Ustawa UE o sztucznej inteligencji (ROI) – Rozporządzenie (UE) 2024/1689 – ustanawia prawnie wiążące przepisy dla każdego systemu AI wprowadzanego na rynek europejski lub którego wyniki docierają do użytkowników w UE, co czyni ją pierwszym horyzontalnym, opartym na ryzyku prawem dotyczącym sztucznej inteligencji. Niezależnie od tego, czy tworzysz modele, integrujesz narzędzia firm trzecich, czy po prostu wdrażasz chatboty do obsługi klientów, ustawa nakłada nowe obowiązki i naraża Cię na wysokie grzywny w wysokości do 7% globalnego obrotu za każde naruszenie. Ustawa weszła w życie 1 sierpnia 2024 r.; obowiązki związane z zapewnieniem zgodności będą realizowane etapowo od lutego 2025 r. do sierpnia 2027 r., co oznacza, że czas na przygotowania jest ograniczony.
Ten praktyczny przewodnik przełamuje żargon prawniczy i wyjaśnia dokładnie, co musisz wiedzieć: zakres ustawy i kluczowe definicje, czterostopniową klasyfikację ryzyka, harmonogram i mechanizmy egzekwowania, konkretne obowiązki dostawców, użytkowników, importerów i dystrybutorów oraz kary za nieprzestrzeganie przepisów. Porównujemy również przepisy z RODO, NIS2, przepisami dotyczącymi bezpieczeństwa produktów i wymogami sektorowymi, a następnie przedstawiamy szczegółową listę kontrolną zgodności, dzięki której zespoły inżynieryjne, prawne i kierownicze mogą działać natychmiast. Przygotujmy Cię – zanim audytorzy zapukają do drzwi.
W skrócie: czym właściwie jest ustawa UE o sztucznej inteligencji
Rozporządzenie (UE) 2024/1689 – lepiej znane jako ustawa UE o sztucznej inteligencji – jest bezpośrednio obowiązującym rozporządzeniem UE, a nie dyrektywą. Oznacza to, że jego przepisy obowiązują automatycznie w każdym państwie członkowskim bez konieczności transpozycji do prawa krajowego, podobnie jak w przypadku RODO w 2018 roku. Cel jest dwojaki: ochrona praw podstawowych i bezpieczeństwa, a jednocześnie zapewnienie firmom pewności prawnej, aby mogły odpowiedzialnie wprowadzać innowacje w zakresie sztucznej inteligencji. Aby to osiągnąć, ustawa wprowadza horyzontalny, oparty na ryzyku zestaw narzędzi, obejmujący każdy sektor, od finansów po opiekę zdrowotną, klasyfikując systemy ryzyka od „minimalnego” do „niedopuszczalnego”, z odpowiednimi obowiązkami prawnymi.
Zakres i definicje, które musisz znać
Zanim opracujesz plan zgodności, zapoznaj się z podstawowym słownictwem:
- System AI: „system oparty na maszynie, zaprojektowany do działania z różnym poziomem autonomii i który, w celu osiągnięcia jawnych lub ukrytych celów, wnioskuje na podstawie danych wejściowych, w jaki sposób generować wyniki — takie jak prognozy, treści, zalecenia lub decyzje — mogące wpływać na środowiska fizyczne lub wirtualne”.
- Sztuczna inteligencja ogólnego przeznaczenia (GPAI): system sztucznej inteligencji zdolny do wykonywania szerokiego zakresu odrębnych zadań, niezależnie od sposobu jego późniejszego dostrojenia lub wdrożenia.
- Dostawca: każda osoba fizyczna lub prawna, która opracowuje lub opracowała system sztucznej inteligencji z zamiarem wprowadzenia go na rynek lub oddania do użytku pod własną nazwą lub znakiem towarowym.
- Użytkownik (często nazywany „wdrażającym”): osoba lub podmiot korzystający z systemu AI na mocy własnych uprawnień, z wyłączeniem użytku prywatnego i nieprofesjonalnego.
- Importer: Podmiot mający siedzibę w Unii, wprowadzający na rynek UE system sztucznej inteligencji noszący nazwę lub znak towarowy podmiotu mającego siedzibę poza Unią.
- Dystrybutor: uczestnik łańcucha dostaw — inny niż dostawca lub importer — który udostępnia system AI bez konieczności jego modyfikowania.
Zasięg terytorialny jest szeroki: każdy system wprowadzony na rynek UE lub którego wyniki są wykorzystywane w UE podlega ustawie, niezależnie od lokalizacji producenta. Istnieją wyjątki dla zastosowań czysto wojskowych lub związanych z bezpieczeństwem narodowym, prototypów badawczo-rozwojowych, które nie zostały jeszcze wprowadzone na rynek, oraz osobistych projektów hobbystycznych.
Kluczowe zasady zawarte w ustawie
Rozporządzenie to przekształca długoletnie koncepcje etyczne w egzekwowalne prawo:
- Ludzka agencja i nadzór
- Solidność techniczna i bezpieczeństwo
- Prywatność i zarządzanie danymi
- Przejrzystość i możliwość wyjaśnienia
- Różnorodność, niedyskryminacja i uczciwość
- Dobrobyt społeczny i środowiskowy
Odzwierciedlają one zasady OECD dotyczące sztucznej inteligencji oraz wcześniejsze „Wytyczne etyczne dla Wiarygodna sztuczna inteligencja”, ale teraz mają one regulacyjne wymogi.
Regulacja a istniejące wytyczne prawa miękkiego
Do 2024 roku zarządzanie sztuczną inteligencją w Europie opierało się na dobrowolnych ramach, takich jak Pakt UE na rzecz sztucznej inteligencji (AI Pact) czy korporacyjne kodeksy etyki. Ustawa o sztucznej inteligencji zmienia zasady gry: zgodność jest obowiązkowa, podlega audytowi i jest wspierana przez grzywny do 35 mln euro lub 7% globalnych przychodów. Innymi słowy, deklaracje „etycznej sztucznej inteligencji” już nie wystarczają – organizacje muszą sporządzać oceny zgodności, oznakowania CE i weryfikowalne rejestry, w przeciwnym razie ryzykują wykluczenie z rynku UE.
