Europejskie rozporządzenie w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji nr 2024/1689 z dnia 13 czerwca 2024 r. (AI Act, Rozporządzenie) wyróżnia kilka grup podmiotów zaangażowanych w obrót systemami sztucznej inteligencji, na których ciąży i będzie ciążyło coraz więcej obowiązków zapewnienia zgodności z Rozporządzeniem. Przedstawiamy krótki opis każdego z nich oraz ich główne zobowiązania.
 

Do podmiotów zaangażowanych w obrót systemami sztucznej inteligencji należą:

  1. Dostawcy systemów AI lub modeli AI ogólnego przeznaczenia, tj. GPAI (zarówno mających siedzibę w Unii, jak i w państwie trzecim jeżeli system lub model AI działają w Unii),
  2. Podmioty stosujące systemy AI (mające siedzibę lub znajdujące się w Unii),
  3. Dostawcy i podmioty stosujące systemy AI (mające siedzibę lub znajdujące się w państwie trzecim, w przypadku gdy wyniki wytworzone przez system AI są wykorzystywane w Unii),
  4. Importerzy systemów AI,
  5. Dystrybutorzy systemów AI,
  6. Producenci produktu którego elementem jest system AI,
  7. Upoważnieni przedstawiciele dostawców niemających siedziby w Unii,
  8. Osoby, na które AI ma wpływ i które znajdują się w Unii.

- łącznie zwani operatorami systemów AI.

Oprócz tego AI Act wyróżnia jeszcze takie szczególne podmioty, jak dostawców systemów AI niższego szczebla

Podmiotów AI Act jest bardzo dużo. Niewykluczone, że jeden podmiot będzie mógł wpadać w kilka z ww. kategorii podmiotowych, w zależności od kontekstu sytuacji.

 

Kto wpada w poszczególne kategorie podmiotowe AI Act?

Co do zasady należy pamiętać, że AI Act będzie obejmował swoim działaniem zarówno osoby fizyczne, jak i prawne. Oprócz tych podstawowych kategorii jego działanie obejmie swoim zakresem także podmioty publiczne, takie jak organy publiczne i agencje.

Kim są poszczególne podmioty w łańcuchu dostaw systemów AI?

  1. Przez dostawców systemów AI rozumie się osoby fizyczne lub prawne, organy publiczne, agencje lub inne podmioty, które rozwijają system AI lub model AI ogólnego przeznaczenia lub zlecają ich rozwój oraz które – odpłatnie lub nieodpłatnie – pod własną nazwą lub własnym znakiem towarowym wprowadzają do obrotu lub oddają do użytku system AI.
  2. Przez dostawcę niższego szczebla rozumie się dostawcę systemu AI, w tym systemu AI ogólnego przeznaczenia, rozwiniętego w drodze integracji modelu AI, niezależnie od tego, czy ten model AI jest dostarczany przez tego samego dostawcę czy dostarczany przez inny podmiot na podstawie stosunków umownych.
  3. Przez importerów systemów AI rozumie się
  4. Przez dystrybutorów systemów AI rozumie się osoby fizyczne lub prawne w łańcuchu dostaw, inne niż dostawcy lub importerzy, którzy udostępniają system AI na rynku Unii.
  5. Przez podmioty stosujące systemy AI rozumie się osoby fizyczne lub prawne, organy publiczne, agencje lub inne podmioty, które wykorzystują system AI, nad którym sprawują kontrolę, z wyjątkiem sytuacji, gdy system AI jest wykorzystywany w ramach osobistej działalności pozazawodowej,
  6. Przez upoważnionego przedstawiciela rozumie się osobę fizyczną lub prawną znajdującą się lub mającą siedzibę w Unii, która otrzymała i przyjęła pisemne pełnomocnictwo od dostawcy systemu AI lub modelu AI ogólnego przeznaczenia do, odpowiednio, spełnienia w jego imieniu obowiązków i przeprowadzania procedur ustanowionych w Rozporządzeniu.

Ważne!

AI Act nie będzie miał zastosowania do podmiotów, które:

  1. wprowadzają do obrotu, oddają do użytku lub wykorzystują systemy AI wyłącznie do celów wojskowych, obronnych lub do celów bezpieczeństwa narodowego (tyczy się to również wykorzystywania wyników takich systemów na terenie Unii)
  2. są organami publicznymi w państwie trzecim lub organizacjami międzynarodowymi i wykorzystują systemy AI w ramach współpracy przy ściganiu przestępstw czy współpracy sądowej,
  3. mają do czynienia z systemami AI i modelami AI (w tym ich wynikami) rozwiniętymi i oddanymi do użytku wyłącznie w celach badań naukowych i rozwojowych,
  4. prowadzą działalność badawczą, testową, czy rozwojową jeszcze przed oddaniem systemów AI lub modeli AI do użytku lub wprowadzeniem ich do obrotu (z wyłączeniem prowadzenia testów w warunkach rzeczywistych),
  5. korzystają z systemów AI wyłącznie w ramach osobistej działalności pozazawodowej,
  6. udostępniają system AI na podstawie bezpłatnych licencji otwartego oprogramowania (chyba, że już na moment wprowadzenia do obrotu lub oddania do użytku są one w szczególności systemami zakazanymi lub wysokiego ryzyka).

