Prawo Nowych Technologii

Kategoria: AI

  • Ustawa o systemach sztucznej inteligencji

    Ustawa o systemach sztucznej inteligencji

    Ustawa o systemach sztucznej inteligencji

    Ustawa o systemach sztucznej inteligencji, której projekt z 2 września 2025 roku jest procedowany obecnie (20.11.2025 roku) przez Komitet Stały Rady Ministrów ma służyć stosowaniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji), o którym więcej można przeczytać tutaj .

    Przedmiot ustawy

    Projekt w art. 1 wskazuje, że ustawa określa:

    1) organizację i sposób sprawowania nadzoru nad rynkiem systemów sztucznej inteligencji oraz modelami sztucznej inteligencji ogólnego przeznaczenia w zakresie objętym przepisami aktu w sprawie sztucznej inteligencji;
    2) postępowanie w sprawie naruszenia przepisów aktu w sprawie sztucznej inteligencji i ustawy;
    3) warunki i tryb akredytacji oraz notyfikacji jednostek oceniających zgodność;
    4) sposób zgłaszania poważnych incydentów zaistniałych w związku z wykorzystaniem systemów sztucznej inteligencji;
    5) działania wspierające rozwój systemów sztucznej inteligencji;

    6) zasady nakładania administracyjnych kar pieniężnych za naruszenie przepisów aktu w sprawie sztucznej inteligencji.

    Podmiotowy zakres zastosowania ustawy

    Ustawa ma być stosowana, zgodnie z projektowanym art. 2 ust. 1 ustawy, do podmiotów, o których mowa w art. 2 ust. 1 aktu w sprawie sztucznej inteligencji, z wyłączeniem:

    1) osób fizycznych w zakresie obowiązków podmiotów stosujących akt w sprawie sztucznej inteligencji, jeżeli stosują one system sztucznej inteligencji wyłącznie dla celów osobistych i nie pozostających w związku z:
    a) działalnością, o której mowa w art. 2 ust. 1 i 2 ustawy z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych,
    b) działalnością gospodarczą, o której mowa w art. 3 w związku z art. 4 ust. 1 i 2 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców,
    c) działalnością nieewidencjonowaną, o której mowa w art. 5 ust. 1-4 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców,
    d) działalnością, o której mowa w art. 6 ust. 1 pkt 1-5 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców,
    e) działalnością rolniczą, o której mowa w art. 2 pkt 3 ustawy z dnia 11 kwietnia 2003 r. o kształtowaniu ustroju rolnego;
    2) organów publicznych, o których mowa w art. 2 ust. 4 aktu w sprawie sztucznej inteligencji.

    Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji

    Ustawa o systemach sztucznej inteligencji (projekt z 2 września 2025 roku) przewiduje, że organem nadzoru rynku w zakresie systemów sztucznej inteligencji w rozumieniu art. 70 ust. 1 aktu w sprawie sztucznej inteligencji będzie Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji.

    W skład Komisji wchodzą Przewodniczący Komisji, dwóch Zastępców Przewodniczącego Komisji oraz czterech członków Komisji

    Członkami Komisji są przedstawiciele:
    1) Prezesa Urzędu Ochrony Konkurencji i Konsumentów;
    2) Komisji Nadzoru Finansowego;
    3) Krajowej Rady Radiofonii i Telewizji;
    4) Prezesa Urzędu Komunikacji Elektronicznej

    Kontrola przestrzegania przepisów o sztucznej inteligencji

    Zgodnie z projektem ustawy komisja może prowadzić kontrolę przestrzegania przepisów  aktu w sprawie sztucznej inteligencji 

    Komisja wszczyna kontrolę:

    1) z urzędu;
    2) na wniosek Przewodniczącego Komisji, Zastępcy Przewodniczącego Komisji lub członka Komisji;
    3) na wniosek organu lub podmiotu, o którym mowa w art. 77 rozporządzenia 2024/1689.

    Przeczytaj także o systemach sztucznej inteligencji wysokiego ryzyka

  • Shadow AI

    Shadow AI

    Shadow AI

    Shadow AI to określenie nowego zjawiska podobnego do znanego od lat zjawiska Shadow IT, czyli sytuacji, w której personel organizacji wykorzystuje do celów służbowych określone oprogramowanie, sprzęt IT, zasoby chmurowe bez zgody samej organizacji.

