Sztuczna inteligencja – szanse i wyzwania. Nowe obowiązki prawne

Szymon Szurgacz

Ten materiał to element cyklu „Pigułka Wiedzy” zrealizowanego we współpracy z Wałbrzyską Specjalną Strefą Ekonomiczną INVEST-PARK. Stanowi on podsumowanie kluczowych zagadnień z naszego ostatniego webinaru na temat wykorzystania sztucznej inteligencji (AI) w organizacjach i nowych obowiązków prawnych wynikających z unijnego AI Act.

Czym jest system AI według prawa?

Pytanie: Jak szeroko prawo definiuje system sztucznej inteligencji?
Odpowiedź: AI Act przyjmuje bardzo pojemną definicję – system AI to każdy system maszynowy działający z pewnym stopniem autonomii, zdolny do przetwarzania danych, uczenia się i wpływania na środowisko fizyczne lub wirtualne. Oznacza to, że wiele rozwiązań software’owych i sprzętowych używanych w firmach (np. w HR, marketingu czy sprzedaży) może zostać uznanych za system AI.

Klasyfikacja systemów AI i zakazane praktyki

Pytanie: Jakie rodzaje systemów AI wyróżnia AI Act?
Odpowiedź: AI Act dzieli systemy na:

• systemy niedopuszczalne – np. te, które manipulują zachowaniem ludzi, stosują scoring społeczny lub rozpoznają emocje pracowników,
• systemy wysokiego ryzyka – m.in. używane w rekrutacji, ocenie wydajności pracowników czy decyzjach kadrowych,
• inne systemy – np. chatboty, rekomendacje, generatory obrazów.

Pytanie: Kiedy przepisy zaczynają obowiązywać?
Odpowiedź: Część przepisów już obowiązuje (zakazane praktyki od lutego 2024 r.), a pełne wdrożenie AI Act nastąpi 2 sierpnia 2026 r..

Obowiązki dostawców i użytkowników AI

Pytanie: Kto ponosi odpowiedzialność za zgodność z AI Act?
Odpowiedź:

• Dostawcy systemów AI muszą m.in. zapewnić zgodność z wymogami, prowadzić dokumentację, przechowywać rejestry zdarzeń i przeprowadzać ocenę zgodności (oznaczaną znakiem CE).
• Podmioty stosujące (czyli firmy używające AI) muszą:
  • wdrożyć środki techniczne i organizacyjne,
  • zapewnić nadzór człowieka nad systemem,
  • szkolić pracowników,
  • monitorować działanie systemu i zgłaszać incydenty,
  • informować pracowników i związki zawodowe o stosowanych systemach wysokiego ryzyka,
  • przechowywać dane i rejestry zdarzeń,
  • ujawniać stosowanie AI wobec kandydatów lub klientów.

AI Act a RODO i inne regulacje

Pytanie: Jak AI Act łączy się z RODO?
Odpowiedź: Oba akty działają równolegle. Wdrażając AI, trzeba aktualizować dokumentację RODO, przeprowadzać ocenę skutków dla ochrony danych i dbać o legalność przetwarzania danych wejściowych oraz wyjściowych.

Pytanie: Czy można używać ChatGPT, Copilot czy Gemini?
Odpowiedź: Tak, ale z ostrożnością – podstawowe wersje tych narzędzi nie gwarantują pełnej poufności danych. Najbezpieczniejsze (z punktu widzenia prawa UE) są rozwiązania Microsoft Copilot, działające w infrastrukturze europejskiej.

Kary i nadzór

Pytanie: Jakie sankcje grożą za naruszenia?
Odpowiedź: AI Act przewiduje wysokie kary – podobnie jak RODO, mogą one sięgać nawet 20 mln euro lub 4% rocznego obrotu.
W Polsce powstanie Komisja ds. Sztucznej Inteligencji – organ nadzoru złożony z przedstawicieli UOKiK, KNF, KRRiT i UKE.

Jak przygotować organizację?

Pytanie: Co firmy powinny zrobić już dziś?
Odpowiedź:

• Zmapować wykorzystywane systemy AI.
• Przygotować polityki i procedury (podobnie jak przy RODO).
• Wyznaczyć osoby odpowiedzialne za nadzór nad AI.
• Zapewnić szkolenia dla pracowników.
• Negocjować umowy z dostawcami pod kątem obowiązków z AI Act.
• Chronić dane i tajemnice przedsiębiorstwa – stosować anonimizację, ograniczać dane przekazywane do narzędzi AI.

Podsumowanie

Sztuczna inteligencja niesie ogromne możliwości, ale też nowe obowiązki prawne. Kluczem do bezpiecznego wdrożenia AI w organizacji jest świadomość, odpowiedzialne zarządzanie ryzykiem oraz wczesne przygotowanie na wymogi AI Act.

Jeśli potrzebują Państwo wsparcia w audycie, wdrożeniu procedur lub przeszkoleniu zespołu, zespół Sendero Tax & Legal służy pomocą.