Czym jest EU AI Act?
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 — znane jako EU AI Act lub Akt o Sztucznej Inteligencji — to pierwsze na świecie kompleksowe prawo regulujące wykorzystanie sztucznej inteligencji. Weszło w życie 1 sierpnia 2024 roku, a poszczególne obowiązki wchodzą w życie stopniowo, z kluczowymi terminami w 2025, 2026 i 2027 roku.
Rozporządzenie ma zasięg globalny — dotyczy każdej firmy, która korzysta z systemów AI na terenie UE lub której systemy AI generują wyniki wykorzystywane w UE. Nie ma znaczenia, gdzie firma ma siedzibę ani jak duża jest organizacja.
EU AI Act opiera się na podejściu opartym na ryzyku: im większe ryzyko, jakie stwarza dany system AI dla zdrowia, bezpieczeństwa lub praw podstawowych, tym bardziej rygorystyczne wymogi musi spełnić. Niektóre praktyki są całkowicie zakazane. Systemy wysokiego ryzyka podlegają pełnemu zestawowi obowiązków. Systemy ograniczonego ryzyka wymagają przejrzystości. A systemy minimalnego ryzyka nie podlegają żadnym szczególnym wymogom.
Dla większości firm kluczowe jest rozróżnienie między dostawcą (provider) a wdrażającym (deployer). Dostawca tworzy system AI. Deployer go używa w kontekście biznesowym. Jeśli Twoja firma korzysta z narzędzi AI — ChatGPT, narzędzi HR z AI, scoringu kredytowego, chatbotów obsługi klienta — jesteś deployerem. I masz konkretne obowiązki.
Kalendarz i Terminy EU AI Act
Rozporządzenie wchodzi w życie etapami. Niektóre obowiązki już obowiązują.
1 sierpnia 2024
Wejście w życie
Rozporządzenie opublikowane w Dzienniku Urzędowym UE i formalnie obowiązujące.
2 lutego 2025
Zakazane praktyki + AI Literacy
Art. 5 (zakazane praktyki AI) i Art. 4 (obowiązek szkolenia z kompetencji AI) wchodzą w życie. JUŻ OBOWIĄZUJĄ.
2 sierpnia 2025
Modele GPAI + Governance
Obowiązki dla dostawców modeli AI ogólnego przeznaczenia (GPAI). Wyznaczenie organów nadzoru przez państwa członkowskie.
2 sierpnia 2026
Systemy wysokiego ryzyka (Annex III)
GŁÓWNY TERMIN. Wszystkie obowiązki dotyczące systemów AI wysokiego ryzyka z Annex III wchodzą w życie. Dotyczy to: ocen ryzyka, FRIA, DPIA, not informacyjnych, nadzoru ludzkiego, retencji logów, powiadamiania pracowników.
2 sierpnia 2027
Systemy wysokiego ryzyka (Annex I)
Obowiązki dla systemów AI wbudowanych w produkty objęte istniejącym prawodawstwem UE (urządzenia medyczne, maszyny, zabawki itp.).
2 sierpnia 2030
Pełna zgodność systemów istniejących
Systemy AI wprowadzone na rynek przed sierpniem 2026 muszą osiągnąć pełną zgodność.
Klasyfikacja Ryzyka w EU AI Act
EU AI Act dzieli systemy AI na cztery poziomy ryzyka. Klasyfikacja determinuje, jakie obowiązki Cię dotyczą.
Systemy całkowicie zakazane. Stanowią bezpośrednie zagrożenie dla bezpieczeństwa, praw podstawowych i wartości UE.
Do €35M lub 7% globalnego obrotu
Manipulacja podprogowa, scoring społeczny przez rządy, masowa identyfikacja biometryczna w przestrzeni publicznej w czasie rzeczywistym
Systemy o znaczącym wpływie na zdrowie, bezpieczeństwo lub prawa podstawowe. Podlegają pełnemu zestawowi wymogów zgodności.