    W przypadku Shadow AI pracownicy korzystają z systemów sztucznej inteligencji w celach służbowych bez wiedzy i zgody pracodawcy.

    Przypadki Shadow AI

    Shadow AI może przybrać postać np.:

    1) instalacji przez pracowników na służbowym sprzęcie oprogramowania AI;

    2) korzystania przez pracowników z prywatnych kont pracowników w systemach AI.

    Ryzyka

    Zjawisko Shadow AI niesie za sobą szereg ryzyk, np.:

    1) ryzyko cyberataku z wykorzystaniem aplikacji systemu sztucznej inteligencji zainstalowanego przez pracownika na sprzęcie pracodawcy;

    2) ryzyko ujawnienia danych chronionych poprzez umieszczenie ich przez pracownika w treści „promptu” w systemie sztucznej inteligencji;

    3) naruszenie przepisów o ochronie danych (np RODO)

    4) naruszenie przepisów zakazujących stosowania niektórych systemów AI

    5) pominięcie istotnych etapów podejmowania decyzji (pracownik korzystający z pomocy systemu AI dąży do uzyskania finalnego „produktu” pomijając etap analiz i testowania rozwiązań)

    6) pominięcie lepszych rozwiązań – rozwiązanie podsunięte przez system AI może nie być najlepszym w danym przypadku

    7) podjęcie decyzji na podstawie „halucynacji” systemu AI lub obciążonej zjawiskiem „bias”

    Zapobieganie

    Ryzyka związane z Shadow AI można ograniczać stosując np. następujące środki:

    1) edukacja personelu pod kątem ryzyk korzystania z systemów AI, w tym niezatwierdzonych systemów AI;

    2) audyty IT;

    3) wprowadzenie procedur bezpieczeństwa nakierowanych na ryzyka Shadow IT.

  • AI Compliance Specialist

    AI Compliance Specialist

    AI Compliance Specialist to nazwa nowego stanowiska w zespołach compliance zajmującego się zapewnieniem zgodności w zakresie związanym z systemami sztucznej inteligencji.

    Ryzyka związane z systemami AI

    Oprócz korzyści jak często wymieniane przyśpieszenie wykonywania zadań, korzystanie z systemów AI może wiązać się z szeregiem ryzyk. Ryzyka te mogą wystąpić zarówno dla udostępniających system, jak też ich użytkowników. Najczęściej opisuje się przypadki takie jak „bias” czy „halucynacje”, ale to nie jedyne zagrożenia.

    Korzystanie przez przedsiębiorców z systemów sztucznej inteligencji może wiązać się z różnymi ryzykami, w tym np.:

    1) ujawnienia poufnych danych,

    2) wycieku danych osobowych klientów,

    3) naruszenia praw autorskich;

    4) naruszenia przepisów AI Act,

    5) podejmowania decyzji w oparciu o błędne dane uzyskane z systemu AI.

    AI Compliance Specialist 

    AI Compliance Specialist może być osobą, która w firmie:

    1) dokonuje kompleksowego audytu stosowanych w firmie systemów AI;

    2) wskazuje zarządzającym firmom na stwierdzone nieprawidłowości oraz luki;

    3) formułuje zalecenia dla zarządu w sprawie wykorzystania systemów AI;

    4) opracuje strategie, polityki oraz procedury stosowania systemów AI w firmie;

    5) tworzy i prowadzi rejestr wykorzystywanych systemów AI;

    6) dokonuje klasyfikacji systemów AI na potrzeby AI Act;

    7) doradza w procesie wdrażania nowych produktów z wykorzystaniem AI;

    8) monitoruje wykorzystanie systemów AI w firmie prowadząc okresowe audyty;

    9) informuje zarząd firmy o zmianach prawa w zakresie wykorzystywania systemów AI.

    AI Act

    Systemy sztucznej inteligencji to tematyka, która dopiero zaczyna być regulowana przepisami prawa.

    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji), zwany skrótowo AI Act to akt prawny, który ustanawia, jak to określa Komisja Europejska pierwsze w historii ramy prawne dotyczące sztucznej inteligencji, które uwzględniają zagrożenia związane ze sztuczną inteligencją i stawiają Europę w roli globalnego lidera.

