Regulacje AI Act – zasady dla technologii w UE
Firmy coraz częściej wdrażają systemy sztucznej inteligencji w swoich procesach, od rekrutacji po obsługę klienta. Te narzędzia przynoszą korzyści, ale niosą też ryzyko naruszeń prywatności czy błędnych decyzji. AI Act stanowi unijne rozporządzenie, które wprowadza jasne zasady dla takich technologii w całej Unii Europejskiej. W artykule omówiono jego główne elementy i implikacje dla przedsiębiorców.
Historia powstania rozporządzenia
Proces tworzenia AI Act trwał kilka lat i zaangażował instytucje unijne. Komisja Europejska zaproponowała projekt w kwietniu 2021 roku, Parlament przyjął go w marcu 2024, a Rada zatwierdziła w maju tego samego roku. Publikacja w Dzienniku Urzędowym nastąpiła 12 lipca 2024, co uruchomiło harmonogram wdrożenia. Dokument ma zapewnić rozwój technologii przy ochronie praw obywateli.
W tle stały obawy o manipulacje i dyskryminację spowodowane przez niekontrolowane algorytmy. Rozporządzenie adresuje te kwestie, klasyfikując systemy według stopnia zagrożenia. Polska, jako członek UE, musi dostosować krajowe prawo, co Ministerstwo Cyfryzacji już przygotowuje.
Etapy wejścia w życie przepisów
Rozporządzenie obowiązuje stopniowo, co daje czas na dostosowanie. Od 1 sierpnia 2024 roku weszły ogólne postanowienia, a 2 lutego 2025 zakazy dla najbardziej ryzykownych praktyk. Kolejne etapy obejmują sierpień 2025 dla modeli ogólnego przeznaczenia i luty 2026 dla systemów wysokiego ryzyka.
Pełne stosowanie nastąpi w sierpniu 2026 roku, z wyjątkiem niektórych wyjątków. Przedsiębiorcy powinni śledzić te daty, bo od nich zależą konkretne obowiązki. W Polsce wdrożenie koordynuje rząd, planując ustawę wykonawczą. Dodatkowe informacje przeczytasz na https://jdp-law.pl/newsletter/ai-act-czy-twoja-organizacja-jest-gotowa-na-nowe-rozporzadzenie/
Klasyfikacja systemów według ryzyka
AI Act dzieli technologie na cztery poziomy ryzyka, co decyduje o wymaganiach. Najwyższy poziom to praktyki niedopuszczalne, potem wysokie ryzyko, ograniczone i minimalne. Taka struktura pozwala na proporcjonalne podejście do regulacji.
Systemy niskiego ryzyka, jak filtry spamu, podlegają podstawowym zasadom transparentności. Te wysokiego ryzyka, stosowane w medycynie czy rekrutacji, wymagają szczegółowej oceny i dokumentacji. Warto sprawdzić, do której grupy należy używane narzędzie.
Praktyki zakazane od lutego 2025
Od 2 lutego 2025 roku zabroniono ośmiu rodzajów zastosowań AI. Lista obejmuje systemy manipulujące zachowaniami poprzez techniki podprogowe czy ocenę społeczną obywateli. Inne to biometryczne kategoryzowanie czy rozpoznawanie emocji w pracy i szkołach.
Wyjątki dotyczą interesu publicznego, jak kontrola granic. Naruszenia grożą wysokimi karami, dlatego firmy muszą szybko audytować swoje narzędzia.
Wymagania dla systemów wysokiego ryzyka
Systemy wpływające na zdrowie, bezpieczeństwo czy prawa podstawowe podlegają rygorystom. Dostawcy muszą prowadzić ocenę ryzyka, dokumentację techniczną i zapewniać nadzór człowieka. Użytkownicy rejestrują je w bazie unijnej.
Nadzór obejmuje przycisk „stop” i logowanie zdarzeń. Regularne audyty pomagają utrzymać zgodność z przepisami. Przykładem jest oprogramowanie rekrutacyjne analizujące CV pod kątem predyspozycji.
Oto główne obowiązki w formie listy:
- dokumentacja cyklu życia systemu;
- zarządzanie ryzykiem z ciągłą oceną;
- nadzór ludzki z możliwością interwencji;
- transparentność dla użytkowników.
Obowiązki wobec modeli ogólnego przeznaczenia
Modele GPAI, jak te generujące tekst czy obrazy, podlegają dodatkowym zasadom od sierpnia 2025. Dostawcy oceniają ryzyka systemowe, zwłaszcza przy dużych zasobach obliczeniowych powyżej 10²³ FLOPS. Muszą udostępniać podsumowania danych treningowych.
Firmy modyfikujące takie modele też odpowiadają za transparentność. W Polsce przedsiębiorcy integrujący GPAI w aplikacjach powinni przygotować się na te wymogi.
Sankcje za naruszenia
Kary są surowe i zależą od wagi przewinienia. Za zakazane praktyki grozi do 35 mln euro lub 7% globalnego obrotu, whichever is higher. Za brak współpracy z organami – do 7,5 mln euro lub 1% obrotu.
| Przewinienie | Maksymalna kara |
|---|---|
| Zakazane praktyki (art. 5) | 35 mln EUR / 7% obrotu |
| Nieprzestrzeganie GPAI | 15 mln EUR / 3% obrotu |
| Inne naruszenia | 7,5 mln EUR / 1% obrotu |
Organy krajowe, w Polsce prawdopodobnie UODO czy nowy urząd, będą egzekwować. Lepiej działać profilaktycznie, niż ryzykować.
Co to oznacza dla polskich firm
Polskie przedsiębiorstwa, zwłaszcza z sektora tech i finansów, muszą klasyfikować swoje systemy AI. Ministerstwo Cyfryzacji pracuje nad ustawą wdrożeniową, ale rozporządzenie działa bezpośrednio. Warto zainwestować w szkolenia dla zespołów.
90-dniowy plan zgodności obejmuje audyt, szkolenia i aktualizację polityk. Małe firmy z niskim ryzykiem mają mniej obowiązków, ale transparentność jest powszechna. Rozwój AI trwa, a zgodność staje się przewagą konkurencyjną. Firmy, które dostosują się wcześnie, unikną problemów i zyskają zaufanie klientów.
