Ustawa o sztucznej inteligencji wciąż w fazie projektu

Ustawa o AI – projektowany zakres regulacji i kontekst unijny

Rządowy projekt ustawy o systemach sztucznej inteligencji (nr druku: UC71) ma za zadanie uregulowanie krajowego stosowania przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 z 13.6.2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (Dz.Urz. UE L z 2024 r. s. 1689; dalej: AI Act). Ustawa ma charakter wykonawczy i wdrożeniowy – jej głównym celem jest ustanowienie struktury organizacyjnej służącej do krajowego egzekwowania unijnego prawa. Przepisy projektowanej ustawy mają obejmować wyznaczenie organów adekwatnych, ustalenie procedur nadzorczych oraz uregulowanie obowiązków po stronie podmiotów rozwijających i stosujących AI.

W tym miejscu należy jednak wskazać, iż proces legislacyjny uległ istotnemu opóźnieniu. Choć AI Act zaczął obowiązywać 1.8.2024 r., a większość jego przepisów, w tym dotyczących systemów wysokiego ryzyka oraz mechanizmów sankcyjnych, ma zacząć być stosowana od 2.8.2025 r., Polska nie przyjęła jeszcze ustawy wykonawczej. Projekt przez cały czas znajduje się na etapie przygotowawczym, a jego formalne wniesienie do Sejmu – według stanu na lipiec 2025 r. – nie nastąpiło. Oznacza to, iż istnieje realne ryzyko, iż krajowy system nadzoru nad AI nie zostanie uruchomiony w pełnym zakresie przed wejściem w życie kluczowych przepisów AI Act.

Powołanie Krajowej Rady ds. Bezpieczeństwa i Standardów Sztucznej Inteligencji

Jednym z głównych elementów projektowanej ustawy jest ustanowienie nowego organu doradczo-opiniodawczego – Krajowej Rady ds. Bezpieczeństwa i Standardów Sztucznej Inteligencji (KRiBSI). Rada ta ma pełnić funkcję forum eksperckiego oraz przestrzeni dialogu między administracją publiczną, środowiskiem naukowym, organizacjami pozarządowymi i przedstawicielami sektora innowacji. Jej zadaniem będzie m.in. wspieranie interpretacji przepisów, monitorowanie ryzyk technologicznych oraz promowanie odpowiedzialnych praktyk stosowania AI.

Rada, jako organ bez kompetencji decyzyjnych, ma wspierać działania adekwatnych organów nadzoru. Jej znaczenie będzie jednak wzrastać w miarę pojawiania się nowych zastosowań sztucznej inteligencji, które wymagać będą interwencji regulacyjnej lub wypracowania wspólnych standardów zgodnych z duchem AI Act. Niemniej jednak, jak wskazuje część ekspertów, samo powołanie KRiBSI – mimo iż wartościowe z punktu widzenia deliberacji – nie kompensuje braku operacyjnego systemu nadzoru i egzekwowania przepisów.

System rozproszonego nadzoru i rola organów sektorowych

W projekcie ustawy przyjęto model rozproszonego nadzoru, oparty na strukturze istniejących organów administracji publicznej. Oznacza to, iż nie zostanie utworzony nowy centralny urząd dedykowany wyłącznie nadzorowi nad AI. Zamiast tego odpowiedzialność za egzekwowanie przepisów AI Act ma zostać powierzona organom już funkcjonującym, których kompetencje zostaną rozszerzone o kwestie związane z oceną zgodności, kontrolą i sankcjami wobec systemów AI.

Rozwiązanie to wpisuje się w szerszą tendencję decentralizacji nadzoru technologicznego, jednak – jak zauważa się w analizach legislacyjnych – wymaga nie tylko zmian kompetencyjnych, ale także istotnego wzmocnienia zasobowego. W przypadku opóźnień we wdrażaniu ustawy oraz braku wystarczającego przygotowania organów sektorowych, może dojść do luki nadzorczej, w której funkcjonujące na rynku systemy AI nie będą podlegały realnej kontroli ani egzekucji zgodności z unijnymi przepisami.