    AI Act stanowi obszerną regulację, której wdrożenie i stosowanie przez przedsiębiorców wymaga znajomości specyficznych zagadnień o charakterze technicznym związanych z systemami sztucznej inteligencji. 

    AI Act m.in. wprowadza klasyfikację systemów sztucznej inteligencji na:

    1) zakazane systemy AI

    2) systemy AI wysokiego ryzyka

    3) systemy AI ograniczonego ryzyka

    4) systemy AI minimalnego ryzyka

    Zakazane praktyki w zakresie sztucznej inteligencji

    W artykule 5 AI Act określone zostały zakazane praktyki w zakresie AI. W pierwszej kolejności następująca praktyka: wprowadzanie do obrotu, oddawania do użytku lub wykorzystywania systemu AI, który stosuje techniki podprogowe będące poza świadomością danej osoby lub celowe techniki manipulacyjne lub wprowadzające w błąd, czego celem lub skutkiem jest dokonanie znaczącej zmiany zachowania danej osoby lub grupy osób poprzez znaczące ograniczenie ich zdolności do podejmowania świadomych decyzji, powodując tym samym podjęcie przez nie decyzji, której inaczej by nie podjęły, w sposób, który wyrządza lub może wyrządzić u niej, u innej osoby lub u grupy osób poważną szkodę.

     Osoba pełniąca w firmie funkcję AI Compliance Specialist niewątpliwie musi dogłębnie znać przepisy AI Act i treść wytycznych wydanych na jego podstawie oraz potrafić je zastosować w realiach danej firmy.

  • Sztuczna inteligencja w finansach – raport Rzecznika Finansowego

    Sztuczna inteligencja w finansach – raport Rzecznika Finansowego

    Sztuczna inteligencja w finansach to przedmiot raportu Rzecznika Finansowego „AI W FINANSACH” opublikowanego 16 października 2025 roku.

    Cel raportu


    Autorzy raportu (wymienieni w nim członkowie Doradczego Komitetu Naukowego przy Rzeczniku Finansowym) wskazuję we wstępie do raportu, że ich intencją było m.in. pomoc w zrozumieniu, w jakim zakresie i w jakiej formie sztuczna inteligencja już jest wykorzystywana w sektorze finansowym oraz wskazanie, jakie są obowiązki podmiotów gospodarczych wykorzystujących sztuczną inteligencję i jakie są uprawnienia osób, wobec których stosowana jest ta technologia

    Definicje

    Raport na początku wyjaśnia znaczenie podstawowych pojęć takich jak „sztuczna inteligencja”, którą autorzy definiują jako szeroką dziedzinę technologii, której celem jest stworzenie programów komputerowych zdolnych do wykonywania zadań, które do tej pory uważano, że wymagają ludzkiego intelektu w ramach której należy wyróżnić trzy główne obszary:

    1) uczenie maszynowe

    2) głębokie uczenie

    3) wielkie modele językowe

    Klasyfikacja sztucznej inteligencji

    Sztuczna inteligencja według autorów raportu może być podzielona na następujące klasy:

    1) wąska sztuczna inteligencja – wykonująca jedno konkretne zadanie;

    2) ogólna sztuczna inteligencji (AGI) – posiada funkcje poznawcze na poziomie człowieka;

    3) supersztuczna inteligencja (ASI) – przewyższa wszystkie ludzkie możliwości.

    Metody AI

    Raport proponuje podział metod AI na:

    1) metody dyskryminacyjne oraz

    2) metody generatywne

    AI ACT

    Raport odnosi się także do AI Act 

    Przykłady zastosowań AI przez instytucje finansowe

    Sztuczna inteligencja w finansach to najczęściej narzędzia wykorzystywane przez instytucje finansowe. Raport wymienia najczęściej stosowane w takich instytucjach narzędzia AI:

    1) chatboty;

    2) systemy oceny zdolności kredytowej;

    3) zautomatyzowane doradztwo inwestycyjne;

    4) personalizacja ofert i dopasowywanie produktów do klienta.

