.