Sprawdź relację:
Dzieje się!
Biznes Technologia

AI Act wyzwaniem dla polskich firm. Są obawy i wątpliwości

Część przepisów wynikających z AI Act zacznie obowiązywać już w tym roku. W kolejnym firmy będą musiały być gotowe na pełne wdrożenie unijnego aktu w sprawie sztucznej inteligencji. Sporo z nich zaczęło przygotowania, bo proces dostosowawczy niesie ze sobą liczne wyzwania.

Anna Bełcik
20.01.2025, 06:00
Dwa ramiona robotyczne wskazujące na kulę z flagą UE.
Dostosowanie organizacji do wymogów AI Act niesie ze sobą wiele wyzwań. Niektóre firmy będą musiały uzupełnić lub przeorganizować np. zasoby kadrowe. [Fot.: Getty Images]

Z tego artykułu dowiesz się…

  1. Jak będzie przebiegać wdrażanie przepisów wynikających z AI Act.
  2. Jaki odsetek firm rozpoczął już proces dostosowań do nowych regulacji i co hamuje działania wielu firm w tym zakresie.
  3. Co grozi organizacjom za niedostosowanie się do wymogów AI Act.

Systematyczne wdrażanie przepisów AI Act (EU Artificial Intelligence Act) to przełom w regulacji sztucznej inteligencji. Od 2 lutego 2025 r. zaczną obowiązywać przepisy dotyczące praktyk zakazanych, takich jak scoring społeczny. Choć rozporządzenie weszło w życie 1 sierpnia 2024 r., okres stosowania wielu przepisów został przesunięty na kolejne dwa lata, z pewnymi wyjątkami aktywowanymi wcześniej.

– Unijne rozporządzenie w sprawie sztucznej inteligencji weszło w życie 1 sierpnia 2024 r., jednak stosowanie przepisów zostało przesunięte o dwa lata. Należy jednak pamiętać, że od tej zasady istnieje wiele wyjątków, a kolejne regulacje będą sukcesywnie wprowadzane w nadchodzących miesiącach – przypomina mec. Justyna Wilczyńska-Baraniak, partnerka EY, liderka Zespołu Prawa Własności Intelektualnej, Technologii i Danych Osobowych w Kancelarii EY Law.

Kto się przygotowuje, a kto czeka na ostatnią chwilę

Dla firm dostosowanie się do nowych regulacji stanowi istotne wyzwanie. Z badania przeprowadzonego przez EY („Jak polskie firmy wdrażają AI”) wynika, że 58 proc. rodzimych organizacji już rozpoczęło przygotowania. Jednak 16 proc. firm przerwało ten proces – prawdopodobnie z powodu trudności technologicznych lub braku zasobów pozwalających na spełnienie wymagań. Z kolei 17 proc. przedsiębiorstw jeszcze nie podjęło żadnych działań.

– Na pierwszy rzut oka może się wydawać, że czasu na dostosowanie się do nowych regulacji jest jeszcze dużo. Jednak w praktyce, jak pokazuje przykład unijnego rozporządzenia Digital Operational Resilience Act [DORA; reguluje kwestie odporności operacyjnej sektora finansowego, w szczególności w obszarze infrastruktury cyfrowej i cyberbezpieczeństwa – przyp. red.], które weszło w życie 17 stycznia 2025 r., wiele firm odkłada dostosowanie na ostatnią chwilę. W efekcie zmiany są wdrażane w pośpiechu lub nawet po upływie wyznaczonego terminu. Warto również pamiętać, że już w tym roku w ramach AI Act zaczną obowiązywać regulacje dotyczące m.in. zakazanych praktyk, systemów AI ogólnego przeznaczenia oraz obowiązków notyfikacyjnych – mówi mec. Justyna Wilczyńska-Baraniak.

