Projekt ustawy o systemach AI - gebauergroup.pl
Blog Projekt ustawy o systemach AI

Projekt ustawy o systemach AI

21 min czytania
05.12.2025

Polskie przepisy o sztucznej inteligencji są na ostatniej prostej. Po ponad roku prac rządowych dojrzewa projekt ustawy o systemach sztucznej inteligencji, która ma uzupełnić unijne rozporządzenie AI Act i określić, jak te europejskie regulacje będą egzekwowane w Polsce.

AI Act już obowiązuje

AI Act to pierwsza na świecie kompleksowa regulacja dotycząca sztucznej inteligencji. Jej celem jest zapewnienie, aby systemy AI były bezpieczne, przejrzyste i zgodne z prawami podstawowymi, przy jednoczesnym wsparciu rozwoju innowacji. Rozporządzenie stosuje podejście proporcjonalne do ryzyka – im wyższe ryzyko, tym większe wymagania wobec dostawców i użytkowników systemu.

W naszym wcześniejszym artykule (kliknij) wyjaśnialiśmy, że AI Act dzieli systemy AI na cztery kategorie: niedopuszczalne, wysokiego, ograniczonego i minimalnego ryzyka oraz wprowadza odrębne obowiązki dla każdej z nich.

Część przepisów AI Act jest już stosowana od 2 lutego 2025 r., w tym m.in.:

  • zakaz określonych praktyk AI (np. systemów „social scoringu”, manipulacyjnych technik psychologicznych czy masowego rozpoznawania twarzy w przestrzeni publicznej – z nielicznymi wyjątkami),
  • pierwsze obowiązki dla dostawców generatywnej AI – m.in. wymóg oznaczania treści wygenerowanych przez system, publikowania streszczeń zbiorów danych szkoleniowych oraz stosowania zabezpieczeń przed generowaniem treści niezgodnych z prawem.

Od 2 lutego 2025 r. obowiązuje również tzw. AI literacy – wymóg zapewnienia pracownikom odpowiednich kompetencji, jeżeli zajmują się oni systemami AI. W praktyce wiele firm już przeprowadziło szkolenia w tym zakresie.

Problem polega jednak na tym, że w Polsce nadal brakuje krajowych przepisów, które doprecyzowałyby sposób egzekwowania AI Act – w tym strukturę nadzoru, procedury kontrolne i system kar.

Projekt ustawy o systemach AI – na jakim etapie są prace?

Projekt ustawy o systemach sztucznej inteligencji został przygotowany przez Ministerstwo Cyfryzacji. Pierwszą wersję skierowano do konsultacji w październiku 2024 r., a najnowsza publicznie dostępna wersja pochodzi z 2 września 2025 r. i została przekazana do Komitetu Stałego Rady Ministrów.

Ministerstwo Spraw Zagranicznych zwracało uwagę, że państwa członkowskie UE powinny już mieć:

  • wyznaczone organy odpowiedzialne za nadzór nad systemami AI,
  • wdrożone kary i środki egzekwowania związane z AI Act.

Ponad stu-dniowe opóźnienie w przyjęciu ustawy – liczone od momentu rozpoczęcia stosowania pierwszych przepisów AI Act – według ekspertów zwiększa niepewność na rynku. Z jednej strony rodzi ryzyko wszczęcia przez Komisję Europejską postępowania wobec Polski i ewentualnych kar finansowych, z drugiej – powoduje, że podmioty zobowiązane nie wiedzą, jak konkretnie planować proces dostosowania do nowych wymogów.

Nowy organ: Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI)

Centralnym elementem polskiego wdrożenia AI Act ma być nowy organ – Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI). To właśnie ona ma pełnić rolę krajowego organu nadzoru rynku w rozumieniu AI Act, odpowiedzialnego m.in. za:

  • prowadzenie postępowań w sprawach naruszeń przepisów,
  • nakładanie administracyjnych kar pieniężnych,
  • rozpatrywanie skarg na zakazane praktyki AI,
  • prowadzenie działań informacyjnych i edukacyjnych,
  • wydawanie zgód na udział w piaskownicy regulacyjnej.

Projekt przewiduje, że od decyzji KRiBSI będzie przysługiwał środek zaskarżenia do Sądu Ochrony Konkurencji i Konsumentów, a następnie do Sądu Apelacyjnego w Warszawie. Skarga kasacyjna do Sądu Najwyższego ma być możliwa niezależnie od wartości przedmiotu zaskarżenia.

Z perspektywy przedsiębiorców najważniejsze jest jednak to, że KRiBSI ma być „pierwszą linią” kontaktu z administracją w sprawach AI – zarówno jeśli chodzi o kontrole, jak i ewentualne korzystanie z piaskownicy.

Piaskownica regulacyjna ma dawać przedsiębiorcom możliwość zwrócenia się do Komisji z prośbą o pełną walidację systemu AI w kontrolowanych warunkach, przed jego wypuszczeniem na rynek. Dany projekt, może znajdować się w piaskownicy maksymalnie do roku – z możliwością jednorazowego przedłużenia o pół roku. Sama piaskownica daje przedsiębiorcom możliwość zbadania ,,wraz’’ z organami komisji spójności z obowiązującym stanem prawnym oraz wychwycenia potencjalnych naruszeń czy uchybień.

