1 dzień temu
Co to w ogóle jest?
AI Act to pierwszy na świecie kompleksowy „kodeks AI”. Unia Europejska dzieli systemy na cztery „poziomy ryzyka” – od zakazanych po niskie – i narzuca różne obowiązki. Akt już obowiązuje od 2 sierpnia 2024 r., ale kolejne etapy wchodzą falami.
Dlaczego wszyscy o tym mówią?
| Co się dzieje? | Kiedy? | Dlaczego powinno Cię obchodzić? |
| Pełny zakaz „AI wysokiego ryzyka moralnego” – np. social-scoring, zdalna identyfikacja biometryczna na żywo | 2 lutego 2025 | Te praktyki są już karalne – grzywna do 35 mln € lub 7 % globalnego obrotu. |
| Transparentność modeli GPAI (np. ChatGPT) – ujawnianie danych treningowych, oznaczanie treści AI | 2 sierpnia 2025 | Został miesiąc: trzeba mieć procedury „labelowania” i streszczenia praw autorskich. |
| Pełne wymogi dla systemów „wysokiego ryzyka” – rejestr, ocena wpływu (FRIA), QMS | sierpień 2026 | Rok na wdrożenie zgodności w bankowości, HR, opiece zdrowotnej, transporcie. |
Skąd wziął się AI Act i dlaczego właśnie teraz?
W lipcu 2023 r. Parlament Europejski przyjął regulację, a po żmudnych „negocjacjach” z Radą i Komisją gotowy akt opublikowano w Dzienniku UE 12 lipca 2024 r. Dwudziestego dnia po publikacji – 1 sierpnia 2024 r. – przepisy weszły w życie, a to uruchomiło liczniki terminów przejściowych. Unijni urzędnicy chcieli uniknąć chaosu jak z RODO, dlatego terminy rozłożono na trzy lata: najpierw absolutne zakazy, potem obowiązki przejrzystości dla „general-purpose AI” (GPAI), a na końcu pełna zgodność dla systemów wysokiego ryzyka.
Nie oznacza to jednak, iż mamy trzy lata „spokoju”. 2 lutego 2025 r. zakazane zostały systemy „nieakceptowalnego ryzyka” – zdalna identyfikacja biometryczna w czasie rzeczywistym, social scoring obywateli czy manipulacja behawioralna dzieci. Kary? choćby 35 mln € lub 7 % światowego obrotu w zależności od tego, co wyższe.
Kolejny kamień milowy to 2 sierpnia 2025 r. – tu „zapala się zielone światło” dla nowych organów (EU AI Office, krajowe urzędy nadzoru) oraz obowiązków dla twórców i użytkowników modeli GPAI. Dla przeciętnej firmy oznacza to m.in. wymóg wyraźnego oznaczania treści generowanych przez AI i publikowania streszczeń praw autorskich do danych treningowych.
Czy to problem tylko „Big Techu”?
Absolutnie nie. AI Act odwraca logikę: liczy się rola wobec systemu, a nie rozmiar przedsiębiorstwa. Jeżeli:
- dostarczasz oprogramowanie AI (np. start-up SaaS do analizy CV),
- wdrażasz cudzy model w procesie biznesowym (np. wtyczka ChatGPT),
- używasz gotowego narzędzia AI, od którego zależy decyzja o kliencie lub pracowniku,
– to w świetle przepisów stajesz się dostawcą, integratorem lub użytkownikiem i musisz wykazać zgodność. Zwolnienie dla mikro-firm działa wyłącznie w wąskich „piaskownicach regulacyjnych” tworzonych przez państwa członkowskie i przestaje obowiązywać, gdy produkt trafia na szerszy rynek.