 

Co do zasady, wszystkie wyżej wskazane podmioty będą miały pozostawioną swobodę w zakresie decyzji operacyjnych dotyczących sposobu zapewnienia w optymalny sposób zgodności systemów AI z Rozporządzeniem.

Swoboda ta może oznaczać na przykład decyzję dostawcy o włączeniu części niezbędnych procesów testowania i sprawozdawczości, informacji i dokumentacji wymaganych na mocy Rozporządzenia do już istniejącej dokumentacji i procedur wymaganych na mocy obowiązującego innego unijnego prawodawstwa. Nie powinno to jednak w żaden sposób podważać spoczywającego na ww. podmiotach obowiązków zapewnienia zgodności z wszystkimi mającymi zastosowanie wymogami z AI Act.

Najszerszy zakres obowiązków dotyczy systemów AI wysokiego ryzyka. Niniejszy materiał w dużej mierze poświęcony jest właśnie takim systemom.

 

Obowiązki dostawców systemów AI wysokiego ryzyka

Na dostawcach systemów AI wysokiego ryzyka ciąży najszerszy zakres obowiązków. Podstawowe obowiązki operacyjne dostawców takich systemów AI przedstawiamy poniżej.

  1. Opracowanie systemu zarządzania ryzykiem (podlegającego bieżącej obsłudze i aktualizacjom).
  2. Zasilanie systemów AI jakościowymi danymi.
  3. Opracowywanie dokumentacji technicznej.
  4. Wyposażenie systemu AI w techniczne możliwości automatycznego rejestru zdarzeń.
  5. Zapewnienie odpowiedniego poziomu przejrzystości (w tym m.in. dla podmiotów stosujących w postaci jasnej instrukcji obsługi, czy dla użytkowników jeżeli system wchodzi w bezpośrednią interakcję z os. fizyczną czy generuje treści syntetyczne).
  6. Zapewnienie nadzoru przez człowieka (w szczególności możliwości wyłączenia systemu przez człowieka).
  7. Zapewnienie, że projektowanie i rozwijanie systemu AI będzie następowało z zachowaniem odpowiedniego poziomu dokładności, solidności i cyberbezpieczeństwa przez cały cykl życia systemu.
  8. Identyfikację systemu swoją nazwą (w samym systemie, na opakowaniu lub w dołączonej dokumentacji).
  9. Opracowanie systemu zarządzania jakością.
  10. Przeprowadzanie procedury oceny zgodności systemu AI przed jego wprowadzeniem do obrotu lub oddaniem do użytku.
  11. Sporządzenie deklaracji zgodności UE systemu AI.
  12. Przeprowadzenie procedury oznakowania CE systemu AI.
  13. Dokonanie odpowiedniej rejestracji systemu AI.
  14. Podejmowanie odpowiednich działań naprawczych i przekazywanie informacji dystrybutorom, importerom, podmiot stosującym, oraz organom nadzoru rynku, czy jednostce notyfikowanej w przypadku stwierdzenia niezgodności systemu AI z Rozporządzeniem.
  15. Udostępnianie właściwym organom krajowym, na ich wniosek, potwierdzenia zgodności systemu AI z AI Act.
  16. Zapewnienie zgodności z wymogami dostępności zgodnie z dyrektywą dostępności stron internetowych i mobilnych aplikacji (UE 2016/2012), oraz dyrektywą w sprawie wymogów dostępności produktów i usług (UE 2019/882).
  17. Ustanowienie upoważnionego przedstawiciela (dla dostawców spoza Unii).
  18. Monitoring po wprowadzeniu do obrotu (ustanowienie i odpowiednie dokumentowanie).
  19. Zgłaszanie poważnych incydentów.