Oś czasu, status prawny i fazy egzekwowania
Unijna ustawa o sztucznej inteligencji przeszła drogę od projektu do wiążącego prawa w nieco ponad trzy lata – z prędkością światła według standardów brukselskich. Ponieważ jest to rozporządzenie, większość jego przepisów stosuje się automatycznie w całym bloku bez konieczności transpozycji do prawa krajowego. Z czasem zmienia się to, które obowiązki wchodzą w życie jako pierwsze. Poniższy harmonogram przedstawia polityczne kamienie milowe, które doprowadziły nas do tego punktu, i wyznacza ramy dla stopniowego wdrażania obowiązków zgodności, które Twoja organizacja musi teraz zaplanować.
| Data | Kamień milowy | Znaczenie |
|---|---|---|
| Kwiecień 21 2021 | Komisja publikuje projekt ustawy o sztucznej inteligencji | Formalne rozpoczęcie procesu legislacyjnego |
| 9 grudzień 2023 | Parlament i Rada osiągnęły porozumienie polityczne | Tekst główny w dużej mierze zablokowany |
| Marzec 13 2024 | Ostateczne głosowanie Parlamentu Europejskiego (523-46) | Zapewniono akceptację Demokratów |
| 21 maja 2024 roku | Rada UE przyjęła | Ostatnia przeszkoda legislacyjna pokonana |
| Lipiec 10 2024 | Tekst opublikowany w Dzienniku Urzędowym | Rozpoczyna się odliczanie prawne |
| Sierpnia 1 2024 | Wchodzi w życie rozporządzenie (UE) 2024/1689 | „Dzień 0” dla wszystkich przyszłych terminów |
Data wejścia w życie oznacza serię rozłożonych w czasie dat składania wniosków rozłożonych na trzy lata. Takie rozwiązanie daje dostawcom, użytkownikom, importerom i dystrybutorom swobodę w budowaniu procesów zgodności, ulepszaniu modeli i szkoleniu personelu – ale oznacza to również, że audytorzy będą oczekiwać udokumentowanych postępów na długo przed 2027 rokiem.
Plan egzekwowania prawa: co ma zastosowanie, kiedy
- 6 miesięcy | 1 lutego 2025
- Zabronione praktyki związane ze sztuczną inteligencją (art. 5) muszą zostać usunięte z rynku — bez żadnych wymówek.
- 12 miesięcy | 1 sierpnia 2025 r.
- Obowiązek przejrzystości dotyczy deepfake'ów, chatbotów i rozpoznawania emocji.
- Oczekuje się kodeksów postępowania dla sztucznej inteligencji ogólnego przeznaczenia (GPAI); są one dobrowolne, ale zdecydowanie zalecane.
- 24 miesięcy | 1 sierpnia 2026 r.
- Wymagania systemowe wysokiego ryzyka zaczynają się od: zarządzania ryzykiem, zarządzania danymi, dokumentacji technicznej, nadzoru ludzkiego i przygotowań do oznakowania CE.
- Dostawcy muszą rejestrować systemy wysokiego ryzyka w nowej bazie danych UE.
- 36 miesięcy | 1 sierpnia 2027 r.
- Obowiązuje pełny system, obejmujący systemy identyfikacji biometrycznej, oceny zgodności przeprowadzane przez jednostki notyfikowane oraz obowiązkową deklarację zgodności UE dla wszystkich urządzeń ze sztuczną inteligencją wysokiego ryzyka.
- Organy nadzoru rynku uzyskać możliwość wycofywania z obrotu lub wycofywania produktów niezgodnych z przepisami.
Klauzule przejściowe pozwalają systemom wysokiego ryzyka, które były legalnie używane przed sierpniem 2026 r., pozostać na rynku do czasu przeprowadzenia „istotnej modyfikacji”. Należy starannie planować aktualizacje, aby uniknąć przypadkowego zresetowania zegara zgodności.
Instytucje i organy nadzorcze
Przepisy unijnej ustawy o sztucznej inteligencji podlegają nadzorowi na trzech poziomach:
- Biuro UE ds. AI (Komisja Europejska) – Koordynuje wytyczne, prowadzi rejestr GPAI i może nakładać grzywny na dostawców modeli systemowych.
- Właściwe władze krajowe – Po jednym na każde Państwo członkowskie; zajmuje się inspekcjami, skargami i codziennym nadzorem rynku.
- Jednostki notyfikowane – Niezależne organizacje zajmujące się oceną zgodności, które przeprowadzają audyty systemów wysokiego ryzyka przed nadaniem znaku CE.
Ci aktorzy współpracują poprzez Europejska Rada ds. Sztucznej Inteligencji (EAIB), która wydaje zharmonizowane notatki interpretacyjne – pomyśl o niej jak o odpowiedniku RODO dla Europejskiej Rady Ochrony Danych (EROD) w kontekście sztucznej inteligencji. Bądź czujny na ich wytyczne, ponieważ wpłyną one na to, jak Twoje pliki techniczne i oceny ryzyka będą oceniane w praktyce.
Czterostopniowa struktura klasyfikacji ryzyka
U podstaw unijnego aktu o sztucznej inteligencji (AI Act) leży model sygnalizacji świetlnej, który określa, jak surowe stają się przepisy: im większe ryzyko dla praw i bezpieczeństwa ludzi, tym większe obciążenie związane z przestrzeganiem przepisów. Każdy system AI musi zostać przyporządkowany do jednej z czterech klas: niedopuszczalnej, wysokiej, ograniczonej lub minimalnej. Klasyfikacja ta wpływa na wszystkie inne aspekty: szczegółowość dokumentacji, rygorystyczność testów, nadzór i ostatecznie dostęp do rynku.
| Poziom ryzyka | Typowe przykłady | Podstawowa konsekwencja prawna | Data pierwszego złożenia wniosku* |
|---|---|---|---|
| Gorszący | Punktacja społeczna, identyfikacja biometryczna w czasie rzeczywistym w przestrzeni publicznej, manipulacyjne mechanizmy „popychania” | Całkowity zakaz; wycofanie i kary do 35 mln euro / 7% | Luty 1 2025 |
| Wysoki | Narzędzia do analizy CV, oprogramowanie do diagnostyki medycznej, ocena zdolności kredytowej, moduły autonomicznej jazdy | Ocena zgodności, oznakowanie CE, wpis do rejestru, monitorowanie po wprowadzeniu do obrotu | 1 sierpnia 2026 r. (biometria: 1 sierpnia 2027 r.) |
| Ograniczony | Chatboty, generatory deepfake, widżety do analizy emocji | Informacja o przejrzystości i podstawowe elementy sterujące użytkownikami | Sierpnia 1 2025 |
| minimalny | Filtry spamu oparte na sztucznej inteligencji, postacie niezależne z gier wideo | Brak obowiązkowych zasad; tylko dobrowolne kodeksy | Już w mocy |
* Obliczono od daty wejścia w życie 1 sierpnia 2024 r.
