Rozwój sztucznej inteligencji (AI) w ostatnich latach znacząco przyspieszył, co wymusiło potrzebę uregulowania jej zastosowania na poziomie Unii Europejskiej. W odpowiedzi na rosnącą rolę AI w gospodarce, społeczeństwie oraz na rynku wewnętrznym, UE opracowała i przyjęła kompleksowe ramy prawne, których głównym filarem jest rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1092 z dnia 13 marca 2024 r., znane jako AI Act.
Zakres stosowania i cel regulacji
AI Act to pierwszy na świecie tak kompleksowy akt prawny regulujący sztuczną inteligencję. Jego głównym celem jest zapewnienie, by rozwój i wykorzystywanie systemów AI w Unii Europejskiej odbywały się w sposób przejrzysty, odpowiedzialny i etyczny. Przepisy obejmują zarówno podmioty posiadające siedzibę na terenie Unii, jak i te poza jej terytorium, jeśli ich rozwiązania trafiają do użytkowników w danych państwach lub są wdrażane w unijnym systemie gospodarczym.
Klasyfikacja systemów AI według poziomu ryzyka
AI Act wprowadza czterostopniowy model klasyfikacji systemów sztucznej inteligencji, oparty na potencjalnym zagrożeniu dla bezpieczeństwa, podstawowych praw oraz interesu publicznego:
- Systemy niedopuszczalnego ryzyka – obejmują technologie, które mogą zagrażać prawom człowieka, stosujące rozwiązania takie jak: manipulacja poznawcza, ocena społeczna obywateli czy identyfikacja biometryczna w czasie rzeczywistym w przestrzeni publicznej.
- Systemy wysokiego ryzyka – zaliczają się do nich rozwiązania wykorzystywane m.in. w obszarze zatrudnienia, edukacji, ochronie porządku publicznego, infrastrukturze krytycznej czy sądownictwie. Ich dopuszczenie do obrotu wymaga spełnienia rygorystycznych wymogów w zakresie zarządzania ryzykiem, transparentności, jakości danych i nadzoru ludzkiego.
- Systemy ograniczonego ryzyka – ich udostępnienie wymaga spełnienia określonych obowiązków w zakresie transparentności, na przykład – poinformowania użytkownika, że wchodzi w interakcję z AI.
- Systemy minimalnego ryzyka – to m.in. filtry antyspamowe czy mechanizmy rekomendacji treści, które nie podlegają szczególnym obowiązkom prawnym.
Obowiązki podmiotów gospodarczych
Rozporządzenie nakłada obowiązki na podmioty zaangażowane w cykl życia systemu AI – w szczególności na dostawców, użytkowników, importerów i dystrybutorów. Do najważniejszych z nich należą:
- wdrażanie systemów zarządzania jakością i procedur ocen zgodności,
- prowadzenie dokumentacji technicznej uwzględniającej parametry i cel wykorzystania systemu,
- zapewnienie nadzoru człowieka nad funkcjonowaniem AI,
- rejestracja wybranych systemów wysokiego ryzyka w rejestrze prowadzonym przez Komisję Europejską,
- umożliwienie śledzenia działania systemu i weryfikacji jego działania.
Nadzór i egzekwowanie przepisów
Państwa członkowskie są zobowiązane do wyznaczenia krajowych organów nadzoru odpowiedzialnych za egzekwowanie przepisów AI Act i współpracy z Europejską Radą ds. Sztucznej Inteligencji, której głównym zadaniem jest zapewnienie jednolitego stosowania prawa w całej UE. Przepisy przewidują również surowe kary za ich naruszenie – maksymalna grzywna może wynieść do 35 mln euro lub 7% rocznego, globalnego obrotu przedsiębiorstwa, przy czym do nałożenia sankcji będzie brana pod uwagę wyższa z tych kwot.
Stan wdrożenia i okresy przejściowe
AI Act wszedł w życie 20 dni po publikacji w Dzienniku Urzędowym UE, jednak jego wdrążenie odbywa się etapami. Bezwzględny zakaz stosowania systemów niedopuszczalnego ryzyka obowiązuje od końca 2024 roku, natomiast obowiązki związane z systemami wysokiego ryzyka zaczęły obowiązywać od 2 sierpnia 2025 r. Pozostałe przepisy unijne kształtujące ramy prawne korzystania z systemów AI na terenie UE wejdą w życie dopiero w drugiej połowie 2026 roku. Dla sprawniejszego dostosowania się do nowych regulacji, Komisja Europejska udostępniła szereg wskazówek oraz wzorów dokumentów, które pomogą przedsiębiorstwom w zrozumieniu i implementacji wymogów AI Act.
Podsumowanie
AI Act to przełomowy krok w regulacji sztucznej inteligencji na poziomie europejskim, której celem jest połączenie innowacyjności z ochroną fundamentalnych wartości Unii Europejskiej. Obecnie przedsiębiorcy, instytucje publiczne oraz dostawcy rozwiązań AI znajdują się w kluczowej fazie adaptacji do nowych wymogów, zwłaszcza dotyczących systemów wysokiego ryzyka. Z perspektywy biznesowej oznacza to konieczność włączenia AI compliance do strategii zarządzania ryzykiem regulacyjnym oraz ścisłą współpracę między działami prawnymi i technologicznymi w firmach.