Kogo obejmie ustawa – podstawowe role z punktu widzenia AI Act

Ustawa ma charakter wdrożeniowy – jej zadaniem jest umożliwienie praktycznego stosowania AI Act w Polsce, a nie tworzenie całkiem odrębnego reżimu regulacyjnego.

Dlatego projekt co do zasady dotyczy tych samych kategorii podmiotów, które wskazuje AI Act, w szczególności: dostawców systemów AI, dystrybutorów systemów AI, importerów systemów AI, użytkowników (podmiotów stosujących systemy AI) – czyli firm, które wykorzystują gotowe rozwiązania AI w swojej działalności.

W praktyce oznacza to, że ustawą objęte będą nie tylko podmioty budujące modele czy systemy AI, lecz również – w określonym zakresie – firmy wdrażające te systemy np. w obszarze HR, finansów, sprzedaży, obsługi klienta czy zarządzania infrastrukturą.

Systemy wysokiego ryzyka – największe obowiązki i najwięcej znaków zapytania

Zarówno AI Act, jak i projekt ustawy o systemach AI, szczególną uwagę poświęcają systemom wysokiego ryzyka. To właśnie do nich odnosi się większość rozbudowanych obowiązków.

Do systemów wysokiego ryzyka zaliczają się m.in.:

  • systemy objęte unijnym prawodawstwem harmonizacyjnym w zakresie zdrowia i bezpieczeństwa (np. zabawki, samochody, urządzenia medyczne, windy),
  • systemy wykorzystywane w obszarach takich jak edukacja i szkolenia zawodowe, infrastruktura krytyczna, zarządzanie migracją, kontrola graniczna.

Podmioty stosujące takie systemy (jeśli nie korzystają z przewidzianych w AI Act wyłączeń) będą musiały m.in.:

  • działać zgodnie z instrukcją dostawcy systemu,
  • prowadzić i przechowywać rejestr zdarzeń związanych z działaniem systemu,
  • zapewnić nadzór człowieka posiadającego odpowiednie kompetencje,
  • zadbać o adekwatność i reprezentatywność danych wykorzystywanych do trenowania systemu (np. w systemie CMS nie powinny „przypadkiem” pojawiać się dane o stanie zdrowia pracowników).

Zgodnie z AI Act obowiązki dla systemów wysokiego ryzyka mają – w aktualnym stanie prawnym – zacząć obowiązywać 2 sierpnia 2026 r.

Systemy ograniczonego ryzyka, deepfake’i i generatywna AI

AI Act wprowadza również umiarkowane obowiązki dla systemów ograniczonego ryzyka, w szczególności tych, które:

  • mogą służyć do generowania deepfake’ów, (wygenerowane lub zmodyfikowane przez AI wszelkie treści cyfrowe, które odbiorca może uznać za realne)
  • umożliwiają manipulację głosem lub obrazem,
  • wchodzą w interakcję z użytkownikiem w sposób „czatowy” (chatboty, asystenci głosowi).

W ich przypadku kluczowe są przede wszystkim obowiązki informacyjne – użytkownik powinien wiedzieć, że ma do czynienia z systemem sztucznej inteligencji, a nie np. z człowiekiem. Po 2 sierpnia 2026 r. obowiązki te obejmą również podmioty stosujące takie rozwiązania, choć zakres wymogów będzie zdecydowanie mniejszy niż przy systemach wysokiego ryzyka.

Dodatkowe obowiązki ponoszą dostawcy modeli ogólnego przeznaczenia (w tym generatywnej AI):

  • konieczność zapewnienia przejrzystości działania,
  • publikowanie streszczeń danych szkoleniowych,
  • wdrażanie mechanizmów ograniczających generowanie treści bezprawnych.

Z punktu widzenia wielu firm ważne jest, że sam AI Act nie nakłada co do zasady nowych obowiązków na zwykłych użytkowników narzędzi typu ChatGPT – o ile nie tworzą oni własnych systemów AI wysokiego ryzyka ani nie wykorzystują AI w obszarach objętych szczególnym reżimem. Nie zwalnia to jednak z przestrzegania przepisów m.in. RODO i prawa autorskiego.

AI w e-handlu, HR i finansach – jak te regulacje „dotkną” codziennej działalności?

Rozwój AI powoduje, że coraz więcej procesów biznesowych – także w zwykłych firmach handlowych czy usługowych – zaczyna wykorzystywać zaawansowane modele predykcyjne i generatywne. Przykładowo:

  • w e-commerce pojawia się hiper personalizacja w czasie rzeczywistym – system dynamicznie dostosowuje cenę, wygląd strony czy rekomendacje produktowe do zachowań i profilu klienta,
  • w HR wykorzystuje się algorytmy wspierające selekcję kandydatów,
  • w finansach – modele oceniające zdolność kredytową lub ryzyko transakcji,
  • w obsłudze klienta – chat boty i wirtualni asystenci.