Struktura jest dynamiczna: jeśli dodasz nowe funkcje lub zmienisz użytkowników docelowych, Twój system może przeskoczyć o jeden poziom, uruchamiając nowe zadania.
Niedopuszczalne ryzyko: zabronione praktyki sztucznej inteligencji
Artykuł 5 wyznacza czerwoną linię dla zastosowań, które UE uznaje za z natury niezgodne z prawami podstawowymi. Należą do nich:
- Techniki podprogowe, które istotnie zniekształcają zachowanie
- Wykorzystywanie podatności osób nieletnich lub osób niepełnosprawnych
- Nierozróżnialny w czasie rzeczywistym identyfikacja biometryczna w przestrzeniach dostępnych publicznie (obowiązują wąskie wyjątki dla organów ścigania)
- scoring społeczny przez władze publiczne
- Predykcyjne działania policji oparte wyłącznie na profilowaniu lub danych o lokalizacji
Takie systemy nigdy nie powinny trafić na rynek UE. Władze krajowe mogą nakazać natychmiastowe wycofanie, a kary są wyższe niż grzywny przewidziane w ustawie.
Systemy sztucznej inteligencji wysokiego ryzyka: Kategorie w załączniku III
System trafia do grupy wysokiego ryzyka, jeżeli spełnia jeden z poniższych warunków:
- Element bezpieczeństwa produktu, który jest już regulowany (np. na mocy przepisów dotyczących maszyn lub wyrobów medycznych) lub
- Wymienione w załączniku III osiem wrażliwych obszarów – biometria, infrastruktura krytyczna, edukacja, zatrudnienie, usługi niezbędne, egzekwowanie prawa, migracje i sprawiedliwość.
Po zaklasyfikowaniu jako wysokiego ryzyka, dostawcy muszą wdrożyć system zarządzania jakością, przeprowadzić cykl zarządzania ryzykiem i uzyskać ocenę zgodności – czasami za pośrednictwem zewnętrznej jednostki notyfikowanej. Użytkownicy (wdrożeniowcy) przejmują obowiązki związane z rejestrowaniem, nadzorem i zgłaszaniem incydentów.
Ograniczone ryzyko: obowiązki przejrzystości
Narzędzia o ograniczonym ryzyku nie są nieszkodliwe, ale UE uważa, że świadomość użytkowników minimalizuje większość zagrożeń. Twórcy chatbotów, generatywnych silników artystycznych opartych na sztucznej inteligencji (AI) lub usług głosowych muszą:
- Poinformuj użytkowników, że wchodzą w interakcję ze sztuczną inteligencją („Ten obraz został wygenerowany przez sztuczną inteligencję”)
- Ujawnij treści typu deepfake w czytelnym dla maszyny znaku wodnym
- Powstrzymaj się od ukrytego gromadzenia danych osobowych wykraczającego poza zakres niezbędny
Niedopełnienie obowiązku przekazania powiadomienia spowoduje natychmiastowe obniżenie statusu systemu do poziomu niezgodnego z przepisami i nałożenie kar administracyjnych.
Minimalne/nieistotne ryzyko: brak obowiązkowych zasad
Filtry antyspamowe, predykcyjne wiadomości tekstowe w wiadomościach e-mail czy sztuczna inteligencja optymalizująca zużycie energii w systemach HVAC zazwyczaj zaliczają się do tej grupy. Unijna ustawa o sztucznej inteligencji (AI Act) nie nakłada sztywnych obowiązków, ale aktywnie zachęca do dobrowolnego stosowania kodów, tworzenia środowisk testowych i przestrzegania norm międzynarodowych, takich jak ISO/IEC 42001. Utrzymywanie prostej dokumentacji i podstawowych testów na stronniczość to nadal mądre posunięcie – organy regulacyjne mogą przeklasyfikować przypadki graniczne, jeśli pojawią się dowody na szkodliwość.
Podstawowe obowiązki dostawców, wdrażających i innych podmiotów
Ustawa UE o sztucznej inteligencji rozkłada obowiązki zgodności na cały łańcuch dostaw. Ponieważ odpowiedzialność wynika z funkcji, a nie z wielkości firmy, najpierw należy określić, jaką rolę pełnimy – dostawcę, użytkownika (wdrożeniowca), importera czy dystrybutora – a następnie nałożyć wszelkie wymogi dotyczące ryzyka. Brak prawidłowej klasyfikacji to częsty błąd w audycie, dlatego mapowanie należy traktować jako krok zerowy programu.
Dostawcy systemów wysokiego ryzyka
Dostawcy ponoszą największy ciężar, ponieważ kontrolują decyzje projektowe. Kluczowe zadania:
- Ustanowić udokumentowany system zarządzania jakością (QMS) obejmujący zarządzanie danymi, zarządzanie ryzykiem, kontrolę zmian i cyberbezpieczeństwo.
- Przeprowadź ocenę zgodności ex ante. Większość systemów wymienionych w Załączniku III może przeprowadzać samoocenę, ale identyfikacja biometryczna, wyroby medyczne i inne zastosowania krytyczne dla bezpieczeństwa wymagają jednostki notyfikowanej.
- Sporządzanie dokumentacji technicznej: architektury modelu, pochodzenia danych szkoleniowych, metryk oceny, testów solidności, mechanizmów nadzoru ludzkiego i planu monitorowania po wprowadzeniu produktu na rynek.
- Przed pierwszym wdrożeniem należy sporządzić Deklarację Zgodności UE, umieścić oznakowanie CE i zarejestrować system w publicznej bazie danych sztucznej inteligencji.
