Prawo Nowych Technologii

  • Systemy AI wysokiego ryzyka

    Systemy AI wysokiego ryzyka

    Systemy AI wysokiego ryzyka

    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji) , zwany skrótowo AI Act to akt prawny, kóry ustanawia, jak to określa Komisja Europejska  pierwsze w historii ramy prawne dotyczące sztucznej inteligencji, które uwzględniają zagrożenia związane ze sztuczną inteligencją i stawiają Europę w roli globalnego lidera. Więcej o AI Act.

    Klasyfikacja systemów AI jako systemów AI wysokiego ryzyka

    AI Act w art. 6 ust. 1 stanowi, że bez względu na to, czy system AI wprowadza się do obrotu lub oddaje do użytku niezależnie od produktów, o których mowa w lit. a) i b), taki system AI uznaje się za system wysokiego ryzyka, jeżeli spełnione są oba poniższe warunki:

    a) system AI jest przeznaczony do wykorzystania jako związany z bezpieczeństwem element produktu objętego unijnym prawodawstwem harmonizacyjnym wymienionym w załączniku I lub sam system AI jest takim produktem;

    b) produkt, którego związanym z bezpieczeństwem elementem jest zgodnie z lit. a) system AI, lub sam system AI jako produkt podlegają – na podstawie unijnego prawodawstwa harmonizacyjnego wymienionego w załączniku I – ocenie zgodności przez stronę trzecią w związku z wprowadzeniem tego produktu do obrotu lub oddaniem go do użytku.

    Systemy AI wymienione w załączniku III do AI Act

    AI Act za systemy wysokiego ryzyka uznaje także systemy AI, o których mowa w załączniku III do AI Act.

    W załączniku tym wymieniono osiem obszarów, takich jak np. biometria, infrastruktura krytyczna, zatrudnienie, zarządzanie pracownikami i dostęp do samozatrudnienia, a w ramach tych obszarów poszczególne rodzaje systemów AI, np. systemy AI przeznaczone do wykorzystywania do celów rekrutacji lub wyboru osób fizycznych.

  • Ochrona danych osobowych w CEIDG

    Ochrona danych osobowych w CEIDG

    Ochrona danych osobowych w CEIDG

    Ochrona danych osobowych w CEIDG stała się przedmiotem zainteresowania Prezesa Urzędu Ochrony Danych Osobowych, kóry poinformował w dniu 8 sierpnia 2025 roku na stronie internetowej Urzędu Ochrony Danych Osobowych o swoim wystąpieniu do Ministra Finansów i Gospodarki (sygn. DPNT.413.32.2025) zawierającym wniosek o podjęcie działań legislacyjnych mających na celu rewizję funkcjonującego obecnie modelu powszechnej dostępności danych osobowych osób fizycznych będących przedsiębiorcami zamieszczonych w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG).

    Nowe ryzyka

    Prezes UODO zwraca w wystąpieniu uwagę, że model wpisywania i ujawniania danych przedsiębiorców do CEIDG zasadniczo nie uległ zmianie od 2011 roku, podczas gdy w tym czasie doszło do szybkiego szybkiego postępu technologicznemu i towarzyszącego mu rozwojowi procesów i metod przetwarzania danych osobowych, co wiąże się z pojawieniem się nowych ryzyk związanych z przetwarzaniem danych osobowych dostępnych w CEIDG.

    Prezes UODO zwrócił w szczególności uwagę na narastającą tendencję do podejmowania prób zautomatyzowanego pobierania danych z publicznych rejestrów, w celu łączenia ich z innymi danymi, profilowania, śledzenia, czy też dalszego wykorzystywania w różnych zamiarach, także z zastosowaniem algorytmów sztucznej inteligencji (AI).

    Stanowisko TSUE w sprawie rejestrów beneficjentów rzeczywistych

    Prezes UODO przedstawiając potrzebę rewizji funkcjonującego obecnie modelu powszechnej dostępności danych osobowych osób fizycznych będących przedsiębiorcami zamieszczonych w CEIDG odniósł się m.in. do stanowiska Trybunału Sprawiedliwości Unii Europejskiej (TSUE) wyrażonego w wyroku z 22 listopada 2022 r. w sprawie C-37/20, dotyczącego uzyskiwania danych z krajowych rejestrów beneficjentów rzeczywistych.