    AML

    Sztuczna inteligencja w finansach to także wykorzystanie systemów AI na potrzeby przeciwdziałania praniu brudnych pieniędzy.

    Korzyści i zagrożenia

    Raporty opisuje także korzyści i zagrożenia wynikające ze stosowania systemów sztucznej inteligencji w instytucjach finansowych. Autorzy zwracają uwagę m.in. na ryzyko związane ze zjawiskami „bias” oraz „halucynacji”.



  • Polskie modele językowe AI

    Polskie modele językowe AI

    Polskie modele językowe AI

    Model, to jak podaje Słownik Języka Polskiego między innymi wzór, wg którego coś zostało lub zostanie wykonane; przedmiot będący wzorcem, wykonany zwykle w mniejszej skali; także: próbny egzemplarz, prototyp. Wikipedia model definiuje jako informacyjną reprezentację obiektu, osoby lub systemu.

    Język według Słownika Języka Polskiego oznacza między innymi system znaków obejmujący gramatykę i słownictwo, służący porozumiewaniu się.

    Model językowy jest więc wzorem, informacyjną reprezentacją ludzkiej zdolności językowej – do tworzenia języka naturalnego.

    Bielik AI

    BIelik AI to model językowy rozwijany przez Fundację Speakleash z siedzibą we Wrocławiu.

    PLLuM

    PLLuM to model językowy określany przez twórców (konsorcjum różnych podmiotów) jako otwarty polski model językowy, który został stworzony w ramach projektu finansowanego przez Ministra Cyfryzacji.

  • Prawo nowych technologii

    Prawo nowych technologii

    Prawo nowych technologii to dziedzina prawa zajmująca się regulacją technologii takich jak systemy sztucznej inteligencji, Internet rzeczy czy chmura obliczeniowa.

    AI Act

    Prawo nowych technologii obecnie to przede wszystkim regulacja systemów sztucznej inteligencji.

    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji), zwany skrótowo AI Act to akt prawny, który ustanawia, jak to określa Komisja Europejskpierwsze w historii ramy prawne dotyczące sztucznej inteligencji, które uwzględniają zagrożenia związane ze sztuczną inteligencją i stawiają Europę w roli globalnego lidera.

  • Akt w sprawie danych

    Akt w sprawie danych

    Akt w sprawie danych

    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 roku w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (akt w sprawie danych) ma na celu, jak wyjaśnia motyw 5 rozporządzenia, zapewnienie użytkownikom produktu skomunikowanego lub usługi powiązanej w Unii możliwości terminowego dostępu do danych generowanych w wyniku korzystania z danego produktu skomunikowanego lub z danej usługi powiązanej oraz wykorzystywania tych danych, w tym dzielenia się nimi z wybranymi przez siebie osobami trzecimi.

    Produkt skomunikowany

    Akt w sprawie danych definiuje pojęcie „produkt skomunikowany” jako rzecz, która pozyskuje, generuje lub zbiera dostępne dane dotyczące jej wykorzystywania lub jej otoczenia i która jest w stanie komunikować dane z produktu za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu i której podstawową funkcją nie jest przechowywanie, przetwarzanie ani przesyłanie danych w imieniu strony innej niż użytkownik.

    Usługa powiązana

    Akt w sprawie danych definiuje pojęcie „usługa powiązana” jako usługę cyfrową, w tym oprogramowanie, ale z wyłączeniem usług łączności elektronicznej, która podczas zakupu, najmu, dzierżawy lub leasingu jest skomunikowana z produktem w taki sposób, że jej brak uniemożliwiłby produktowi skomunikowanemu wykonywanie co najmniej jednej z jego funkcji, lub która zostaje skomunikowana z produktem przez producenta lub osobę trzecią później, aby dodać, uaktualnić lub zmodyfikować funkcje produktu skomunikowanego.