- Wprowadź ciągły nadzór po wprowadzeniu produktu na rynek: rejestruj poważne incydenty, przeprowadzaj ponowne szkolenia w przypadku przekroczenia progów dryfu i powiadamiaj właściwe organy w ciągu 15 dni.
Zaniedbanie któregokolwiek z tych kroków może skutkować karami finansowymi w wysokości do 15 milionów euro lub 3% światowego obrotu — nawet jeśli nie wystąpi żadna szkoda.
Użytkownicy/Wdrażający systemy wysokiego ryzyka
Wdrażający przekształcają kod w taki sposób, aby miał on zastosowanie w realnym świecie, dlatego ustawa przyznaje im własną listę kontrolną:
- Należy obsługiwać system ściśle według instrukcji dostawcy i udokumentowanego przypadku użycia.
- Przeprowadź ocenę wpływu na prawa podstawowe (FRIA), jeśli użytkownikiem jest organ publiczny lub jeśli sztuczna inteligencja wpływa na dostęp do podstawowych usług, takich jak mieszkalnictwo lub kredyty.
- Należy zadbać o wykwalifikowany nadzór ludzki: personel musi być przeszkolony, mieć możliwość zmiany wyników i potrafić wyjaśniać decyzje osobom, których one dotyczą.
- Prowadź rejestry przez co najmniej sześć lat, uwzględniając dane wejściowe, wyjściowe, interwencje ludzkie i anomalie wydajności.
- Poważne incydenty należy zgłaszać zarówno usługodawcy, jak i władzom krajowym bez „nieuzasadnionej zwłoki”, zwykle rozumianej jako 72 godziny.
Importerzy i dystrybutorzy
Podmioty wprowadzające lub przekazujące systemy sztucznej inteligencji w UE mają obowiązek nadzorowania dostępu:
- Sprawdź, czy oznakowanie CE, Deklaracja Zgodności UE i instrukcje istnieją i odpowiadają funkcjonalności podanej na rynku.
- Powstrzymaj się od dostarczania produktu, jeśli wiesz — lub powinieneś wiedzieć — że jest on niezgodny z wymaganiami; zamiast tego poinformuj dostawcę i właściwy organ.
- Prowadź rejestr skarg i wycofań produktów, udostępniając go na żądanie władz.
- Współpraca w zakresie działań naprawczych, obejmujących wycofywanie produktów lub wprowadzanie poprawek do oprogramowania.
Obowiązki dotyczące sztucznej inteligencji ogólnego przeznaczenia (modele podstawowe)
Ustawa wprowadza specjalne zasady dla twórców modeli GPAI lub modeli podstawowych, które mogą być osadzone w dowolnym miejscu:
- Dostarcz kompleksową dokumentację techniczną i podsumowanie wykorzystanych zestawów danych, w tym status licencji i pochodzenie geograficzne.
- Opublikuj oświadczenie przestrzeganie praw autorskich i, jeśli to możliwe, wdrożyć mechanizmy rezygnacji z udostępniania chronionych utworów.
- Przeprowadź i udokumentuj testy ryzyka systemowego, jeśli model przekroczy próg obliczeniowy określony w Załączniku XI (np. 10^25 FLOP-ów). Dodatkowe obowiązki w przypadku „systemowego GPAI” obejmują oferowanie implementacji referencyjnych i współpracę z Biurem ds. Sztucznej Inteligencji UE.
- Modele open source mają mniej obowiązków, ale nadal muszą oznaczać wygenerowaną treść znakiem wodnym i dostarczać instrukcje użytkowania szczegółowo opisujące przewidywalne ograniczenia.
Dzięki dostosowaniu kontroli wewnętrznych do powyższych list kontrolnych dotyczących konkretnych stanowisk możesz wyeliminować najbardziej rażące luki w zgodności na długo przed upływem terminów egzekwowania przepisów, które nadejdą w sierpniu 2026 r. i 2027 r.
Wymagania techniczne i organizacyjne w celu osiągnięcia zgodności
Ustawa UE o sztucznej inteligencji nie narzuca uniwersalnych rozwiązań. Zamiast tego definiuje zorientowane na rezultaty „zasadnicze wymagania” i pozostawia swobodę wyboru mechanizmów kontrolnych, które je potwierdzają. Sztuką jest połączenie dobrych praktyk inżynieryjnych z higieną regulacyjną, tak aby każda aktualizacja modelu lub odświeżenie danych automatycznie trafiało do powtarzalnego procesu zgodności. Pięć poniższych elementów składowych przekłada przepisy prawne ustawy na konkretne zadania, za które mogą odpowiadać zespoły ds. produktów, danych i prawa.
Zarządzanie i zarządzanie danymi
Złe dane to kryptonit regulacyjny. Artykuł 10 nakłada na dostawców wysokiego ryzyka w zakresie sztucznej inteligencji obowiązek dokumentowania i uzasadniania każdego bajtu wprowadzanego do systemu.
- Kuratoruj zbiory danych, które są istotne, reprezentatywne, wolne od błędów i aktualne dla docelowej populacji.
- Prowadź „arkusz danych” dla każdego korpusu: źródło, data zebrania, warunki licencji, etapy wstępnego przetwarzania, kontrole stronniczości i okres przechowywania.
- Śledź pochodzenie w repozytorium z kontrolą wersji, dzięki czemu będziesz mógł wycofać zmiany, jeśli ktoś zażąda poprawek.
- Przeprowadź testowanie stronniczości i nierównowagi, stosując statystycznie wiarygodne metody (
χ²,KS-testlub metryki uczciwości niezależne od modelu) i rejestrowanie działań łagodzących.
Zachowaj pełną ścieżkę — surowe dane, skrypty, wyniki testów — dostępną dla 10 roku; okres retrospektywnego obowiązywania ustawy jest długi.
Ramy zarządzania ryzykiem
Artykuł 9 wymaga ciągły i udokumentowany proces która odzwierciedla normę ISO 31000 i projekt normy ISO/IEC 23894.
- Identyfikacja zagrożeń: scenariusze niewłaściwego użycia, ataki wroga, dryf danych.
- Przeanalizuj wpływ i prawdopodobieństwo, a następnie oceń je na wspólnej skali (np.
risk = probability × severity). - Podejmij decyzje dotyczące kontroli: zabezpieczeń technicznych, nadzoru ludzkiego, ograniczeń umownych.
