Linkedin-in Medium Instagram
Umów rozmowę wstępną

IP Protector

AI Act – co organizacje powinny wiedzieć

Autor

Michał Bugajło

Data publikacji

19 marca, 2026

Udostępnij

Wprowadzenie

Sztuczna inteligencja w ostatnich latach stała się jednym z kluczowych czynników transformacji gospodarki cyfrowej. Systemy oparte na uczeniu maszynowym oraz analizie dużych zbiorów danych są wykorzystywane w coraz szerszym zakresie działalności gospodarczej – od automatyzacji procesów operacyjnych po wspieranie decyzji w sektorach takich jak finanse, opieka zdrowotna czy administracja publiczna.

Wraz ze wzrostem znaczenia tych technologii pojawiają się jednak również nowe wyzwania regulacyjne. W szczególności dotyczą one bezpieczeństwa systemów sztucznej inteligencji, przejrzystości procesów decyzyjnych oraz ochrony praw podstawowych osób, których sytuacja może być kształtowana przez systemy AI.

W odpowiedzi na te wyzwania Unia Europejska przyjęła rozporządzenie w sprawie sztucznej inteligencji (AI Act) – pierwszą kompleksową regulację prawną dotyczącą systemów AI. Akt ten ustanawia ramy regulacyjne dla projektowania, wprowadzania na rynek oraz wykorzystywania systemów AI w Unii Europejskiej.

AI Act wprowadza model regulacyjny oparty na poziomach ryzyka, który różnicuje zakres obowiązków w zależności od potencjalnego wpływu systemu AI na bezpieczeństwo publiczne oraz prawa jednostki.

Ze względu na swój eksterytorialny charakter, akt ten może mieć zastosowanie także do organizacji spoza Unii Europejskiej, jeżeli ich systemy AI są wprowadzane na rynek europejski lub oddziałują na użytkowników znajdujących się na jego terytorium.

Celem niniejszego artykułu jest przedstawienie podstawowych założeń AI Act oraz omówienie jego najważniejszych konsekwencji dla organizacji rozwijających lub wykorzystujących systemy sztucznej inteligencji.

1. Najważniejsze założenia AI Act

AI Act ustanawia pierwszy kompleksowy system regulacji sztucznej inteligencji na poziomie ponadnarodowym. Regulacja ta wprowadza nowe obowiązki prawne dla organizacji rozwijających oraz wykorzystujących systemy AI.

Najważniejsze założenia AI Act można podsumować w następujący sposób:

  • AI Act wprowadza system klasyfikacji ryzyka, który dzieli systemy AI na cztery kategorie: zakazane, wysokiego ryzyka, ograniczonego ryzyka oraz minimalnego ryzyka;
  • Najbardziej rygorystyczne obowiązki dotyczą systemów wysokiego ryzyka, w szczególności tych stosowanych w obszarach mogących istotnie wpływać na prawa jednostki;
  • AI Act obejmuje różne kategorie uczestników rynku AI, w tym dostawców systemów AI, ich użytkowników, importerów oraz dystrybutorów technologii;
  • AI Act ma charakter eksterytorialny, co oznacza, że jego przepisy mogą mieć zastosowanie także do organizacji spoza Unii Europejskiej;
  • Naruszenie przepisów regulacji może prowadzić do znaczących sankcji administracyjnych.

2. Kontekst regulacyjny AI Act

AI Act jest częścią szerszej strategii regulacyjnej Unii Europejskiej dotyczącej technologii cyfrowych. W ostatnich latach UE konsekwentnie rozwija system regulacji obejmujący kluczowe obszary gospodarki cyfrowej, w tym ochronę danych osobowych, bezpieczeństwo infrastruktury cyfrowej oraz odpowiedzialność platform internetowych.

Do najważniejszych aktów prawnych w tym obszarze należą między innymi:

  • General Data Protection Regulation (GDPR/RODO),
  • dyrektywa NIS2,
  • Digital Services Act (DSA),
  • Data Act,
  • Cyber Resilience Act.

AI Act stanowi kolejny element tego systemu regulacyjnego i koncentruje się na ryzykach związanych z rozwojem technologii sztucznej inteligencji.

Projekt regulacji został przedstawiony przez Komisję Europejską w 2021 r. jako element strategii dotyczącej godnej zaufania sztucznej inteligencji (Trustworthy AI).

3. System klasyfikacji ryzyka w AI Act

Centralnym elementem regulacji jest system klasyfikacji ryzyka, który określa zakres obowiązków regulacyjnych dla poszczególnych kategorii systemów AI.