Obowiązki dostawców i użytkowników systemów AI

Projekt przewiduje nałożenie szeregu obowiązków na podmioty dostarczające oraz wdrażające systemy sztucznej inteligencji, w szczególności zaklasyfikowane jako systemy wysokiego ryzyka. Obowiązki te obejmują m.in. konieczność rejestracji w unijnym rejestrze, prowadzenie dokumentacji technicznej, zapewnienie nadzoru człowieka nad systemem, a także monitorowanie skutków jego działania po wdrożeniu. Systemy te muszą zostać zaprojektowane w sposób przejrzysty, możliwy do audytu oraz zapewniający identyfikowalność podejmowanych decyzji.

W projekcie przewidziano również odpowiedzialność po stronie użytkowników – nie tylko w zakresie operacyjnego nadzoru nad systemami, ale także w odniesieniu do zapewnienia odpowiednich kwalifikacji i przeszkolenia personelu korzystającego z AI. Ustawodawca zakłada, iż zgodność systemu z przepisami nie kończy się w momencie jego wdrożenia, ale wymaga bieżącego zarządzania ryzykiem oraz odpowiedzialnego modelowania procesów decyzyjnych.

Powiązania z systemem ochrony danych osobowych

W kontekście ochrony danych osobowych projektowana ustawa wyraźnie przewiduje ścisłą współpracę z Prezesem Urzędu Ochrony Danych Osobowych. Systemy AI bardzo często operują na danych osobowych, nierzadko w sposób zautomatyzowany i oparty na profilowaniu. W świetle rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 2016 Nr 119, s. 1; dalej: RODO), działania te muszą być poddane szczególnej kontroli, zwłaszcza gdy mogą prowadzić do skutków prawnych lub istotnie wpływać na sytuację osoby fizycznej.

Z tego względu ustawa zakłada obowiązek współdziałania między organami AI a Prezesem UODO, w tym konsultowanie projektów wdrożeń systemów wysokiego ryzyka, które mogą rodzić istotne ryzyko naruszenia prywatności. Ma to zapewnić spójność działań nadzorczych oraz zagwarantować, iż zgodność z AI Act nie będzie interpretowana w oderwaniu od istniejących regulacji o ochronie danych.

Sankcje, środki nadzorcze i luka w egzekucji

Jednym z najważniejszych problemów pozostaje opóźnienie w implementacji przepisów wykonawczych przewidzianych w AI Act. Choć rozporządzenie unijne określa, iż przepisy dotyczące systemów wysokiego ryzyka i związanych z nimi sankcji mają być stosowane od 2.8.2025 r., Polska – według stanu na lipiec 2025 r. – nie zakończyła prac nad ustawą krajową. W praktyce oznacza to, iż system egzekwowania przepisów, w tym mechanizmy kontrolne i sankcyjne, nie będą gotowe na czas.

Projekt ustawy w obecnym brzmieniu zawiera ogólne odniesienie do sankcji administracyjnych i mechanizmów nadzorczych, jednak ich praktyczne zastosowanie będzie możliwe dopiero po uchwaleniu i wejściu w życie ustawy. Do tego czasu, mimo formalnego obowiązywania AI Act, polskie organy nadzorcze mogą nie dysponować narzędziami do jego egzekwowania. To istotne wyzwanie nie tylko z punktu widzenia efektywności prawa, ale także ochrony praw obywateli wobec technologii wykorzystywanej przez administrację, pracodawców, czy instytucje finansowe.

Wnioski i perspektywy

Projekt ustawy o systemach sztucznej inteligencji to krok w kierunku uregulowania jednego z najbardziej dynamicznych obszarów współczesnego prawa technologicznego. Niemniej jednak opóźnienia legislacyjne oraz strukturalne wyzwania związane z rozproszonym modelem nadzoru mogą utrudnić skuteczne wdrożenie unijnych standardów w Polsce. o ile ustawa nie zostanie uchwalona i wdrożona przed 2.8.2025 r., realna egzekucja przepisów AI Act może być utrudniona lub niemożliwa, co narazi Polskę na ryzyko niewypełnienia obowiązków wynikających z prawa UE.

Dla sektora publicznego i prywatnego oznacza to konieczność samodzielnego przygotowania się na nowe regulacje – poprzez analizę ryzyk, aktualizację wewnętrznych procedur, przeszkolenie personelu oraz ocenę stosowanych narzędzi AI. W przeciwnym razie, zarówno dostawcy, jak i użytkownicy systemów sztucznej inteligencji mogą zostać zaskoczeni nie tylko nowymi wymogami, ale także ryzykiem sankcji, gdy krajowy nadzór zostanie ostatecznie ustanowiony.