X

logo

Co to jest AI Act? Przewodnik po dokumencie dla biznesu

Autor: Tomek Mostowski

Konsultacja merytoryczna: Ireneusz Wochlik

Kategoria: Praktyczne zastosowania AI

AI Act to nie tylko nowe przepisy – to początek nowej ery odpowiedzialności w świecie sztucznej inteligencji. W tym artykule tłumaczymy, czym jest to rozporządzenie, jak wpływa na firmy i co warto zrobić już teraz, by działać zgodnie z prawem i ze spokojem.

Jeszcze kilka lat temu sztuczna inteligencja była dla wielu firm raczej hasłem z konferencji niż realnym narzędziem zmiany. Wdrażana była głównie w firmach dużych i technologicznie zaawansowanych. Dziś? Pojawia się w procesach rekrutacyjnych, wspiera diagnozy medyczne, decyduje o przyznaniu kredytu, a nawet ocenia efektywność pracowników. I właśnie dlatego Unia Europejska powiedziała: czas na zasady.

Co to jest AI Act?

AI Act to nie kolejny dokument, który trafi do szuflady z napisem „prawo unijne – może kiedyś”. To punkt zwrotny – pierwsze na świecie rozporządzenie, które wprost reguluje zasady tworzenia, wdrażania i użytkowania systemów sztucznej inteligencji w krajach Unii Europejskiej.

Oficjalnie: AI Act to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689. Ale zamiast czytać go jak skomplikowany akt prawny, warto zrozumieć go jako próbę odpowiedzi na bardzo proste, ale fundamentalne pytanie:

Kiedy AI nam pomaga, a kiedy może nam zagrozić?

Dlatego też AI Act nie ocenia samej technologii, ale kontekst, w jakim jest używana. I właśnie na tym bazuje jego kluczowe założenie – podejście oparte na ryzyku. Inaczej mówiąc: im większy wpływ danego systemu AI na życie i prawa człowieka, tym surowsze przepisy i wymagania.

Co istotne, to nie jest wyłącznie dokument dla dostawców technologii. AI Act obejmuje wszystkie podmioty zaangażowane w cykl życia systemu AI – od twórców, przez importerów i dystrybutorów, aż po firmy, które po prostu używają gotowych rozwiązań na co dzień.

To prawo, które pyta nie tylko „czy potrafisz używać AI?”, ale też: „czy potrafisz za nie wziąć odpowiedzialność?”

Zakres i definicje kluczowych pojęć

Zanim zaczniemy mówić o obowiązkach i sankcjach, trzeba zrozumieć podstawy. Bo w AI Act nic nie jest „ogólne” – każda technologia ma swoje miejsce w uporządkowanym systemie ryzyka. To właśnie ta klasyfikacja decyduje, co firma musi zrobić, by działać zgodnie z prawem.

Klasyfikacja systemów AI

  1. Niedopuszczalne ryzyko

    Niektóre systemy AI zostały uznane za zbyt niebezpieczne dla praw człowieka i społeczeństwa. Mowa tu m.in. o:

    • manipulacjach podprogowych
    • systemach oceny społecznej (social scoring)
    • biometrycznej analizie emocji w miejscu pracy
    • zdalnej identyfikacji biometrycznej w czasie rzeczywistym (z wyjątkiem sytuacji szczególnych)

    ➡️ W skrócie: zakazany obszar.

  2. Wysokie ryzyko

    To systemy, które mogą realnie wpływać na zdrowie, bezpieczeństwo, edukację, zatrudnienie, dostęp do usług publicznych czy sprawiedliwość sądową. Przykład? AI decydujące o przyjęciu na studia albo system oceniający zdolność kredytową.

    ➡️ Wymagają pełnej dokumentacji, oceny zgodności i nadzoru.

  3. Ograniczone ryzyko

    Tu mieszczą się rozwiązania wchodzące w interakcję z człowiekiem – chatboty, generatory obrazów czy deepfake’i.

    ➡️ Obowiązek informowania użytkownika, że ma do czynienia z AI.

  4. Minimalne ryzyko

    Systemy AI, z których korzystamy codziennie bez większych konsekwencji: filtry antyspamowe, gry, sugestie produktów.

    ➡️ Brak obowiązków prawnych, ale możliwe dobrowolne standardy.

  5. Modele i systemy AI ogólnego przeznaczenia

    Model AI trenowany na dużych zbiorach danych z wykorzystaniem nadzoru własnego to system o wysokim stopniu uogólnienia, zdolny do skutecznego wykonywania różnorodnych zadań — niezależnie od tego, w jaki sposób zostanie wprowadzony do obrotu.