Do €15M lub 3% globalnego obrotu
Screening CV i rekrutacja AI, scoring kredytowy, ocena ryzyka ubezpieczeniowego, monitorowanie efektywności pracowników, systemy biometryczne
Systemy podlegające obowiązkom informacyjnym. Użytkownicy muszą wiedzieć, że wchodzą w interakcję z AI.
Do €7,5M lub 1% globalnego obrotu
Chatboty obsługi klienta, generatory treści, systemy rozpoznawania emocji (z wyjątkami)
Brak szczególnych obowiązków wynikających z rozporządzenia. Stanowią zdecydowaną większość systemów AI wykorzystywanych obecnie w UE.
Brak
Filtry antyspamowe, gry wykorzystujące AI, systemy rekomendacji produktów, narzędzia do planowania tras
Zakazane Praktyki AI (Art. 5)
Osiem kategorii praktyk AI jest całkowicie zakazanych. Obowiązują od 2 lutego 2025 — to najwyższe kary w całym rozporządzeniu.
- 1
Manipulacja podprogowa
Systemy AI wykorzystujące techniki podprogowe, które obchodzą świadomość osoby, powodując zachowania mogące wyrządzić znaczną szkodę.
- 2
Wykorzystywanie podatności
Systemy AI wykorzystujące podatności związane z wiekiem, niepełnosprawnością lub sytuacją społeczno-ekonomiczną w celu istotnego wpływania na zachowanie osoby.
- 3
Scoring społeczny
Ocena lub klasyfikacja osób przez organy publiczne na podstawie zachowania społecznego, prowadząca do niekorzystnego traktowania w kontekstach niezwiązanych z pierwotnym.
- 4
Predykcyjna policja indywidualna
Systemy AI oceniające ryzyko popełnienia przestępstwa przez osobę wyłącznie na podstawie profilowania lub cech osobowości, bez oparcia w obiektywnych, weryfikowalnych faktach.
- 5
Nieukierunkowane scraping twarzy
Tworzenie lub rozbudowa baz danych rozpoznawania twarzy poprzez masowe pobieranie zdjęć z internetu lub nagrań monitoringu bez zgody.
- 6
Rozpoznawanie emocji w pracy i edukacji
Systemy AI rozpoznające emocje w miejscu pracy i instytucjach edukacyjnych, z wąskimi wyjątkami dotyczącymi bezpieczeństwa i celów medycznych.
- 7
Kategoryzacja biometryczna wg cech wrażliwych
Systemy AI kategoryzujące osoby na podstawie danych biometrycznych w celu wnioskowania o rasie, poglądach politycznych, przynależności związkowej, przekonaniach religijnych lub orientacji seksualnej.
- 8
Zdalna identyfikacja biometryczna w czasie rzeczywistym
Wykorzystanie w przestrzeniach publicznych do celów organów ścigania, z wąskimi wyjątkami dotyczącymi osób zaginionych, bezpośrednich zagrożeń i poważnych przestępstw.
Czy Jestem Deployerem w Rozumieniu EU AI Act?
Deployer to każda osoba fizyczna lub prawna, organ publiczny, agencja lub inny podmiot, który wykorzystuje system AI pod własną kontrolą — z wyjątkiem sytuacji, gdy system AI jest wykorzystywany w ramach osobistej, nieprofesjonalnej działalności.
Jeśli Twoja firma korzysta z narzędzi AI w działalności biznesowej, z niemal pewnie jesteś deployerem. Dotyczy to korzystania z usług firm trzecich: jeśli dział HR korzysta z narzędzia AI do screeningu CV, dział finansowy korzysta z AI do oceny zdolności kredytowej, a obsługa klienta prowadzi chatboty AI — firma jest deployerem dla każdego z tych systemów.
Rozróżnienie ma kluczowe znaczenie, ponieważ deployerzy mają własny zestaw obowiązków na mocy Art. 26, odrębny od obowiązków dostawców (providerów). Deployer nie musi budować systemu — musi go prawidłowo używać, monitorować i dokumentować.
Ważne: deployer może stać się providerem, jeśli (a) oznakuje system AI własną marką, (b) istotnie go zmodyfikuje, lub (c) zmieni jego przeznaczenie tak, że stanie się systemem wysokiego ryzyka. Fine-tuning, RAG lub znacząca kastomizacja mogą uruchomić tę reklasyfikację.
