sobota, 6 czerwca, 2026
Sprawy międzynarodowe

Dlaczego musimy uregulować korzystanie ze sztucznej inteligencji?

Unijny akt w sprawie sztucznej inteligencji (akt w sprawie AI) jest pierwszym na świecie kompleksowym zbiorem przepisów dotyczących sztucznej inteligencji. Jego celem jest zaradzenie zagrożeniom dla zdrowia, bezpieczeństwa i praw podstawowych. Akt w formie rozporządzenia chroni również demokrację, praworządność i środowisko.

Upowszechnienie systemów sztucznej inteligencji niesie ze sobą duży potencjał: może zapewnić korzyści społeczne, wzrost gospodarczy oraz pobudzić innowacyjność i zwiększyć globalną konkurencyjność UE. W pewnych przypadkach szczególne cechy niektórych systemów AI mogą jednak stwarzać nowe zagrożenia dla bezpieczeństwa użytkowników (w tym również fizycznego) i praw podstawowych. Niektóre potężne modele sztucznej inteligencji, które są powszechnie stosowane, mogą nawet stwarzać ryzyko systemowe.

Prowadzi to do braku pewności prawa i potencjalnie wolniejszej absorpcji technologii AI przez organy publiczne, przedsiębiorstwa i obywateli ze względu na brak zaufania. Rozbieżne działania regulacyjne organów krajowych groziłyby rozdrobnieniem rynku wewnętrznego. W odpowiedzi na te wyzwania konieczne było podjęcie działań legislacyjnych w celu zapewnienia dobrze funkcjonującego wewnętrznego rynku systemów AI, na którym odpowiednio uwzględnia się zarówno korzyści, jak i zagrożenia.

Do kogo ma zastosowanie akt w sprawie AI?

Ramy prawne będą miały zastosowanie zarówno do podmiotów publicznych, jak i prywatnych w Unii i poza nią, jeżeli tylko dany system AI jest wprowadzany do obrotu w Unii lub jego stosowanie ma wpływ na jej mieszkańców. Obowiązki wynikające z przepisów mogą obejmować zarówno dostawców (np. podmiot opracowujący narzędzie do profilowania kandydatów w procesie rekrutacji), jak i podmioty stosujące AI (np. bank nabywający takie narzędzie profilujące). Istnieją pewne wyjątki, w których te przepisy nie mają zastosowania. Nie obejmują one działań w zakresie badań, rozwoju i tworzenia prototypów, które poprzedzają wprowadzenie systemu AI do obrotu. Nie stosuje się ich również w odniesieniu do systemów AI, które służą wyłącznie celom wojskowym, obronnym lub bezpieczeństwa narodowego, niezależnie od rodzaju podmiotu prowadzącego taką działalność.

Jakie są kategorie ryzyka?

Akt w sprawie AI wprowadza we wszystkich państwach członkowskich jednolite ramy prawne. Ich podstawą jest definicja AI, która uwzględnia dalszy rozwój technologii, i podejście oparte na analizie ryzyka:

o Niedopuszczalne ryzyko: kategoria ta obejmuje bardzo ograniczony zbiór szczególnie szkodliwych zastosowań sztucznej inteligencji, które są sprzeczne z wartościami UE, ponieważ naruszają prawa podstawowe i które w związku z tym będą zakazane:

  • wykorzystywanie słabości osób, stosowanie manipulacji i technik podprogowych;
  • scoring obywateli do celów publicznych i prywatnych;
  • indywidualne prognozowanie przestępczości oparte wyłącznie na profilowaniu osób;
  • przeszukiwanie internetu lub transmisji CCTV w celu pozyskania wizerunków twarzy na potrzeby tworzenia lub rozbudowy baz danych;
  • rozpoznawanie emocji w miejscu pracy i w placówkach edukacyjnych, chyba że ze względów medycznych lub bezpieczeństwa (np. monitorowanie poziomu zmęczenia pilota);
  • kategoryzacja biometryczna osób w celu ustalania ich rasy, poglądów politycznych, przynależności do związków zawodowych, przekonań religijnych lub filozoficznych lub orientacji seksualnej. Nadal możliwe będzie oznaczanie lub filtrowanie zbiorów danych i kategoryzacja danych w obszarze ścigania przestępstw;
  • zdalna identyfikacja biometryczna prowadzona w czasie rzeczywistym przez organy ścigania w przestrzeni publicznej, z zastrzeżeniem wąsko określonych wyjątków (zob. poniżej).

o Komisja opublikuje wytyczne dotyczące zakazanych zastosowań AI, zanim związane z nimi przepisy wejdą w życie 2 lutego 2025 r.

o Wysokie ryzyko: we wniosku ustawodawczym za obarczone wysokim ryzykiem uznano ograniczoną liczbę systemów AI, które mogą mieć negatywny wpływ na bezpieczeństwo ludzi lub ich prawa podstawowe (chronione na mocy Karty praw podstawowych Unii Europejskiej). Do aktu załączono wykazy systemów AI wysokiego ryzyka, który może być poddawany przeglądowi, aby dostosować go w świetle ewolucji zastosowań AI. o Dotyczy to również związanych z bezpieczeństwem elementów produktów objętych prawodawstwem sektorowym Unii. Będą one zawsze traktowane jako obarczone wysokim ryzykiem, w przypadku gdy podlegają ocenie zgodności przeprowadzanej na podstawie tych przepisów sektorowych przez stronę trzecią.

o Takie systemy AI wysokiego ryzyka obejmują na przykład systemy AI oceniające, czy dana osoba kwalifikuje się do określonego leczenia, określonej pracy lub pożyczki na zakup mieszkania. Innym przykładem mogą być programy wykorzystywane przez policję do profilowania osób lub oceny ryzyka popełnienia przez nich przestępstwa (z wyjątkiem przypadków, w których jest to zakazane na mocy art. 5). Mogą to być także systemy AI sterujące robotami, dronami czy urządzeniami medycznymi.

o Szczególne ryzyko w zakresie przejrzystości: aby zwiększyć zaufanie do AI, należy korzystać z niej w przejrzysty sposób. Dlatego akt w sprawie AI wprowadza konkretne wymogi w zakresie przejrzystości w odniesieniu do niektórych zastosowań AI, na przykład gdy wiążą się one z ryzykiem manipulacji (np. w wyniku wykorzystania chatbotów) lub deepfake’ów. Użytkownicy powinni mieć świadomość, że wchodzą w interakcję z maszyną.

o Minimalne ryzyko: większość systemów AI można opracowywać i wykorzystywać z zastrzeżeniem obowiązujących przepisów bez konieczności stosowania się do dodatkowych obowiązków. Dostawcy tych systemów mogą dobrowolnie zdecydować się na stosowanie wymogów dotyczących wiarygodnej sztucznej inteligencji i zobowiązać się do przestrzegania dobrowolnych kodeksów postępowania.