- Weryfikuj kontrole po każdej większej aktualizacji i przekazuj wnioski w kolejnym sprincie.
Przechowuj wszystko w rejestrze ryzyka na żywo; organy regulacyjne oczekują znaczników czasu, właścicieli i dowodów zamknięcia.
Nadzór ludzki i przejrzystość w fazie projektowania
Artykuły 14 i 52 przekształcają ideę „człowieka w pętli” w obowiązkowe zadania projektowe.
- Zdefiniuj tryb nadzoru: w pętli (zatwierdzenie ręczne) w pętli (alerty w czasie rzeczywistym) lub przez pętlę (audyty post hoc).
- Umieść warstwy wyjaśniające: mapy saliencji, przykłady kontrfaktyczne, uproszczone reguły decyzyjne.
- Zapewnij opcje nadpisywania i powrotu, które są zarówno technicznie wykonalny oraz organizacyjnie upoważniony.
- Zapewnij użytkownikom zrozumiałe komunikaty („Wchodzisz w interakcję z systemem AI”) i udostępniaj wyniki oceny zaufania, gdy jest to możliwe.
Solidność, dokładność i cyberbezpieczeństwo
Zgodnie z artykułem 15 modele muszą mieścić się w zadeklarowanych wskaźnikach błędów i być odporne na złośliwą ingerencję.
- Ustal minimalne progi wydajności; monitoruj dokładność, precyzję, wycofywanie i dryft kalibracji w produkcji.
- Przed każdym wydaniem należy przeprowadzić testy odporności na ataki antagonistyczne (FGSM, PGD, zatruwanie danych).
- Wzmocnij infrastrukturę zgodnie z normami NIS2 i ETSI EN 303 645: bezpieczne interfejsy API, dostęp oparty na rolach, szyfrowane punkty kontrolne modelu.
- Przygotuj plany awaryjne — domyślne ustawienia trybu awaryjnego, eskalację przeglądu przez człowieka — gdy wydajność spadnie poniżej przedziału tolerancji.
Prowadzenie ewidencji, rejestrowanie i dokumentacja CE
Jeśli coś nie zostało zapisane, nigdy się nie wydarzyło — mantra, która staje się prawem w artykułach 11 i 19.
| dokument | Kluczowe treści | Retencja |
|---|---|---|
| Plik techniczny | architektura modelu, podsumowanie danych szkoleniowych, metryki oceny, kontrole cyberbezpieczeństwa | Cykl życia + 10 lat |
| Dzienniki | dane wejściowe, wyjściowe, zdarzenia nadrzędne, statystyki wydajności, incydenty | ≥ 6 lat |
| Deklaracja zgodności UE | oświadczenie o zgodności, stosowane normy, dane dostawcy | Publicznie dostępne |
| Plan monitorowania po wprowadzeniu do obrotu | KPI, kanały raportowania, progi wyzwalające | Stale aktualizowana |
Zautomatyzuj przechwytywanie logów, gdzie to możliwe; korzystaj z niezmiennej pamięci masowej lub rejestrów z możliwością dodawania danych, aby dowody przetrwały kontrolę kryminalistyczną. Po skompletowaniu dokumentacji dołącz… oznakowanie CE i zgłosić system do bazy danych UE — dopiero wtedy będzie mógł trafić na rynek.
Dzięki zintegrowaniu tych technicznych i organizacyjnych kontroli z cyklem życia oprogramowania, zgodność z przepisami przestaje być kwestią ostatniej chwili i staje się czymś stałym, co audytorzy dostrzegą i nagrodzą.
Kary, środki zaradcze i ryzyko procesowe
Ustawa UE o sztucznej inteligencji nie opiera się na grzecznych szturchnięciach; stosuje tak potężną taktykę, że kadra kierownicza się krzywi. Sankcje finansowe odzwierciedlają skalę RODO, ale ustawa daje również władzom prawo do… wycofać produkty z półek, usunąć dane zamówienia lub wymusić ponowne szkolenie modelu jeśli ryzyko pozostaje niezniszczone. Kary są ograniczone do wyższej kwoty – bezwzględnej kwoty w euro lub procentu światowego obrotu z poprzedniego roku – dzięki czemu nawet startupy na wczesnym etapie rozwoju nie popadają w samozadowolenie. Poniższa tabela podsumowuje poziomy sankcji:
| Typ naruszenia | Max naprawił grzywnę | Maksymalny % globalnego obrotu | Typowe czynniki wyzwalające |
|---|---|---|---|
| Zabronione praktyki (art. 5) | 35 mln € | 7% | Punktacja społeczna, nielegalna masowa inwigilacja biometryczna |
| Zobowiązania wysokiego ryzyka (art. 8–15) | 15 mln € | 3% | Brak oceny zgodności, wadliwe zarządzanie danymi |
| Błędy informacji i rejestracji | 7.5 mln € | 1% | Niedokładna dokumentacja techniczna, późne zgłaszanie incydentów |
| Zawiadomienie o niezgodności z rutyną | 500 EUR | n / a | Drobne naruszenia po ostrzeżeniu |
Organy nadzoru mogą nakładać kary pieniężne w wysokości dziennej, aby przyspieszyć naprawę. Produkty, które nadal stanowią „poważne ryzyko”, podlegają obowiązkowemu wycofanie lub wycofanie z rynku—szkodę wizerunkową, której nie ukryje żaden plan PR.
Sankcje administracyjne a odpowiedzialność cywilna
Kary regulacyjne to nie koniec historii. Nadchodząca dyrektywa w sprawie odpowiedzialności za sztuczną inteligencję (AILD) i znowelizowana dyrektywa w sprawie odpowiedzialności za produkt (PLD) otwierają równoległe ścieżki dla prywatne roszczenia odszkodowawczeOfiary poszkodowane w wyniku decyzji podejmowanych przez sztuczną inteligencję będą mogły cieszyć się:
- A wzruszalne domniemanie związku przyczynowego gdy dostawcy naruszają obowiązki wynikające z ustawy o sztucznej inteligencji, zmniejszając tym samym ciężar dowodu.
