Akt w sprawie danych (Data Act)

To rozporządzenie unijne, które ma bezpośrednie zastosowanie w państwach członkowskich UE od 12 września 2025. Jego głównym celem jest zapewnienie szerszego dostępu do danych (głównie nieosobowych, ale również osobowych), w tym metadanych i ich wykorzystania między różnymi uczestnikami rynku. Dotyczy głównie obszaru internetu rzeczy (IoT – Internet of Things) oraz dostawców usług chmurowych.

Data Act w szczególności umożliwia użytkownikom "produktów skomunikowanych" (np. samochodów połączonych z siecią, urządzeń medycznych i fitness, maszyn przemysłowych lub rolniczych, asystentów głosowych) i "usług powiązanych" (tj. wszystkiego, co sprawiłoby, że produkt skomunikowany zachowywałby się w określony sposób, np. aplikacji do regulacji jasności świateł lub temperatury lodówki) dostęp do danych, które współtworzą, korzystając z produktów skomunikowanych/usług powiązanych. Dotyczy to zarówno użytkowników będących konsumentami, jak i użytkowników biznesowych. Użytkownik ma w założeniu móc łatwiej przenosić dane do innych usługodawców oraz decydować, kto ma do nich dostęp.

Czytaj też w LEX: Obowiązki informacyjne w Data Act >

Akt w sprawie danych wymaga przy tym, aby produkty skomunikowane oraz usługi powiązane były projektowane w taki sposób, aby dane z produktu i z usługi powiązanej były domyślnie:

• łatwo;
• bezpiecznie;
• bezpłatnie;
• w całościowym, ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego formacie;
• oraz (w stosownym przypadku) bezpośrednio

dostępne dla użytkownika lub podmiotów przez niego wskazanych.

Rozporządzenie wprowadza również w relacjach B2B katalog nieuczciwych klauzul umownych dotyczących dostępu i wykorzystania danych, czyli instytucji, które do tej pory była charakterystyczna dla obrotu B2C. Mają one bezwzględnie obowiązujący charakter i strony nie mogą ich wyłączyć w drodze umowy.

Czytaj też w LEX: Dostęp bezpośredni i pośredni do danych (na gruncie Data Act) >

Akt w sprawie sztucznej inteligencji (AI Act)

Akt w sprawie sztucznej inteligencji to pierwszy akt prawny, który kompleksowo reguluje i określa ramy prawne w zakresie sztucznej inteligencji. Dotyczy rozwoju, wprowadzania do obrotu, oddawania do użytku i wykorzystywania systemów sztucznej inteligencji (AI). AI Act reguluje podstawowe zasady korzystania z systemów opartych na sztucznej inteligencji. Ponadto klasyfikuje systemy AI w zależności od ryzyka, jakie za sobą pociągają i wpływu, jaki mogą wywierać na użytkowników. Co ważne, nowe przepisy dotyczą także tych podmiotów, które nie mają siedziby na terenie UE. Rozporządzenie wyróżnia różne kategorie podmiotów na które nakładane są różne obowiązki (m.in. dostawcy, podmioty stosujące AI, importerzy, dystrybutorzy, producenci). AI Act znajdzie najszersze zastosowanie głównie do dwóch grup podmiotów: dostawców systemów AI oraz podmiotów stosujących systemu AI.

Zobacz też w LEX: AI w kancelarii prawnej – jak korzystać bezpiecznie i zgodnie z prawem? >

W lutym br. rozpoczęto stosowanie przepisów AI Act dotyczących przepisów ogólnych oraz zakazanych praktyk. Rozporządzenie zakazuje wprowadzania do obrotu, oddawania do użytku lub wykorzystywania systemów AI, które (przy spełnieniu dodatkowych przesłanek) m.in.: stosują techniki podprogowe lub celowe techniki manipulacyjne, wykorzystują słabości osób lub określonej grupy osób (np. ze względu na wiek, szczególną sytuację społeczną), scoring społeczny, służą rozpoznawaniu twarzy poprzez nieukierunkowane pozyskiwanie, służą rozpoznawaniu emocji w miejscach pracy i edukacji, dokonują kategoryzacji biometrycznej, które indywidualnie kategoryzują osoby fizyczne w oparciu o ich dane biometryczne w określonych celach.

Czytaj też w LEX: Odpowiedzialność za korzystanie przez pracowników z narzędzi AI >

Z kolei od 2 sierpnia br. stosowane są przepisy dotyczące w szczególności modeli AI ogólnego przeznaczenia oraz kar za naruszenie przepisów rozporządzenia. Modelem AI ogólnego przeznaczenia zgodnie z rozporządzeniem jest model AI, który wykazuje znaczną ogólność i jest w stanie kompetentnie wykonywać szeroki zakres różnych zadań i który można zintegrować z różnymi systemami lub aplikacjami niższego szczebla. Przykładami takich modeli są modele wykorzystywane w najpopularniejszych systemach generatywnej AI takie jak ChatGPT, czy Gemini. Dostawcy muszą m.in. zapewnić zgodność z prawem autorskim poprzez odpowiednie polityki, w tym zapewnić zgodność z wyjątkami w zakresie eksploracji tekstów i danych (text and data mining). Dostawcy takich modeli są zobowiązani również do udostępniania dokumentacji dostawcom systemów AI, którzy zamierzają zintegrować model AI ogólnego przeznaczenia ze swoimi systemami AI (integratorzy).