    Adres prowadzenia działalności gospodarczej a adres zamieszkania

    Zasadniczym problemem, na który uwagę zwrócił w w/w stanowisku Prezes UODO, jest fakt, iż często adres prowadzenia działalności gospodarczej jest adresem zamieszkania lub stałego pobytu przedsiębiorcy, co rodzi zagrożenia dla życia prywatnego i rodzinnego przedsiębiorcy.

    W tym kontekście Prezes UODO odwołał się do apelu Naczelnej Izby Lekarskiej i zagrożeń dla lekarzy prowadzących praktykę w miejscu zamieszkania.

    Zasadność rewizji obecnego modelu

    Ochrona danych osobowych w CEIDG wymaga w ocenie Prezesa UODO dokonania rewizji modelu powszechnej jawności danych osobowych przedsiębiorców podlegających wpisowi do CEIDG.

    Autor artykułu: radca prawny Michał Kowalski

  • Definicja systemu sztucznej inteligencji

    Definicja systemu sztucznej inteligencji

    Definicja systemu sztucznej inteligencji

    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji), zwany skrótowo AI Act to akt prawny, który ustanawia, jak to określa Komisja Europejskpierwsze w historii ramy prawne dotyczące sztucznej inteligencji, które uwzględniają zagrożenia związane ze sztuczną inteligencją i stawiają Europę w roli globalnego lidera.

    Systemy AI – definicja

    System AI jest definiowany w AI Act (art. 3 pkt 1) jako system maszynowy, który został zaprojektowany do działania z różnym poziomem autonomii po jego wdrożeniu oraz który może wykazywać zdolność adaptacji po jego wdrożeniu, a także który – na potrzeby wyraźnych lub dorozumianych celów – wnioskuje, jak generować na podstawie otrzymanych danych wejściowych wyniki, takie jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne lub wirtualne.

    Wytyczne Komisji dotyczące definicji systemu sztucznej inteligencji

    AI Act nałożył w art. 96 ust. 1 lit. f) na Komisję Europejską obowiązek opracowania wytycznych dotyczących praktycznego wdrażania tego rozporządzenia w zakresie stosowania definicji systemu AI określonej w art. 3 pkt 1 AI Act.

    Komisja wykonała powyższy obowiązek, a opracowane wytyczne zostały opublikowane 6 lutego 2025 roku.

    Brak możliwości przedstawienia wyczerpującego wykazu potencjalnych systemów AI

    Komisja w wytycznych wskazuje, że ze względu na dużą różnorodność systemów AI nie jest możliwe przedstawienie w niniejszych wytycznych wyczerpującego wykazu wszystkich potencjalnych systemów AI. Jest to zgodne z motywem 12 aktu w sprawie sztucznej inteligencji, w którym wyjaśniono, że pojęcie „systemu AI” powinno być jasno zdefiniowane przy jednoczesnym „zapewnieniu swobody umożliwiającej dostosowanie się do szybkiego rozwoju technologicznego w tej dziedzinie”. Definicja systemu AI nie powinna być stosowana w sposób mechaniczny; każdy system należy oceniać na podstawie jego szczególnych cech.

    Charakter wytycznych


    W wytycznych wyjaśniono, że nie mają one charakteru wiążącego, a wszelkiej autorytatywnej wykładni aktu w sprawie sztucznej inteligencji może ostatecznie dokonywać wyłącznie Trybunał Sprawiedliwości Unii Europejskiej („TSUE”)

    Definicja systemu sztucznej inteligencji – główne elementy

    Wytyczne wyjaśniają, że definicja systemu sztucznej inteligencji zamieszczona w AI Act  obejmuje siedem głównych elementów: 

    1) system maszynowy; 

    2) który został zaprojektowany do działania z różnym poziomem autonomii; 

    3) który może wykazywać zdolność adaptacji po jego wdrożeniu; 

    4) a także który – na potrzeby wyraźnych lub dorozumianych celów; 

    5) wnioskuje, jak generować na podstawie otrzymanych danych wejściowych wyniki, 

    6) takie jak predykcje, treści, zalecenia lub decyzje, 

    7) które mogą wpływać na środowisko fizyczne lub wirtualne. 

    Perspektywa opartą na cyklu życia

    W wytyczny Komisja zauważa, że w definicji systemu AI przyjęto perspektywę opartą na cyklu życia obejmującą dwa główne etapy:

    1) etap przed wdrożeniem, czyli etap „tworzenia” systemu, oraz

    2)  etap po wdrożeniu, czyli etap „wykorzystywania” systemu.