W akcie w sprawie AI uwzględniono ryzyko systemowe, które może wynikać z modeli AI ogólnego przeznaczenia, w tym dużych modeli generatywnej AI. Mogą one być wykorzystywane do różnych zadań i stać się podstawą wielu systemów sztucznej inteligencji w UE. Niektóre z tych modeli mogą stwarzać ryzyko systemowe, jeżeli są bardzo zaawansowane lub szeroko stosowane. Na przykład potężne modele mogą powodować poważne wypadki lub być wykorzystywane do cyberataków na dużą skalę niezgodnie z ich przeznaczeniem. Wiele osób mogłoby ucierpieć, gdyby model rozpowszechniał szkodliwe uprzedzenia w wielu systemach o różnych zastosowaniach.  

Skąd wiadomo, czy system sztucznej inteligencji jest obarczony wysokim ryzykiem?

Akt w sprawie AI przewiduje skuteczne metody klasyfikacji systemów AI jako systemów wysokiego ryzyka. Ma to na celu zapewnienie pewności prawa przedsiębiorstwom i innym podmiotom.

Klasyfikacja ryzyka opiera się na zamierzonym przeznaczeniu systemu AI, zgodnie z obowiązującymi przepisami UE dotyczącymi bezpieczeństwa produktów. Oznacza to, że klasyfikacja zależy od funkcji pełnionej przez system AI oraz od konkretnego celu i konkretnych zastosowań danego systemu. System AI można sklasyfikować jako obarczony wysokim ryzykiem w dwóch przypadkach:

  • jeżeli jest on elementem bezpieczeństwa wbudowanym w produkt objęty obowiązującymi przepisami dotyczącymi produktów (załącznik I) lub sam jest takim produktem. Może to być
    na przykład oprogramowanie medyczne oparte na sztucznej inteligencji;
  • jeżeli wykorzystuje się go w konkretnych przypadkach zastosowania obarczonych wysokim ryzykiem wymienionych w załączniku III do aktu w sprawie AI. Wykaz ten obejmuje przypadki zastosowania w dziedzinach takich jak edukacja, zatrudnienie, egzekwowanie prawa lub migracja.

Komisja przygotowuje wytyczne dotyczące klasyfikacji systemów AI jako systemy wysokiego ryzyka, które opublikuje przed datą rozpoczęcia stosowania tych przepisów. 

Jakie są przykłady przypadków zastosowania systemów wysokiego ryzyka określonych w załączniku III?

Załącznik III obejmuje osiem obszarów, w których wykorzystanie AI może być szczególnie ryzykowne, i zawiera wykaz konkretnych przypadków zastosowania dla każdego obszaru. System AI klasyfikuje się jako obarczony wysokim ryzykiem, jeżeli jest przeznaczony do wykorzystania w jednym z poniższych przypadków zastosowania.

Przykłady:

o systemy AI wykorzystywane jako elementy bezpieczeństwa w niektórych infrastrukturach krytycznych, np. w dziedzinie ruchu drogowego oraz w zaopatrzeniu w wodę, gaz, ogrzewaniei energię elektryczną;

o systemy AI wykorzystywane w edukacji i szkoleniu zawodowym, np. w celu oceny efektów uczenia się, kierowania procesem uczenia się i monitorowania nieuczciwego zachowania w trakcie testów;

o systemy AI wykorzystywane w zatrudnieniu, zarządzaniu pracownikami i dostępie do samozatrudnienia, np. zamieszczanie ukierunkowanych ogłoszeń o pracę, analizowanie i filtrowanie podań o pracę oraz ocena kandydatów;

o systemy AI wykorzystywane w dostępie do podstawowych usług i świadczeń prywatnych i publicznych (np. opieka zdrowotna), ocenie zdolności kredytowej osób fizycznych oraz ocenie i wycenie ryzyka w odniesieniu do ubezpieczenia na życie i ubezpieczenia zdrowotnego;

o systemy AI wykorzystywane w dziedzinach egzekwowania prawa, migracji i kontroli granicznej – o ile nie są zakazane z innego tytułu – jak i w dziedzinie sprawowania wymiaru sprawiedliwości i w procesach demokratycznych; o systemy AI wykorzystywane do identyfikacji biometrycznej, kategoryzacji biometrycznej i rozpoznawania emocji – o ile nie są zakazane.

Jakie obowiązki spoczywają na dostawcach systemów AI wysokiego ryzyka?

Przed wprowadzeniem do obrotu w UE systemu AI wysokiego ryzyka lub wprowadzeniem go do użytku w inny sposób dostawcy muszą poddać go ocenie zgodności. Na tej podstawie będą w stanie wykazać, że ich system spełnia obowiązkowe wymogi dotyczące wiarygodnej sztucznej inteligencji (np. jakość danych, dokumentacja i identyfikowalność, przejrzystość, nadzór ze strony człowieka, dokładność, cyberbezpieczeństwo i solidność). Ocenę tę należy powtórzyć, jeżeli system lub jego przeznaczenie ulegną istotnej zmianie. Systemy AI, które stanowią związane z bezpieczeństwem elementy produktów objętych przepisami sektorowymi Unii, zawsze będą traktowane jako obarczone wysokim ryzykiem, jeżeli na podstawie tych przepisów sektorowych podlegają ocenie zgodności przeprowadzanej przez stronę trzecią. Ocenie zgodności przeprowadzanej przez stronę trzecią będą przy tym podlegały wszystkie systemy biometryczne bez względu na ich zastosowanie.