- Rozszerzone prawa do ujawniania informacji, umożliwiające powodom żądanie rejestrów i ocen ryzyka, które normalnie byłyby udostępniane przez firmę.
- Przepisy w państwach członkowskich są zharmonizowane, jednak krajowe prawo deliktowe może nadal przewidywać bardziej rygorystyczne standardy (np. holenderska doktryna czynów niedozwolonych).
Przedsiębiorstwa mogą więc stanąć w obliczu podwójnego ciosu: wielomilionowej grzywny administracyjnej, a następnie pozwów zbiorowych, zwłaszcza w takich kwestiach jak odmowa udzielenia kredytu lub dyskryminacja w procesie rekrutacji.
Mechanizmy naprawcze i ochrona sygnalistów
Osoby fizyczne i organizacje pozarządowe mogą składać skargi bezpośrednio do swojego krajowy organ właściwy lub Urząd UE ds. Sztucznej Inteligencji. Organy muszą przeprowadzić dochodzenie w „rozsądnym terminie” i mogą wydać środki tymczasowe, w tym nakazy zawieszenia. Osoby dotknięte naruszeniem zachowują również środki prawne – nakazy sądowe, pozwy o odszkodowanie i odwołania od decyzji nadzorczych.
Pracowników osoby, które dostrzegą nieprawidłowości, są chronione przez UE Dyrektywa w sprawie sygnalizowania nieprawidłowości:
- Firmy zatrudniające 50 i więcej pracowników muszą obowiązkowo korzystać z poufnych kanałów zgłaszania nieprawidłowości.
- Wszelkie działania odwetowe — zwolnienia, degradacje, zastraszanie — są kategorycznie zabronione.
- Jeśli wewnętrzne środki komunikacji zawiodą, osoby sygnalizujące nieprawidłowości mogą zwrócić się do organów regulacyjnych lub prasy.
Utworzenie dobrze znanej, anonimowej infolinii do zgłaszania naruszeń jest zatem zarówno wymogiem prawnym, jak i systemem wczesnego ostrzegania, który może uchronić Cię przed kosztownymi działaniami egzekucyjnymi w przyszłości.
Mapowanie ustawy o sztucznej inteligencji na potrzeby RODO, NIS2, bezpieczeństwa produktów i przepisów sektorowych
Ustawa UE o sztucznej inteligencji (AI Act) nie jest samodzielną wyspą. Jest ona zintegrowana z przepełnionym oceanem zgodności, który obejmuje już ramy ochrony danych, cyberbezpieczeństwa i bezpieczeństwa wertykalnego. Ignorowanie tych sprzeczności jest ryzykowne: system AI, który spełnia wszystkie wymogi ustawy o AI, nadal może naruszać RODO lub NIS2 i odwrotnie. Poniżej przedstawiamy kluczowe punkty styku, dzięki którym zespoły prawne, bezpieczeństwa i produktowe mogą zbudować jedną, zintegrowaną mapę kontroli zamiast żonglować czterema oddzielnymi listami kontrolnymi.
Nakładanie się z RODO i ePrivacy
- Podstawa prawna i ograniczenie celu: przetwarzanie danych osobowych w ramach modelu wysokiego ryzyka musi spełniać co najmniej jedną podstawę prawną RODO (często jest to uzasadniony interes lub zgoda).
- Ograniczenia zautomatyzowanego podejmowania decyzji: Artykuł 22 RODO ogranicza w pełni zautomatyzowane decyzje wywołujące skutki prawne lub inne istotne skutki; wymóg nadzoru ze strony człowieka określony w ustawie o sztucznej inteligencji często pełni funkcję zabezpieczenia technicznego, które umożliwia skorzystanie ze zwolnień określonych w artykule 22(2)(b) lub (c).
- Scenariusze wspólnego kontrolera: gdy wdrażający dostraja GPAI dostarczony przez dostawcę, obaj mogą stać się współadministratorzgodnie z RODO — zaplanuj umowy o przetwarzaniu danych odpowiednio.
- Obowiązek przejrzystości – podwójne kliknięcie: ustawa o sztucznej inteligencji (AI Act) nakłada obowiązek ujawniania informacji użytkownikom („generowanych przez AI”), podczas gdy artykuły 12-14 RODO wymagają informacji o ochronie prywatności, szczegółowo opisujących przepływ danych, ich przechowywanie i prawa. Należy opracować jedno, wielowarstwowe powiadomienie, które obejmie oba te obszary.
Synergie cyberbezpieczeństwa i NIS2
NIS2 wymaga oceny ryzyka, reagowania na incydenty i bezpieczeństwa łańcucha dostaw dla podmiotów „niezbędnych” i „ważnych”. Ustawa o sztucznej inteligencji (AI Act) odzwierciedla to, wymagając testowania odporności, monitorowania podatności i zgłaszania naruszeń w ciągu 15 dni. Wykorzystaj jeden proces SOC:
- Przeprowadź testy odporności na ataki rywalizujące podczas oceny zgodności z ustawą o sztucznej inteligencji.
- Wprowadź wyniki do rejestru ryzyka NIS2.
- W obu systemach należy stosować ten sam 72-godzinny schemat zgłaszania incydentów.
Integracja z istniejącymi przepisami dotyczącymi produktów
Jeżeli Twoja sztuczna inteligencja jest elementem bezpieczeństwa regulowanego produktu (urządzenia medycznego, maszyny, zabawki, windy, systemu samochodowego), musisz wykonać pojedynczy ocena zgodności obejmująca:
- Ogólne wymagania dotyczące bezpieczeństwa lub wydajności zgodnie z prawem sektorowym; oraz
- Podstawy ustawy o sztucznej inteligencji (zarządzanie ryzykiem, zarządzanie danymi, nadzór ludzki).
Zharmonizowane normy ustanowione w ramach nowych ram prawnych wkrótce będą odnosić się do obu zestawów wymagań, co umożliwi stosowanie jednego dokumentu technicznego i jednego oznakowania CE.
Przykłady specyficzne dla sektora
- Usługi finansowe: połączenie rejestrowania danych zgodnie z ustawą o sztucznej inteligencji (AI Act) z wytycznymi EBA dotyczącymi przeciwdziałania praniu pieniędzy w celu udowodnienia uczciwości i wyjaśnialności modelu.
