Relacja do AI Act
W dniu 31 marca 2026 r. rządowy projekt ustawy o systemach sztucznej inteligencji został przyjęty przez Radę Ministrów i przekazany do dalszych prac legislacyjnych w Sejmie. Projekt ten ustanawia krajowe mechanizmy stosowania i egzekwowania AI Act (Aktu w sprawie sztucznej inteligencji) wyznaczając ramy nadzoru, mechanizmy proceduralne oraz instrumenty wspierania innowacji, które mają zagwarantować efektywne wdrożenie i egzekwowanie przepisów rozporządzenia AI Act na gruncie krajowym.
Obserwując spore poruszenie związane z tą ustawą, pragnę zwrócić uwagę na najistotniejsze fakty z nią związane. Z perspektywy praktycznej warto wskazać, że AI Act stanowi akt prawny o bezpośrednim stosowaniu we wszystkich państwach członkowskich Unii Europejskiej i nakłada na państwa członkowskie pewne obowiązki.
Wobec czego, ustawa o systemach sztucznej inteligencji ustanawia krajową architekturę instytucjonalną i proceduralną stosowania AI Act, jej celem jest precyzyjne określenie organu nadzoru, organu notyfikującego, ścieżek skargowych i odwoławczych, zasad raportowania poważnych incydentów, a także wdrożenie rozwiązań proinnowacyjnych (jak piaskownice regulacyjne). Co istotne, ustawa wprowadza również praktyczny model kontroli i wymierzania sankcji na terytorium Polski, co stanowi fundamentalny element zapewnienia skuteczności przepisów unijnego rozporządzenia na poziomie krajowym.
Kiedy przepisy wchodzą w życie?
Projekt przewiduje wejście w życie ustawy zasadniczo po 14 dniach od ogłoszenia w Dzienniku Ustaw z wyjątkami dla przepisów organizujących start organu.
Z punktu widzenia compliance nie można czekać na ustawę krajową, ponieważ część obowiązków AI Act (o czym wspominałam w poprzednich artykułach) już obowiązuje. Zakazy określonych praktyk (m.in. manipulacyjnych, społecznego scoringu, rozpoznawania emocji w miejscu pracy i edukacji w zakresie i z wyjątkami przewidzianymi w AI Act) obowiązują już od 2 lutego 2025 r. Od tej samej daty obowiązuje również AI literacy, czyli zapewnienie odpowiedniego poziomu wiedzy personelu, który obsługuje/korzysta z AI. Kolejne przepisy weszły w życie 2 sierpnia 2025 r. dotyczące ładu regulacyjnego i części obowiązków (w tym dotyczących GPAI, governance oraz kar). Z kolei wejście większości przepisów w tym w szczególności dotyczących systemów wysokiego ryzyka, to data przed nami – 2 sierpnia 2026 r. przy czym, część przepisów dotycząca klasyfikacji „high-risk” jako komponentów bezpieczeństwa produktów z listy aktów sektorowych od 2 sierpnia 2027 r. (czyli np. wtedy, kiedy system AI jest częścią zabawki albo wyrobu medycznego).
Istotnym aspektem, który powinien być śledzony w szczególności w perspektywie czekającej nas daty sierpniowej tego roku jest równoległa dyskusja na poziomie Unii Europejskiej tzw. „cyfrowego omnibusa”, czyli pakietu uproszczeń i zmian, który może wpłynąć na przesunięcie terminów stosowania części przepisów dotyczących systemów wysokiego ryzyka. Zmiany te mogą mieć bezpośredni wpływ na planowanie wdrożeń nowych rozwiązań AI i strategii biznesowych w przedsiębiorstwach, dlatego warto monitorować ten temat i śledzić rozwój wydarzeń. Jednakże na tym etapie są to dyskusje na poziomie UE, dlatego nie należy ich traktować jako przesądzonej zmiany terminów.
Co zmienia projekt ustawy o systemach sztucznej inteligencji dla przedsiębiorcy
Wprowadzenie krajowej ustawy o systemach sztucznej inteligencji nie tworzy drugiego, niezależnego reżimu zgodności produktu, lecz wprowadza krajowe procedury nadzoru, kontroli i egzekwowania przepisów wynikających z AI Act. Jak już wspomniałam, najistotniejsza zmiana polega na stworzeniu w Polsce dedykowanego organu nadzorczego oraz procedur, które będą kształtować relacje pomiędzy firmą, a państwem w obszarze wdrażania i stosowania AI.