    Siedem elementów wymienionych w tej definicji nie musi być stale obecnych na obu etapach tego cyklu życia. Zamiast tego w definicji uznano, że poszczególne elementy mogą pojawiać na jednym etapie, ale mogą nie utrzymywać się na obu. To podejście do zdefiniowania systemu AI jest odzwierciedleniem złożoności i różnorodności systemów AI, co gwarantuje, że definicja odpowiada celom aktu w sprawie sztucznej inteligencji poprzez uwzględnienie szerokiego zakresu systemów AI.

    Autor: radca prawny Michał Kowalski
    Okręgowa Izba Radców Prawnych w Lublinie Lb-1484
    Kontakt

  • Zakazane praktyki w zakresie sztucznej inteligencji

    Zakazane praktyki w zakresie sztucznej inteligencji

    Zakazane praktyki w zakresie sztucznej inteligencji

    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji) , zwany skrótowo AI Act, ustanawia ramy prawne dla sztucznej inteligencji.

    O AI Act więcej tutaj.

    W artykule 5 AI Act określone zostały zakazane praktyki w zakresie AI, w tym w pierwszej kolejności następująca praktyka: wprowadzanie do obrotu, oddawania do użytku lub wykorzystywania systemu AI, który stosuje techniki podprogowe będące poza świadomością danej osoby lub celowe techniki manipulacyjne lub wprowadzające w błąd, czego celem lub skutkiem jest dokonanie znaczącej zmiany zachowania danej osoby lub grupy osób poprzez znaczące ograniczenie ich zdolności do podejmowania świadomych decyzji, powodując tym samym podjęcie przez nie decyzji, której inaczej by nie podjęły, w sposób, który wyrządza lub może wyrządzić u niej, u innej osoby lub u grupy osób poważną szkodę.

    Wytyczne Komisji w sprawie zakazanych praktyk w zakresie sztucznej inteligencji

    AI Act nałożył w art. 96 ust. 1 lit. b) na Komisję Europejską obowiązek opracowania wytycznych dotyczących praktycznego wdrażania tego rozporządzenia w zakresie zakazanych praktyk, o których mowa w art. 5 AI Act.

    Komisja wykonała powyższy obowiązek, a opracowane wytyczne zostały opublikowane 4 lutego 2025 roku.

    Cel wytycznych

    Komisja wyjaśniła w wytycznych, że mają one na celu zwiększenie jasności prawa i zapewnienie informacji na temat tego, jak Komisja interpretuje zakazy zawarte w art. 5 aktu w sprawie sztucznej inteligencji, z myślą o zapewnieniu ich spójnego, skutecznego i jednolitego stosowania. Wytyczne te powinny pełnić rolę praktycznych wskazówek pomagających właściwym organom określonym w akcie w sprawie sztucznej inteligencji w działaniach w zakresie egzekwowania przepisów, a także dostawcom systemów AI i podmiotom je stosującym w wypełnianiu obowiązków wynikających z tego aktu. Zgodnie z założeniem interpretacja zakazów przedstawiona w wytycznych ma być proporcjonalna, co umożliwi osiągnięcie celów aktu w sprawie sztucznej inteligencji w zakresie ochrony praw podstawowych i bezpieczeństwa, zarazem promując innowacje i zapewniając pewność prawa. 

    Charakter wytycznych

    W wytycznych wyjaśniono, że nie mają one charakteru wiążącego, a wszelkiej autorytatywnej wykładni aktu w sprawie sztucznej inteligencji może ostatecznie dokonywać wyłącznie Trybunał Sprawiedliwości Unii Europejskiej („TSUE”)

    Zakazane praktyki w zakresie sztucznej inteligencji – przykłady

    Zakazane praktyki w zakresie sztucznej inteligencji oraz pojęcia stosowane w AI Act w tym kontekście zostały w wytycznych określone na podstawie podanych w nich przykładów, przy czym wytyczne zastrzegają, że stosowanie art. 5 aktu w sprawie sztucznej inteligencji będzie wymagać indywidualnej oceny, z należytym uwzględnieniem konkretnej sytuacji w danym przypadku. W związku z tym przykłady podane w niniejszych wytycznych mają jedynie charakter orientacyjny i pozostają bez uszczerbku dla konieczności przeprowadzenia takiej oceny w każdym przypadku

    Autor: radca prawny Michał Kowalski

    Okręgowa Izba Radców Prawnych w Lublinie Lb-1484
    Kontakt

  • Akt w sprawie sztucznej inteligencji

    Akt w sprawie sztucznej inteligencji

    Akt w sprawie sztucznej inteligencji

    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji) , zwany skrótowo AI Act to akt prawny, kóry ustanawia, jak to określa Komisja Europejska  pierwsze w historii ramy prawne dotyczące sztucznej inteligencji, które uwzględniają zagrożenia związane ze sztuczną inteligencją i stawiają Europę w roli globalnego lidera.