Ocena ryzyka, jakie niosą ze sobą systemy AI

Justyna Wilczyńska-Baraniak zwraca uwagę, że okres przejściowy daje firmom nie tylko czas na dostosowanie się do nowych regulacji, ale również możliwość stopniowego ograniczania inwestycji w systemy, których stosowanie w przyszłości może zostać zakazane.

– AI Act wprowadza klasyfikację systemów AI pod kątem ryzyka, jakie niesie ich użytkowanie. Systemy są podzielone na cztery kategorie: minimalnego lub bez ryzyka, ograniczonego ryzyka, wysokiego ryzyka oraz zakazane praktyki w zakresie systemów AI. Przykładem zakazanych praktyk jest wykorzystywanie systemów, które mogą naruszać prawa podstawowe,
np. manipulować podświadomością lub działać w sposób dyskryminujący na podstawie danych osobowych. Firmy muszą ocenić swoje systemy pod kątem tej klasyfikacji i przeprowadzić ich weryfikację prawną. Kluczowe jest również zapewnienie zgodności działania systemów z innymi regulacjami, takimi jak RODO, zwłaszcza w obszarze ochrony danych wykorzystywanych przez AI – wyjaśnia prawniczka.

Liczne wyzwania w procesie dostosowawczym

Przedstawicielka EY podkreśla, że wdrożenie nowych regulacji wiąże się z wieloma trudnościami.

– Brakuje jednoznacznych wytycznych dotyczących zarządzania bezpieczeństwem użytkowania systemów AI w organizacjach. Każda firma musi samodzielnie wypracować model działania w tym zakresie. W zależności od potrzeb można włączyć kompetencje związane z zarządzaniem AI do istniejących struktur w organizacji lub utworzyć nowe stanowiska, np. odpowiednik inspektora ochrony danych osobowych – dodaje Justyna Wilczyńska-Baraniak.

Z badań przeprowadzonych przez EY wynika, że polskie firmy zdają sobie sprawę z konieczności wdrożenia przepisów AI Act, ale mierzą się z licznymi wyzwaniami w procesie dostosowywania.

– W praktyce wiele firm nie posiada wystarczających zasobów kadrowych ani technologicznych, aby skutecznie dostosować się do wymogów AI Act. Jednym z istotnych wyzwań jest przeprowadzenie inwentaryzacji systemów AI pod kątem ryzyka społecznego ich stosowania. To proces czasochłonny i kosztowny, wymagający dokładnej analizy wpływu tych systemów na użytkowników, zwłaszcza w takich obszarach jak zatrudnienie, edukacja czy dostęp do usług finansowych – zauważa Justyna Wilczyńska-Baraniak

Zdaniem przedsiębiorcy

Dobre przygotowanie uchroni przed niechcianymi niespodziankami

AI Act nadchodzi wielkimi krokami i nic dziwnego, że wywołuje spory niepokój wśród firm. Regulacja zapowiada się jako złożona i wymagająca. Z jednej strony przedsiębiorstwa będą musiały dokumentować cały proces wdrożenia sztucznej inteligencji, co w dużych organizacjach angażuje wiele działów. Z drugiej strony brak klarownych wytycznych
i jednoznacznych interpretacji rodzi dodatkowe wątpliwości.
Już teraz widać duże zainteresowanie AI Act wśród przedsiębiorstw, zwłaszcza tych obawiających się zaklasyfikowania ich rozwiązań do kategorii systemów wysokiego ryzyka. To uzasadnione, ponieważ takie przyporządkowanie oznacza jeszcze więcej biurokracji
i kontroli. Proces ten można porównać do rejestracji wyrobu medycznego: kluczowe jest zrozumienie reguł, wdrożenie odpowiednich procedur i monitorowanie rynku po wprowadzeniu produktu. Podobnie jak w przypadku wyrobów medycznych – im niższa klasa ryzyka, tym łatwiejszy proces zgodności.
Warto jednak zauważyć, że prawidłowo wdrożona regulacja może przynieść korzyści. AI Act jest zorientowany na rozwój sztucznej inteligencji, który chroni bezpieczeństwo użytkowników oraz prawa podstawowe. To szczególnie istotne w kontekście przykładów niewłaściwego wykorzystywania AI w państwach stosujących bardziej totalitarne niż demokratyczne praktyki.
Choć AI Act nie wejdzie w pełni w życie od razu, niektóre jego zapisy zaczną obowiązywać już w tym roku. Warto więc już teraz zadbać o poszerzenie wiedzy i przygotowanie całej organizacji, aby uniknąć niespodzianek i być gotowym na wyzwania, które przyniesie ta regulacja.
Podpis pod zdjęciem
Mateusz Chechliński
członek AI Chamber i prezes Appotype