Projekt ustawy przewiduje powołanie Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (dalej jako ,,KRiBSI’’) jako centralnego organu nadzorującego stosowanie przepisów dotyczących AI w Polsce, a równocześnie instytucji wspierającej rozwój krajowego ekosystemu AI. Zgodnie z założeniami projektu, KRiBSI ma być niezależną jednostką. Przewodniczący komisji będzie powoływany przez Sejm za zgodą Senatu na pięcioletnią kadencję, a w skład komisji wejdą przedstawiciele najważniejszych organów regulacyjnych.
Zakres kompetencji KRiBSI ma objąć przede wszystkim prowadzenie postępowań administracyjnych, wydawanie decyzji, stosowanie sankcji oraz koordynację nadzoru nad systemami AI. Organ będzie miał uprawnienia do weryfikacji zgodności i bezpieczeństwa wdrażanych rozwiązań, a także do ograniczania lub cofania ich użycia, co w praktyce może oznaczać konieczność szybkiego wdrożenia środków naprawczych i ryzyko czasowego wstrzymania usługi czy produktu.
Projekt przewiduje również możliwość składania skarg przez obywateli oraz inne zainteresowane podmioty w związku z naruszeniami przepisów AI Act lub krajowej ustawy. Postępowania prowadzone przez KRiBSI mają kończyć się rozstrzygnięciem administracyjnym, a od decyzji organu ma przysługiwać ścieżka odwoławcza do Sądu Okręgowego w Warszawie – Sądu Ochrony Konkurencji i Konsumentów.
Ma zostać wprowadzona także procedura układu, czyli nadzwyczajnego złagodzenia sankcji dla przedsiębiorców, którzy szybko usuną naruszenie i wdrożą środki naprawcze. Mechanizm ten formalizuje ścieżkę polubownego zakończenia sporu z jednoczesnym zrzeczeniem się części możliwości zaskarżenia decyzji w zakresie objętym układem.
Integralnym elementem systemu nadzoru będzie również organ notyfikujący oraz system akredytacji jednostek oceniających zgodność. Zgodnie z projektem, funkcję organu notyfikującego pełnić będzie minister właściwy do spraw informatyzacji, a akredytacją zajmie się Polskie Centrum Akredytacji.
Za naruszenie zakazów z art. 5 AI Act przewidziano administracyjne kary do 35 mln EUR lub do 7% globalnych obrotów (zależnie od tego, która wartość jest wyższa), a za inne kluczowe naruszenia (np. obowiązki providerów/deployerów, obowiązki transparentności) do 15 mln EUR lub do 3% obrotów. AI Act przewiduje też osobny próg za dostarczenie nieprawdziwych informacji oraz „bezpiecznik” dla MŚP (kara do kwoty/procentu, która jest niższa).
Piaskownice regulacyjne
Zgodnie z AI Act, państwa członkowskie mają zapewnić funkcjonowanie co najmniej jednej krajowej piaskownicy regulacyjnej do 2 sierpnia 2026 r. Piaskownice regulacyjne AI, to kontrolowane środowiska tworzone przez organy publiczne, w których przedsiębiorcy mogą rozwijać, trenować i testować systemy sztucznej inteligencji przed ich wprowadzeniem na rynek, pod nadzorem regulatora i przez ograniczony czas. Projekt umożliwia tworzenie sandboxów, a w komunikatach rządowych pojawiają się zapowiedzi wsparcia finansowego dla badań i prac rozwojowych.
Piaskownice umożliwiają bezpieczne testowanie nowych technologii AI w warunkach zbliżonych do rzeczywistych, identyfikację ryzyk związanych z wykorzystaniem AI (np. dla praw podstawowych, zdrowia lub bezpieczeństwa), zwiększenie pewności prawnej dla przedsiębiorców poprzez możliwość sprawdzenia zgodności systemu z AI Act przed jego wdrożeniem, wspieranie innowacji i konkurencyjności rynku AI czy rozwój współpracy między firmami, regulatorami i innymi interesariuszami.
W ramach piaskownicy regulator zapewnia nadzór, wskazówki regulacyjne oraz wsparcie w spełnianiu wymogów prawnych, a wyniki testów mogą zostać wykorzystane w procesie oceny zgodności systemu AI i przyspieszyć dopuszczenie produktu do rynku.
Podsumowując, piaskownice regulacyjne stanowią interesujące narzędzie dla przedsiębiorców, łącząc wsparcie innowacji z bezpieczeństwem prawnym oraz ułatwiając wdrażanie i testowanie rozwiązań AI w zgodzie z nowymi regulacjami.
