2 sierpnia w życie weszły kolejne przepisy AI Actu. Jest to bardzo obszerny materiał, który obejmuje wiele ważnych dla AI Actu zagadnień. W związku z czym przedstawiam Państwu poniżej omówienie, które ma na celu nakreślenie najważniejszych kwestii tego wycinka regulacji.
Krótkie podsumowanie na początek
Harmonogram wejścia w życie poszczególnych przepisów AI Act, zawarty został w art. 113 aktu. Zgodnie z jego treścią, rozporządzenie to stosuje się od 2 sierpnia 2026 r. Istnieją jednak liczne wyjątki, które wypunktowane zostały zaraz po ogólnej zasadzie „2 sierpnia 2026 r.”:
- rozdziały I i II stosuje się od dnia 2 lutego 2025 r.
- rozdział III sekcja 4, rozdział V, rozdział VII i rozdział XII oraz art. 78 stosuje się od dnia 2 sierpnia 2025 r., z wyjątkiem art. 101.
- art. 6 ust. 1 oraz odpowiadające mu obowiązki ustanowione w niniejszym rozporządzeniu stosuje się od dnia 2 sierpnia 2027 r.
Za nami zatem już dwa pierwsze punkty wdrożenia AI Actu.
Od 2 lutego stosuje się (1) przepisy ogólne – przedmiot, zastosowanie rozporządzenia, definicje zawarte w jego ramach oraz konieczność zapewnienia kompetencji w zakresie AI personelu dostawców i podmiotów stosujących; oraz (2) przepisy dotyczące zakazanych praktyk AI.
Od 2 sierpnia wszedł w życie szereg kolejnych przepisów, które dotyczą modeli AI ogólnego przeznaczenia oraz szeroko pojętego egzekwowania rozporządzenia. Szersze omówienie poniżej.
W związku ze złożonością poszczególnych etapów wdrożeniowych AI Actu, przedstawiamy poniżej oś czasu w postaci grafu, która pozwala w szybki sposób zwizualizować na jakim etapie wdrożenia rozporządzenia jesteśmy aktualnie.
Jakie przepisy weszły wraz 2 sierpnia 2025 r.?
(1) Rozdział III sekcja 4 (art. 28 – 39 AI Act)
Rozdział III AI Actu dotyczy systemów sztucznej inteligencji wysokiego ryzyka, czyli tego który niesie ze sobą wysokie prawdopodobieństwo wystąpienia szkody, której dotkliwość będzie dla człowieka wysoka. W tym zakresie odsyłam do drugiego wpisu w ramach serii „Sezon na AI” [link], gdzie w sposób szczegółowy omówione zostało to zagadnienie.
Sekcja 4 tego rozdziału reguluje kwestię dotyczącą „Organów notyfikujących i jednostek notyfikowanych”. A zatem koncentruje się na procedurze notyfikacyjnej i podmiotach z nią związanymi. Upraszczając, procedura notyfikacyjna to proces zgłaszania podmiotów Komisji Europejskiej i pozostałym państwom członkowskim, które uprawnione będą do sprawdzania czy systemy AI wysokiego ryzyka spełniają wymogi prawa, aby mogła legalnie działać na terenie Unii Europejskiej.
Podmioty chcące zostać właściwymi do oceniania zgodności muszą uprzednio wykazać swoje kompetencje w tym zakresie przed organem notyfikującym. Zgodnie z art. 29 AI Act może być to odpowiednio certyfikat akredytacji (o ile takowy istnieje) poświadczający, że jednostka oceniająca zgodność (właściwy podmiot) spełnia wymogi z art. 31 AI Act, albo jeżeli takiego certyfikatu nie posiada – wszelkie dowody, które wykażą, że podmiot ten spełnia wymagania z ww. artykułu.
Projekt polskiej ustawy o systemach sztucznej inteligencji niestety stoi w sprzeczności z powyższym i zawsze wymaga certyfikatu akredytacji. Kwestię tę podnosi Minister do spraw Unii Europejskiej w swoich uwagach zgłoszonych do projektu [link] i apeluje o zmianę.
Przechodząc do wymogów z art. 31 AI Act, rozporządzenie stawia przede wszystkim na wysoki poziom kompetencji w ramach struktur jednostki notyfikowanej, uwzględniając kwestie administracyjne i prawne. Natomiast podkreśla wyraźnie również niezależność tych jednostek i ich obiektywizm. A mianowicie muszą być one niezależne od dostawcy systemu AI wysokiego ryzyka, wobec którego podejmują czynności z zakresu oceny zgodności oraz od wszelkich innych operatorów, których interes gospodarczy wiąże się z systemami AI wysokiego ryzyka. Nie mogą być bezpośrednio zaangażowani w projektowanie, rozwój, sprzedaż czy wykorzystywanie systemów AI wysokiego ryzyka. Nie mogą również reprezentować stron zaangażowanych w taką działalność. Natomiast nie wyklucza to korzystania przez nich samych z ocenianego systemu, jeżeli jest to konieczne albo służy do celów prywatnych.
Warto odnieść się również do samych organów notyfikujących. Zgodnie z art. 28 AI Act, każde z państw zobowiązane jest do powołania organu notyfikującego, tj. organu krajowego, który odpowiada za opracowanie i stosowanie procedur koniecznych do oceny, wyznaczania i notyfikowania jednostek oceniających zgodność oraz za ich monitorowanie (art. 3 ust. 19 AI Act).
