Słownik EU AI Act
Kluczowe pojęcia Rozporządzenia o Sztucznej Inteligencji wyjaśnione przystępnym językiem — dla praktyków biznesu, nie prawników.
AI Literacy (Kompetencje AI)
Obowiązek zapewnienia, że pracownicy rozumieją systemy AI, z których korzystają.
Art. 4 wymaga od każdej organizacji korzystającej z systemów AI, by osoby obsługujące te systemy posiadały odpowiedni poziom kompetencji w zakresie AI. Nie wymaga to certyfikacji — wystarczy udokumentowane szkolenie wewnętrzne z potwierdzeniem uczestnictwa. Obowiązuje od 2 lutego 2025 — to jeden z pierwszych przepisów EU AI Act, który wszedł w życie.
Annex III (Załącznik III)
Lista przypadków użycia AI wysokiego ryzyka zdefiniowanych w EU AI Act.
Annex III wymienia osiem domen, w których systemy AI są automatycznie klasyfikowane jako wysokiego ryzyka: (1) biometria, (2) infrastruktura krytyczna, (3) edukacja i szkolenia zawodowe, (4) zatrudnienie i zarządzanie pracownikami, (5) dostęp do usług podstawowych (kredyt, ubezpieczenia), (6) organy ścigania, (7) migracja i kontrola granic, (8) wymiar sprawiedliwości. Jeśli Twoje narzędzie AI mieści się w jednej z tych kategorii i spełnione są warunki Art. 6(2), uruchamia to pełny zestaw obowiązków compliance.
Deployer (Wdrażający / Podmiot stosujący)
Każdy podmiot, który wykorzystuje system AI w kontekście profesjonalnym, pod własną kontrolą.
Jeśli Twoja firma korzysta z narzędzi AI — do rekrutacji, obsługi klienta, analityki, marketingu czy jakiegokolwiek innego celu biznesowego — jesteś deployerem w rozumieniu EU AI Act. To najczęstsza rola. Nie budujesz AI — używasz go. Regulacja uznaje, że ryzyka materializują się nie tylko w sposobie budowy AI, ale przede wszystkim w sposobie jego wykorzystania. Obowiązki deployera obejmują: szkolenia AI Literacy, nadzór ludzki nad systemami high-risk, monitoring, retencję logów (min. 6 miesięcy), FRIA (gdzie wymagana), powiadamianie pracowników, współpracę z organami nadzoru. Ważne: deployer może stać się providerem, jeśli istotnie zmodyfikuje system, oznakuje go swoją marką lub zmieni przeznaczenie na high-risk.
DPA (Data Processing Agreement / Umowa powierzenia przetwarzania danych)
Prawnie wymagana umowa między administratorem a procesorem danych na mocy GDPR.
Na mocy GDPR Art. 28 każda organizacja korzystająca z narzędzia zewnętrznego do przetwarzania danych osobowych musi mieć podpisaną umowę DPA z dostawcą. W kontekście EU AI Act DPA stają się jeszcze ważniejsze — ujawniają, jak dostawca AI obsługuje dane, jakich podwykonawców angażuje, dokąd transferuje dane i jakie zabezpieczenia stosuje. Analiza DPA to kluczowy krok w ocenie ryzyka dostawcy.
DPIA (Data Protection Impact Assessment / Ocena skutków dla ochrony danych)
Ocena wymagana przez GDPR dla przetwarzania mogącego stwarzać wysokie ryzyko dla osób fizycznych.
DPIA jest wymagana na mocy GDPR Art. 35 gdy przetwarzanie danych może stwarzać wysokie ryzyko dla praw i wolności osób fizycznych — co obejmuje większość przypadków użycia AI wysokiego ryzyka. DPIA i FRIA są komplementarne: DPIA koncentruje się na ryzykach ochrony danych, FRIA na szerszym wpływie na prawa podstawowe. Dane z jednej oceny mogą zasilać drugą.
FRIA (Fundamental Rights Impact Assessment / Ocena wpływu na prawa podstawowe)
Ocena wymagana od deployerów systemów AI high-risk dotycząca wpływu na prawa podstawowe.