Obowiązki Deployera — Co Musisz Zrobić
Obowiązki deployera zależą od poziomu ryzyka wykorzystywanych systemów AI. Poniżej zestawienie tego, co już obowiązuje i co wchodzi w życie w sierpniu 2026.
Już obowiązujące (od lutego 2025)
Kompetencje AI (AI Literacy)
Zapewnienie, że wszyscy pracownicy i osoby obsługujące systemy AI w imieniu firmy posiadają wystarczający poziom kompetencji w zakresie AI. Wymaga udokumentowanego szkolenia — nie certyfikacji, ale potwierdzenia przeprowadzenia.
Screening zakazanych praktyk
Weryfikacja, że żaden z wykorzystywanych systemów AI nie realizuje praktyk zakazanych na mocy Art. 5. Dotyczy każdej firmy, niezależnie od poziomu ryzyka.
Od sierpnia 2026 (systemy wysokiego ryzyka)
Użytkowanie zgodnie z instrukcjami
Stosowanie systemu AI zgodnie z instrukcjami dostarczonymi przez dostawcę. Obejmuje odpowiednie środki techniczne i organizacyjne.
Nadzór ludzki
Wyznaczenie osób z odpowiednimi kompetencjami, szkoleniem i uprawnieniami do nadzorowania systemów AI. Osoby te muszą mieć udokumentowaną możliwość interwencji.
Monitoring i przeglądy okresowe
Regularne monitorowanie działania systemu AI pod kątem ryzyk, anomalii, dysfunkcji i nieoczekiwanego działania.
Retencja logów
Automatyczne rejestrowanie działania systemów AI wysokiego ryzyka i przechowywanie logów przez minimum 6 miesięcy.
Powiadomienie pracowników
Informowanie pracowników i ich przedstawicieli przed wdrożeniem systemu AI wysokiego ryzyka w miejscu pracy.
Informowanie osób fizycznych
Informowanie osób, wobec których podejmowane są decyzje z wykorzystaniem systemu AI wysokiego ryzyka, o fakcie użycia takiego systemu.
Ocena wpływu na prawa podstawowe (FRIA)
Przeprowadzenie oceny wpływu na prawa podstawowe przed wdrożeniem systemu AI wysokiego ryzyka z Annex III. Wymagane dla organów publicznych i podmiotów prywatnych w określonych sektorach.
Zgłaszanie poważnych incydentów
Niezwłoczne powiadomienie dostawcy i organów nadzoru rynku o poważnych incydentach zagrażających zdrowiu, bezpieczeństwu lub prawom podstawowym.
Ocena skutków dla ochrony danych (DPIA)
Przeprowadzenie DPIA dla przetwarzania danych osobowych przez systemy AI, które mogą stwarzać wysokie ryzyko dla praw i wolności osób fizycznych. Wymóg GDPR, uzupełniający FRIA.
FRIA: Kto Musi Ją Przeprowadzić?
Fundamental Rights Impact Assessment (FRIA) to ocena wpływu systemu AI na prawa podstawowe. Wymagana na mocy Art. 27 przed wdrożeniem systemu AI wysokiego ryzyka z Annex III.
Podmioty publiczne
Organy publiczne wdrażające systemy AI wysokiego ryzyka z Annex III — bez wyjątku.
Scoring kredytowy i BNPL
Podmioty prywatne wykorzystujące AI do oceny zdolności kredytowej osób fizycznych lub ustalania ich scoringu kredytowego.
Ubezpieczenia
Podmioty prywatne wykorzystujące AI do oceny ryzyka i wyceny ubezpieczeń na życie i zdrowotnych.
Inne sektory Annex III
Inne przypadki użycia wysokiego ryzyka z Annex III, gdy organ nadzoru tego wymaga lub gdy wynika to z przepisów krajowych.