Uwagi do projektu
Ustawa wdrażająca AI Act była długo wyczekiwana, a w tym czasie dokonywano licznych poprawek i konsultacji, Ministerstwo Cyfryzacji informowało, że podczas konsultacji publicznych zgłoszono ponad dwa tysiące uwag, które w części uwzględniono w kolejnych wersjach projektu. Doprecyzowano mechanizmy nadzoru i kontroli, w tym preferencję dla mniej inwazyjnych form kontroli w pierwszej kolejności, wsparciu innowacyjności oraz wprowadzeniu mechanizmu powoływanego powyżej ,,układu’’. Ministerstwo Cyfryzacji ogłosiło w lutym 2025 r., że projekt zmierza w stronę praktycznej ochrony przedsiębiorców, przy jednoczesnym respektowaniu wymogów unijnych i wspieraniu rozwoju technologicznego.
Konsultacje społeczne i opinie branżowe ujawniły kilka kluczowych obszarów ryzyka, które powinny być szczególnie ważne dla przedsiębiorców korzystających z rozwiązań AI. Oto najważniejsze z nich:
Po pierwsze, ryzyko tzw. „gold-platingu” czy niespójności z AI Act w szczegółach, często surowszych rozwiązaniach. Dobrym przykładem jest kwestia raportowania poważnych incydentów, ponieważ AI Act przewiduje zgłoszenie „niezwłocznie” po ustaleniu związku przyczynowego, lecz nie później niż w ciągu 15 dni, a dla najbardziej poważnych zdarzeń krótsze terminy. W jednej z wersji projektu pojawił się wymóg zgłoszenia incydentu w ciągu 24 godzin od jego wykrycia, co w konsultacjach uznano za rozwiązanie bardziej rygorystyczne niż w AI Act. W praktyce oznacza to, że procedury incydentowe w firmie muszą być projektowane zgodnie z wymogami AI Act, ale z pełną gotowością na krajowy kanał i format raportowania, ostateczne terminy i formy zgłoszeń należy monitorować w ostatecznym kształcie ustawy.
Drugim istotnym zagadnieniem jest niejednoznaczność granic kompetencji organów i zakresu terytorialnego. Zwracano uwagę, że niejasne przepisy mogą rodzić konflikty w sytuacjach transgranicznych, np. gdy podmiot zagraniczny świadczy usługi AI dla polskich klientów bez posiadania siedziby w kraju. Dla firm, które działają w modelu SaaS lub online, kluczowe będzie uporządkowanie łańcucha dostaw oraz jednoznaczne ustalenie kto jest providerem, kto deployerem, kto odpowiada przed organem i w ramach której jurysdykcji. To praktyczne wyzwanie wymaga, by każda firma zadbała o transparentność swojej struktury, zarówno w relacjach z partnerami, jak i wobec regulatora.
Trzeci punkt dotyczy proceduralności i sądowej kontroli decyzji. Rada Legislacyjna, analizując wczesną wersję projektu, wskazywała na braki w zakresie jasnych dróg prawnych dla środków zaskarżenia oraz potrzebę doprecyzowania sankcji i konstrukcji przepisów. Dla przedsiębiorców oznacza to ryzyko prowadzenia sporu w okresie niepewności proceduralnej, zanim ukształtuje się praktyka decyzyjna organu i orzecznictwo sądowe. Warto pamiętać, że początkowy okres wdrażania regulacji może być dynamiczny i wymagać sprawnego reagowania na pojawiające się interpretacje.
Czwartym ryzykiem są decyzje „wstrzymujące”, czyli działania organów polegające na wycofaniu systemu AI z rynku lub ograniczeniu jego używania w przypadku niespełnienia wymogów. Rząd wskazywał wprost na możliwość takich działań, co oznacza, że compliance w zakresie AI należy traktować jak kluczowy element „business continuity”. Brak dokumentacji, logów, kontroli jakości danych czy mechanizmów nadzoru człowieka może prowadzić do natychmiastowej interwencji ze strony organu, a dodatkowo grożą wysokie kary finansowe. Dlatego przedsiębiorcy, zwłaszcza z sektora technologicznego, powinni już dziś wdrażać procedury zabezpieczające ciągłość działania firmy w obliczu nowych regulacji.
Podsumowując, nadchodzące regulacje AI to nie tylko obowiązek, ale również szansa na uporządkowanie procesów i wzmocnienie wiarygodności firmy. Warto postawić na proaktywne podejście, elastyczność oraz otwartość na zmiany, to właśnie te cechy będą decydować o sukcesie przedsiębiorstw w erze sztucznej inteligencji.
Definicje:
AI Act – Rozporządzenie Parlamentu Europejskiego i Rady UE 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, 2016/797 i (UE) 2020/1828 (aktw sprawie sztucznej inteligencji)