Tabela 1. Klasyfikacja ryzyka systemów AI w AI Act

Poziom ryzyka

Charakterystyka

Przykłady

Konsekwencje regulacyjne

Zakazane systemy AI (Prohibited AI)

systemy uznane za niedopuszczalne

social scoring, manipulacja zachowaniem

całkowity zakaz stosowania

Systemy AI wysokiego ryzyka (High-risk AI)

systemy mogące wpływać na prawa jednostki

rekrutacja, infrastruktura krytyczna

szczegółowe wymogi regulacyjne

Systemy AI ograniczonego ryzyka (Limited-risk AI)

systemy wymagające transparentności

chatboty, generatywne systemy AI

obowiązki informacyjne

Systemy AI minimalnego ryzyka (Minimal-risk AI)

systemy o niewielkim wpływie

filtry antyspamowe

brak szczególnych wymogów

Poszczególne kategorie systemów AI wiążą się z odmiennym zakresem obowiązków regulacyjnych. Poniżej przedstawiono podstawowe cechy każdej z nich.

4. Zakazane systemy AI

Najbardziej restrykcyjna kategoria obejmuje zastosowania AI uznane za sprzeczne z wartościami Unii Europejskiej oraz ochroną praw podstawowych.

Do tej kategorii należą między innymi systemy:

  • manipulujące zachowaniem użytkowników,
  • wykorzystujące social scoring,
  • stosujące biometryczną identyfikację osób w czasie rzeczywistym w przestrzeni publicznej (z wyjątkiem ściśle określonych sytuacji związanych z bezpieczeństwem publicznym).

5. Systemy AI wysokiego ryzyka

Drugą kategorię stanowią tzw. systemy AI wysokiego ryzyka (high-risk AI), które mogą mieć istotny wpływ na prawa jednostki lub bezpieczeństwo publiczne.

Do tej kategorii zaliczają się systemy wykorzystywane w:

  • procesach rekrutacyjnych,
  • systemach edukacyjnych,
  • usługach finansowych,
  • administracji publicznej,
  • infrastrukturze krytycznej.

W AI Act szczegółowy katalog takich zastosowań został wskazany w załączniku III do regulacji.

6. Obowiązki regulacyjne dla systemów wysokiego ryzyka

AI Act wprowadza szczegółowy zestaw wymogów dotyczących projektowania oraz funkcjonowania systemów wysokiego ryzyka.

Tabela 2. Główne obowiązki regulacyjne

Obszar regulacjiZakres obowiązków
System zarządzania ryzykiemidentyfikacja, analiza oraz zarządzanie ryzykiem związanym z funkcjonowaniem systemu AI
Zarządzanie danymizapewnienie odpowiedniej jakości, reprezentatywności oraz adekwatności danych wykorzystywanych do trenowania i testowania systemu
Dokumentacja technicznaprzygotowanie i utrzymywanie dokumentacji technicznej umożliwiającej ocenę zgodności systemu z wymogami AI Act
Nadzór człowiekazapewnienie możliwości skutecznego nadzoru człowieka nad działaniem systemu AI
Dokładność i odporność systemuzapewnienie odpowiedniej dokładności, stabilności i odporności systemu na błędy lub manipulację
Monitorowanie po wprowadzeniu na rynekmonitorowanie działania systemu AI po jego wprowadzeniu na rynek oraz reagowanie na zidentyfikowane ryzyka

7. Systemy AI ograniczonego ryzyka

Trzecią kategorię stanowią systemy AI ograniczonego ryzyka. Regulacja nie wprowadza w ich przypadku rozbudowanych wymogów compliance, lecz nakłada określone obowiązki w zakresie przejrzystości.

W szczególności użytkownicy powinni być informowani, że wchodzą w interakcję z systemem sztucznej inteligencji.

Przykłady obejmują między innymi:

  • chatboty wykorzystywane w obsłudze klienta,
  • generatywne systemy AI wykorzystywane w interakcji z użytkownikiem (np. generowanie tekstu lub obrazów),
  • systemy modyfikujące materiały audiowizualne.

8. Systemy AI minimalnego ryzyka

Ostatnią kategorię stanowią systemy AI minimalnego ryzyka. AI Act zasadniczo nie nakłada na nie szczególnych obowiązków regulacyjnych.

Do tej kategorii zalicza się wiele powszechnie stosowanych aplikacji AI, takich jak:

  • filtry antyspamowe,
  • systemy rekomendacji treści,
  • narzędzia wspierające analizę danych.

9. Modele AI ogólnego przeznaczenia (General-Purpose AI)

AI Act wprowadza również odrębny reżim regulacyjny dotyczący modeli sztucznej inteligencji ogólnego przeznaczenia (General-Purpose AI, GPAI).

Są to modele AI, które mogą być wykorzystywane w wielu różnych zastosowaniach oraz integrowane z różnymi systemami informatycznymi. Do tej kategorii należą w szczególności duże modele językowe (LLM) oraz inne modele generatywne.

AI Act przewiduje również szczególną kategorię modeli ogólnego przeznaczenia o znaczeniu systemowym (GPAI models with systemic risk), które ze względu na swoją skalę, zdolności obliczeniowe oraz potencjalny wpływ na rynek mogą wymagać dodatkowych obowiązków regulacyjnych.

10. Główne role regulacyjne w AI Act

AI Act obejmuje różne kategorie uczestników rynku sztucznej inteligencji. Zakres obowiązków regulacyjnych zależy od roli pełnionej przez dany podmiot w łańcuchu dostaw systemów AI.