Dostawcy systemów AI wysokiego ryzyka będą również musieli wdrożyć systemy zarządzania jakością i ryzykiem, aby zapewnić zgodność z nowymi wymogami i zminimalizować ryzyko dla użytkowników i osób, na które systemy te wywierają wpływ, nawet po wprowadzeniu produktu do obrotu. Systemy sztucznej inteligencji wysokiego ryzyka stosowane przez organy publiczne lub podmioty działające w ich imieniu będą musiały zostać zarejestrowane w publicznej unijnej bazie danych, chyba że systemy te są wykorzystywane w obszarach egzekwowania prawa i migracji. Te ostatnie systemy będą musiały zostać zarejestrowane w niepublicznej części bazy danych, która będzie dostępna wyłącznie dla właściwych organów nadzorczych.

Aby zapewnić zgodność w całym cyklu życia systemu AI, organy nadzoru rynku będą przeprowadzać regularne kontrole, wspomagać monitorowanie systemów po ich wprowadzeniu do obrotu oraz umożliwią dostawcom dobrowolne zgłaszanie wszelkich znanych im poważnych incydentów lub naruszeń obowiązków w zakresie praw podstawowych. W wyjątkowych przypadkach organy mogą przyznać wyłączenia w odniesieniu do konkretnych systemów AI wysokiego ryzyka, które mają być wprowadzane do obrotu. W przypadku wystąpienia naruszenia, dzięki wprowadzonym wymogom organy krajowe uzyskają dostęp do informacji niezbędnych do zbadania, czy system AI stosowano zgodnie z prawem.

Czemu ma służyć normalizacja przewidziana w akcie w sprawie AI?

Zgodnie z aktem systemy AI wysokiego ryzyka będą podlegać wymogom szczególnym. Europejskie normy zharmonizowane będą odgrywać kluczową rolę we wdrażaniu tych wymogów. W maju 2023 r. Komisja Europejska upoważniła europejskie organizacje normalizacyjne CEN i CENELEC do opracowania norm dotyczących wymogów w odniesieniu do wysokiego ryzyka. Powierzony tym organizacjom mandat zostanie teraz zmieniony, aby dostosować go do ostatecznego tekstu aktu w sprawie AI. Europejskie organizacje normalizacyjne będą miały czas do końca kwietnia 2025 r. na opracowanie i opublikowanie norm. Następnie Komisja oceni te normy i podejmie decyzję w sprawie ich zatwierdzenia. Przyjęte normy zostaną opublikowane w Dzienniku Urzędowym UE. Po publikacji systemy AI, które opracowano zgodnie z tymi normami, będą uznawane za domyślnie zgodne. 

W jaki sposób reguluje się modele sztucznej inteligencji ogólnego przeznaczenia?

Modele sztucznej inteligencji ogólnego przeznaczenia, w tym duże modele generatywnej AI, mogą być wykorzystywane do różnych zadań. Poszczególne modele mogą być stosowane w dużej liczbie systemów sztucznej inteligencji. Ważne jest, aby dostawca systemu AI, który wykorzystuje model sztucznej inteligencji ogólnego przeznaczenia, posiadał dostęp do wszystkich niezbędnych informacji, aby upewnić się, że jego system jest bezpieczny i zgodny z aktem w sprawie AI. W związku z tym, akt w sprawie AI zobowiązuje dostawców takich modeli do ujawniania określonych informacji dostawcom, którzy wykorzystują takie modele w swoich systemach. Taka przejrzystość umożliwia lepsze zrozumienie tych modeli. Dostawcy modeli muszą ponadto stosować zasady zapewniające przestrzeganie prawa autorskiego przy trenowaniu swoich modeli. Niektóre z tych modeli mogą wiązać się z ryzykiem systemowym, ponieważ są bardzo zaawansowane lub szeroko stosowane.

Obecnie uznaje się, że modele AI ogólnego przeznaczenia, które zostały wytrenowane przy użyciu całkowitej mocy obliczeniowej powyżej 10^25 FLOPS, wiążą się z ryzykiem systemowym. Komisja może zaktualizować lub uzupełnić ten próg w świetle postępu technologicznego. Może też w oparciu o dalsze kryteria (np. liczbę użytkowników lub stopień autonomii modelu) wskazać inne modele jako stwarzające ryzyko systemowe. Dostawcy modeli stwarzających ryzyko systemowe są zobowiązani do oceny i ograniczania ryzyka, zgłaszania poważnych incydentów, przeprowadzania najnowocześniejszych testów i ocen modeli i zapewniania cyberbezpieczeństwa. Dostawców zachęca się do współpracy z Urzędem ds. Sztucznej Inteligencji (Urząd ds. AI) i innymi zainteresowanymi stronami, aby opracować kodeks postępowania określający szczegółowe zasady, które pozwolą na bezpieczny i odpowiedzialny rozwój ich modeli. Taki kodeks powinien być głównym narzędziem wykorzystywanym przez dostawców modeli AI ogólnego przeznaczenia do wykazywania zgodności.

Dlaczego 10^25 FLOPS stanowi odpowiedni próg dla modeli sztucznej inteligencji ogólnego przeznaczenia obarczonych ryzykiem systemowym?

FLOPS jest wskaźnikiem, który odzwierciedla możliwości modelu, a dokładny próg FLOPS może zostać zaktualizowany w górę lub w dół przez Komisję, np. w świetle postępu w obiektywnym pomiarze możliwości modelu i zmian mocy obliczeniowej niezbędnej do uzyskania danego poziomu wydajności. Nie mamy jeszcze wystarczającego zrozumienia możliwości modeli powyżej tego progu. Mogą one stwarzać ryzyko systemowe, w związku z czym uzasadnione jest nałożenie na ich dostawców dodatkowych obowiązków.

Jakie obowiązki akt w sprawie AI nakłada w zakresie oznakowania wyników działania sztucznej inteligencji?

Akt określa przepisy dotyczące przejrzystości w odniesieniu do treści tworzonych przez generatywną AI, aby przeciwdziałać manipulacji, oszustwom i wprowadzaniu w błąd.  Zobowiązuje on dostawców systemów generatywnej AI do opatrywania wyników działania AI oznaczeniem w formacie nadającym się do odczytu maszynowego i zadbania o możliwość identyfikacji tych wyników jako sztucznie wygenerowane lub zmanipulowane. Stosowane rozwiązania techniczne muszą być skuteczne, interoperacyjne, solidne i niezawodne w zakresie, w jakim jest to technicznie wykonalne, a przy tym muszą uwzględniać specyfikę i ograniczenia różnych rodzajów treści, koszty wdrażania oraz powszechnie uznany stan wiedzy technicznej, co może być odzwierciedlone w odpowiednich normach technicznych. 