Z kolei, podstawowe obowiązki dostawców AI w zakresie dokumentacyjnym obejmują stworzenie, prowadzenie i archiwizowanie:

  • dokumentacji systemu zarządzania jakością (szeregu procedur stosowanych na etapie projektowania, testowania, rozwoju systemów AI, a także po zakończeniu etapu rozwoju, jak również procedury przed wprowadzeniem do obrotu i po wprowadzeniu do obrotu systemu AI zapewniające odpowiednią jakość systemu AI),
  • dokumentacji technicznej (w której wykazuje się m.in. zgodność systemu z Rozporządzeniem, plan monitorowania po wprowadzeniu systemu do obrotu);
  • dokumentacji zmian zatwierdzonych przez jednostki notyfikowane,
  • decyzji i inne dokumentów wydanych przez jednostki notyfikowane,
  • deklaracji zgodności UE.

Powyższe dokumenty powinny być archiwizowane przez okres 10 lat od dnia wprowadzenia systemu AI do obrotu (tj. udostępnienia po raz pierwszy systemu AI lub modelu AI ogólnego przeznaczenia na rynku Unii) lub oddania go do użytku (tj. dostarczenia systemu AI do pierwszego użycia bezpośrednio podmiotowi stosującemu lub do użytku własnego w Unii, zgodnie z jego przeznaczeniem).

Oprócz tego dostawcy są zobowiązani do tworzenia i prowadzenia:

  • oceny danego systemu pod kątem kwalifikacji AI Act,
  • dokumentacji systemu zarządzania ryzykiem;
  • instrukcji obsługi (przygotowanej w sposób jasny, zrozumiały i przejrzysty),
  • rejestru zdarzeń.

System zarządzania jakością, szczególnie obszerny obszar operacyjny i dokumentacyjny wymagany przez AI Act, powinien być prowadzony w systematyczny i uporządkowany sposób, w formie pisemnych polityk, procedur i instrukcji. Przez system ten należy rozumieć:

  1. strategię na rzecz zgodności regulacyjnej, w tym zgodności z procedurami oceny zgodności i procedurami zarządzania zmianami w systemie AI,
  2. techniki, procedury i systematyczne działania, które należy stosować na potrzeby projektowania oraz kontroli i weryfikacji projektu systemu AI,
  3. techniki, procedury i systematyczne działania, które należy stosować na potrzeby rozwoju, kontroli jakości i zapewniania jakości systemu AI,
  4. procedury badania, testowania i walidacji, które należy przeprowadzić przed przystąpieniem do rozwoju systemu AI, w trakcie tego rozwoju i po jego zakończeniu, oraz częstotliwość, z jaką mają być przeprowadzane,
  5. specyfikacje techniczne, w tym normy, które należy zastosować, oraz w przypadkach gdy normy zharmonizowane nie są stosowane w pełni lub nie obejmują wszystkich odpowiednich wymogów, środki, które należy zastosować do zapewnienia, by system AI był zgodny z tymi wymogami,
  6. systemy i procedury zarządzania danymi, w tym dotyczące nabywania danych, zbierania danych, analizy danych, etykietowania danych, przechowywania danych, filtrowania danych, eksploracji danych, agregacji danych, zatrzymywania danych i wszelkich innych operacji dotyczących danych, które przeprowadza się przed wprowadzeniem do obrotu lub oddaniem do użytku systemów AI i do celu wprowadzenia ich do obrotu lub oddania ich do użytku
  7. system zarządzania ryzykiem,
  8. ustanowienie, wdrożenie i obsługę systemu monitorowania po wprowadzeniu do obrotu,
  9. procedury zgłaszania poważnego incydentu,
  10. procedury porozumiewania się z właściwymi organami krajowymi, innymi właściwymi organami,
  11. systemy i procedury rejestrowania wszelkiej istotnej dokumentacji i wszelkich istotnych informacji,
  12. zarządzanie zasobami, w tym środki związane z bezpieczeństwem dostaw,
  13. ramy odpowiedzialności służące określeniu odpowiedzialności kierownictwa i pozostałego personelu zajmującego się systemami AI.

Ważne!

Wdrożenie powyższych systemów, procedur i procesów musi być oczywiście proporcjonalne do wielkości organizacji. W każdym przypadku powinien być brany pod uwagę stopień rygoryzmu i poziom ochrony wymagane do zapewnienia zgodności systemów AI z Rozporządzeniem.

 

Obowiązki importerów systemów AI wysokiego ryzyka

Na importerach ciąży nieco mniejszy zakres obowiązków. Przed wprowadzeniem do obrotu systemu AI importerzy sprawdzają, czy:

  • dostawca systemu AI przeprowadził odpowiednią procedurę oceny zgodności;
  • dostawca sporządził dokumentację techniczną,
  • system opatrzono wymaganym oznakowaniem CE oraz dołączono do niego deklarację zgodności UE i instrukcję obsługi,
  • dostawca ustanowił upoważnionego przedstawiciela.

Importerzy, podobnie jak dostawcy są obowiązani do identyfikacji systemu AI swoją nazwą (w samym systemie, na opakowaniu lub w dołączonej dokumentacji).