Mechanizmy egzekwowania dostosowań do AI Act

Dostosowanie organizacji do nowych wymogów regulacyjnych jest nieuniknione i niesie za sobą poważne konsekwencje w przypadku naruszenia przepisów.

– AI Act przewiduje potencjalnie wysokie kary za naruszenie kluczowych wymogów rozporządzenia, w tym możliwość nałożenia administracyjnej kary pieniężnej w wysokości do
35 mln euro lub – w przypadku przedsiębiorstw – do 7 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która z tych kwot jest wyższa. W przypadku dostawców modeli AI ogólnego przeznaczenia oraz instytucji, organów i jednostek organizacyjnych Unii, kary będą mogły być nakładane odpowiednio przez Komisję Europejską oraz Europejskiego Inspektora Ochrony Danych. Natomiast dla podmiotów prywatnych, właściwy organ zostanie określony na poziomie przepisów krajowych – przypomina Piotr Czulak, radca prawny w zespole IPT DLA Piper.

W Polsce trwają prace legislacyjne w zakresie AI

Precyzuje, że przepisy krajowe mogą doprecyzować katalog kar i sposób egzekwowania prawa (ostrzeżenia czy środki niepieniężne np. nakazy określonego działania).

- Obecnie w Polsce trwają prace nad projektem ustawy o systemach sztucznej inteligencji, która m.in. wskaże właściwe organy krajowe oraz wprowadzi przepisy umożliwiające nakładanie administracyjnych kar finansowych za naruszenia przepisów AI Act. Proponowana treść ustawy budzi pewne kontrowersje, czego wyrazem są uwagi do projektu opublikowane 16 stycznia 2025 r. przez Prezesa Urzędu Ochrony Danych Osobowych, wskazujące na ryzyko niejasności w zakresie roli Prezesa w tym układzie oraz potencjalnego dualizmu i duplikacji kompetencji z nowym organem – mówi Piotr Czulak.

Regulacje prawne w zakresie sztucznej inteligencji często łączą się z ochroną danych osobowych.

– Podkreślenia wymaga fakt, że kary za naruszenia Aktu ws. sztucznej inteligencji przewyższają te wskazane w RODO, a oba rozporządzenia mają wiele cech wspólnych. Dlatego warto poświęcić czas na zidentyfikowanie wymogów i ryzyk wskazanych w AI Act w odniesieniu do własnej organizacji – podkreśla Piotr Czulak.

Główne wnioski

  1. Aż 58 proc. polskich organizacji rozpoczęło już proces przygotowań do nowych regulacji wynikających z AI Act. Jednak 17 proc. przedsiębiorstw wciąż nie podjęło żadnych działań w tym zakresie – wynika z analiz EY.
  2. Już dziś widzimy duże zainteresowanie AI Act ze strony przedsiębiorstw, zwłaszcza tych, które obawiają się zaklasyfikowania ich rozwiązań do kategorii systemów wysokiego ryzyka. To zrozumiałe, ponieważ takie przyporządkowanie może oznaczać jeszcze więcej biurokracji i kontroli – wskazuje Mateusz Chechliński, członek AI Chamber i prezes Appotype.
  3. Problemem dla wielu firm pozostaje brak wystarczających zasobów kadrowych lub technologicznych, co znacznie utrudnia dostosowanie organizacji do wymogów AI Act.