    Akt w sprawie danych – przedmiot regulacji

    Akt w sprawie danych ustanawia zharmonizowane przepisy między innymi dotyczące:

    1. udostępniania danych z produktu i z usługi powiązanej użytkownikowi produktu skomunikowanego lub usługi powiązanej;
    2. udostępniania danych przez posiadaczy danych odbiorcom danych;
    3. udostępniania danych przez posiadaczy danych organom sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu i organom Unii – w przypadku wystąpienia wyjątkowej potrzeby wykorzystania tych danych do celów wykonania określonego zadania realizowanego w interesie publicznym;
    4. ułatwiania zmiany dostawcy usług przetwarzania danych;
    5. wprowadzania zabezpieczeń przed niezgodnym z prawem dostępem osób trzecich do danych nieosobowych; oraz
    6. opracowania norm interoperacyjności wobec danych, które mają być udostępniane, przekazywane i wykorzystywane.

    Akt w sprawie danych a dane osobowe

    Akt w sprawie danych dotyczy danych osobowych i nieosobowych, w tym następujących rodzajów danych i następujących kontekstów:

    1. rozdział II ma zastosowanie do danych, z wyjątkiem treści, dotyczących działania, wykorzystywania i środowiska produktów skomunikowanych i usług powiązanych;
    2. rozdział III ma zastosowanie do wszelkich danych sektora prywatnego podlegających ustawowym obowiązkom w zakresie dzielenia się danymi;
    3. rozdział IV ma zastosowanie do wszelkich danych sektora prywatnego udostępnianych i wykorzystywanych na podstawie umów między przedsiębiorcami;
    4. rozdział V ma zastosowanie do wszelkich danych sektora prywatnego ze szczególnym uwzględnieniem danych nieosobowych;
    5. rozdział VI ma zastosowanie do wszelkich danych i usług przetwarzanych przez dostawców usług przetwarzania danych;
    6. rozdział VII ma zastosowanie do wszelkich danych nieosobowych dostawców usług przetwarzania danych przechowywanych na terenie Unii.

    Podmiotowy zakres zastosowania aktu w sprawie danych

    Akt w sprawie danych ma zastosowanie do:

    1. producentów produktów skomunikowanych wprowadzanych do obrotu w Unii i dostawców usług powiązanych, niezależnie od miejsca siedziby tych producentów i dostawców;
    2. znajdujących się w Unii użytkowników produktów skomunikowanych lub usług powiązanych, o których mowa w lit. a);
    3. posiadaczy danych, którzy udostępniają dane odbiorcom danych w Unii, niezależnie od miejsca siedziby tych posiadaczy;
    4. odbiorców danych w Unii, którym dane są udostępniane;
    5. organów sektora publicznego, Komisji, Europejskiego Banku Centralnego oraz organów Unii, które w przypadku wyjątkowej potrzeby wykorzystania tych danych występują do posiadaczy danych z wnioskiem o udostępnienie danych do celów wykonania określonego zadania realizowanego w interesie publicznym, oraz posiadaczy danych, którzy dostarczają tych danych w odpowiedzi na taki wniosek;
    6. dostawców usług przetwarzania danych świadczących takie usługi klientom w Unii, niezależnie od miejsca siedziby tych dostawców;
    7. uczestników przestrzeni danych oraz sprzedawców aplikacji korzystających z inteligentnych umów, a także osób, których działalność handlowa, gospodarcza lub zawodowa obejmuje wdrażanie inteligentnych umów w ramach wykonywania umowy.

    Autor: radca prawny Michał Kowalski

  • Systemy AI wysokiego ryzyka

    Systemy AI wysokiego ryzyka

    Systemy AI wysokiego ryzyka

    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji) , zwany skrótowo AI Act to akt prawny, kóry ustanawia, jak to określa Komisja Europejska  pierwsze w historii ramy prawne dotyczące sztucznej inteligencji, które uwzględniają zagrożenia związane ze sztuczną inteligencją i stawiają Europę w roli globalnego lidera. Więcej o AI Act.

    Klasyfikacja systemów AI jako systemów AI wysokiego ryzyka

    AI Act w art. 6 ust. 1 stanowi, że bez względu na to, czy system AI wprowadza się do obrotu lub oddaje do użytku niezależnie od produktów, o których mowa w lit. a) i b), taki system AI uznaje się za system wysokiego ryzyka, jeżeli spełnione są oba poniższe warunki:

    a) system AI jest przeznaczony do wykorzystania jako związany z bezpieczeństwem element produktu objętego unijnym prawodawstwem harmonizacyjnym wymienionym w załączniku I lub sam system AI jest takim produktem;

    b) produkt, którego związanym z bezpieczeństwem elementem jest zgodnie z lit. a) system AI, lub sam system AI jako produkt podlegają – na podstawie unijnego prawodawstwa harmonizacyjnego wymienionego w załączniku I – ocenie zgodności przez stronę trzecią w związku z wprowadzeniem tego produktu do obrotu lub oddaniem go do użytku.