Importerzy zapewniają aby warunki przechowywania lub transportu systemu AI (stosownie do przypadku) nie zagrażały w zgodności z wymogami dotyczącymi systemów AI wysokiego ryzyka (ustanowionymi w art. 8 – 15 AI Act tj. zgodności z wymogami AI Act, ustanowieniu systemu zarządzania ryzykiem, zarządzania danymi, dokumentacji technicznej, prowadzeniu rejestru zdarzeń, przejrzystości i udostępniania informacji podmiotom stosującym, nadzorze ze strony człowieka, dokładności, solidność i cyberbezpieczeństwa).

Również przez okres 10 lat od wprowadzenia systemu AI do obrotu lub oddania go do użytku, importerzy przechowują kopię certyfikatu wydanego przez jednostkę notyfikowaną, w stosownych przypadkach, kopię instrukcji obsługi i deklaracji zgodności.

Są także zobowiązani do współpracy z odpowiednimi organami w zakresie udostępniania niezbędnych informacji i dokumentacji oraz ograniczania ryzyka stwarzanego przez tego typu systemy.

 

Obowiązki dystrybutorów systemów AI wysokiego ryzyka

Na dystrybutorach ciąży nieco więcej obowiązków niż na importerach. Dystrybutorzy również sprawdzają, czy:

  • system AI został opatrzony wymaganym oznakowaniem zgodności CE,
  • dołączono do niego kopię deklaracji zgodności UE,
  • dołączono do niego instrukcję obsługi,
  • dostawca (oraz w stosownych przypadkach importer) tego systemu spełnili swoje obowiązki oznakowania systemu AI i posiadania systemu zarządzania jakością.

Do tego, dystrybutorzy zapewniają, aby warunki przechowywania lub transportu systemu AI (stosownie do przypadku) nie zagrażały w zgodności z wymogami dotyczącymi systemów AI wysokiego ryzyka (ustanowionymi w art. 8 – 15 AI Act, tj. zgodności z wymogami AI Act, ustanowieniu systemu zarządzania ryzykiem, zarządzania danymi, dokumentacji technicznej, prowadzeniu rejestru zdarzeń, przejrzystości i udostępniania informacji podmiotom stosującym, nadzorze ze strony człowieka, dokładności, solidność i cyberbezpieczeństwa).

Co więcej, dostawcy są zobowiązani do podejmowania działań naprawczych koniecznych do zapewnienia zgodności systemu AI z wymogami AI Act, w tym do wycofania go z rynku, użytku lub zapewnienia podjęcia takich działań naprawczych przez, stosownie do przypadku, dostawcę, importera lub odpowiedniego operatora. Dla przykładu, w przypadku gdy system AI wysokiego ryzyka stwarza ryzyko dla zdrowia i bezpieczeństwa lub praw podstawowych osób, dystrybutor natychmiast informuje o tym dostawcę lub importera systemu oraz organy właściwe w zakresie przedmiotowego system AI, przekazując szczegółowe informacje na temat niezgodności systemu z wymogami i wszelkich podjętych działań naprawczych.

Dostawcy są także zobowiązani do współpracy z odpowiednimi organami w zakresie udostępniania niezbędnych informacji i dokumentacji oraz ograniczania ryzyka stwarzanego przez tego typu systemy.

 

Obowiązki podmiotów stosujących systemy AI wysokiego ryzyka

Podmioty stosujące, to kolejna grupa operatorów systemów AI z szerokim katalogiem obowiązków. Podstawowe obowiązki operacyjne podmiotów stosujących obejmują następujące elementy.