FRIA i DPIA to różne dokumenty, ale się uzupełniają. DPIA (GDPR Art. 35) koncentruje się na ryzykach dla ochrony danych osobowych. FRIA (Art. 27) ocenia szerszy wpływ na prawa podstawowe — dyskryminację, wolność słowa, dostęp do wymiaru sprawiedliwości. Dane z jednej oceny mogą zasilać drugą.
Wymogi Dotyczące Przejrzystości i Not Informacyjnych
Art. 50 nakłada obowiązki informacyjne na określone systemy AI, niezależnie od poziomu ryzyka:
Chatboty i systemy interakcji z ludźmi: użytkownicy muszą zostać poinformowani, że rozmawiają z systemem AI (chyba że jest to oczywiste z kontekstu).
Deepfakes i treści syntetyczne: treści wygenerowane lub manipulowane przez AI muszą być oznakowane.
Systemy rozpoznawania emocji i kategoryzacji biometrycznej: osoby, których to dotyczy, muszą być poinformowane o działaniu systemu.
Systemy AI wysokiego ryzyka podejmujące decyzje dotyczące osób: osoby te muszą wiedzieć, że decyzja została podjęta z udziałem systemu AI (Art. 26(11)).
Dodatkowo Art. 26(7) wymaga powiadomienia pracowników i ich przedstawicieli PRZED wdrożeniem systemu AI wysokiego ryzyka w miejscu pracy. To odrębny obowiązek od ogólnych not informacyjnych.
AI and Shine generuje trzy rodzaje not informacyjnych: noty interakcji (chatboty), noty decyzyjne (systemy podejmujące decyzje dotyczące osób) i noty ogólne.
Nadzór Ludzki nad Systemami AI
Art. 26(2) wymaga, by deployerzy systemów AI wysokiego ryzyka wyznaczyli osoby do nadzoru z odpowiednimi kompetencjami, szkoleniem i uprawnieniami.
- Wyznaczenie konkretnych osób odpowiedzialnych za nadzór nad każdym systemem AI wysokiego ryzyka
- Udokumentowanie kompetencji tych osób — rozumienie systemu, zdolność interpretacji wyników
- Formalne uprawnienia do interwencji — możliwość nadpisania, wstrzymania lub wyłączenia systemu
- Regularne szkolenia osób nadzorujących z działania i ograniczeń systemu
- Audytowalny dowód nadzoru — nie wystarczy wpisać nazwisko, trzeba udokumentować faktyczne działania
Organy Nadzoru Rynku
Każde państwo członkowskie UE musi wyznaczyć organy nadzoru rynku (Market Surveillance Authorities) odpowiedzialne za egzekwowanie EU AI Act. Termin wyznaczenia: 2 sierpnia 2025.
| Kraj | Organ | Status |
|---|---|---|
| Polska 🇵🇱 | W toku wyznaczania | pending |
| Francja 🇫🇷 | CNIL, DGCCRF, ARCOM | designated |
| Niemcy 🇩🇪 | BNetzA (Bundesnetzagentur) | designated |
| Hiszpania 🇪🇸 | AESIA | designated |
| Włochy 🇮🇹 | AgID / Garante | designated |
| Holandia 🇳🇱 | Algoritmetoezicht (AT) | designated |
| Irlandia 🇮🇪 | 15 organów + AI Office | designated |
| Belgia 🇧🇪 | W toku wyznaczania | pending |
Kary i Sankcje
EU AI Act przewiduje trzy poziomy kar administracyjnych.
Tier 1 — Zakazane praktyki
Do €35M lub 7% globalnego obrotu rocznego
Naruszenie Art. 5 — realizacja zakazanych praktyk AI
Tier 2 — Systemy wysokiego ryzyka
Do €15M lub 3% globalnego obrotu rocznego
Niespełnienie wymogów dotyczących systemów AI wysokiego ryzyka (dokumentacja, nadzór ludzki, FRIA, monitoring itp.)
Tier 3 — Udzielanie nieprawdziwych informacji
Do €7,5M lub 1% globalnego obrotu rocznego
Dostarczanie organom nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji
Kary mogą wydawać się abstrakcyjne, ale mają realne konsekwencje. Dla firmy z obrotem €10M rocznie kary Tier 1 mogą sięgnąć €700K — kwoty, która może zagrozić istnieniu firmy. Dla większych organizacji progi procentowe stają się jeszcze bardziej dotkliwe.