Tabela 3. Główne role regulacyjne w AI Act

Podmiot

Rola w ekosystemie AI

Przykład

Dostawca (Provider)

podmiot opracowujący system AI lub wprowadzający go na rynek pod własną nazwą lub znakiem towarowym

firma tworząca system AI lub sprzedająca go pod własną marką

Podmiot wykorzystujący system AI (Deployer)

organizacja wykorzystująca system AI w swojej działalności operacyjnej

bank wykorzystujący AI do oceny zdolności kredytowej

Importer (Importer)

podmiot wprowadzający na rynek Unii Europejskiej system AI pochodzący z państwa trzeciego

firma importująca rozwiązanie AI spoza UE

Dystrybutor (Distributor)

podmiot udostępniający system AI w łańcuchu dostaw

reseller technologii

W praktyce szczególne znaczenie ma rozróżnienie pomiędzy dostawcą systemu AI (provider), który wprowadza system na rynek, a podmiotem wykorzystującym system (deployer), który stosuje go w swojej działalności operacyjnej.

11. Eksterytorialny zakres regulacji

Istotną cechą AI Act jest jego eksterytorialny charakter, który może prowadzić do zastosowania przepisów także wobec podmiotów spoza Unii Europejskiej.

Regulacja może mieć zastosowanie w sytuacji, gdy:

  • system AI jest wprowadzany na rynek UE,
  • wyniki działania systemu AI są wykorzystywane na terytorium UE.

W praktyce oznacza to, że regulacja może mieć wpływ na działalność globalnych przedsiębiorstw technologicznych.

12. Dlaczego AI Act może stać się globalnym standardem regulacji AI

AI Act jest często postrzegany jako potencjalny punkt odniesienia dla przyszłych regulacji dotyczących sztucznej inteligencji na świecie.

Podobnie jak wcześniej w przypadku GDPR/RODO, europejska regulacja może wywierać wpływ na globalne standardy zarządzania technologią.

Jednym z powodów jest eksterytorialny charakter regulacji, który sprawia, że przedsiębiorstwa technologiczne działające globalnie mogą być zmuszone dostosować swoje systemy AI do europejskich wymogów regulacyjnych.

Drugim czynnikiem jest model regulacji oparty na poziomach ryzyka, który umożliwia różnicowanie obowiązków regulacyjnych w zależności od potencjalnego wpływu technologii na społeczeństwo.

13. Harmonogram stosowania przepisów AI Act

AI Act wszedł w życie 1 sierpnia 2024 r., natomiast większość jego przepisów zacznie być stosowana w kolejnych latach zgodnie z harmonogramem przedstawionym poniżej. 

Tabela 4. Harmonogram stosowania przepisów AI Act

Etap regulacyjny

Data rozpoczęcia stosowania

Zakres regulacji

Zakazane praktyki AI

2 lutego 2025 r.

rozpoczęcie stosowanie przepisów dotyczących zakazanych praktyk AI

Modele ogólnego przeznaczenia (GPAI)

2 sierpnia 2025 r.

rozpoczęcie stosowanie obowiązków dotyczących modeli AI ogólnego przeznaczenia (GPAI)

Główne przepisy AI Act

2 sierpnia 2026 r.

zaczyna obowiązywać większość przepisów regulacji, w tym wymogi dla systemów wysokiego ryzyka

Regulacje sektorowe

2 sierpnia 2027 r.

pełne stosowanie wybranych przepisów dotyczących systemów wysokiego ryzyka objętych regulacjami sektorowymi

14. Co organizacje powinny zrobić już teraz?

W kontekście nadchodzących obowiązków regulacyjnych organizacje powinny rozpocząć przygotowania do wdrożenia nowych wymogów.

Podstawowe działania obejmują:

  • identyfikację systemów AI wykorzystywanych w organizacji,
  • klasyfikację systemów według poziomu ryzyka,
  • analizę obowiązków regulacyjnych,
  • wdrożenie procedur AI governance,
  • przygotowanie dokumentacji compliance.

15. Kluczowe pytania dotyczące AI Act

Czy AI Act dotyczy firm spoza Unii Europejskiej?

Tak. Regulacja może mieć zastosowanie do organizacji spoza UE, jeżeli systemy AI są wprowadzane na rynek europejski lub ich wyniki są wykorzystywane na terytorium Unii.

Czym jest system AI wysokiego ryzyka?

System AI wysokiego ryzyka to system, który może mieć istotny wpływ na prawa jednostki lub bezpieczeństwo publiczne, np. system wykorzystywany w procesach rekrutacyjnych.

Kto ponosi obowiązki wynikające z AI Act?

Obowiązki regulacyjne mogą dotyczyć dostawców systemów AI, ich użytkowników, importerów oraz dystrybutorów technologii.

Jakie sankcje przewiduje AI Act?

W najpoważniejszych przypadkach sankcje administracyjne mogą wynosić do 35 mln euro lub do 7% globalnego rocznego obrotu przedsiębiorstwa.