  1. Podjęcie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia, aby systemy AI były wykorzystywane zgodnie z dołączoną do nich instrukcją obsługi.
  2. Ustanowienie osoby (osób) nadzorującej system AI (posiadającej odpowiednie kompetencje, przeszkolenie, uprawnienia i wsparcie).
  3. Kontrolę nad danymi wejściowymi, adekwatność i wystarczającą reprezentatywność tych danych.
  4. Monitorowanie działania systemu AI (na podstawie instrukcji obsługi) i informowanie dostawców o danych dotyczących skuteczności działania systemów AI.
  5. Informowanie dostawców, dystrybutorów lub organu nadzoru rynku o podejrzeniu stwarzania przez system AI ryzyka dla zdrowia, bezpieczeństwa i praw podstawowych (wraz z jednoczesnym zawieszeniem wykorzystania).
  6. Informowanie dostawców, importerów lub dystrybutorów lub organ nadzoru rynku o wystąpieniu poważnego incydentu.
  7. Przechowywanie rejestrów zdarzeń (w zakresie w jakim znajdują się pod ich kontrolą).
  8. Informowanie przedstawicieli pracowników, że będzie w stosunku do nich wykorzystywany system AI.
  9. W przypadku podmiotów mających charakter publiczny, konieczna jest rejestracji danego podmiotu oraz systemu AI (i zakresu jego wykorzystania) w bazie systemów wysokiego ryzyka.
  10. Obowiązek przeprowadzenia oceny skutków dla ochrony danych (na podstawie danych zapewniających wystarczającą przejrzystość działania systemu AI).
  11. Konieczność informowania os. fizycznych o tym, że jest w stosunku do nich wykorzystywany system AI, jeżeli podejmuje decyzje lub uczestniczy w podejmowaniu decyzji dotyczących os. fizycznych i wykorzystują systemy AI dotyczące biometrii, infrastruktury krytycznej, kształcenia i szkolenia zawodowego, zatrudnienia, zarządzania pracownikami i dostępu do samozatrudnienia, dostępu do podstawowych usług prywatnych oraz podstawowych usług i świadczeń publicznych, uczestniczą w ściąganiu przestępstw, zarządzają migracją, azylem lub kontrolą graniczną, sprawują wymiar sprawiedliwości i procesy demokratyczne.
  12. Współpracę z odpowiednimi organami (w tym organami wymiaru sprawiedliwości lub organami administracyjnymi).
  13. Konieczność przeprowadzenia oceny skutków dla praw podstawowych w szczególności w obszarach infrastruktury krytycznej, świadczenia usług publicznych i świadczeń publicznych oraz podstawowych usług prywatnych (np. systemy AI do oceny zdolności kredytowej os. fizycznych lub ustalenia ich scoringu kredytowego, z wyjątkiem systemów AI wykorzystywanych w celu wykrywania oszustw finansowych, a także systemy AI ustalających ceny ubezpieczenia na życie i ubezpieczenia zdrowotnego w przypadku os. fizycznych).

 

Obowiązki upoważnionych przedstawicieli dystrybutorów systemów AI wysokiego ryzyka

Obowiązek posiadania upoważnionego przedstawiciela dotyczy dostawców, mający miejsce zamieszkania lub siedzibę w państwach trzecich, chcących udostępnić swój system AI na rynku Unii. Upoważniony przedstawiciel powinien mieć miejsce zamieszkania lub siedzibę w Unii.

Do ustanowienia upoważnionego przedstawiciela konieczne jest powołanie go poprzez pisemne pełnomocnictwo. Pełnomocnictwo powinno określać powierzone pełnomocnikowi zadania.

  1. Sprawdzenie, czy zostały sporządzone deklaracja zgodności UE i dokumentacja techniczna, oraz czy została przeprowadzona przez dostawcę odpowiednia procedura oceny zgodności.
  2. Przechowywanie do dyspozycji właściwych organów niektórych dokumentów przez okres 10 lat, od wprowadzenia systemu AI do obrotu lub oddania go do użytku (dot. danych kontaktowych dostawcy, który ustanowił upoważnionego przedstawiciela, kopii deklaracji zgodności UE, dokumentacji technicznej oraz, w stosownych przypadkach, certyfikatu wydanego przez jednostkę notyfikowaną).
  3. Przekazywanie właściwemu organowi, na uzasadniony wniosek, wszelkich informacji i dokumentów niezbędnych do wykazania zgodności systemu AI z wymogami ustanowionymi w AI Act (w tym zapewnienie temu organowi dostępu do generowanych automatycznie przez system AI wysokiego ryzyka rejestrów zdarzeń, w zakresie, w jakim tego rodzaju rejestry zdarzeń znajdują się pod kontrolą dostawcy).
  4. Współpraca z właściwymi organami, na uzasadniony wniosek, w zakresie wszelkich działań, które organy te podejmują w odniesieniu do danego systemu AI, w szczególności, aby zmniejszyć i ograniczyć ryzyko, jakie stwarza ten system AI.
  5. W stosownych przypadkach spełnianie obowiązków rejestracyjnych, lub, jeżeli rejestracji dokonuje sam dostawca, zapewnienie, by informacje upoważnionego przedstawiciela, takie jak mię i nazwisko lub nazwa, adres i dane kontaktowe były prawidłowe.

Pełnomocnictwo daje upoważnionemu przedstawicielowi prawo do tego, aby właściwe organy mogły się zwracać do niego, obok albo zamiast do dostawcy, we wszystkich kwestiach dotyczących zapewnienia zgodności z AI Act.

 

Zmiana kategorii podmiotowej

Zmiana kategorii podmiotowej jest jak najbardziej możliwa i w zasadzie kwalifikując się wstępnie do danej kategorii podmiotowej, trzeba nieustannie prowadzić monitoring aktualności takiej kwalifikacji.