Podmioty stosujące systemy generatywnej AI, które generują obrazy, treści dźwiękowe lub treści wideo oraz nimi manipulują, co sprawia, że można je niesłusznie uznać za autentyczne lub prawdziwe („deepfake”), muszą w widoczny sposób ujawnić, że treści te zostały sztucznie wygenerowane lub zmanipulowane. Podmioty stosujące system AI, który generuje tekst publikowany w celu informowania społeczeństwa o sprawach leżących w interesie publicznym lub manipuluje takim tekstem, muszą również ujawnić, że tekst został sztucznie wygenerowany lub zmanipulowany. Obowiązek ten nie ma zastosowania w przypadku, gdy treści wygenerowane przez AI poddano weryfikacji przez człowieka lub kontroli redakcyjnej oraz gdy odpowiedzialność redakcyjną za publikację treści ponosi osoba fizyczna lub prawna. Urząd ds. AI wyda szczegółowe wytyczne dla dostawców i podmiotów stosujących AI dotyczące obowiązków określonych w art. 50, które zaczną mieć zastosowanie dwa lata po wejściu w życie aktu w sprawie AI (2 sierpnia 2026 r.). Urząd będzie też zachęcał do opracowywania ogólnounijnych kodeksów postępowania i wspierał takie inicjatywy, aby ułatwić skuteczne wykonywanie obowiązków w zakresie wykrywania i oznaczania treści sztucznie wygenerowanych lub zmanipulowanych.

Czy akt w sprawie AI jest dostosowany do przyszłych wyzwań?

Akt w sprawie AI ustanawia ramy prawne, które opracowano z myślą o nowych zmianach, ich łatwym i szybkim dostosowywaniu oraz częstej ocenie. W akcie określono ukierunkowane na wyniki wymogi i obowiązki, ale konkretne rozwiązania techniczne i operacyjne pozostawiono dla branżowych norm i kodeksów postępowania, które są elastyczne i mogą być dostosowywane do różnych przypadków zastosowania oraz które umożliwią wprowadzenie nowych rozwiązań technologicznych. Same przepisy można zmienić w drodze aktów delegowanych i wykonawczych, na przykład w celu aktualizacji wykazu przypadków zastosowania wysokiego ryzyka w załączniku III. Planowane są też częste oceny niektórych części aktu w sprawie AI, a ostatecznie i ocena całego rozporządzenia, aby zidentyfikować elementy wymagające aktualizacji czy zmiany.

W jaki sposób akt w sprawie AI reguluje identyfikację biometryczną?

Stosowanie zdalnej identyfikacji biometrycznej w czasie rzeczywistym w przestrzeni publicznej (tj. rozpoznawanie twarzy za pomocą CCTV) do celów ścigania przestępstw jest zabronione. Państwa członkowskie mogą wprowadzić przepisy określające wyjątki, które umożliwiłyby stosowanie zdalnej identyfikacji biometrycznej w czasie rzeczywistym w następujących przypadkach:

o działania organów ścigania związane z 16 określonymi bardzo poważnymi przestępstwami;

o ukierunkowane poszukiwanie konkretnych ofiar, uprowadzenia, handel ludźmi i wykorzystywanie seksualne ludzi oraz osoby zaginione; lub

o zapobieganie zagrożeniu życia lub bezpieczeństwa fizycznego osób lub reagowanie na obecne lub przewidywalne zagrożenie atakiem terrorystycznym.

Każdy wyjątkowy przypadek zastosowania wymaga uprzedniej zgody organu sądowego lub niezależnego organu administracyjnego, którego decyzja jest wiążąca. W pilnych przypadkach zgoda może zostać wydana w ciągu 24 godzin. Jeżeli zgoda nie zostanie wydana, należy usunąć wszystkie dane i wyniki. Takie zastosowanie musi być poprzedzone wcześniejszą oceną skutków w zakresie praw podstawowych i zgłoszone właściwemu organowi nadzoru rynku i organowi ochrony danych. W pilnych przypadkach korzystanie z systemu można rozpocząć bez rejestracji. Wykorzystanie systemów AI do zdalnej identyfikacji biometrycznej post factum (identyfikacja osób w uprzednio zebranych materiałach wideo) osób objętych dochodzeniem wymaga uprzedniego zezwolenia organu sądowego lub niezależnego organu administracyjnego oraz powiadomienia odpowiedniego organu ochrony danych i organu nadzoru rynku.

Dlaczego potrzebne są szczegółowe przepisy dotyczące zdalnej identyfikacji biometrycznej?

Identyfikacja biometryczna może przybierać różne formy. Uwierzytelnianie biometryczne i weryfikacja biometryczna wykorzystywane np. do odblokowania smartfona lub na przejściach granicznych do weryfikacji tożsamości danej osoby na podstawie jej dokumentów podróży (porównanie „jeden do jednego”) nie są przedmiotem regulacji, ponieważ nie stanowią one istotnego zagrożenia dla praw podstawowych. Z kolei identyfikacja biometryczna może być wykorzystywana również zdalnie, na przykład do identyfikacji osób w tłumie, co może mieć znaczący wpływ na prywatność w przestrzeni publicznej.

Dokładność systemów rozpoznawania twarzy może znacznie różnić się w zależności od szeregu czynników, takich jak jakość kamer, oświetlenie, odległość, aktualność bazy danych, algorytm oraz pochodzenie etniczne, wiek lub płeć danej osoby. To samo dotyczy systemów rozpoznawania sposobu chodzenia i systemów rozpoznawania mowy oraz innych systemów biometrycznych. W wysoko zaawansowanych systemach stale zmniejsza się wskaźnik błędnego dopasowania. Chociaż dokładność na poziomie 99 proc. może zasadniczo wydawać się wysoka, to nawet niewielkie ryzyko pomyłki jest problematyczne, gdy może skutkować podejrzeniem niewinnej osoby. Nawet poziom błędu wynoszący 0,1 proc. może mieć poważne konsekwencje w przypadku dużych populacji, na przykład na stacjach kolejowych.