FRIA to jeden z najważniejszych obowiązków deployera. Wymagana na mocy Art. 27 przed wdrożeniem systemu AI wysokiego ryzyka z Annex III. Ocena bada potencjalny wpływ systemu na prawa podstawowe — w tym niedyskryminację, prywatność, wolność słowa i dostęp do wymiaru sprawiedliwości. Kto musi przeprowadzić FRIA: (1) podmioty publiczne, (2) podmioty prywatne w obszarze scoringu kredytowego i ubezpieczeń, (3) inni deployerzy systemów high-risk z Annex III, gdy wymagają tego organy nadzoru. Wyniki muszą być przesłane do właściwego organu nadzoru.
GPAI (General-Purpose AI Model / Model AI ogólnego przeznaczenia)
Model AI wytrenowany na szerokich danych, zdolny do realizacji wielu zadań — jak GPT-4, Claude czy Gemini.
Modele GPAI podlegają odrębnym regulacjom. Dostawcy modeli GPAI mają obowiązki w zakresie przejrzystości (Art. 53): dokumentacja procesu treningu, zgodność z prawem autorskim, udostępnianie dokumentacji technicznej. Modele z ryzykiem systemowym (np. GPT-4, Claude) podlegają dodatkowym obowiązkom. Dla deployerów: nie masz bezpośrednich obowiązków wobec samych modeli GPAI, ale MASZ obowiązki wobec systemów AI zbudowanych na tych modelach. Jeśli używasz ChatGPT do screeningu kandydatów — model ChatGPT to GPAI, ale Twój przypadek użycia sprawia, że system jest potencjalnie high-risk.
GDPR / RODO (General Data Protection Regulation)
Rozporządzenie UE regulujące przetwarzanie danych osobowych, obowiązujące od maja 2018.
GDPR i EU AI Act są komplementarne — AI Act nie zastępuje GDPR. Większość systemów AI przetwarza dane osobowe, więc oba rozporządzenia obowiązują jednocześnie. Kluczowe punkty styku: wymogi DPIA, obowiązki informacyjne, minimalizacja danych, ograniczenie celu, prawo do wyjaśnienia decyzji zautomatyzowanych (GDPR Art. 22). Organizacje zgodne z GDPR mają istotny punkt startowy do zgodności z AI Act.
Klasyfikacja ryzyka (Risk Classification)
Czterostopniowy system klasyfikacji zastosowań AI wg ich potencjału szkodliwości.
EU AI Act klasyfikuje AI na cztery poziomy ryzyka: Niedopuszczalne (Art. 5) — całkowity zakaz; Wysokie (Art. 6, Annex I/III) — rygorystyczne wymogi; Ograniczone (Art. 50) — obowiązki informacyjne; Minimalne — brak szczególnych obowiązków. Klasyfikacja determinuje, jakie obowiązki mają zastosowanie. Większość narzędzi AI w firmach mieści się w kategorii ograniczonego lub minimalnego ryzyka — ale nawet jeden przypadek użycia high-risk uruchamia pełny pakiet compliance dla tego konkretnego systemu.
Nadzór ludzki (Human Oversight)
Wymóg, by kompetentne osoby mogły nadzorować i w razie potrzeby nadpisywać systemy AI high-risk.
Art. 26(2) wymaga od deployerów systemów AI wysokiego ryzyka wyznaczenia osób do nadzoru z odpowiednimi kompetencjami, szkoleniem i uprawnieniami. To nie ćwiczenie formalne — osoba nadzorująca musi faktycznie rozumieć wyniki systemu, rozpoznawać błędy i mieć udokumentowane uprawnienia do interwencji, nadpisania lub zatrzymania systemu.
Nota informacyjna (Transparency Notice)
Powiadomienie osób fizycznych o tym, że wchodzą w interakcję z systemem AI lub podlegają jego decyzjom.
Art. 50 wymaga przejrzystości dla określonych interakcji z AI: (1) chatboty muszą ujawnić, że są napędzane przez AI, (2) deepfakes i treści syntetyczne muszą być oznakowane, (3) systemy rozpoznawania emocji muszą informować osoby dotknięte, (4) deployerzy systemów AI high-risk podejmujących decyzje dotyczące osób muszą te osoby poinformować. Noty informacyjne nie są opcjonalne — nawet dla systemów o ograniczonym ryzyku.