Zobacz też w LEX: Profilowanie i automatyczne podejmowanie decyzji przy wykorzystaniu AI – mechanizmy ochrony w RODO i AIA >

Rozporządzenie przewiduje szereg administracyjnych kar pieniężnych za niedostosowanie się do przepisów. Przykładowo, nieprzestrzeganie zakazu praktyk w zakresie AI podlega administracyjnej karze pieniężnej do 35 mln euro lub (w przypadku przedsiębiorstwa) 7 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Rozporządzenie przewiduje, że odpowiednie organy będą posiadały także innego rodzaju uprawnienia (np. uzyskanie dostępu do kodu źródłowego systemu AI wysokiego ryzyka), w tym sankcyjne (np. wycofanie z rynku systemu AI wysokiego ryzyka).

Większość przepisów rozporządzenia zacznie być stosowana od 2 sierpnia 2026 r. Ze względu na stopień ich skomplikowania nie zostało więc wiele czasu do dostosowania organizacji do wymogów AI Act. Co ważne, wybrane obowiązki opisane w rozporządzeniu będą miały zastosowanie nie tylko do dostawców systemów AI, ale też podmiotów stosujących określone systemy AI (w szczególności tzw. systemy AI wysokiego ryzyka).

Czytaj też w LEX: Obowiązki dokumentacyjne przy wdrażaniu rozwiązań AI w przedsiębiorstwie – ocena ryzyka, zarządzanie jakością, procedury i informacje >

Przedsprzedaż

-15%

Przedsprzedaż

AI Act. Europejska regulacja sztucznej inteligencji [PRZEDSPRZEDAŻ]

Artur Bogucki

Sprawdź  

Przepisy dotyczące cyberbezpieczeństwa

Coraz bardziej złożony staje się również system uregulowań dotyczący cyberbezpieczeństwa. Od stycznia br. stosuje się rozporządzenie nr 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego (rozporządzenie DORA). Rozporządzenie to ma na celu zwiększenie odporności sektora finansowego na cyberataki i inne zagrożenia technologiczne. DORA ma przy tym znaczenie głównie dla instytucji finansowych oraz ich dostawców usług IT.

Czytaj więcej w LEX: DORA – nowe obowiązki w sektorze bankowym >

Obecnie trwają prace nad projektem ustawy wdrażającej dyrektywę NIS2 (dyrektywa 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii), która będzie miała o wiele szersze zastosowanie niż rozporządzenie DORA. Zgodnie z OSR przepisy implementujące NIS2 mają objąć w Polsce prawie 40 tysięcy podmiotów. Jest to jednak tylko bezpośrednie oddziaływanie, pośrednio skutki regulacji dotkną także dostawców i wykonawców współpracujących z podmiotami kluczowymi i ważnymi w rozumieniu przepisów, a w dalszej kolejności także innych podmiotów gospodarczych. W związku z tym, że mamy do czynienia z dyrektywą, która wymaga implementacji na poziomie krajowym, mogą występować różnice w regulacji pomiędzy poszczególnymi krajami członkowskimi, co może przykładowo prowadzić do tego, że podmiot z danego sektora może w jednym państwie podlegać wymogom przepisów, a w innym nie.

Nowa regulacja oznacza konieczność dokonania samoidentyfikacji oraz zgłoszenia podlegania pod nowe przepisy do stosownego rejestru, a także obowiązki w zakresie zarządzania ryzykiem i audytu, dotyczące zgłaszania incydentów oraz rozbudowane środki nadzoru i wysokie kary pieniężne za niewypełnianie obowiązków, które mogą zostać nałożone na zobowiązane podmioty (sięgające kilku milionów euro, albo kilku procent przychodów), jak i kierowników zobowiązanych podmiotów. Obecne kategorie operatorów usług kluczowych oraz dostawców usług cyfrowych zostaną zastąpione odpowiednio przez kategorie podmiotów kluczowych oraz podmiotów ważnych, co wymaga dokonania ponownej identyfikacji również przez podmioty podlegające dotychczasowym przepisom. Jedną z najważniejszych kwestii jest więc ocena, czy dany podmiot podlega wymogom, głównie ze względu na działalność w którymś ze wskazanych w przepisach sektorów, a następnie dostosowanie organizacji do wymogów.

Czytaj też w LEX: Nowe środki w zakresie cyberbezpieczeństwa (dyrektywa NIS 2) >

Równolegle z pracami nad wdrożeniem dyrektywy NIS2 trwają również prace na wdrożeniem dyrektywy CER (dyrektywa nr 2022/2557 w sprawie odporności podmiotów krytycznych), w tym prace nad uspójnieniem projektów przepisów wdrażających te dyrektywy. Obie wymienione dyrektywy powinny zostać implementowane do 17 października 2024 r., więc termin ten nie został dochowany.

Czytaj też w LEX: Dyrektywa CER – unijne wzmocnienie ochrony infrastruktury krytycznej w bankach >