W jaki sposób przedmiotowe przepisy chronią prawa podstawowe?

Na szczeblu UE i państw członkowskich istnieje już wysoki poziom ochrony praw podstawowych i niedyskryminacji, jednak złożoność i nieprzejrzystość niektórych zastosowań AI (tzw. czarne skrzynki) może rodzić problemy.
Podejście do sztucznej inteligencji ukierunkowane na człowieka oznacza zapewnienie zgodności zastosowań AI z prawodawstwem dotyczącym praw podstawowych. Dzięki wprowadzeniu wymogów w zakresie rozliczalności i przejrzystości, którym podlegać będzie opracowywanie systemów AI wysokiego ryzyka, oraz skuteczniejszemu egzekwowaniu obowiązujących przepisów kwestia zgodności z prawem będzie uwzględniana od samego początku projektowania tych systemów. W przypadku wystąpienia naruszeń, dzięki wprowadzonym wymogom, organy krajowe uzyskają dostęp do informacji niezbędnych do zbadania, czy stosowanie AI jest zgodne z prawem Unii.

Akt w sprawie AI wymaga od niektórych podmiotów stosujących systemy AI wysokiego ryzyka, aby przeprowadzały one ocenę skutków w zakresie praw podstawowych.

Czym jest ocena skutków w zakresie praw podstawowych? Kto musi przeprowadzić taką ocenę i kiedy?

Dostawcy systemów AI wysokiego ryzyka muszą przeprowadzić ocenę ryzyka i zaprojektować system, który stwarza jak najmniejsze ryzyko dla zdrowia, bezpieczeństwa i praw podstawowych. Niektóre zagrożenia dla praw podstawowych można jednak w pełni zidentyfikować, dopiero gdy zna się kontekst, w którym dany system AI wysokiego ryzyka jest wykorzystywany. Jeżeli systemy AI wysokiego ryzyka są stosowane w szczególnie wrażliwych obszarach, w których może wystąpić brak równowagi sił, należy rozważyć takie ryzyko ze szczególną uwagą.

W związku z tym, podmioty stosujące AI, będące podmiotami prawa publicznego lub podmiotami prywatnymi świadczącymi usługi publiczne, oraz operatorzy udostępniający systemy AI wysokiego ryzyka, dokonujący oceny zdolności kredytowej lub oceny i wyceny ryzyka w odniesieniu do ubezpieczenia na życie i ubezpieczenia zdrowotnego, mają obowiązek przeprowadzania oceny skutków w zakresie praw podstawowych i powiadamiania organu krajowego o jej wynikach. W praktyce wiele podmiotów stosujących AI będzie musiało również przeprowadzić ocenę skutków dla ochrony danych. Aby uniknąć ścisłego pokrywania się oceny skutków w zakresie praw podstawowych i oceny skutków dla ochrony danych, należy w takich przypadkach przeprowadzać je wspólnie.

W jaki sposób w rozporządzeniu uwzględniono kwestię tendencyjności AI pod względem rasy i płci?

Należy wyraźnie zaznaczyć, że systemy AI nie są źródłem tendencyjności ani jej nie powielają. O ile są one prawidłowo zaprojektowane i stosowane, mogą przyczynić się do ograniczenia tendencyjności i istniejącej dyskryminacji strukturalnej, a tym samym prowadzić do bardziej sprawiedliwych i niedyskryminacyjnych decyzji (np. przy rekrutacji). Nowe obowiązkowe wymogi dotyczące wszystkich systemów AI wysokiego ryzyka będą służyć temu celowi. Systemy AI muszą być solidne pod względem technicznym, tak aby były odpowiednie do stawianych celów i nie generowały tendencyjnych wyników, takich jak wyniki fałszywie dodatnie/ujemne, które wpływają w nieproporcjonalny sposób na grupy zmarginalizowane, w tym grupy pomijane ze względu na pochodzenie rasowe lub etniczne, płeć, wiek i inne cechy chronione.

Systemy wysokiego ryzyka będą również musiały być trenowane i testowane przy użyciu wystarczająco reprezentatywnych zbiorów danych, aby zminimalizować ryzyko niesprawiedliwej tendencyjności zaszytej w modelu oraz zapewnić eliminowanie tej tendencyjności za pomocą odpowiednich mechanizmów służących jej wykrywaniu i korygowaniu oraz innych środków łagodzących. Musi również istnieć możliwość identyfikacji i kontroli tych systemów, co wiąże się z koniecznością prowadzenia odpowiedniej dokumentacji, obejmującej m.in. dane wykorzystane do trenowania algorytmu, które będą miały kluczowe znaczenie dla późniejszych analiz w przypadku ewentualnych nieprawidłowości. Mechanizm służący zapewnieniu zgodności systemów AI z przepisami przed ich wprowadzeniem do obrotu, jak i po ich wprowadzeniu do obrotu będzie wymuszał regularne monitorowanie tych systemów i szybkie eliminowanie potencjalnych zagrożeń.

Od kiedy akt w sprawie AI będzie w pełni stosowany?

Akt w sprawie AI zacznie obowiązywać od 2 sierpnia 2026 r., czyli dwa lata po wejściu w życie, z wyjątkiem następujących przepisów szczegółowych:

  • zakazy, definicje i przepisy dotyczące kompetencji w zakresie sztucznej inteligencji zaczną obowiązywać od 2 lutego 2025 r., czyli 6 miesięcy po wejściu w życie aktu;
  • przepisy w zakresie zarządzania i obowiązki dotyczące AI ogólnego przeznaczenia zaczną obowiązywać 2 sierpnia 2025 r., czyli 12 miesięcy po wejściu w życie aktu;
  • obowiązki dotyczące systemów AI, które sklasyfikowano jako systemy wysokiego ryzyka, ponieważ są wbudowane w produkty regulowane wymienione w załączniku II (wykaz unijnego prawodawstwa harmonizacyjnego), zaczną obowiązywać 2 sierpnia 2027 r., czyli 36 miesięcy po wejściu w życie aktu.

W jaki sposób akt w sprawie AI będzie egzekwowany?

