AI Act — unijne rozporządzenie o sztucznej inteligencji
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 w sprawie sztucznej inteligencji — znane jako AI Act — zostało opublikowane 12 lipca 2024 r. i wchodzi w życie etapami. To pierwszy na świecie kompleksowy akt prawny regulujący systemy AI, oparty na podejściu opartym na ryzyku. Polskie firmy i instytucje muszą dostosować się do jego wymogów — a terminy zbliżają się szybko.
Harmonogram wejścia w życie AI Act
- 2 lutego 2025 r. — zakaz stosowania systemów AI niedopuszczalnego ryzyka (np. scoring społeczny, manipulacja podprogowa)
- 2 sierpnia 2025 r. — obowiązki dotyczące modeli AI ogólnego przeznaczenia (GPAI), w tym modeli jak GPT
- 2 sierpnia 2026 r. — przepisy dotyczące systemów AI wysokiego ryzyka (Załącznik III)
- 2 sierpnia 2027 r. — systemy AI wbudowane w regulowane produkty (np. maszyny, wyroby medyczne)
Czym jest system AI wysokiego ryzyka?
AI Act wyróżnia kategorię systemów "wysokiego ryzyka" — takich, które stwarzają poważne zagrożenia dla zdrowia, bezpieczeństwa lub praw podstawowych. Zaliczone są do nich systemy wymienione w Załączniku III rozporządzenia. Najważniejsze z perspektywy polskich firm:
- Rekrutacja i zatrudnienie — systemy AI do selekcji CV, oceny kandydatów, awansowania, monitorowania pracowników,
- Edukacja — systemy oceniające uczniów lub kontrolujące dostęp do edukacji,
- Usługi publiczne — systemy oceniające wnioski o świadczenia socjalne, kredyty, ubezpieczenia,
- Bezpieczeństwo krytycznej infrastruktury — systemy AI zarządzające energetyką, transportem, wodą,
- Egzekwowanie prawa — systemy AI używane przez policję, sądy, prokuraturę,
- Migracja i kontrola graniczna.
Kto jest dostawcą systemu AI?
Dostawca (provider) to podmiot, który opracowuje lub zleca opracowanie systemu AI i wprowadza go do obrotu lub do eksploatacji pod własną nazwą lub znakiem towarowym. Jeśli Twoja firma:
- tworzy własne rozwiązania AI do użytku wewnętrznego lub sprzedaży,
- dostosowuje gotowy model AI (fine-tuning) i wdraża go pod własną marką,
- integruje system AI z własnym produktem,
— najprawdopodobniej jesteś dostawcą w rozumieniu AI Act i podlegasz pełnym obowiązkom.
Co musi wdrożyć dostawca systemu wysokiego ryzyka?
1. System zarządzania ryzykiem
Dostawca musi ustanowić, wdrożyć i dokumentować system zarządzania ryzykiem przez cały cykl życia systemu AI — od projektu po wycofanie z użytku (art. 9 AI Act).
2. Zarządzanie danymi i jakość zbiorów danych
Dane treningowe, walidacyjne i testowe muszą spełniać odpowiednie standardy jakości (art. 10 AI Act). Dostawca musi zapewnić reprezentatywność danych i eliminację błędów mogących prowadzić do dyskryminacji.
3. Dokumentacja techniczna i rejestry
Obowiązkowe przechowywanie dokumentacji technicznej systemu AI (art. 11) i automatyczne prowadzenie rejestru zdarzeń (logów) w zakresie wymaganym przez przepis (art. 12).
4. Przejrzystość i instrukcja dla użytkowników
Dostawca musi zapewnić przejrzystość systemu — udostępnić użytkownikom odpowiednie informacje o działaniu systemu, jego ograniczeniach i zasadach użycia (art. 13).
5. Nadzór ludzki (human oversight)
Systemy AI wysokiego ryzyka muszą być zaprojektowane tak, by umożliwiać skuteczny nadzór człowieka nad ich działaniem (art. 14).
6. Dokładność, solidność i cyberbezpieczeństwo
Systemy muszą spełniać odpowiednie poziomy dokładności i być odporne na cyberataki i manipulacje (art. 15).
A co z użytkownikami (deployers) systemów AI?
Poza dostawcami, AI Act nakłada obowiązki też na "użytkowników" (deployers) — firmy i organizacje, które wdrażają systemy AI wysokiego ryzyka opracowane przez innych. Obowiązki użytkownika są mniejsze niż dostawcy, ale istotne — m.in. używanie systemu zgodnie z instrukcją, prowadzenie rejestru, zapewnienie nadzoru ludzkiego.
Jak przygotować się do AI Act?
- Zinwentaryzuj systemy AI używane lub tworzone w firmie,
- oceń, czy któryś z nich może być systemem wysokiego ryzyka,
- zidentyfikuj swoją rolę: dostawca czy użytkownik (deployer),
- zaplanuj wdrożenie systemu zarządzania ryzykiem AI,
- skonsultuj się z prawnikiem w zakresie prawnych aspektów compliance AI Act.
Podsumowanie
AI Act to regulacja, która dotyczy szerszego kręgu firm niż mogłoby się wydawać. Deadline 2 sierpnia 2026 r. dla systemów wysokiego ryzyka zbliża się, a zakres wymaganych działań jest znaczący. Warto zacząć przygotowania wcześniej — szczególnie że wdrożenie systemu zarządzania ryzykiem AI to projekt wielomiesięczny.
Powiązane strony