Sztuczna inteligencja to nie tylko rewolucja technologiczna, ale i nowe wyzwania prawne. AI Act – pierwsze na świecie kompleksowe regulacje dotyczące AI – wprowadza obowiązki dla firm i dostawców systemów sztucznej inteligencji, określając zasady ich zgodności i potencjalne sankcje.
Jakie wymagania trzeba spełnić? Kiedy nowe przepisy zaczną obowiązywać? Na te i inne pytania odpowiada IPSO LEGAL – w ramach projektu Miesiąc Partnera Klastra.
Wprowadzenie
Sztuczna inteligencja (AI) rozwija się w zawrotnym tempie, a wraz z jej postępem rośnie potrzeba odpowiednich regulacji prawnych. Aby zapewnić bezpieczeństwo, przejrzystość i zgodność z wartościami europejskimi, Unia Europejska przyjęła AI Act (Akt o Sztucznej Inteligencji) – pierwsze na świecie kompleksowe prawo regulujące systemy AI. Nowe przepisy mają na celu minimalizację ryzyka związanego z wykorzystaniem AI oraz określenie jasnych standardów dla dostawców i użytkowników tej technologii.
Wiele przedsiębiorców, programistów oraz firm technologicznych zastanawia się, jak AI Act wpłynie na ich działalność i jakie obowiązki będą musieli spełnić. W tym artykule kancelaria IPSO LEGAL odpowiada na najczęściej zadawane pytania dotyczące AI Act – od jego zakresu, przez klasyfikację systemów wysokiego ryzyka, aż po wymagania dotyczące zgodności i potencjalne sankcje za nieprzestrzeganie regulacji.
Czym jest AI Act i kiedy zacznie obowiązywać?
AI Act (Akt o Sztucznej Inteligencji) to rozporządzenie Unii Europejskiej mające kompleksowo uregulować kwestie związane z systemami sztucznej inteligencji. Wprowadza ono ramy prawne oparte na ocenie ryzyka – od zakazania pewnych szczególnie niebezpiecznych zastosowań AI, przez szczególne wymagania dla systemów wysokiego ryzyka, po minimalne wymogi dla zastosowań niższego ryzyka. AI Act został zatwierdzony w 2024 roku, jednak jego przepisy nie zaczną obowiązywać od razu. Po formalnym wejściu w życie rozporządzenia przewidziano okresy przejściowe (większość wymogów zacznie obowiązywać w ciągu około 2 lat od publikacji aktu). To daje firmom czas na dostosowanie się. Pełne stosowanie z AI Act z pewnymi wyjątkami rozpocznie się od 2 sierpnia 2026 roku. Jednak już od 2 lutego 2025 roku zaczęły obowiązywać pierwsze przepisy, dotyczące m.in. zakazanych praktyk AI, natomiast 2 sierpnia 2025 roku wejdą w życie przepisy dotyczące AI ogólnego przeznaczenia, a zasady klasyfikacji systemów AI wysokiego ryzyka zaczną być stosowane od 2 sierpnia 2027 r.
Jak rozpoznać, czy mój system AI jest „wysokiego ryzyka”?
AI Act definiuje kryteria i zawiera załącznik z kategoriami systemów uznanych za wysokiego ryzyka. Ogólnie rzecz biorąc, jeśli Twój system AI jest stosowany w obszarze, gdzie jego błędne działanie może poważnie wpłynąć na zdrowie, bezpieczeństwo lub prawa obywateli, istnieje duża szansa, że zostanie uznany za wysokiego ryzyka. Przykłady obejmują m.in.: AI stosowaną w wyrobach medycznych do diagnostyki lub terapii, systemy wspomagające decyzje rekrutacyjne lub dotyczące oceny pracowników, algorytmy oceniające ryzyko ubezpieczeniowe lub przyznawanie świadczeń publicznych, systemy wykorzystywane do oceny uczniów lub pracowników. W razie wątpliwości warto skonsultować się z ekspertami prawnymi, którzy pomogą zinterpretować przepisy pod kątem konkretnego rozwiązania.
Czy każdy system AI wysokiego ryzyka będzie musiał uzyskać certyfikat lub przejść audyt przed wprowadzeniem na rynek?