W wielu takich przypadkach wykorzystywane systemy mogą zostać zakwalifikowane jako wysokiego albo ograniczonego ryzyka (w zależności od funkcji i kontekstu zastosowania), a więc objęte reżimem AI Act – a docelowo także polskiej ustawy.

To oznacza, że nawet firmy, które nie budują własnych modeli AI, będą musiały:

  • rozumieć, do jakiej kategorii ryzyka należą używane narzędzia,
  • współpracować z dostawcami systemów przy spełnianiu wymogów dokumentacyjnych,
  • wdrożyć wewnętrzne procedury nadzoru, monitorowania działania systemów i reagowania na incydenty.

Digital Omnibus – możliwe przesunięcie terminów, ale nie odłożenie compliance „na później”

19 listopada Komisja Europejska ogłosiła pakiet Digital Omnibus, którego celem jest uproszczenie i lepsze skoordynowanie części regulacji cyfrowych – w tym niektórych obowiązków wynikających z AI Act.

W obszarze AI kluczowe są dwie propozycje:

  • powiązanie wejścia w życie obowiązków dla systemów wysokiego ryzyka z dostępnością odpowiednich norm zharmonizowanych i narzędzi wsparcia dla przedsiębiorców,
  • możliwość wydłużenia harmonogramu rozpoczęcia stosowania tych przepisów nawet o kilkanaście miesięcy.

Z perspektywy biznesu może to oznaczać nieco więcej czasu na przygotowanie do nowych obowiązków. Warto jednak podkreślić dwie rzeczy:

  1. Część przepisów AI Act już obowiązuje (zakazane praktyki, obowiązki dostawców generatywnej AI, AI literacy) – ewentualne przesunięcia dotyczą raczej pełnego reżimu dla systemów wysokiego ryzyka, a nie całości regulacji.
  2. Polska ustawa o systemach AI ma przede wszystkim zorganizować krajowy system nadzoru, kontroli i sankcji – a więc przesunięcie dat w AI Act nie eliminuje potrzeby jej przyjęcia.

Krótko mówiąc: nawet jeśli ostateczne daty wejścia w życie poszczególnych obowiązków jeszcze się przesuną, dla przedsiębiorców jest to raczej okno na uporządkowanie własnych procesów, a nie sygnał, że temat można odłożyć na później.

Co warto zrobić już teraz?

Z perspektywy zarządów i działów compliance sensowne wydaje się wykorzystanie obecnego czasu na kilka praktycznych kroków (nawet zanim polska ustawa zostanie uchwalona):

Inwentaryzacja użycia AI w firmie
– Jakie systemy AI są wykorzystywane (wewnętrzne i zewnętrzne)?
– W jakich procesach (HR, sprzedaż, finanse, obsługa klienta, produkcja itp.)?

Wstępna klasyfikacja według poziomu ryzyka AI Act
– Czy któryś z systemów może być zakwalifikowany jako wysokiego ryzyka (np. rekrutacja, ocena kredytowa, element systemu bezpieczeństwa)?
– Czy używamy systemów, które generują treści mogące stanowić deepfake’i lub prowadzić do manipulacji użytkownikiem?

Przegląd umów z dostawcami AI
– Jakie obowiązki dotyczące dokumentacji, audytu czy bezpieczeństwa są przerzucone na dostawcę, a jakie na użytkownika?
– Czy przewidziano mechanizmy zgłaszania incydentów, błędów, nadużyć?

Polityka korzystania z narzędzi generatywnej AI przez pracowników
– Jakie dane wolno, a jakich nie wolno wprowadzać do czatów i asystentów AI?
– Jakie są zasady anonimizacji danych i weryfikacji wygenerowanych treści?

Szkolenia (AI literacy)
– Przynajmniej kluczowe zespoły (IT, compliance, HR, marketing, finanse) powinny rozumieć podstawowe założenia AI Act i planowanej ustawy – szczególnie w zakresie ryzyka prawnego i reputacyjnego.

Podsumowanie

Projekt ustawy o systemach sztucznej inteligencji ma uporządkować polski system nadzoru nad AI i umożliwić skuteczne stosowanie AI Act. Dla przedsiębiorców oznacza to przede wszystkim:

  • pojawienie się nowego organu – KRiBSI – odpowiedzialnego za kontrole i kary,
  • konieczność pogodzenia wymogów AI Act z istniejącymi obowiązkami w zakresie RODO, tajemnicy przedsiębiorstwa i prawa autorskiego,
  • zwiększenie oczekiwań wobec przejrzystości, nadzoru i dokumentacji przy korzystaniu z systemów AI – zwłaszcza tych wysokiego i ograniczonego ryzyka.

Jednocześnie wcześniejsze wejście w życie części przepisów AI Act, a także planowane zmiany w pakiecie Digital Omnibus pokazują, że firmy nie powinny traktować nowych regulacji wyłącznie jako „odległego problemu legislacyjnego”. To raczej sygnał, aby już teraz zadać sobie pytanie: gdzie w naszej organizacji działa AI i czy wiemy, jakie niesie konsekwencje prawne?

Copyright © 2024 Gebauer. All rights reserved. Polityka prywatności

Projektowanie stronDPPG