Ustawa o systemach sztucznej inteligencji nie jest próbą stworzenia polskiego „kodeksu AI”. Podstawowe zakazy, obowiązki i klasyfikacja systemów wynikają bezpośrednio z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 z 13.6.2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji) (Dz.Urz. UE L z 2024 r., s. 1689; dalej: AIAct). Polska ustawa ma inne zadanie: wskazać organy, procedury, tryb nadzoru i środki egzekwowania unijnych obowiązków w Polsce.
Co reguluje ustawa?
Punkt wyjścia znajduje się w art. 1 ustawy. Przepis określa zakres regulacji: organizację i sposób sprawowania nadzoru nad rynkiem systemów sztucznej inteligencji oraz nad modelami sztucznej inteligencji ogólnego przeznaczenia, zasady działania organów właściwych, postępowania kontrolne, skargi, kary administracyjne oraz rozwiązania wspierające innowacje.
Polska ustawa ma przede wszystkim charakter wykonawczy i instytucjonalny. Najważniejsze zakazy, obowiązki dostawców i podmiotów stosujących AI, klasyfikacja systemów wysokiego ryzyka czy wymogi przejrzystości wynikają bezpośrednio z AIAct. Polska ustawa ma sprawić, aby te przepisy dało się realnie stosować.
Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji
Najważniejszą instytucją ustawy jest Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji, czyli KRiBSI.
Zgodnie z art. 5 ust. 1 ustawy Komisja jest organem nadzoru rynku w zakresie systemów sztucznej inteligencji w rozumieniu art. 70 ust. 1 AIAct. Z kolei art. 5 ust. 2 ustawy przewiduje, że Komisja działa jako pojedynczy punkt kontaktowy, o którym mowa w art. 70 ust. 2 AIAct. To oznacza, że przedsiębiorca, obywatel i instytucje unijne mają otrzymać krajowego adresata spraw dotyczących nadzoru nad AI. Komisja ma być miejscem, w którym spotykają się trzy perspektywy: bezpieczeństwo użytkowników, prawa podstawowe oraz rozwój innowacji.
KRiBSI ma nadzorować rynek systemów AI, prowadzić postępowania, współpracować z organami krajowymi i unijnymi, przyjmować zgłoszenia, rozpatrywać skargi oraz podejmować działania wobec naruszeń. Szczególne znaczenie ma tu art. 6 ustawy, który określa zadania Komisji, w tym wykonywanie zadań i kompetencji organu nadzoru rynku oraz sprawowanie kontroli przestrzegania przepisów AIAct.
Skarga na zakazane praktyki AI
Jednym z najważniejszych praktycznych rozwiązań jest możliwość złożenia skargi na naruszenie art. 5 AIAct, czyli przepisu dotyczącego zakazanych praktyk w zakresie sztucznej inteligencji. To nie jest detal proceduralny. Art. 5 AIAct obejmuje najbardziej ryzykowne zastosowania AI, m.in. praktyki manipulacyjne, określone formy wykorzystywania podatności osób, niedopuszczalny scoring społeczny czy niektóre zastosowania biometrii. Polska ustawa ma zapewnić krajową ścieżkę reagowania na takie naruszenia. Postępowaniu przed KRiBSI poświęcony jest Rozdział 5 nowej ustawy.
Zgodnie z art. 59 ustawy, KRiBSI wszczyna postępowanie z urzędu, w przypadku stwierdzenia na podstawie informacji zgromadzonych w toku kontroli, że mogło dojść do naruszenia AIAct lub ustawy albo w toku rozpatrywania skargi, o której mowa w art. 85 AIAct. KRiBSI może też wszcząć postępowanie na wniosek Przewodniczącego Komisji, Zastępcy Przewodniczącego Komisji lub członka Komisji, krajowego organu lub podmiotu publicznego, o których mowa w art. 77 ust. 1 AIAct, oraz na wniosek Społecznej Rady do spraw Sztucznej Inteligencji.
Wzmocni to sytuację jednostki w egzekwowaniu swoich praw. Po wejściu w życie nowych przepisów istotne będzie nie tylko to, że działał algorytm, ale także kto go wdrożył, kto go nadzorował, jakie dane wykorzystano, i czy sposób działania systemu był zgodny z AIAct. Postępowanie skargowe ma kończyć się decyzją. Zgodnie z art. 67 ust. 1 ustawy Komisja udostępnia w Biuletynie Informacji Publicznej na stronie podmiotowej Komisji treść decyzji wydawanych na podstawie AIAct lub ustawy. Od decyzji przewidziano kontrolę sądową, co ma szczególne znaczenie w sprawach, w których działanie systemu AI może wpływać na prawa jednostki, dostęp do usług, zatrudnienie, edukację, finansowanie lub inne istotne obszary życia.