Wymagania AI Act przewidują, że każdy system AI wysokiego ryzyka musi przejść procedurę oceny zgodności zanim trafi do obrotu. Istnieją różne moduły oceny zgodności przewidziane w prawie – niektóre mogą być wykonywane samodzielnie przez dostawcę (jeśli zastosowano określone standardy), a inne wymagają udziału niezależnego organu zewnętrznego (tzw. jednostki notyfikowanej), który przeprowadzi audyt i wystawi odpowiedni certyfikat. W wielu przypadkach dostawcy systemów wysokiego ryzyka będą musieli skorzystać z zewnętrznej oceny – podobnie jak np. producenci wyrobów medycznych potrzebują certyfikacji przez notyfikowany podmiot. Po pozytywnej ocenie dostawca sporządza deklarację zgodności UE i umieszcza oznakowanie CE na produkcie. Nie jest to więc dodatkowy „certyfikat AI” w formie osobnego dokumentu – kluczowa jest deklaracja i oznaczenie CE, ale stoi za nimi właśnie proces oceny zgodności (wewnętrznej i/lub zewnętrznej). Szczegółowe zasady zależeć będą od tego, czy powstaną zharmonizowane normy dla AI (ułatwiające tzw. samocertyfikację), czy też konieczne będzie angażowanie jednostek notyfikowanych dla danej klasy systemów.
Jakie sankcje grożą za nieprzestrzeganie wymogów AI Act?
AI Act przewiduje dotkliwe kary finansowe za naruszenie przepisów – podobnie jak ma to miejsce w przypadku ochrony danych osobowych (RODO). Maksymalne wysokości kar mogą sięgać nawet 30 milionów euro lub 6% globalnego rocznego obrotu firmy, w zależności od tego, która wartość jest wyższa (dokładne kwoty i progi procentowe zależą od kategorii naruszenia). Tak wysokie potencjalne grzywny mają podkreślić powagę regulacji i zniechęcić do lekceważenia jej wymogów. Poza karami finansowymi, organ nadzorczy będzie mógł nakazać wycofanie niezgodnego systemu z rynku, co dla dostawcy oznacza utratę możliwości dalszej sprzedaży produktu (a także koszty i utratę reputacji). Ponadto brak zgodności może prowadzić do odpowiedzialności cywilnoprawnej – jeśli wadliwy system wyrządzi komuś szkodę, producent może zostać pozwany o odszkodowanie. Dlatego znacznie bezpieczniej (i taniej) jest zainwestować w zgodność z wymogami, niż ryzykować konsekwencje ich naruszenia.
Zakończenie
AI Act to ogromna zmiana dla branży sztucznej inteligencji w Europie i poza nią. Wprowadza on nowe obowiązki dla dostawców i użytkowników systemów AI, zwłaszcza tych uznanych za wysokiego ryzyka. Firmy muszą przygotować się na wdrożenie odpowiednich procedur, dokumentacji i mechanizmów oceny zgodności, aby uniknąć potencjalnych sankcji oraz zapewnić zgodność z nowymi regulacjami.
Chociaż przepisy wejdą w życie stopniowo, nie warto zwlekać z przygotowaniami. Im wcześniej firmy zaczną dostosowywać swoje rozwiązania, tym łatwiej unikną problemów związanych z nowymi wymaganiami. Kluczowe jest zrozumienie przepisów, analiza ryzyka, wdrożenie odpowiednich standardów oraz śledzenie dalszego rozwoju regulacji i norm technicznych.
AI Act to wyzwanie, ale i szansa – dla firm, które podejdą do nowych regulacji z odpowiednią strategią, może to być okazja do zwiększenia konkurencyjności i budowania zaufania wśród użytkowników ich systemów AI.
Masz wątpliwości, czy system AI nad którym pracujesz spełnia wymagania AI Act? Zastanawiasz się, jak skutecznie wdrożyć procedury zgodne z nowymi przepisami? Kancelaria IPSO LEGAL specjalizuje się w doradztwie prawnym dla branży lifescience. Wsparcie obejmuje m.in.:
- analizę prawną i klasyfikacja systemów AI
- opracowanie polityki compliance i dokumentacji związanej z systemami AI
- wsparcie w procesie certyfikacji i oceny zgodności,
- wdrożenie systemów zarządzania jakością,
- doradztwo w zakresie działań naprawczych i post-market monitoring.
Jak możesz się skontaktować z IPSO LEGAL? Wyślij wiadomość na: office@ipsolegal.pl lub odwiedź stronę: www.ipsolegal.pl.
Po więcej informacji odwiedź profil IPSO LEGAL na Platformie Współpracy LSOS.
Materiały do powyższego artykułu zostały dostarczone przez firmę IPSO LEGAL.