Ocena zgodności (Conformity Assessment)
Proces weryfikacji, czy system AI high-risk spełnia wszystkie wymogi regulacyjne.
Dostawcy systemów AI wysokiego ryzyka muszą przeprowadzić ocenę zgodności przed wprowadzeniem systemu na rynek UE. Może to być ocena wewnętrzna lub — w przypadku niektórych systemów biometrycznych — ocena zewnętrzna przez jednostkę notyfikowaną. Dla deployerów to obowiązek dostawcy — ale deployer powinien zweryfikować, że dostawca ją przeprowadził.
Organ nadzoru rynku (Market Surveillance Authority)
Krajowy organ wyznaczony do nadzorowania i egzekwowania EU AI Act na terenie danego państwa.
Każde państwo członkowskie UE musi wyznaczyć organy nadzoru rynku do 2 sierpnia 2025. W Polsce trwają prace nad wyznaczeniem — UODO (dane osobowe), UOKiK (ochrona konsumentów) i inne organy sektorowe. We Francji: CNIL, DGCCRF i ARCOM. W Niemczech: Bundesnetzagentur (BNetzA). W Hiszpanii: AESIA. Organ nadzoru przeprowadza kontrole, bada skargi i może nakazać wycofanie niezgodnych systemów AI.
Provider (Dostawca)
Podmiot, który opracowuje system AI i wprowadza go na rynek pod własną marką.
Dostawca buduje AI. Jeśli Twoja firma tworzy narzędzie AI i oferuje je innym firmom, jesteś dostawcą. Dostawcy ponoszą najcięższy zestaw obowiązków: system zarządzania ryzykiem, governance danych, dokumentacja techniczna, ocena zgodności, oznaczenie CE (gdzie dotyczy), monitoring po wdrożeniu. Ważne dla deployerów: deployer może stać się dostawcą, jeśli (a) oznakuje system high-risk własną marką, (b) istotnie go zmodyfikuje, lub (c) zmieni przeznaczenie na high-risk.
Poważny incydent (Serious Incident)
Awaria lub niewłaściwe użycie systemu AI skutkujące śmiercią, poważną szkodą lub naruszeniem praw podstawowych.
Deployerzy muszą zgłaszać poważne incydenty zarówno dostawcy systemu AI, jak i właściwemu organowi nadzoru rynku (Art. 73). Zgłoszenie następuje niezwłocznie po uzyskaniu wiedzy o incydencie. Definicja 'poważny' wynika z charakteru szkody — próg jest niższy, niż wiele organizacji zakłada.
Podwykonawca (Sub-processor)
Podmiot trzeci zaangażowany przez procesora danych do realizacji przetwarzania w imieniu administratora.
W kontekście AI podwykonawcy to dostawcy dalszego rzędu, z których korzysta dostawca Twojego narzędzia AI. Na przykład: jeśli dostawca CRM korzysta z API OpenAI do funkcji AI, OpenAI jest podwykonawcą. Analiza DPA powinna identyfikować i mapować wszystkich podwykonawców w łańcuchu dostaw AI — każdy z nich stanowi potencjalne ryzyko transferu danych i zgodności.
Powiadomienie pracowników (Worker Notification)
Obowiązek poinformowania pracowników przed wdrożeniem systemu AI high-risk w miejscu pracy.
Art. 26(7) wymaga od deployerów powiadomienia pracowników i ich przedstawicieli PRZED wprowadzeniem systemu AI wysokiego ryzyka do użytku w miejscu pracy. Dotyczy to systemów do rekrutacji, monitoringu efektywności, przydzielania zadań lub podejmowania jakichkolwiek decyzji związanych z zatrudnieniem. Powiadomienie musi nastąpić przed wdrożeniem, nie po nim.
Retencja logów (Log Retention)
Obowiązek przechowywania logów operacyjnych systemów AI high-risk przez minimum 6 miesięcy.
Deployerzy muszą automatycznie rejestrować operacje systemów AI wysokiego ryzyka i przechowywać logi przez minimum 6 miesięcy (Art. 26(6)), chyba że prawo UE lub krajowe stanowi inaczej. Logi są kluczowe dla monitoringu, badania incydentów i wykazywania zgodności przed organami nadzoru.
ROPA (Record of Processing Activities / Rejestr czynności przetwarzania)
Obowiązkowy rejestr wszystkich czynności przetwarzania danych osobowych wymagany przez GDPR.