    Cel aktu

    Akt w sprawie sztucznej inteligencji w motywie pierwszym wyjaśnia, że celem tego rozporządzenia jest poprawa funkcjonowania rynku wewnętrznego przez ustanowienie jednolitych ram prawnych, w szczególności w zakresie rozwoju, wprowadzania do obrotu, oddawania do użytku i wykorzystywania systemów sztucznej inteligencji (zwanych dalej „systemami AI”) w Unii, zgodnie z wartościami Unii, w celu promowania upowszechniania zorientowanej na człowieka i godnej zaufania sztucznej inteligencji (AI) przy jednoczesnym zapewnieniu wysokiego poziomu ochrony zdrowia, bezpieczeństwa, praw podstawowych zapisanych w Karcie praw podstawowych Unii Europejskiej (zwanej „Kartą”), w tym demokracji, praworządności i ochrony środowiska, ochrony przed szkodliwymi skutkami systemów AI w Unii, a także wspierania innowacji.

    Przepis art. 1 ust. 1 AI Act stanowi, że celem niniejszego rozporządzenia jest poprawa funkcjonowania rynku wewnętrznego i promowanie upowszechniania zorientowanej na człowieka i godnej zaufania sztucznej inteligencji (AI), przy jednoczesnym zapewnieniu wysokiego poziomu ochrony zdrowia, bezpieczeństwa, praw podstawowych zapisanych w Karcie, w tym demokracji, praworządności i ochrony środowiska, przed szkodliwymi skutkami systemów AI w Unii oraz wspieraniu innowacji.

    Przedmiot AI Act

    Akt w sprawie sztucznej inteligencji, jak wskazuje to art. 1 ust. 2, ustanawia:

    a) zharmonizowane przepisy dotyczące wprowadzania do obrotu, oddawania do użytku oraz wykorzystywania systemów AI w Unii;

    b) zakazy dotyczące niektórych praktyk w zakresie AI;

    c) szczególne wymogi dotyczące systemów AI wysokiego ryzyka oraz obowiązki spoczywające na operatorach takich systemów;

    d) zharmonizowane przepisy dotyczące przejrzystości w przypadku niektórych systemów AI;

    e) zharmonizowane przepisy dotyczące wprowadzania do obrotu modeli AI ogólnego przeznaczenia;

    f) przepisy dotyczące monitorowania wprowadzania do obrotu, nadzoru rynku, zarządzania i egzekwowania;

    g) środki wspierające innowacje, ze szczególnym uwzględnieniem MŚP, w tym przedsiębiorstw typu start-up

    Zakres zastosowania

    Akt w sprawie sztucznej inteligencji stosuje się do: 

    a) dostawców wprowadzających do obrotu lub oddających do użytku systemy AI lub wprowadzających do obrotu modele AI ogólnego przeznaczenia w Unii, niezależnie od tego, czy dostawcy ci mają siedzibę lub znajdują się w Unii czy w państwie trzecim; 

    b) podmiotów stosujących systemy AI, które to podmioty mają siedzibę lub znajdują się w Unii; 

    c) dostawców systemów AI i podmiotów stosujących systemy AI, którzy mają siedzibę lub znajdują się w państwie trzecim, w przypadku gdy wyniki wytworzone przez system AI są wykorzystywane w Unii; 

    d) importerów i dystrybutorów systemów AI; 

    e) producentów produktu, którzy pod własną nazwą lub znakiem towarowym oraz wraz ze swoim produktem wprowadzają do obrotu lub oddają do użytku system AI; 

    f) upoważnionych przedstawicieli dostawców niemających siedziby w Unii; 

    g) osób, na które AI ma wpływ i które znajdują się w Unii.  

    Systemy AI – definicja

    System AI jest definiowany w AI Act jako system maszynowy, który został zaprojektowany do działania z różnym poziomem autonomii po jego wdrożeniu oraz który może wykazywać zdolność adaptacji po jego wdrożeniu, a także który – na potrzeby wyraźnych lub dorozumianych celów – wnioskuje, jak generować na podstawie otrzymanych danych wejściowych wyniki, takie jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne lub wirtualne.