Importerzy, dystrybutorzy oraz podmioty stosujące (lub inne strony trzecie) systemy AI mogą zostać objęci obowiązkami dostawców jeżeli, w odniesieniu do systemów wprowadzonych do obrotu lub oddanych do użytku:

  • umieszczą swoją nazwę (lub znak towarowy) w systemie AI,
  • dokonają istotnej zmiany w systemie AI, w taki sposób, że pozostaje on systemem wysokiego ryzyka (a więc dokonali ingerencji w system wysokiego ryzyka),
  • zmienią przeznaczenie systemu AI (w tym systemu AI ogólnego przeznaczenia), w taki sposób, że system ten stanie się systemem AI wysokiego ryzyka.

Z kolei, w przypadku produktów objętych prawodawstwem harmonizacyjnym producenci będą uznani za dostawców systemów AI, jeżeli:

  • system AI jest wprowadzany do obrotu wraz z produktem pod nazwą lub znakiem towarowym producenta produktu,
  • system AI jest oddawany do użytku pod nazwą lub znakiem towarowym producenta produktu po wprowadzeniu produktu do obrotu.

 

Zasada przejrzystości i jej szczególne zasady dla niektórych systemów AI (niezależnie od stopnia ich ryzyka)

Generalnie pojęcie „przejrzystości”, do którego wielokrotnie odnosi się AI Act oznacza, że systemy AI należy rozwijać i wykorzystywać w sposób umożliwiający odpowiednią identyfikowalność i wytłumaczalność, jednocześnie informując ludzi o tym, że komunikują się z systemem AI lub podejmują z nim interakcję. Należy także informować podmioty stosujące o zdolnościach i ograniczeniach tego systemu AI, a osoby, na które AI ma wpływ, o przysługujących im prawach.

Jednym z podstawowych wymogów przewidzianych dla systemów wysokiego ryzyka jest zapewnienie odpowiedniego poziomu przejrzystości dla podmiotów stosujących (w tym zapewnienie jasnej instrukcji obsługi).

Niemniej, w przypadku dostawców pewnych rodzajów systemów AI, bez względu na ich kwalifikację, przejrzystość działania obejmuje także:

  1. przy systemach wchodzących w bezpośrednią interakcję z os. fizycznymi: konieczność poinformowanie użytkowników (będących os. fizycznymi) o tym, że prowadzą interakcję z systemem AI, chyba że jest to oczywiste z punktu widzenia takiej osoby, która jest dostatecznie poinformowana, uważna i ostrożna, z uwzględnieniem okoliczności i kontekstu wykorzystania,
  2. przy systemach generujących w postaci syntetycznych dźwięków, obrazów, wideo lub tekstu (w tym systemach ogólnego przeznaczenia): oznakowanie treści generowanych przez system AI w formacie nadającym się do odczytu maszynowego i zapewnienie, aby były wykrywalne jako sztucznie wygenerowane lub zmanipulowane.

Ważne!

Obowiązek oznaczania treści nie ma zastosowania w zakresie, w jakim systemy AI pełnią funkcję wspomagającą w zakresie standardowej edycji lub nie zmieniają w istotny sposób przekazywanych przez podmiot stosujący danych wejściowych lub ich semantyki.

 

Z kolei, w przypadku podmiotów stosujących pewne rodzaje systemów AI (również bez względu na ich kwalifikację) przejrzystość działania obejmuje:

  1. przy systemach rozpoznawania emocji lub biometrycznej kategoryzacji: konieczność poinformowania osoby, wobec których systemy te są stosowane o fakcie ich stosowania, a także przestrzeganie odpowiednich przepisów o ochronie danych,
  2. przy systemach generujących obrazy, treści audio lub wideo stanowiące treści deepfake lub które manipulują takimi obrazami lub treściami: oznakowanie treści generowanych przez system AI stanowiących deepfake'i lub treści zmanipulowane.

Ważne!

W przypadku gdy treść stanowi część pracy lub programu o wyraźnie artystycznym, twórczym, satyrycznym, fikcyjnym lub analogicznym charakterze obowiązki w zakresie przejrzystości ograniczają się do ujawnienia istnienia takich wygenerowanych lub zmanipulowanych treści w odpowiedni sposób, który nie utrudnia wyświetlania lub korzystania z utworu.

 

Z kolei, w zakresie systemów AI minimalnego ryzyka (do których kwalifikuje się większość systemów stosowanych obecnie w Unii) nie wprowadza się żadnych specjalnych obowiązków oraz wymogów prawnych.

 

Kiedy szykować się na wdrożenie wszelkich procedur i procesów wewnętrznych w obszarze AI?