W akcie w sprawie AI ustanowiono dwupoziomowy system zarządzania, w którym za nadzorowanie systemów AI i egzekwowanie dotyczących ich przepisów odpowiadają organy krajowe, podczas gdy zarządzanie modelami AI ogólnego przeznaczenia leży w gestii organów unijnych. Aby zapewnić spójność i współpracę w całej UE, powołana zostanie Europejska Rada ds. Sztucznej Inteligencji (Rada ds. AI), złożona z przedstawicieli państw członkowskich, z wyspecjalizowanymi podgrupami skupiającymi przedstawicieli krajowych organów regulacyjnych i innych właściwych organów.

Urząd ds. AI, będący organem wykonawczym Komisji do celów aktu w sprawie AI, będzie zapewniać Radzie ds. AI strategiczne wytyczne. Akt w sprawie AI powołał też do życia dwa organy doradcze, które dostarczą wsparcie ekspertów – panel naukowy i forum doradcze. Organy te będą źródłem cennej wiedzy pochodzącej od zainteresowanych stron i interdyscyplinarnych środowisk naukowych, która będzie brana pod uwagę przy podejmowaniu decyzji i która umożliwi zrównoważone podejście do rozwoju AI.

Dlaczego potrzebna jest Europejska Rada ds. Sztucznej Inteligencji i czym będzie się ona zajmować?

W skład Europejskiej Rady ds. Sztucznej Inteligencji wchodzą przedstawiciele wysokiego szczebla z państw członkowskich i Europejski Inspektor Ochrony Danych (EIOD). Jako główny organ doradczy Rada ds. AI publikuje wytyczne dotyczące wszystkich kwestii związanych z polityką w zakresie AI, w szczególności przepisów, polityki w zakresie innowacji i doskonałości oraz współpracy międzynarodowej. Rada ds. AI ma za zadanie ułatwić sprawne, skuteczne i zharmonizowane wdrażanie aktu w sprawie AI. Będzie ona też pełnić rolę forum, na którym organy regulacyjne ds. sztucznej inteligencji, a mianowicie Urząd ds. AI, organy krajowe i EIOD, będą mogły zadbać o spójne stosowanie aktu w sprawie AI.

Jakie kary przewidziano za naruszenie przepisów?

Państwa członkowskie będą musiały ustanowić skuteczne, proporcjonalne i odstraszające kary za naruszenie przepisów dotyczących systemów sztucznej inteligencji.

W rozporządzeniu określono maksymalne wysokości kar, które należy uwzględnić:

  • do 35 mln euro lub 7 proc. całkowitego rocznego światowego obrotu w poprzednim roku obrotowym (w zależności od tego, która wartość jest wyższa) w przypadku naruszeń polegających na stosowaniu zakazanych praktyk lub w przypadku nieprzestrzegania wymogów dotyczących przetwarzania danych;
  • do 15 mln euro lub 3 proc. całkowitego rocznego światowego obrotu w poprzednim roku obrotowym w przypadku nieprzestrzegania któregokolwiek z pozostałych wymogów lub obowiązków określonych w rozporządzeniu;
  • do 7,5 mln euro lub 1,5 proc. całkowitego rocznego światowego obrotu w poprzednim roku obrotowym za przekazywanie jednostkom notyfikowanym i właściwym organom krajowym nieprawidłowych, niepełnych lub wprowadzających w błąd informacji w odpowiedzi na zapytanie;
  • w każdej kategorii naruszeń próg w przypadku MŚP stanowiłaby niższa z dwóch wspomnianych kwot, natomiast w przypadku innych przedsiębiorstw – wyższa.

Komisja może również egzekwować przepisy dotyczące dostawców modeli AI ogólnego przeznaczenia za pomocą kar pieniężnych, biorąc pod uwagę następujący próg:

  • do 15 mln euro lub 3 proc. całkowitego rocznego światowego obrotu w poprzednim roku obrotowym w przypadku niezastosowania się do któregokolwiek z obowiązków lub środków wymaganych przez Komisję na mocy rozporządzenia.

Jako że instytucje, agencje i organy UE powinny dawać przykład, będą one także podlegać tym przepisom i ewentualnym karom. Do nakładania na nie kar finansowych za niezgodność z przepisami uprawniony będzie Europejski Inspektor Ochrony Danych.

Jak wygląda proces tworzenia kodeksu postępowania w zakresie AI ogólnego przeznaczenia?

Pierwszy kodeks jest opracowywany w ramach otwartego i przejrzystego procesu. Aby usprawnić wieloetapowy proces opracowywania kodeksu postępowania, utworzone zostanie forum ds. kodeksu postępowania. Zasiądą w nim wszyscy zainteresowani i kwalifikujący się dostawcy modeli AI ogólnego przeznaczenia, dostawcy niższego szczebla wykorzystujący model AI ogólnego przeznaczenia w swoich systemach AI, inne organizacje branżowe, inne organizacje zrzeszające zainteresowane strony, takie jak organizacje społeczeństwa obywatelskiego lub organizacje skupiające posiadaczy praw autorskich, a także przedstawiciele środowiska akademickiego
i inni niezależni eksperci. Urząd ds. AI opublikował zaproszenie do wyrażenia zainteresowania udziałem w opracowaniu pierwszego kodeksu postępowania. Jednocześnie rozpoczęto konsultacje z udziałem wielu zainteresowanych stron, w ramach których uczestnicy przedstawiają swoje opinie i uwagi na temat pierwszego kodeksu postępowania. Zebrane odpowiedzi i informacje będą stanowić podstawę
dla pierwszego etapu opracowywania kodeksu postępowania. Kodeks będzie więc od samego początku czerpał z szerokiego spektrum perspektyw i wiedzy fachowej.