- Zarządzanie siecią energetyczną: kontrola ryzyka oparta na siatce AI zgodna z wymogami cyberbezpieczeństwa ENTSO-E dla systemów SCADA.
- Motoryzacja: Dokument WP.29 UNECE nakazuje zarządzanie aktualizacjami oprogramowania; zintegruj te rejestry aktualizacji z monitorowaniem rynku zgodnie z ustawą AI Act.
- Opieka zdrowotna: połącz artefakty systemu zarządzania jakością ISO 13485 z dokumentacją zbioru danych ustawy o sztucznej inteligencji, aby uniknąć zbędnych audytów.
Porównania międzynarodowe
Globalne firmy muszą pogodzić unijną ustawę o sztucznej inteligencji (AI Act) z nowymi przepisami obowiązującymi w innych krajach:
| Jurysdykcja | Kluczowy instrument | Znacząca rozbieżność |
|---|---|---|
| US | Rozporządzenie wykonawcze i NIST AI RMF | Dobrowolne, ale może stać się podstawą zamówień publicznych na szczeblu federalnym |
| Chiny | Tymczasowe środki Gen-AI | Obowiązek rejestracji pod prawdziwym imieniem i nazwiskiem oraz filtrowania treści |
| UK | Ramy proinnowacyjne | Wytyczne dotyczące konkretnych organów regulacyjnych, brak jeszcze przepisów horyzontalnych |
Dzięki wczesnemu mapowaniu nakładających się obszarów międzynarodowe zespoły mogą zaprojektować ramy kontroli, które w pierwszej kolejności będą spełniać najsurowsze przepisy, a następnie wyregulować je tam, gdzie lokalne przepisy są łagodniejsze.
Praktyczna lista kontrolna zgodności i najlepsze praktyki
Przełożenie artykułów i preambuły unijnej ustawy o sztucznej inteligencji (AI Act) na codzienne działania może wydawać się zniechęcające. Sztuką jest rozbicie tej drogi na małe kroki, które zespoły prawne, produktowe i ds. bezpieczeństwa będą w stanie wykonać samodzielnie. Wykorzystaj poniższą, 12-etapową mapę drogową jako żywy plan projektu – przeglądaj ją na każdym pokazie sprincie i posiedzeniu zarządu do sierpnia 2027 r.
- Zrób inwentaryzację wszystkich komponentów sztucznej inteligencji lub algorytmów będących w produkcji i pracach badawczo-rozwojowych.
- Przypisz każdemu systemowi odpowiedni poziom ryzyka i swoją rolę (dostawca, użytkownik, importer, dystrybutor).
- Zmapuj obowiązujące przepisy (RODO, NIS2, przepisy sektorowe) i zidentyfikuj obszary pokrywające się.
- Przeprowadź analizę luk w odniesieniu do zasadniczych wymagań Ustawy o sztucznej inteligencji.
- Zaprojektuj lub zaktualizuj swój System Zarządzania Jakością (QMS).
- Ustanowić interdyscyplinarną strukturę zarządzania.
- Przygotuj szablony dokumentacji technicznej i zacznij je wypełniać.
- Zbuduj procedury zarządzania danymi i testowania stronniczości.
- Przeprowadź wstępne oceny zgodności lub audyty próbne.
- Przeszkolenie personelu — inżynierów, osób odpowiedzialnych za ryzyko i pracowników obsługi klienta.
- Wdrożenie procesów monitorowania po wprowadzeniu produktu na rynek i raportowania incydentów.
- Zaplanuj okresowe przeglądy i cykle ciągłego doskonalenia.
Ocena gotowości i analiza luk
Zacznij od arkusza kalkulacyjnego lub tablicy zgłoszeń, zawierającej: nazwę systemu, cel, źródła danych szkoleniowych, poziom ryzyka, istniejące mechanizmy kontroli i luki w zabezpieczeniach. Przypisz każdej luce właściciela i termin. Po każdym zamknięciu ponownie oceniaj ryzyko resztkowe; organy regulacyjne uwielbiają widzieć ten iteracyjny ślad ulepszeń.
Budowanie właściwej struktury zarządzania
Dajcie ludziom, a nie tylko polityce, władzę:
- Specjalista ds. zgodności ze sztuczną inteligencją: uduszenie jednym gardłem.
- Wielofunkcyjna komisja etyki: produktowa, prawna, bezpieczeństwa, HR.
- Zewnętrzny recenzent lub osoba kontaktowa w jednostce notyfikowanej.
- Utrzymuj ścisłą współpracę z inspektorem ochrony danych (IOD) i dyrektorem ds. bezpieczeństwa informacji (CISO), aby uniknąć podejmowania decyzji w odizolowanych obszarach.
Dokumentuj rytm spotkań, uprawnienia decyzyjne i ścieżki eskalacji.
Dokumentacja i narzędzia
Standaryzuj artefakty, aby inżynierowie nie musieli wyważać otwartych drzwi:
| szablon | Cel | Zalecany format |
|---|---|---|
| Karta wzorcowa | Możliwości, ograniczenia, metryki | Markdown + JSON |
| karta produktowa | Źródło, licencjonowanie, testy stronniczości | Arkusz kalkulacyjny |
| Raport przejrzystości | Ujawnienie widoczne dla użytkownika | HTML / PDF |
| Prawa podstawowe IA | Wdrażacze sektora publicznego | Narzędzie oparte na formularzach |
Pomoc w zakresie oprogramowania typu open source: zestaw narzędzi UE do analizy sztucznej inteligencji, projekty list kontrolnych normy ISO/IEC 42001 i repozytoria GitHub dotyczące wskaźników stronniczości.
Zarządzanie dostawcami i łańcuchem dostaw
Obowiązki wynikające z ustawy Flow AI Act w dół łańcucha dostaw:
- Dodaj gwarancje oceny zgodności i uprawnienia do audytu umowy.
- Wymagaj od dostawców udostępniania kart modeli, wyników testów wytrzymałości i rejestrów incydentów.
- Skonfiguruj współdzieloną usługę Slack lub kolejkę zgłoszeń, aby szybko ujawniać luki w zabezpieczeniach.