Wskazane powyżej informacje, powinny być przekazywane zainteresowanym os. fizycznym w jasny i wyraźny sposób, najpóźniej w momencie pierwszej interakcji lub pierwszego stosowania. Informacje te muszą spełniać mające zastosowanie wymogi dostępności.

W zakresie przejrzystości warto pamiętać jeszcze o obowiązkach nakładanych na dostawców GPAI. W przypadku tego typu modeli istnieje obowiązek publicznego udostępniania szczegółowego podsumowania treści wykorzystywanych do szkolenia modelu, w szczególności tekstu i danych chronionych prawem autorskim (o czym piszemy szerzej poniżej).

 

Wymogi dla pozostałych systemów AI (ograniczonego i minimalnego ryzyka)

W zakresie pozostałych systemów (tj. systemów ograniczonego i minimalnego ryzyka) AI Act nie nakłada na operatorów szczególnych wymogów poza wspomnianym powyżej obowiązkiem zachowania przejrzystości działania w przypadku konkretnych typów systemów AI.

Systemy AI minimalnego ryzyka są praktycznie nieuregulowane w AI Act. Nie wyłącza to jednak stosowania, w przypadku takich systemów, innych przepisów prawnych (np. dotyczących danych osobowych).

 

Szczególne zasady dla podmiotów finansowych

Podmioty finansowe, w pewnym zakresie, nie muszą tworzyć odrębnych procesów, procedur i dokumentacji tylko na potrzeby AI Act. Mogą włączyć je do dokumentacji prowadzonej na podstawie odpowiednich przepisów dotyczących usług finansowych. Powyższe dotyczy przede wszystkim:

1. W przypadku dostawców systemów AI:

  • dokumentacji technicznej,
  • systemu zarządzania jakością (z wyjątkiem wprowadzenia systemu zarządzania ryzykiem, systemu monitorowania po wprowadzeniu do obrotu, procedur zgłaszania poważnego incydentu),
  • automatycznych rejestrów zdarzeń.

2. W przypadku podmiotów stosujących systemy AI:

  • monitoringu działania systemu AI na podstawie instrukcji obsługi, oraz
  • automatycznych rejestrów zdarzeń.

 

Uproszczenia przewidziane dla MŚP

AI Act w sposób szczególny reguluje obowiązki małych i średnich przedsiębiorstw. Rozporządzenie zawiera pewne uproszczenia przewidziane specjalnie dla takich podmiotów (które są dostosowane do ich możliwości organizacyjnych).

Pierwsze udogodnienie odnosi się do dokumentacji technicznej, którą mali i średni przedsiębiorcy będą mogli przedstawić w uproszczonej formie (na wzorze opracowanym przez Komisję Europejską).

Drugie uproszczenie dotyczy systemu zarządzania jakością, która powinna być dostosowana do wielkości przedsiębiorstwa (zakres systemu powinien być proporcjonalny do skali działalności).

Trzecie uproszczenie dotyczy niższych kosztów notyfikacji systemów AI (kosztów oceny ich zgodności). Jednostki notyfikujące mają unikać niepotrzebnych obciążeń dla dostawców podczas wykonywania swoich czynności (mowa tu w szczególności o kosztach administracyjnych i kosztach zapewnienia zgodności systemu AI).

 

Obowiązki dostawców modeli AI ogólnego przeznaczenia (GPAI)

Dostawców modeli AI ogólnego przeznaczenia można potraktować jako kategorię szczególną. Tego typu modele AI nie są projektowane wyłącznie do jednego, z góry określonego zastosowania. Przykładami GPAI są duże modele językowe (np. ChatGPT, Claude, Copilot), modele generatywne (np. Midjourney), czy modele wykorzystywane w narzędziach LCNC (ang. low-code/no-code, np. narzędzia do budowania aplikacji z minimalnymi wymogami co do programowania lub bez programowania).

Są dla nich przewidziane indywidualne obowiązki operacyjne i dokumentacyjne.

  1. Sporządzenie i aktualizacjadokumentacji technicznej modelu, w tym procesu jego trenowania i testowania oraz wyników jego oceny.
  2. Sporządzenie, aktualizacja i udostępnienie informacji i dokumentacji dostawcom systemów AI, którzy zamierzają zintegrować model AI ogólnego przeznaczenia ze swoimi systemami AI (które mają umożliwić dostawcom dobre zrozumienie możliwości i ograniczeń danego modelu AI oraz spełnienie ich obowiązków wymaganych Rozporządzeniem),
  3. Wprowadzenie polityki służącej zapewnieniu zgodności z prawem autorskim i prawami pokrewnymi.
  4. Sporządzenie i podanie do wiadomości publicznej wystarczająco szczegółowego streszczenia na temat treści wykorzystanych do trenowania danego modelu AI.
  5. Współpraca z właściwymi organami.