W ramach forum powstaną cztery grupy robocze. Każda z nich skupi się na omówieniu konkretnych tematów, które mają znaczenie w kontekście szczegółowego określenia obowiązków dostawców modeli AI ogólnego przeznaczenia i modeli AI ogólnego przeznaczenia obarczonych ryzykiem systemowym. Uczestnicy forum mogą dołączyć do dowolnej liczby grup roboczych. Posiedzenia będą odbywały się wyłącznie online. Urząd ds. AI wyznaczy przewodniczących i, w stosownych przypadkach, wiceprzewodniczących każdej z czterech grup roboczych forum, których wybierze spośród zainteresowanych niezależnych ekspertów. Przewodniczący podsumują informacje i komentarze zebrane od uczestników forum, które zostaną wykorzystane w wieloetapowym procesie opracowywania pierwszego kodeksu postępowania. Jako główni adresaci kodeksu dostawcy modeli AI ogólnego przeznaczenia, oprócz możliwości udziału w forum, otrzymają zaproszenie do udziału w specjalnych warsztatach, w trakcie których będą mogli podzielić się swoimi uwagami do tekstu kodeksu na każdym etapie jego powstawania. Ostateczna wersja pierwszego kodeksu postępowania zostanie przedstawiona po 9 miesiącach podczas posiedzenia zamykającego, które planowane jest na kwiecień, a następnie opublikowana. Podczas posiedzenia dostawcy modeli AI ogólnego przeznaczenia będą mogli podzielić się swoją decyzją w sprawie korzystania z kodeksu.

W jaki sposób zatwierdzony kodeks postępowania dla dostawców modeli AI ogólnego przeznaczenia stanie się głównym narzędziem służącym zapewnieniu zgodności systemów AI z przepisami?

Gdy kodeks postępowania będzie już gotowy, Urząd ds. AI i Rada ds. AI ocenią jego adekwatność i opublikują swoje oceny. Następnie Komisja będzie mogła zatwierdzić kodeks postępowania i uchwalić akty wykonawcze, które sprawią, że będzie on obowiązywał w całej Unii. Jeżeli do czasu rozpoczęcia stosowania rozporządzenia Urząd ds. AI nie zatwierdzi kodeksu postępowania, Komisja może ustanowić wspólne zasady wdrażania odpowiednich obowiązków. Dostawcy modeli AI ogólnego przeznaczenia będą więc mogli wykazać zgodność z obowiązkami określonymi w akcie w sprawie AI za pomocą kodeksu postępowania. Zgodnie z aktem w sprawie AI kodeks postępowania powinien obejmować cele, środki i, w stosownych przypadkach, kluczowe wskaźniki skuteczności działania (KPI).

Dostawcy przestrzegający kodeksu powinni regularnie składać Urzędowi ds. AI sprawozdania na temat wdrożonych środków i ich wyników, w tym – w stosownych przypadkach – wyników mierzonych na podstawie kluczowych wskaźników skuteczności działania. Ułatwia to egzekwowanie przepisów przez Urząd ds. AI, czego podstawę stanowią uprawnienia przyznane Komisji na mocy aktu w sprawie AI. Urząd może m.in. przeprowadzać oceny modeli AI ogólnego przeznaczenia, zobowiązywać dostawców modelu do przekazania informacji lub zastosowania określonych środków oraz nakładać sankcje.

Jeżeli zajdzie taka potrzeba, Urząd ds. AI będzie wspierał i ułatwiał przegląd i dostosowanie kodeksu, tak aby ten odzwierciedlał postęp technologiczny i najnowsze rozwiązania. Po opublikowaniu normy zharmonizowanej i po tym jak Urząd ds. AI oceni, że we właściwym stopniu obejmuje ona swym zakresem odpowiednie obowiązki, zgodność z europejską normą zharmonizowaną powinna w odniesieniu do dostawców oznaczać domniemanie zgodności. Dostawcy modeli AI ogólnego przeznaczenia powinni ponadto być w stanie wykazać zgodność za pomocą odpowiednich alternatywnych środków, jeżeli kodeksy postępowania lub normy zharmonizowane nie są dostępne lub jeśli zdecydują się z nich nie korzystać.

Czy akt w sprawie AI zawiera przepisy dotyczące ochrony środowiska i zrównoważonego rozwoju?

Celem wniosku w sprawie AI jest przeciwdziałanie zagrożeniom dla bezpieczeństwa i praw podstawowych, w tym prawa podstawowego do wysokiego poziomu ochrony środowiska. Środowisko jest też jednym z wyraźnie wymienionych i chronionych interesów prawnych. Komisję zobowiązano do wystąpienia do europejskich organizacji normalizacyjnych o opracowanie dokumentu normalizacyjnego dotyczącego procesów sprawozdawczych i dokumentacyjnych w celu poprawy wydajności systemów sztucznej inteligencji, takich jak ograniczenie zużycia energii i innych zasobów przez system AI wysokiego ryzyka w jego cyklu życia, oraz w sprawie energooszczędnego rozwoju modeli AI ogólnego przeznaczenia.

Ponadto Komisję zobowiązano do składania – po raz pierwszy w terminie dwóch lat od daty rozpoczęcia stosowania rozporządzenia, a następnie co cztery lata – sprawozdania z przeglądu postępów w opracowywaniu dokumentów normalizacyjnych dotyczących energooszczędnego opracowywania modeli ogólnego przeznaczenia oraz do przeprowadzenia oceny potrzeby dalszych środków lub działań, w tym środków lub działań o charakterze wiążącym. Ponadto dostawcy modeli AI ogólnego przeznaczenia, które wytrenowano na dużych ilościach danych i które w związku z tym są podatne na wysokie zużycie energii, są zobowiązani do ujawniania zużycia energii. W przypadku modeli AI ogólnego przeznaczenia wiążących się z ryzykiem systemowym należy ponadto ocenić efektywność energetyczną. Komisja jest uprawniona do opracowania odpowiedniej i porównywalnej metodyki pomiaru na potrzeby tych obowiązków w zakresie ujawniania informacji.

W jaki sposób nowe przepisy mogą wspierać innowacje? Ramy regulacyjne mogą zwiększyć upowszechnienie AI na dwa sposoby. Z jednej strony, zwiększenie zaufania użytkowników zwiększy popyt na systemy AI wykorzystywane przez przedsiębiorstwa i organy publiczne. Z drugiej strony, dzięki zwiększeniu pewności prawa i harmonizacji przepisów dostawcy AI zyskają dostęp do większych rynków, na których będą mogli zaoferować produkty, które użytkownicy i konsumenci doceniają i chętnie kupują. Przepisy będą miały zastosowanie tylko w tych przypadkach, gdy jest to absolutnie konieczne, i w sposób minimalizujący obciążenie podmiotów gospodarczych, przy nierozbudowanej strukturze zarządzania.