Jakie obowiązki czekają Cię w najbliższych dwunastu miesiącach?
a) Inwentaryzacja i klasyfikacja
Pierwszy krok to lista wszystkich narzędzi AI w firmie – także tych w fazie testów i proof-of-concept. Bez tego nie ustalisz, czy podlegasz pod zakazy, GPAI, czy ryzyko wysokie.
b) Transparentność
Od 2 sierpnia 2025 r. każde wygenerowane przez system GPAI treści (tekst, obraz, wideo) muszą być oznaczone jako twór AI. Operatorzy muszą też umieć wyjaśnić użytkownikom, jak powstała dana treść – to rewolucja zwłaszcza w marketingu i e-commerce. AI Act wymaga również, by pracownicy mieli podstawową „alfabetyzację AI”: muszą wiedzieć, kiedy i jak zatrzymać system, jeżeli dzieje się coś niepokojącego.
c) FRIA – ocena wpływu na podstawowe prawa
To narzędzie podobne do RODO – DPIA, ale skupione na dyskryminacji, bezpieczeństwie i prawach konsumenta. jeżeli Twój system trafia do kategorii wysokiego ryzyka (np. scoring kredytowy), trzeba przygotować FRIA przed wdrożeniem, a następnie co roku ją aktualizować.
d) Rejestry i dokumentacja techniczna
Każdy „poważny” model musi mieć kartę charakterystyki – opisaną architekturę, dane treningowe, testy na bias, procedury walidacji. To nie jest papierologia dla urzędnika – to tarcza w razie wypadku lub kontroli.
Co grozi za zignorowanie przepisów?
Kary administracyjne w AI Act są ustawione celowo wysoko, by nie opłacało się „grać na czas”. Najniższy próg – 15 mln € lub 3 % obrotu – dotyczy naruszeń czysto formalnych, np. braku współpracy z urzędem. Najwyższy – 35 mln € / 7 % obrotu – uderza w zakazane praktyki. Dla średniej spółki technologicznej z obrotem 100 mln € oznacza to potencjalny rachunek 7 mln €. Poza finansami wisi ryzyko wizerunkowe: raport AWS z czerwca 2025 r. wykazał, iż 67 % europejskich firm nie rozumie swoich obowiązków, co już budzi nieufność inwestorów.
Jak przejść kontrole „bez bólu”? Czterotygodniowy plan
- Tydzień 1 – Mapa AI
Warsztat z kluczowymi działami oraz ankieta online pozwalają ustalić, gdzie w firmie pojawia się AI i jakie dane trafiają do modeli. - Tydzień 2 – Analiza luk
Nasz zespół prawników i specjalistów weryfikuje klasy ryzyka, sprawdza licencje na dane oraz kontrakty z dostawcami chmury. - Tydzień 3 – Dokumenty i procedury
Dostarczamy gotową politykę AI, wzór FRIA, klauzule do umów i prosty „podręcznik” oznaczania treści. - Tydzień 4 – Szkolenie i testy
W formie e-learningu lub warsztatu „na żywo” uczymy pracowników, jak rozpoznać awarię modelu i jak dokumentować decyzje. Następnie symulujemy krótką kontrolę urzędnika, by sprawdzić, czy wszystko działa.
Taka „szybka ścieżka” przygotowuje firmę na sierpniowe wymagania i buduje solidną bazę pod kolejną, 2026-roczną falę wymogów.
Trzy najczęstsze mity, które słyszymy na spotkaniach
- „Mamy gotowy model SaaS z USA – to ich problem, nie nasz.”
Niestety, jeżeli Twoi klienci są w UE, Ty odpowiadasz za zgodność modelu z AI Act – tak samo jak dostawca. - „Przepiszę procedury z RODO i będzie OK.”
AI Act wymaga osobnej oceny wpływu na dyskryminację, bezpieczeństwo. - „Małe firmy są zwolnione.”
Zwolnienie dotyczy wyłącznie piaskownic regulacyjnych i kończy się, gdy produkt trafia na rynek.
Jak możemy pomóc?
Kancelaria PROKURENT łączy specjalistów i unikalne ponad 35 letnie doświadczenie we współpracy z przedsiębiorcami. Oferujemy:
- Audyt „AI Act” w szybkiej formule – dostajesz raport w ciągu tygodnia.
- Pakiet dokumentów (polityka AI, FRIA, klauzule dla dostawców, wzór etykiety AI-content) – do wdrożenia od ręki.
- Stałe wsparcie – stały kontakt do prawnika podczas wdrożenia i w razie kontroli.
- Szkolenia dla zarządu i pracowników – językiem zrozumiałym dla nie-prawników.
W razie pytań i wątpliwości związanych z powyższą materią zapraszamy do kontaktu: kancelaria[at]prokurent.com
Autor:
Marcin Bandurski – Partner, Adwokat