Ważne!

Dwóch pierwszych wymogów nie stosuje się do o dostawców modeli AI, które są udostępniane na podstawie bezpłatnej licencji otwartego oprogramowania umożliwiającej dostęp, wykorzystanie, zmianę i dystrybucję modelu i których parametry, w tym wagi, informacje o architekturze modelu oraz informacje o wykorzystaniu modelu są podawane do wiadomości publicznej.

 

Jeżeli dodatkowo stwierdzone zostanie, że model AI stwarza ryzyko systemowe (tj. model taki wykazuje on zdolności dużego oddziaływania lub jeżeli ze względu na swój zasięg ma znaczący wpływ na rynek), to dostawcy takich modeli muszą dodatkowo:

  • poinformować właściwe organy o zidentyfikowaniu ryzyka systemowego,
  • dokonać oceny modelu zgodnie ze znormalizowanymi protokołami i narzędziami odzwierciedlającymi najaktualniejszy stan wiedzy technicznej, w tym przeprowadzić testy modelu z myślą o zidentyfikowaniu ryzyka systemowego i jego ograniczeniu,
  • dokonać oceny i ograniczania ewentualnych ryzyk systemowych na poziomie Unii,
  • rejestrować, dokumentować i zgłaszać informacje dot. poważnych incydentów,
  • zapewnić odpowiedni poziomu cyberbezpieczeństwa takiego modelu oraz infrastruktury fizycznej modelu.

Ważne!

Obowiązek ustanowienia upoważnionego przedstawiciela nie dotyczy dostawców modeli AI ogólnego przeznaczenia, które są udostępniane na podstawie bezpłatnej licencji otwartego oprogramowania (chyba że te modele AI ogólnego przeznaczenia stwarzają ryzyko systemowe).

 

Na kiedy szykować wszelkie procedury i dokumentację?

Niedawno, bo 2 sierpnia 2025 r. weszły w życie m.in. przepisy dot. modeli ogólnego przeznaczenia (rozdział V) oraz kar (rozdział XII; z wyłączeniem art. 101 AI Act, tj. kar pieniężnych dla dostawców modeli AI ogólnego przeznaczenia). A zatem pierwsze wymogi operacyjne i dokumentacyjne już obowiązują.

2 sierpnia 2026 r. nastąpi pełne wdrożenie Rozporządzenia (z wyjątkiem art. 6 ust. 1, dotyczącego systemów wysokiego ryzyka związanych z produktami objętymi prawodawstwem zharmonizowanym).

Z kolei, 2 sierpnia 2027 r. nastąpi rozpoczęcie stosowania art. 6 ust. 1 oraz powiązanych przepisów dotyczących obowiązków dla systemów wysokiego ryzyka związanych z produktami objętymi prawodawstwem zharmonizowanym, wymogów dla operatorów systemów AI wysokiego ryzyka, które zostały wprowadzone do obrotu lub oddane do użytku przed 2 sierpnia 2026 r. (tylko w przypadku wprowadzenia istotnych zmian w projektach tych systemów po tej dacie), a także wymogów dla dostawców modeli ogólnego przeznaczenia, które zostały wprowadzone do obrotu przed 2 sierpnia 2025 r.

Ostatni ważny termin to 2 sierpnia 2030 r. i jest to ostateczny termin zapewnienia zgodności systemów AI wysokiego ryzyka używanych przez organy publiczne i wielkoskalowych systemów informatycznych wymienionych w załączniku X do Rozporządzenia, które zostały wprowadzone przed 2 sierpnia 2027 r.

A zatem większość podmiotów powinna szykować się do spełnienia obowiązków nałożonych przez AI Act na 2 sierpnia 2026 r.

Jak widać obowiązków jest bardzo dużo, a biorąc pod uwagę fakt możliwości wpisania się w więcej niż jedną kategorię podmiotową operatorów systemów AI obowiązki mogą być multiplikowane.

Podkreślamy, że już teraz obowiązują wymogi dla dostawców modeli ogólnego przeznaczenia wprowadzonych do obrotu i oddanych do użytku po 2 sierpnia 2025 r. Także te podmioty powinny już teraz posiadać chociażby dokumentację techniczną, czy politykę zgodności z prawem autorskim i prawami pokrewnymi.

 

* Zastrzegamy, że powyższy materiał nie stanowi oceny wszystkich wymogów operacyjnych i dokumentacyjnych wymaganych przez AI Act. Zakres obowiązków operacyjnych i dokumentacyjnych powinien być każdorazowo oceniany w odniesieniu do konkretnego systemu AI lub modelu AI i podmiotu z nim związanego.