Na mocy GDPR Art. 30 organizacje muszą prowadzić rejestr czynności przetwarzania. Dla systemów AI obejmuje to dokumentację: jakie dane osobowe system przetwarza, w jakim celu, na jakiej podstawie prawnej, okresy retencji i ewentualne transfery międzynarodowe. ROPA zasila zarówno DPIA jak i FRIA i stanowi fundament wykazywania zgodności.
Ryzyko systemowe (Systemic Risk)
Potencjał modelu GPAI do spowodowania szkód na szeroką skalę ze względu na jego możliwości lub powszechność użycia.
Model GPAI jest klasyfikowany jako mający ryzyko systemowe, jeśli posiada możliwości o dużym wpływie lub jest bardzo powszechnie używany. Próg to skumulowana moc obliczeniowa przekraczająca 10^25 FLOP. Modele z ryzykiem systemowym (np. GPT-4, Claude) podlegają dodatkowym obowiązkom dostawców: ewaluacja modelu, testy adversarialne, raportowanie poważnych incydentów do Komisji Europejskiej.
System AI (AI System)
System oparty na technologii maszynowej, zdolny do generowania wyników takich jak prognozy, treści czy decyzje.
EU AI Act definiuje system AI jako system maszynowy zaprojektowany do działania z różnym poziomem autonomii, który może wykazywać zdolność adaptacji po wdrożeniu i który na podstawie otrzymanych danych wnioskuje, jak generować wyniki — prognozy, treści, rekomendacje lub decyzje wpływające na środowisko fizyczne lub wirtualne. Definicja jest celowo szeroka — obejmuje wszystko od chatbotów po narzędzia screeningu rekrutacyjnego i analitykę predykcyjną. Nie każde oprogramowanie to system AI — prosta automatyzacja reguł (jeśli/to) zazwyczaj nie kwalifikuje się.
System AI wysokiego ryzyka (High-Risk AI System)
System AI stwarzający znaczące ryzyko dla zdrowia, bezpieczeństwa lub praw podstawowych, podlegający rygorystycznym wymogom.
Systemy wysokiego ryzyka definiowane są dwojako: (1) systemy AI wbudowane w produkty objęte istniejącym prawodawstwem UE (Annex I — urządzenia medyczne, maszyny, zabawki), (2) systemy AI wykorzystywane w wrażliwych domenach (Annex III — biometria, zatrudnienie, scoring kredytowy, edukacja, organy ścigania). High-risk uruchamia pełny pakiet compliance: system zarządzania ryzykiem, governance danych, dokumentacja techniczna, przejrzystość, nadzór ludzki, wymogi dokładności i solidności, monitoring po wdrożeniu. Przykłady: screening CV przez AI, algorytmy scoringu kredytowego, ocena ryzyka ubezpieczeniowego, monitoring efektywności pracowników.
Vendor Risk Score (Ocena ryzyka dostawcy)
Metodologia punktacji stosowana przez AI and Shine do oceny poziomu zgodności dostawców narzędzi AI.
Vendor Risk Score (0–100) ocenia, jak dobrze DPA dostawcy pokrywa wymogi GDPR i gotowość na AI Act. Uwzględnia: kompletność klauzul GDPR (wymogi Art. 28), klauzule specyficzne dla AI Act, przejrzystość podwykonawców, zabezpieczenia transferu danych i prawa audytowe. Wyższy wynik oznacza bardziej zgodną relację z dostawcą.
Zakazane praktyki (Prohibited Practices)
Osiem kategorii zastosowań AI całkowicie zabronionych na mocy EU AI Act.
Art. 5 zakazuje ośmiu kategorii praktyk AI: (1) manipulacja podprogowa, (2) wykorzystywanie podatności, (3) scoring społeczny przez organy publiczne, (4) predykcyjna policja indywidualna, (5) nieukierunkowany scraping twarzy, (6) rozpoznawanie emocji w pracy i edukacji, (7) kategoryzacja biometryczna wg cech wrażliwych, (8) zdalna identyfikacja biometryczna w czasie rzeczywistym. Obowiązują od 2 lutego 2025. Kary Tier 1: do €35M lub 7% globalnego obrotu.