    Systemy AI wymienione w załączniku III do AI Act

    AI Act za systemy wysokiego ryzyka uznaje także systemy AI, o których mowa w załączniku III do AI Act.

    W załączniku tym wymieniono osiem obszarów, takich jak np. biometria, infrastruktura krytyczna, zatrudnienie, zarządzanie pracownikami i dostęp do samozatrudnienia, a w ramach tych obszarów poszczególne rodzaje systemów AI, np. systemy AI przeznaczone do wykorzystywania do celów rekrutacji lub wyboru osób fizycznych.

  • Ochrona danych osobowych w CEIDG

    Ochrona danych osobowych w CEIDG

    Ochrona danych osobowych w CEIDG

    Ochrona danych osobowych w CEIDG stała się przedmiotem zainteresowania Prezesa Urzędu Ochrony Danych Osobowych, kóry poinformował w dniu 8 sierpnia 2025 roku na stronie internetowej Urzędu Ochrony Danych Osobowych o swoim wystąpieniu do Ministra Finansów i Gospodarki (sygn. DPNT.413.32.2025) zawierającym wniosek o podjęcie działań legislacyjnych mających na celu rewizję funkcjonującego obecnie modelu powszechnej dostępności danych osobowych osób fizycznych będących przedsiębiorcami zamieszczonych w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG).

    Nowe ryzyka

    Prezes UODO zwraca w wystąpieniu uwagę, że model wpisywania i ujawniania danych przedsiębiorców do CEIDG zasadniczo nie uległ zmianie od 2011 roku, podczas gdy w tym czasie doszło do szybkiego szybkiego postępu technologicznemu i towarzyszącego mu rozwojowi procesów i metod przetwarzania danych osobowych, co wiąże się z pojawieniem się nowych ryzyk związanych z przetwarzaniem danych osobowych dostępnych w CEIDG.

    Prezes UODO zwrócił w szczególności uwagę na narastającą tendencję do podejmowania prób zautomatyzowanego pobierania danych z publicznych rejestrów, w celu łączenia ich z innymi danymi, profilowania, śledzenia, czy też dalszego wykorzystywania w różnych zamiarach, także z zastosowaniem algorytmów sztucznej inteligencji (AI).

    Stanowisko TSUE w sprawie rejestrów beneficjentów rzeczywistych

    Prezes UODO przedstawiając potrzebę rewizji funkcjonującego obecnie modelu powszechnej dostępności danych osobowych osób fizycznych będących przedsiębiorcami zamieszczonych w CEIDG odniósł się m.in. do stanowiska Trybunału Sprawiedliwości Unii Europejskiej (TSUE) wyrażonego w wyroku z 22 listopada 2022 r. w sprawie C-37/20, dotyczącego uzyskiwania danych z krajowych rejestrów beneficjentów rzeczywistych.

    Adres prowadzenia działalności gospodarczej a adres zamieszkania

    Zasadniczym problemem, na który uwagę zwrócił w w/w stanowisku Prezes UODO, jest fakt, iż często adres prowadzenia działalności gospodarczej jest adresem zamieszkania lub stałego pobytu przedsiębiorcy, co rodzi zagrożenia dla życia prywatnego i rodzinnego przedsiębiorcy.

    W tym kontekście Prezes UODO odwołał się do apelu Naczelnej Izby Lekarskiej i zagrożeń dla lekarzy prowadzących praktykę w miejscu zamieszkania.

    Zasadność rewizji obecnego modelu

    Ochrona danych osobowych w CEIDG wymaga w ocenie Prezesa UODO dokonania rewizji modelu powszechnej jawności danych osobowych przedsiębiorców podlegających wpisowi do CEIDG.