    Zakazane praktyki w zakresie AI

    Akt w sprawie sztucznej inteligencji w przepisie art. 5 zakazuje wymienionych w nim praktyk w zakresie AI.

    Autor: radca prawny Michał Kowalski
    Okręgowa Izba Radców Prawnych w Lublinie Lb-1484
    Kontakt

  • Dyrektywa NIS 2

    Dyrektywa NIS 2

    Dyrektywa NIS 2

    Dyrektywa NIS 2 to Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2).

    Dyrektywa NIS

    Dyrektywa NIS 2 uchyla Dyrektywę NIS, czyli Dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, która stanowiła pierwsze podejście do ustanowienia ogólnounijnych przepisów dotyczących cyberbezpieczeństwa.

    Jak wskazano w motywach do Dyrektywy NIS 2 przegląd Dyrektywy NIS ujawnił tkwiące w niej braki, które uniemożliwiają skuteczne zaradzenie obecnym i pojawiającym się wyzwaniom w zakresie cyberbezpieczeństwa. Zauważono także, że w Dyrektywie NIS zapewniono państwom członkowskim bardzo duży margines swobody także w odniesieniu do wdrażania ustanowionych w niej obowiązków dotyczących bezpieczeństwa i zgłaszania incydentów. W rezultacie obowiązki te zostały wdrożone na poziomie krajowym w bardzo różny sposób.

    Cel Dyrektywy NIS 2

    Celem Dyrektywy NIS jest więc wyeliminowanie takich rozbieżności między państwami członkowskimi, w szczególności przez określenie przepisów minimalnych dotyczących funkcjonowania skoordynowanych ram regulacyjnych, ustanowienie mechanizmów skutecznej współpracy między odpowiedzialnymi organami w poszczególnych państwach członkowskich, zaktualizowanie wykazu sektorów i działań podlegających obowiązkom w zakresie cyberbezpieczeństwa oraz wprowadzenie skutecznych środków naprawczych i środków egzekwowania, które są kluczowe dla skutecznego egzekwowania tych obowiązków (motyw 5).

    Motywy Dyrektywy NIS 2 wskazują także (motyw 6), że celem tej dyrektywy jest rozszerzenie zakresu stosowania przepisów przez poszczególne sektory na większą część gospodarki, aby zapewnić całościowe uwzględnienie sektorów i usług mających istotne znaczenie dla kluczowych rodzajów działalności społecznej i gospodarczej na rynku wewnętrznym. Za nieaktualne uznano m.in. rozróżnienie operatorów usług kluczowych i dostawców usług cyfrowych.

    Zakres zastosowania

    Motyw 7 do Dyrektywy NIS 2 wyjaśnia, że zakres stosowania niniejszej dyrektywy obejmuje wszystkie podmioty, które kwalifikują się jako średnie przedsiębiorstwa na podstawie art. 2 załącznika do zalecenia Komisji 2003/361/WE (5) lub które przekraczają pułapy dla średnich przedsiębiorstw określone w ust. 1 tego artykułu oraz które działają w sektorach objętych tą dyrektywą lub świadczą objęte nią rodzaje usług lub prowadzą objętą nią działalność. Państwa członkowskie powinny również zapewnić objęcie zakresem niniejszej dyrektywy niektórych małych przedsiębiorstw i mikroprzedsiębiorstw zgodnie z definicją w art. 2 ust. 2 i 3 tego załącznika, które spełniają szczególne kryteria wskazujące na kluczową rolę dla społeczeństwa, gospodarki lub konkretnych sektorów lub rodzajów usług.

    Podmioty kluczowe i ważne

    Motyw 15 do Dyrektywy NIS 2 wyjaśnia, że podmioty, które są objęte zakresem stosowania niniejszej dyrektywy w celu przestrzegania środków zarządzania ryzykiem w cyberbezpieczeństwie i obowiązków dotyczących zgłaszania incydentów, należy podzielić na dwie kategorie – podmioty kluczowe i podmioty ważne, w zależności od tego, jak bardzo ich znaczenie jest zasadnicze dla ich sektorów lub dla rodzaju świadczonych przez nie usług, a także od ich wielkości.

    Michał Kowalski

    radca prawny

    Lb-1484

    Kancelaria Radcy Prawnego Michał Kowalski