EU AI Act a GDPR — Jak Współdziałają
EU AI Act nie zastępuje GDPR. Oba rozporządzenia obowiązują jednocześnie. Większość systemów AI przetwarza dane osobowe, więc w praktyce trzeba spełniać wymogi obu regulacji.
| Aspekt | DPIA (GDPR Art. 35) | FRIA (Art. 27 EU AI Act) |
|---|---|---|
| Cel | Ocena ryzyk dla ochrony danych osobowych | Ocena wpływu na prawa podstawowe (szersza perspektywa) |
| Kiedy wymagane | Przetwarzanie mogące stwarzać wysokie ryzyko dla praw i wolności | Systemy AI wysokiego ryzyka z Annex III |
| Kto przeprowadza | Administrator danych (controller) | Deployer systemu AI |
| Zakres | Dane osobowe, bezpieczeństwo, minimalizacja | Prawa podstawowe: niedyskryminacja, wolność słowa, prywatność, dostęp do sądu |
| Podstawa prawna | GDPR Art. 35 | EU AI Act Art. 27 |
| Wzajemne zasilanie | Dane z DPIA mogą zasilić FRIA | Dane z FRIA mogą zasilić DPIA |
Firmy już zgodne z GDPR mają znaczącą przewagę: prowadzą rejestry przetwarzania (ROPA), mają DPA z dostawcami, przeprowadzają DPIA, posiadają IOD/DPO. Te same procesy i dokumenty stanowią fundament zgodności z EU AI Act.
Od Czego Zacząć — 7 Praktycznych Kroków
Zgodność z EU AI Act to proces, nie jednorazowy projekt. Oto praktyczna ścieżka dla firm, które chcą zacząć teraz.
Zinwentaryzuj wszystkie narzędzia z AI
Przejrzyj wszystkie narzędzia wykorzystywane w firmie. Sprawdź, które mają funkcje AI. Większość firm odkrywa 3-5 razy więcej narzędzi AI niż zakładała.
Sklasyfikuj ryzyko każdego narzędzia
Dla każdego narzędzia AI ustal: jak jest wykorzystywane (przypadek użycia), czy wchodzi w zakres Annex III, jaki poziom ryzyka mu odpowiada. Pamiętaj: to sposób użycia determinuje klasyfikację.
Sprawdź zakazane praktyki (Art. 5)
Zweryfikuj, czy żaden z przypadków użycia nie realizuje praktyk zakazanych na mocy Art. 5. To już obowiązuje i podlega najwyższym karom.
Przeprowadź szkolenie AI Literacy (Art. 4)
Zorganizuj udokumentowane szkolenie z kompetencji AI dla wszystkich pracowników. Nie wymaga certyfikacji — wystarczy szkolenie wewnętrzne z listą obecności. Obowiązek od lutego 2025.
Zbierz i przeanalizuj DPA dostawców
Sprawdź umowy z dostawcami narzędzi AI. Czy masz DPA? Czy zawierają klauzule wymagane przez GDPR? Czy są gotowe na wymogi AI Act? Większość dostawców jeszcze nie zaktualizowała swoich umów.
Przygotuj dokumentację dla narzędzi high-risk
Dla narzędzi wysokiego ryzyka: ocena ryzyka, FRIA (jeśli wymagana), DPIA, noty informacyjne, powiadomienie pracowników, wyznaczenie nadzoru ludzkiego.
Ustanów procesy governance
Wdróż procesy: zatwierdzanie nowych narzędzi, raportowanie incydentów, przeglądy okresowe, śledzenie retencji logów. Compliance to proces ciągły, nie jednorazowy audit.
Disclaimer: Niniejszy przewodnik ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. Treści zostały opracowane na podstawie Rozporządzenia (UE) 2024/1689 w wersji opublikowanej w Dzienniku Urzędowym UE. W celu uzyskania porady dotyczącej konkretnej sytuacji Twojej firmy, skonsultuj się z kwalifikowanym prawnikiem.