    ➡️ Wymagana transparentność, dokumentacja i odpowiedzialność proporcjonalna do wpływu modelu.

Model AI, w tym taki trenowany na dużych zbiorach danych z wykorzystaniem nadzoru własnego to system o wysokim stopniu uogólnienia, zdolny do skutecznego wykonywania różnorodnych zadań — niezależnie od tego, w jaki sposób zostanie wprowadzony do obrotu.

Definicja systemu AI

To nie tylko algorytm, który „coś liczy”. W oczach AI Act:

System AI to system maszynowy, który działa z różnym poziomem autonomii i potrafi dostosowywać się po wdrożeniu. Na podstawie danych wejściowych generuje wyniki – takie jak decyzje, rekomendacje, treści czy prognozy.

Brzmi technicznie? Rozbijmy to na dwa najważniejsze filary tej definicji:

  • Autonomia – oznacza, że system może działać bez ciągłej kontroli człowieka. To nie jest tylko narzędzie, które „robi to, co mu każemy”, ale mechanizm, który sam decyduje jak coś zrobić.
  • Zdolność do adaptacji – czyli zdolność do uczenia się. System może zmieniać swoje działanie w odpowiedzi na nowe dane czy warunki. Nie tylko działa, ale z czasem może działać lepiej albo inaczej, niż pierwotnie zaprogramowano.

Innymi słowy: jeśli Twoje oprogramowanie potrafi samodzielnie wyciągać wnioski, tworzyć treści i uczyć się z danych – to masz do czynienia z systemem AI w rozumieniu przepisów.

Wymagania i obowiązki dla biznesu związane z AI Act

AI Act nie pozostawia wątpliwości – korzystanie ze sztucznej inteligencji w firmie to nie tylko szansa, ale też odpowiedzialność. A ta odpowiedzialność jest dokładnie rozpisana – w zależności od roli, jaką firma pełni w cyklu życia systemu AI.

  1. Dostawca (provider) – czyli podmiot, który projektuje lub rozwija system AI. To właśnie on odpowiada za zapewnienie zgodności systemu z AI Act jeszcze przed jego wprowadzeniem na rynek. Musi prowadzić dokumentację, ocenić ryzyko, przeprowadzić testy i zadbać o zgodność z wymogami prawnymi.

  2. Użytkownik (deployer) – to firma lub organizacja, która korzysta z Gotowego systemu AI. Choć nie tworzy technologii, to odpowiada za sposób jej użycia: musi wiedzieć, z czym ma do czynienia, czy przestrzega przepisów i jak informuje użytkowników o wykorzystaniu AI.

  3. Importer i dystrybutor – jeśli firma wprowadza do obrotu lub przekazuje dalej systemy AI, odpowiada za to, żeby nie trafiły na rynek rozwiązania niespełniające wymagań rozporządzenia.

  4. GPAI i foundation models – firmy korzystające z dużych modeli językowych i ogólnego przeznaczenia (jak np. Llama) mają dodatkowe obowiązki związane z transparentnością, jakością danych i raportowaniem.

📄 Wymagania w praktyce

  • zapewnienie adekwatności i wystarczającej reprezentatywności danych wejściowych (Data Governance),
  • przechowywanie rejestrów zdarzeń,
  • wdrożenie systemu zarządzania ryzykiem,
  • zapewnienie nadzoru ludzkiego nad systemem,
  • ocenę wpływu systemu na prawa podstawowe – szczególnie w przypadku systemów wysokiego ryzyka,
  • zapewnienie odpowiedniego przeszkolenia osób mających styczność z systemem AI w miejscu pracy – tak, by wiedziały, jak z niego korzystać, jak interpretować informacje, które generuje, oraz jakie są jego ograniczenia.

Przykładowe obowiązki dostawców systemów AI obejmują m.in.:

  • zapewnienie przejrzystości działania systemu (np. informowanie użytkownika, że ma do czynienia z AI),
  • dbanie o jakość danych treningowych, walidacyjnych i testowych (Data Governance),
  • zapewnienie przejrzystości działania i możliwości interpretacji wyników,
  • oznaczanie treści generowanych przez AI, gdy może dojść do manipulacji (np. deepfake’i),
  • odpowiednia dokładność, solidność i cyberbezpieczeństwo.

To wszystko nie jest tylko „dla porządku”. Niespełnienie wymagań grozi sankcjami – o czym więcej w dalszej części.

