Autor: admin

Ustawa o systemach sztucznej inteligencji

Ustawa o systemach sztucznej inteligencji, której projekt z 2 września 2025 roku jest procedowany obecnie (20.11.2025 roku) przez Komitet Stały Rady Ministrów ma służyć stosowaniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji), o którym więcej można przeczytać tutaj .

Przedmiot ustawy

Projekt w art. 1 wskazuje, że ustawa określa:

1) organizację i sposób sprawowania nadzoru nad rynkiem systemów sztucznej inteligencji oraz modelami sztucznej inteligencji ogólnego przeznaczenia w zakresie objętym przepisami aktu w sprawie sztucznej inteligencji;
2) postępowanie w sprawie naruszenia przepisów aktu w sprawie sztucznej inteligencji i ustawy;
3) warunki i tryb akredytacji oraz notyfikacji jednostek oceniających zgodność;
4) sposób zgłaszania poważnych incydentów zaistniałych w związku z wykorzystaniem systemów sztucznej inteligencji;
5) działania wspierające rozwój systemów sztucznej inteligencji;

6) zasady nakładania administracyjnych kar pieniężnych za naruszenie przepisów aktu w sprawie sztucznej inteligencji.

Podmiotowy zakres zastosowania ustawy

Ustawa ma być stosowana, zgodnie z projektowanym art. 2 ust. 1 ustawy, do podmiotów, o których mowa w art. 2 ust. 1 aktu w sprawie sztucznej inteligencji, z wyłączeniem:

1) osób fizycznych w zakresie obowiązków podmiotów stosujących akt w sprawie sztucznej inteligencji, jeżeli stosują one system sztucznej inteligencji wyłącznie dla celów osobistych i nie pozostających w związku z:
a) działalnością, o której mowa w art. 2 ust. 1 i 2 ustawy z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych,
b) działalnością gospodarczą, o której mowa w art. 3 w związku z art. 4 ust. 1 i 2 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców,
c) działalnością nieewidencjonowaną, o której mowa w art. 5 ust. 1-4 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców,
d) działalnością, o której mowa w art. 6 ust. 1 pkt 1-5 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców,
e) działalnością rolniczą, o której mowa w art. 2 pkt 3 ustawy z dnia 11 kwietnia 2003 r. o kształtowaniu ustroju rolnego;
2) organów publicznych, o których mowa w art. 2 ust. 4 aktu w sprawie sztucznej inteligencji.

Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji

Ustawa o systemach sztucznej inteligencji (projekt z 2 września 2025 roku) przewiduje, że organem nadzoru rynku w zakresie systemów sztucznej inteligencji w rozumieniu art. 70 ust. 1 aktu w sprawie sztucznej inteligencji będzie Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji.

W skład Komisji wchodzą Przewodniczący Komisji, dwóch Zastępców Przewodniczącego Komisji oraz czterech członków Komisji

Członkami Komisji są przedstawiciele:
1) Prezesa Urzędu Ochrony Konkurencji i Konsumentów;
2) Komisji Nadzoru Finansowego;
3) Krajowej Rady Radiofonii i Telewizji;
4) Prezesa Urzędu Komunikacji Elektronicznej

Kontrola przestrzegania przepisów o sztucznej inteligencji

Zgodnie z projektem ustawy komisja może prowadzić kontrolę przestrzegania przepisów  aktu w sprawie sztucznej inteligencji 

Komisja wszczyna kontrolę:

1) z urzędu;
2) na wniosek Przewodniczącego Komisji, Zastępcy Przewodniczącego Komisji lub członka Komisji;
3) na wniosek organu lub podmiotu, o którym mowa w art. 77 rozporządzenia 2024/1689.

Przeczytaj także o systemach sztucznej inteligencji wysokiego ryzyka

Shadow AI

Shadow AI to określenie nowego zjawiska podobnego do znanego od lat zjawiska Shadow IT, czyli sytuacji, w której personel organizacji wykorzystuje do celów służbowych określone oprogramowanie, sprzęt IT, zasoby chmurowe bez zgody samej organizacji.

W przypadku Shadow AI pracownicy korzystają z systemów sztucznej inteligencji w celach służbowych bez wiedzy i zgody pracodawcy.

Przypadki Shadow AI

Shadow AI może przybrać postać np.:

1) instalacji przez pracowników na służbowym sprzęcie oprogramowania AI;

2) korzystania przez pracowników z prywatnych kont pracowników w systemach AI.