Zgodnie z najnowszym projektem polskiej ustawy – art. 71 ust. 1 – polskim organem notyfikującym będzie Minister właściwy do spraw informatyzacji. Jednocześnie polski ustawodawca korzysta z opcjonalnego powierzenia funkcji akredytacyjnej (monitoring i ocena jednostek oceniających zgodność) przyznanej organowi notyfikującemu, Polskiemu Centrum Akredytacji.
(2) Rozdział V (art. 51 – 56 AI Act)
Rozdział V dotyczy regulacji modeli sztucznej inteligencji ogólnego przeznaczenia. Obejmuje on klasyfikację modeli AI ogólnego przeznaczenia jako modelu z ryzykiem systemowym oraz zakres obowiązków dostawców systemów AI ogólnego przeznaczenia i tych, które kwalifikują się jako posiadające ryzyko systemowe.
Motyw 97 preambuły AI Act wskazuję, że definicję modelu sztucznej inteligencji ogólnego przeznaczenia oprzeć należy na jego cechach funkcjonalnych – jego ogólnym charakterze i „kompetencji” to wykonywania bardzo szerokiego zakresu zadań. To one przeważnie trenowane są na podstawie dużej ilości danych. Model AI ogólnego przeznaczenia nie jest systemem AI, aby się nim stał należy dodać do niego np. interfejs użytkownika. A zatem najczęściej są one zintegrowane z systemem AI i stanowią jego część.
W zakresie obowiązków przewidzianych przez AI Act dot. modeli AI ogólnego przeznaczenia, mają one dotyczyć sytuacji w których wprowadzane będą one do obrotu i będą służyć osobom zewnętrznym. Czyli jeżeli model taki, który jest modelem własnym podmiotu używającego, wykorzystywany jest dla jego celów wewnętrznych, obowiązki nie mają zastosowania; chyba że jest to model z ryzkiem systemowym, ponieważ niesie on potencjalnie zbyt negatywne skutki związane z jego wykorzystywaniem.
Czym jest ryzyko systemowe?
Zgodnie z motywem 110 ryzyko takie obejmuje m.in. wszelkie rzeczywiste lub racjonalnie przewidywalne negatywne skutki poważnych awarii, zakłóceń w sektorach krytycznych oraz poważne konsekwencje dla zdrowia i bezpieczeństwa publicznego; bądź [dop. własny] […] skutki dla procesów demokratycznych, bezpieczeństwa publicznego i gospodarczego; rozpowszechnianie nielegalnych, fałszywych lub dyskryminujących treści. Ryzyko takie może również wynikać z potencjalnego umyślnego niewłaściwego wykorzystania lub niezamierzonych problemów z kontrolą związanych z dostosowaniem się do zamiaru człowieka. A zatem że dany model w związku ze swoją funkcjonalnością może zostać wykorzystany w sprzeczności z jego pierwotnym założeniem i stworzyć nieprzewidziane ryzyko, np. szkodliwą stronniczość i dyskryminację zagrażające osobom fizycznym, społecznościom lub społeczeństwom; ułatwianie dezinformacji lub naruszanie prywatności. Literalną definicję „ryzyka systemowego” dostarcza art. 3 ust. 65 AI Act.
Obowiązki dostawców modeli ogólnego przeznaczenia z ryzykiem systemowym i bez, omówione zostaną szerzej w następnym wpisie w ramach „Sezonu na AI”, gdzie uwzględnione zostaną również wytyczne opublikowane przez Komisję. Wymagają one bowiem dokładniejszego opracowania.
Ważne natomiast, aby przypomnieć w tym miejscu harmonogram stosowania i egzekwowania przepisów dot. dostawców modeli AI ogólnego przeznaczenia:
- 2 sierpnia 2025 r. zaczynają obowiązywać obowiązki dostawców modeli GPAI. Dostawcy modeli sztucznej inteligencji ogólnego przeznaczenia wprowadzonych do obrotu po tej dacie muszą przestrzegać przepisów i oczekuje się, że będą nieformalnie współpracować z personelem technicznym Urzędu ds. Sztucznej Inteligencji.
- 2 sierpnia 2026 r. wchodzą w życie uprawnienia wykonawcze Komisji. Komisja będzie egzekwować przestrzeganie obowiązków spoczywających na dostawcach modeli GPAI, w tym nakładając grzywny.
- do dnia 2 sierpnia 2027 r. dostawcy modeli GPAI wprowadzonych do obrotu przed dniem 2 sierpnia 2025 r. muszą spełnić wymogi.
(więcej tutaj)
Dla jasności – Urząd ds. Sztucznej Inteligencji ustanowiony został w ramach Komisji, nadzoruje egzekwowanie i wdrażanie aktu w sprawie sztucznej inteligencji w państwach członkowskich UE. Jest również odpowiedzialny za nadzór nad modelami AI ogólnego przeznaczenia.
Pozostałe przepisy omówimy w kolejnej części. Zachęcamy do śledzenia naszego bloga.
Następny wpis obejmie opracowanie Rozdziału VII (art. 64 – 70 AI Act), Rozdziału XII (art. 99 – 101 AI Act) oraz art. 78 AI Act.
Autor:
aplikantka radcowska