Proces oceny zgodności i certyfikacji

AI Act nie ogranicza się do teorii – to prawo z konkretnymi procedurami, które trzeba przejść, zanim system AI trafi na rynek. Dotyczy to przede wszystkim systemów wysokiego ryzyka, które mogą wpływać na prawa i bezpieczeństwo ludzi.

✅ Co to znaczy „zgodny z AI Act”?

Dla systemów wysokiego ryzyka zgodność oznacza, że spełniają one szereg szczegółowych wymagań dotyczących:

  • bezpieczeństwa,
  • jakości danych,
  • nadzoru ludzkiego,
  • przejrzystości działania,
  • dokumentacji technicznej.

To nie jest jednorazowe „odhaczenie” checklisty, tylko ciągły proces zarządzania ryzykiem. System musi być projektowany i rozwijany w taki sposób, żeby można było na każdym etapie pokazać, że spełnia wymagania rozporządzenia.

📄 Deklaracja zgodności i znak CE

Jeśli system przejdzie ocenę zgodności, producent wystawia tzw. deklarację zgodności UE i umieszcza na produkcie znak CE – znany z innych regulowanych produktów (np. sprzętu elektronicznego czy zabawek). To sygnał, że rozwiązanie zostało zweryfikowane i można je legalnie wprowadzić na rynek UE.

W niektórych przypadkach konieczne będzie też zaangażowanie jednostki notyfikowanej – niezależnego podmiotu, który potwierdzi zgodność rozwiązania z AI Act.

⚙️ A co po wdrożeniu?

Zgodność nie kończy się w momencie wprowadzenia systemu na rynek. Firma musi zadbać o:

  • monitorowanie działania systemu,
  • zgłaszanie incydentów i nieprawidłowości,
  • aktualizacje dokumentacji,
  • audyty wewnętrzne.

To jak prowadzenie maszyny – nie wystarczy, że działa. Trzeba jeszcze wiedzieć, czy nadal działa tak, jak powinna.

Terminy wdrożenia i fazy przejściowe AI Act

AI Act to nie sprint, ale proces rozłożony na kilka lat. Daje firmom czas na adaptację – ale nie oznacza to, że można czekać do ostatniej chwili. Kluczowe daty są już znane, a część obowiązków zacznie obowiązywać szybciej, niż się wydaje.

🗓️ Kluczowe terminy

  • Sierpień 2024 – AI Act oficjalnie wchodzi w życie.
  • 6 miesięcy później (luty 2025) – zaczyna obowiązywać zakaz systemów o niedopuszczalnym ryzyku (np. social scoring), wchodzi w życie obowiązek „AI Literacy”.
  • 24 miesiące później (sierpień 2026) – wchodzą w życie kluczowe obowiązki dla dostawców i użytkowników systemów wysokiego ryzyka, w tym m.in. obowiązek oceny zgodności, zapewnienia nadzoru ludzkiego, dokumentacji technicznej oraz procedur zarządzania ryzykiem.
  • 36 miesięcy później (sierpień 2027) – zaczynają obowiązywać przepisy dotyczące systemów ogólnego przeznaczenia (GPAI) i foundation models.

AI literacy – nowy obowiązek dla organizacji

Jednym z mniej oczywistych, ale bardzo istotnych wymagań AI Act jest promowanie tzw. AI literacy – czyli kompetencji związanych ze świadomym korzystaniem z systemów AI.

W praktyce oznacza to, że organizacje powinny zadbać o:

  • edukację pracowników w zakresie możliwości i ograniczeń AI,
  • rozwijanie umiejętności krytycznego myślenia wobec wyników generowanych przez systemy,
  • zapewnienie, że osoby korzystające z AI wiedzą, jak je rozumieć, oceniać i kiedy podważać.

To nie jest wymóg „na papierze”. To realny obowiązek, który zacznie obowiązywać w nadchodzących miesiącach – i będzie miał wpływ na to, czy firma działa zgodnie z prawem.

Sankcje za nieprzestrzeganie AI Act

AI Act to rozporządzenie z zębami. A dokładniej: z karami sięgającymi dziesiątek milionów euro lub procentów przychodu. I choć nie chodzi o straszenie, warto wiedzieć, co naprawdę może grozić firmie za lekceważenie przepisów.

💣 Wysokość kar

W zależności od rodzaju naruszenia, AI Act przewiduje:

  • do 35 milionów euro lub 7% rocznego światowego obrotu – za użycie zakazanych systemów AI (np. social scoring, manipulacje podprogowe),
  • do 15 milionów euro lub 3% rocznego obrotu – za naruszenia obowiązków dotyczących systemów wysokiego ryzyka (np. brak dokumentacji, testów, nadzoru),
  • do 7,5 miliona euro lub 1% obrotu – za nieprzekazanie informacji lub udzielenie nieprawdziwych danych organom nadzoru.