    Autor artykułu: radca prawny Michał Kowalski

  • Definicja systemu sztucznej inteligencji

    Definicja systemu sztucznej inteligencji

    Definicja systemu sztucznej inteligencji

    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji), zwany skrótowo AI Act to akt prawny, który ustanawia, jak to określa Komisja Europejskpierwsze w historii ramy prawne dotyczące sztucznej inteligencji, które uwzględniają zagrożenia związane ze sztuczną inteligencją i stawiają Europę w roli globalnego lidera.

    Systemy AI – definicja

    System AI jest definiowany w AI Act (art. 3 pkt 1) jako system maszynowy, który został zaprojektowany do działania z różnym poziomem autonomii po jego wdrożeniu oraz który może wykazywać zdolność adaptacji po jego wdrożeniu, a także który – na potrzeby wyraźnych lub dorozumianych celów – wnioskuje, jak generować na podstawie otrzymanych danych wejściowych wyniki, takie jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne lub wirtualne.

    Wytyczne Komisji dotyczące definicji systemu sztucznej inteligencji

    AI Act nałożył w art. 96 ust. 1 lit. f) na Komisję Europejską obowiązek opracowania wytycznych dotyczących praktycznego wdrażania tego rozporządzenia w zakresie stosowania definicji systemu AI określonej w art. 3 pkt 1 AI Act.

    Komisja wykonała powyższy obowiązek, a opracowane wytyczne zostały opublikowane 6 lutego 2025 roku.

    Brak możliwości przedstawienia wyczerpującego wykazu potencjalnych systemów AI

    Komisja w wytycznych wskazuje, że ze względu na dużą różnorodność systemów AI nie jest możliwe przedstawienie w niniejszych wytycznych wyczerpującego wykazu wszystkich potencjalnych systemów AI. Jest to zgodne z motywem 12 aktu w sprawie sztucznej inteligencji, w którym wyjaśniono, że pojęcie „systemu AI” powinno być jasno zdefiniowane przy jednoczesnym „zapewnieniu swobody umożliwiającej dostosowanie się do szybkiego rozwoju technologicznego w tej dziedzinie”. Definicja systemu AI nie powinna być stosowana w sposób mechaniczny; każdy system należy oceniać na podstawie jego szczególnych cech.

    Charakter wytycznych


    W wytycznych wyjaśniono, że nie mają one charakteru wiążącego, a wszelkiej autorytatywnej wykładni aktu w sprawie sztucznej inteligencji może ostatecznie dokonywać wyłącznie Trybunał Sprawiedliwości Unii Europejskiej („TSUE”)

    Definicja systemu sztucznej inteligencji – główne elementy

    Wytyczne wyjaśniają, że definicja systemu sztucznej inteligencji zamieszczona w AI Act  obejmuje siedem głównych elementów: 

    1) system maszynowy; 

    2) który został zaprojektowany do działania z różnym poziomem autonomii; 

    3) który może wykazywać zdolność adaptacji po jego wdrożeniu; 

    4) a także który – na potrzeby wyraźnych lub dorozumianych celów; 

    5) wnioskuje, jak generować na podstawie otrzymanych danych wejściowych wyniki, 

    6) takie jak predykcje, treści, zalecenia lub decyzje, 

    7) które mogą wpływać na środowisko fizyczne lub wirtualne. 

    Perspektywa opartą na cyklu życia

    W wytyczny Komisja zauważa, że w definicji systemu AI przyjęto perspektywę opartą na cyklu życia obejmującą dwa główne etapy:

    1) etap przed wdrożeniem, czyli etap „tworzenia” systemu, oraz

    2)  etap po wdrożeniu, czyli etap „wykorzystywania” systemu.

    Siedem elementów wymienionych w tej definicji nie musi być stale obecnych na obu etapach tego cyklu życia. Zamiast tego w definicji uznano, że poszczególne elementy mogą pojawiać na jednym etapie, ale mogą nie utrzymywać się na obu. To podejście do zdefiniowania systemu AI jest odzwierciedleniem złożoności i różnorodności systemów AI, co gwarantuje, że definicja odpowiada celom aktu w sprawie sztucznej inteligencji poprzez uwzględnienie szerokiego zakresu systemów AI.

    Autor: radca prawny Michał Kowalski
    Okręgowa Izba Radców Prawnych w Lublinie Lb-1484
    Kontakt