Akt w sprawie AI umożliwia ponadto tworzenie piaskownic regulacyjnych i mechanizmów testowania w warunkach rzeczywistych, które zapewniają kontrolowane środowisko do testowania innowacyjnych technologii przez ograniczony czas, wspierając tym samym innowacje ze strony przedsiębiorstw, MŚP i przedsiębiorstw typu start-up zgodnie z aktem w sprawie AI. Działania te, wraz z innymi środkami, takimi jak dodatkowe sieci centrów doskonałości AI oraz partnerstwo publiczno-prywatne na rzecz sztucznej inteligencji, danych i robotyki, a także dostęp do centrów innowacji cyfrowych oraz ośrodków testowo-doświadczalnych w dziedzinie AI pomogą stworzyć przedsiębiorstwom odpowiednie warunki ramowe na potrzeby rozwoju i wdrażania AI.

Testowanie systemów AI wysokiego ryzyka w warunkach rzeczywistych będzie można prowadzić maksymalnie przez 6 miesięcy (czas ten może zostać przedłużony o kolejne 6 miesięcy). Przed rozpoczęciem testów należy sporządzić plan i przedłożyć go organowi nadzoru rynku, który musi zatwierdzić plan i szczegółowe warunki testów, z domyślnym zatwierdzeniem, jeżeli w ciągu 30 dni nie udzielono odpowiedzi. Testy mogą podlegać niezapowiedzianym kontrolom przeprowadzanym przez organ. Testy w warunkach rzeczywistych można przeprowadzać wyłącznie pod warunkiem stosowania szczególnych zabezpieczeń, np. użytkownicy systemów testowanych w warunkach rzeczywistych muszą wyrazić świadomą zgodę, testowanie nie może mieć na nich żadnego negatywnego wpływu, wyniki muszą być odwracalne lub możliwe do pominięcia, a ich dane należy usunąć po zakończeniu testów. Szczególną ochronę przyznaje się grupom szczególnie wrażliwym, tj. ze względu na ich wiek, niepełnosprawność fizyczną lub umysłową.

Jakie znaczenie ma pakt na rzecz AI w kontekście wdrażania aktu w sprawie AI?

Pakt na rzecz AI zainicjował komisarz Thierry Breton w maju 2023 r. Ma on zacieśnić współpracę między Urzędem ds. AI a organizacjami (filar I) oraz zachęcić branżę do dobrowolnego zobowiązania się do rozpoczęcia wdrażania wymogów aktu w sprawie AI przed upływem przewidzianego prawem terminu (filar II). W szczególności w ramach filaru I uczestnicy będą mogli budować społeczność opartą na współpracy, dzieląc się swoimi doświadczeniami i wiedzą. Urząd ds. AI będzie organizował warsztaty, które pozwolą uczestnikom lepiej rozumieć akt w sprawie AI i wynikające z niego obowiązki, a także przygotować się do jego wdrożenia. Z kolei dla Urzędu ds. AI takie spotkania mogą być źródłem informacji na temat najlepszych praktyk i wyzwań, przed którymi stoją uczestnicy. W ramach filaru II organizacje zachęca się do proaktywnego dzielenia się – poprzez dobrowolne zobowiązania – procesami i praktykami, które wdrażają, aby ich systemy były zgodne z nowymi przepisami. Te zobowiązania mają być „deklaracjami zaangażowania” i obejmować działania (planowane lub w trakcie realizacji), które umożliwią spełnienie niektórych wymogów aktu w sprawie AI.

Większość przepisów aktu (np. niektóre wymogi dotyczące systemów AI wysokiego ryzyka) zacznie obowiązywać pod koniec okresu przejściowego (tj. okresu między wejściem w życie aktu a datą rozpoczęcia stosowania). W związku z tym Urząd ds. AI w ramach paktu na rzecz AI wzywa wszystkie organizacje do proaktywnego działania i wdrażania niektórych kluczowych przepisów aktu w sprawie AI, aby jak najszybciej ograniczyć ryzyko dla zdrowia, bezpieczeństwa i praw podstawowych. Pozytywnej odpowiedzi na opublikowane w listopadzie 2023 r. zaproszenie do wyrażenia zainteresowania przystąpieniem do paktu na rzecz AI udzieliło już ponad 700 organizacji. Pierwsza sesja informacyjna odbyła się online 6 maja. Wzięło w niej udział 300 uczestników. Oficjalne podpisanie dobrowolnych zobowiązań zaplanowano na jesień 2024 r. W pierwszym tygodniu września odbędą się warsztaty poświęcone paktowi na rzecz AI.

Jaki jest międzynarodowy wymiar podejścia UE?

Wykorzystanie AI wiąże się z konsekwencjami i wyzwaniami, które mają wymiar ponadnarodowy, dlatego też tak ważna jest współpraca międzynarodowa w tym zakresie. Urząd ds. AI kieruje międzynarodowymi działaniami Unii Europejskiej w dziedzinie sztucznej inteligencji na podstawie aktu w sprawie AI i skoordynowanego planu w sprawie AI. We współpracy z partnerami międzynarodowymi UE promuje odpowiedzialne i mądre zarządzanie sztuczną inteligencją zgodnie z wielostronnym systemem opartym na zasadach i w poszanowaniu unijnych wartości. UE angażuje się w dwu- i wielostronne działania, aby rozpowszechniać godną zaufania, ukierunkowaną na człowieka i etyczną AI. Uczestniczy w wielostronnych forach, na których omawiana jest sztuczna inteligencja – w szczególności G-7, G-20, OECD, Radzie Europy, Globalnym Partnerstwie na rzecz AI i Organizacji Narodów Zjednoczonych. UE utrzymuje też bliskie stosunki dwustronne np. z Kanadą, Stanami Zjednoczonymi, Indiami, Japonią, Koreą Południową, Singapurem oraz regionem Ameryki Łacińskiej i Karaibów.

Źródło:

materiał Komisji Europejskiej

Pobierz PDF

Zobacz również

Dwustronna, ścisła współpraca pomiędzy włoskim i niemieckim organem nadzorczym

Certyfikacja w praktyce – warsztaty CEH w Berlinie

CEF 2025: Rozpoczęcie skoordynowanego egzekwowania prawa do usunięcia danych