Warto podkreślić: kary będą proporcjonalne do wielkości firmy, co oznacza, że mniejsze organizacje nie będą traktowane tak samo jak globalne koncerny – ale nadal mogą ponieść bolesne konsekwencje.

📍 Co jeszcze bierze pod uwagę regulator?

Wysokość kary może zależeć m.in. od:

  • charakteru i wagi naruszenia,
  • tego, czy było ono zamierzone czy wynikało z zaniedbania,
  • liczby osób poszkodowanych i skali wpływu,
  • wcześniejszego przestrzegania (lub ignorowania) przepisów,
  • szybkości reakcji firmy po wykryciu problemu.

To wszystko pokazuje, że AI Act nie powstał po to, by ograniczać firmy – ale by je wspierać w odpowiedzialnym rozwoju. To regulacja, która ma pomóc organizacjom wdrażać AI mądrze, świadomie i z poszanowaniem praw ludzi. Nie chodzi o strach przed karami, ale o stworzenie ram, które chronią nas wszystkich – dziś i w przyszłości.

Jak przygotować firmę do zgodności z AI Act?

Zgodność z AI Act to nie projekt do odhaczenia – to proces, który wymaga refleksji, współpracy i odwagi do zadawania trudnych pytań.

✅ Krok 1: Zidentyfikuj systemy AI w firmie

  • Gdzie w organizacji działa AI – jawnie lub „ukryta” w gotowych narzędziach?
  • Czy to rozwiązania własne, czy zewnętrzne?
  • Jakie decyzje podejmują i kogo dotyczą?

Z często AI ukrywa się w narzędziu HR, systemie CRM, silniku scoringowym. Warto to zmapować.

📊 Krok 2: Sklasyfikuj zidentyfikowane systemy

  • Czy Twój system kwalifikuje się jako wysokiego ryzyka?
  • Czy wpływa na ludzi, ich prawa, dostęp do usług, bezpieczeństwo?
  •  

Tutaj często warto sięgnąć po zewnętrzną ekspertyzę – szczególnie przy bardziej złożonych rozwiązaniach.

📁 Krok 3: Przeprowadź analizę luk

  • Jakie są obecne procedury, dokumentacja, testowanie, nadzór?
  • Czego brakuje, by spełnić wymagania AI Act?

To dobry moment, by stworzyć plan dostosowania – nie wszystko trzeba wdrożyć od razu.

🧑‍🏫 Krok 4: Zadbaj o kompetencje i kulturę

  • Czy osoby pracujące z AI wiedzą, jak z niej korzystać i jak ją rozumieć?
  • Czy firma promuje AI literacy – nie tylko wśród technicznych zespołów?

Pamiętaj: nawet najlepszy system AI może przynieść szkody, jeśli nikt nie wie, jak go właściwie używać.

🧩 Krok 5: Stwórz strukturę odpowiedzialności

  • Kto odpowiada za zgodność z przepisami?
  • Czy Twoja firma ma wyznaczoną osobę lub zespół nadzorujący AI?
  • Jak wygląda proces reagowania na incydenty, skargi, błędy?

Im wcześniej powstanie taki system zarządzania, tym większy spokój na późniejszych etapach.

AI Act nie wymaga perfekcji – wymaga świadomości, działania i gotowości do uczenia się. Jeśli zaczynasz dziś, jesteś o krok przed tymi, którzy będą musieli wszystko robić w pośpiechu.

To nie tylko obowiązek prawny. To szansa, by Twoja firma tworzyła technologię, której ludzie naprawdę mogą zaufać.

Nasi eksperci – Roman Bieda, Dominik Lubasz i Ireneusz Wochlik – brali udział w opracowaniu “Analizy wybranych aspektów projektu aktu w sprawie sztucznej inteligencji” dla Parlamentu Europejskiego i są członkami zespołu pracującego nad komentarzem do AI Act. Ich doświadczenie wspiera firmy właśnie w takich procesach jak Twój.

Jeśli chcesz przygotować swoją firmę do wdrożenia AI zgodnie z nowym prawem, zorganizować szkolenie lub po prostu porozmawiać o możliwościach – skontaktuj się z nami. Pomożemy Ci poprowadzić proces transformacji Twojej organizacji. Świadomie, bez presji i z myślą o Twoim zespole.

Do góry