Ciągły monitoring i aktualizacje cyklu życia modelu
Monitorowanie przed wdrożeniem, w trakcie użytkowania i po wdrożeniu powinno odbywać się w oparciu o ten sam stos telemetryczny. Uruchom ponowną ocenę, gdy:
- Przesunięcia w rozkładzie danych wejściowych (
KL divergence> wstępnie ustawiony próg). - Dokładność spada poniżej deklarowanego minimum.
- Poważny incydent lub niemalże wypadek są rejestrowane.
Zamknij pętlę dzięki kwartalnym przeglądom ładu korporacyjnego i corocznemu audytowi zewnętrznemu — będzie to dowód, że zgodność nie jest jednorazowym projektem, ale stałą zdolnością.
FAQ: Szybkie odpowiedzi na często zadawane pytania
Czy ustawa UE o sztucznej inteligencji już weszła w życie?
Tak. Rozporządzenie (UE) 2024/1689 weszło w życie 1 sierpnia 2024 r. Jednak większość konkretnych obowiązków zostanie wdrożona później: zakazane praktyki znikną do lutego 2025 r., zasady przejrzystości zaczną obowiązywać od sierpnia 2025 r., a obowiązki wysokiego ryzyka pojawią się w sierpniu 2026 r. (biometria w sierpniu 2027 r.). Czas ucieka, mimo że pełne wdrożenie jest nadal etapowe.
Jakie są cztery poziomy ryzyka?
Ustawa UE o sztucznej inteligencji dzieli systemy na (1) Niedopuszczalne ryzyko – całkowicie zabronione; (2) Wysokie ryzyko – dozwolone tylko po ocenie zgodności i oznakowaniu CE; (3) Ograniczone ryzyko – głównie obowiązki związane z przejrzystością (np. chatboty, deepfake'i); oraz (4) Minimalne ryzyko – brak sztywnych reguł, ale zalecane są dobrowolne kodeksy. Twoim pierwszym zadaniem jest przyporządkowanie każdego modelu do jednego z tych poziomów.
Czy ustawa zastąpiła krajowe strategie dotyczące sztucznej inteligencji?
Nie. Państwa członkowskie mogą zachować lub tworzyć strategie krajowe, piaskownice i systemy finansowania. Ustawa jedynie harmonizuje regulacyjne wymogi, dzięki którym przedsiębiorstwa będą podlegać jednemu zbiorowi przepisów w całej UE. Lokalne inicjatywy nie mogą być sprzeczne z ramami zarządzania ryzykiem określonymi w rozporządzeniu ani podważać mechanizmów jego egzekwowania.
Czy startupy mają jakieś wyjątki?
Nie do końca. Przepisy obowiązują niezależnie od wielkości firmy, ponieważ to ryzyko, a nie przychody, determinuje obowiązki. Niemniej jednak, piaskownice, uproszczona dokumentacja dla niektórych modeli GPAI oraz finansowane przez Komisję wytyczne mają na celu zmniejszenie tarć administracyjnych dla MŚP. Ignorowanie zgodności z przepisami z powodu „małej” firmy to niebezpieczne nieporozumienie.
Jak ustawa o sztucznej inteligencji traktuje modele open-source?
Publiczne udostępnianie wag modeli nie zwalnia Cię z tego obowiązku. Nadal musisz dostarczać podsumowania danych treningowych, oznaczać treści znakiem wodnym i publikować instrukcje użytkowania. Obowiązki są mniejsze niż w przypadku zamkniętych modeli komercyjnych, ale jeśli Twój system open source stanie się „systemowym GPAI”, pojawią się dodatkowe obowiązki związane z testowaniem i raportowaniem.
Czy ustawa jest dyrektywą?
Nie. To rozporządzenie – bezpośrednio obowiązujące w każdym państwie członkowskim bez konieczności transpozycji do prawa krajowego. Można to porównać do RODO: po jego wejściu w życie obowiązki prawne obowiązywały w całej UE, a jedynie praktyczne wytyczne dotyczące egzekwowania mogą się różnić w zależności od kraju.
Co się stanie, jeśli mój dostawca ma siedzibę poza UE?
Zasięg terytorialny następuje wydajność, a nie siedziba główna. Jeśli system dostawcy zagranicznego jest wprowadzany na rynek UE lub jego wyniki są tutaj wykorzystywane, dostawca musi spełnić wymogi unijnej ustawy o sztucznej inteligencji (AI Act) i wyznaczyć przedstawiciela prawnego w UE. Wdrożeniowcy w Unii nadal mają obowiązki użytkownika, dlatego należy ostrożnie dobierać dostawców.
Na wynos
Nadal przeglądasz? Oto ściągawka:
- Ustawa UE o sztucznej inteligencji (ustawa o AI) nie jest już projektem, lecz obowiązuje od 1 sierpnia 2024 r. i wprowadza pierwsze na świecie horyzontalne prawo dotyczące sztucznej inteligencji, uwzględniające ryzyko.
- Poziomowanie ryzyka ma decydujący wpływ na wszystko: niedopuszczalne systemy są zakazane, systemy wysokiego ryzyka wymagają oznakowania CE i wpisu do rejestrupodczas gdy narzędzia o ograniczonym i minimalnym ryzyku podlegają mniejszym obowiązkom, ale nie zerowym.
- Nieprzestrzeganie przepisów jest kosztowne: nawet do 35 milionów euro, czyli 7% światowego obrotu za zakazane praktyki, a także potencjalną odpowiedzialność cywilną na mocy przyszłych dyrektyw UE.
- Obowiązki dotyczą całego łańcucha dostaw: dostawcy, użytkownicy, importerzy i dystrybutorzy mają swoje szczegółowe listy kontrolne, a modele ogólnego przeznaczenia mają obecnie specjalne zasady.
- Ustawa nie zastępuje RODO, NIS2 ani przepisów dotyczących bezpieczeństwa produktów; należy połączyć wszystkie ramy w jeden zintegrowany program zarządzania.
Potrzebujesz pomocy w przekształceniu tekstu prawnego w działający kod, zasady i umowy? Prawnicy specjalizujący się w technologii i prywatności w Law & More może przeprowadzić szybką kontrolę gotowości do wdrożenia ustawy o sztucznej inteligencji, przygotować wymaganą dokumentację i przeprowadzić Cię przez proces oceny zgodności — zanim jeszcze audytorzy zapukają do Twoich drzwi.