Ryzyka

Zjawisko Shadow AI niesie za sobą szereg ryzyk, np.:

1) ryzyko cyberataku z wykorzystaniem aplikacji systemu sztucznej inteligencji zainstalowanego przez pracownika na sprzęcie pracodawcy;

2) ryzyko ujawnienia danych chronionych poprzez umieszczenie ich przez pracownika w treści „promptu” w systemie sztucznej inteligencji;

3) naruszenie przepisów o ochronie danych (np RODO)

4) naruszenie przepisów zakazujących stosowania niektórych systemów AI

5) pominięcie istotnych etapów podejmowania decyzji (pracownik korzystający z pomocy systemu AI dąży do uzyskania finalnego „produktu” pomijając etap analiz i testowania rozwiązań)

6) pominięcie lepszych rozwiązań – rozwiązanie podsunięte przez system AI może nie być najlepszym w danym przypadku

7) podjęcie decyzji na podstawie „halucynacji” systemu AI lub obciążonej zjawiskiem „bias”

Zapobieganie

Ryzyka związane z Shadow AI można ograniczać stosując np. następujące środki:

1) edukacja personelu pod kątem ryzyk korzystania z systemów AI, w tym niezatwierdzonych systemów AI;

2) audyty IT;

3) wprowadzenie procedur bezpieczeństwa nakierowanych na ryzyka Shadow IT.

AI Compliance Specialist to nazwa nowego stanowiska w zespołach compliance zajmującego się zapewnieniem zgodności w zakresie związanym z systemami sztucznej inteligencji.

Ryzyka związane z systemami AI

Oprócz korzyści jak często wymieniane przyśpieszenie wykonywania zadań, korzystanie z systemów AI może wiązać się z szeregiem ryzyk. Ryzyka te mogą wystąpić zarówno dla udostępniających system, jak też ich użytkowników. Najczęściej opisuje się przypadki takie jak „bias” czy „halucynacje”, ale to nie jedyne zagrożenia.

Korzystanie przez przedsiębiorców z systemów sztucznej inteligencji może wiązać się z różnymi ryzykami, w tym np.:

1) ujawnienia poufnych danych,

2) wycieku danych osobowych klientów,

3) naruszenia praw autorskich;

4) naruszenia przepisów AI Act,

5) podejmowania decyzji w oparciu o błędne dane uzyskane z systemu AI.

AI Compliance Specialist 

AI Compliance Specialist może być osobą, która w firmie:

1) dokonuje kompleksowego audytu stosowanych w firmie systemów AI;

2) wskazuje zarządzającym firmom na stwierdzone nieprawidłowości oraz luki;

3) formułuje zalecenia dla zarządu w sprawie wykorzystania systemów AI;

4) opracuje strategie, polityki oraz procedury stosowania systemów AI w firmie;

5) tworzy i prowadzi rejestr wykorzystywanych systemów AI;

6) dokonuje klasyfikacji systemów AI na potrzeby AI Act;

7) doradza w procesie wdrażania nowych produktów z wykorzystaniem AI;

8) monitoruje wykorzystanie systemów AI w firmie prowadząc okresowe audyty;

9) informuje zarząd firmy o zmianach prawa w zakresie wykorzystywania systemów AI.

AI Act

Systemy sztucznej inteligencji to tematyka, która dopiero zaczyna być regulowana przepisami prawa.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji), zwany skrótowo AI Act to akt prawny, który ustanawia, jak to określa Komisja Europejska pierwsze w historii ramy prawne dotyczące sztucznej inteligencji, które uwzględniają zagrożenia związane ze sztuczną inteligencją i stawiają Europę w roli globalnego lidera.

AI Act stanowi obszerną regulację, której wdrożenie i stosowanie przez przedsiębiorców wymaga znajomości specyficznych zagadnień o charakterze technicznym związanych z systemami sztucznej inteligencji. 

AI Act m.in. wprowadza klasyfikację systemów sztucznej inteligencji na:

1) zakazane systemy AI

2) systemy AI wysokiego ryzyka

3) systemy AI ograniczonego ryzyka

4) systemy AI minimalnego ryzyka

Zakazane praktyki w zakresie sztucznej inteligencji

W artykule 5 AI Act określone zostały zakazane praktyki w zakresie AI. W pierwszej kolejności następująca praktyka: wprowadzanie do obrotu, oddawania do użytku lub wykorzystywania systemu AI, który stosuje techniki podprogowe będące poza świadomością danej osoby lub celowe techniki manipulacyjne lub wprowadzające w błąd, czego celem lub skutkiem jest dokonanie znaczącej zmiany zachowania danej osoby lub grupy osób poprzez znaczące ograniczenie ich zdolności do podejmowania świadomych decyzji, powodując tym samym podjęcie przez nie decyzji, której inaczej by nie podjęły, w sposób, który wyrządza lub może wyrządzić u niej, u innej osoby lub u grupy osób poważną szkodę.

 Osoba pełniąca w firmie funkcję AI Compliance Specialist niewątpliwie musi dogłębnie znać przepisy AI Act i treść wytycznych wydanych na jego podstawie oraz potrafić je zastosować w realiach danej firmy.