Kary administracyjne
Ustawa przewiduje także administracyjne kary pieniężne. Ich znaczenie nie sprowadza się wyłącznie do sankcji finansowej. W praktyce mają skłaniać podmioty korzystające z systemów AI do wcześniejszej identyfikacji ryzyk, dokumentowania sposobu działania systemów i wdrażania mechanizmów kontroli. Największe znaczenie praktyczne będą miały naruszenia zakazów wynikających z art. 5 AIAct. Dla przedsiębiorców oznacza to konieczność sprawdzenia, czy stosowane systemy AI nie wchodzą w obszar praktyk zakazanych lub wysokiego ryzyka.
Sama deklaracja, że system jest „tylko narzędziem wspierającym”, może nie wystarczyć. W razie postępowania istotne będzie wykazanie, że organizacja wie, jakiego systemu używa, w jakim celu, na jakich danych, z jakim udziałem człowieka i z jakimi mechanizmami kontroli.
Prezes UODO i dane osobowe
Systemy AI bardzo często działają na danych osobowych. Dlatego istotne są przepisy dotyczące relacji między KRiBSI a Prezesem Urzędu Ochrony Danych Osobowych. W art. 20 pkt. 3 ustawy przewidziano współpracę Komisji z Prezesem UODO w zakresie spraw, o których mowa w art. 57 ust. 10 AIAct i ustawie. Jednocześnie projektowane rozwiązania były przedmiotem uwag organu ochrony danych, zwłaszcza dotyczących zachowania wyłącznych kompetencji Prezesa UODO tam, gdzie chodzi o nadzór nad przetwarzaniem danych osobowych.
Nadzór nad AI będzie wymagał współpracy organów, ale nie może prowadzić do rozmycia kompetencji Prezesa UODO w sprawach dotyczących ochrony danych osobowych. Wdrożenie AI w organizacji nie powinno być wyłącznie projektem technologicznym. Powinno być oceniane równolegle z perspektywy AIAct, RODO, cyberbezpieczeństwa, prawa pracy, prawa konsumenckiego i umów z dostawcami technologii.
Piaskownice regulacyjne
Ustawa nie opiera się wyłącznie na kontroli i sankcjach. Ważnym elementem są piaskownice regulacyjne, czyli kontrolowane środowiska testowania innowacyjnych systemów AI. Mają one umożliwić testowanie rozwiązań w bezpiecznych warunkach, przy wsparciu regulatora, zanim system zostanie szeroko wdrożony. To szczególnie istotne dla startupów, firm technologicznych oraz podmiotów rozwijających rozwiązania AI w sektorach wrażliwych, takich jak zdrowie, finanse, edukacja czy administracja publiczna.
Jeżeli piaskownice będą działały sprawnie, mogą ograniczyć ryzyko, że regulacja zostanie odebrana wyłącznie jako bariera. Dobrze zaprojektowany nadzór powinien chronić prawa jednostki, ale jednocześnie dawać przedsiębiorcom jasne warunki testowania i rozwoju technologii.
Co powinni zrobić przedsiębiorcy?
Ustawa oznacza, że podmioty wykorzystujące sztuczną inteligencję w swojej działalności powinny przygotować się do bardziej formalnego nadzoru nad AI. Pierwszym krokiem powinna być inwentaryzacja systemów AI wykorzystywanych w organizacji. Nie chodzi tylko o duże wdrożenia IT, ale również narzędzia używane przez HR, marketing, sprzedaż, obsługę klienta, działy finansowe czy compliance.
W wielu organizacjach pierwszym problemem nie będzie nawet ocena zgodności z AIAct, ale ustalenie, gdzie i w jakim zakresie AI jest już faktycznie wykorzystywana. Następnie warto ustalić, czy organizacja występuje jako dostawca, podmiot stosujący, importer lub dystrybutor systemu AI. Od tej kwalifikacji zależą obowiązki wynikające z AIAct.
Szczególnej analizy wymagają systemy wykorzystywane w rekrutacji, ocenie pracowników, scoringu klientów, ubezpieczeniach, medycynie, edukacji, infrastrukturze krytycznej i administracji. To właśnie tam ryzyko wpływu na prawa jednostki jest największe. Należy także zweryfikować umowy z dostawcami AI. Powinny one przewidywać dostęp do dokumentacji, wsparcie przy kontroli, zasady odpowiedzialności, procedury zgłaszania incydentów, obowiązki informacyjne oraz zgodność z AIAct i RODO.
Podsumowując, polska ustawa o systemach sztucznej inteligencji nie tworzy od podstaw nowych zasad odpowiedzialności za AI. Te wynikają z unijnego AIAct, który należy stosować bezpośrednio. Zadaniem polskich przepisów jest wskazać, kto w Polsce będzie nadzorował rynek systemów AI, jak będzie można reagować na naruszenia, i jakie instrumenty będą służyły egzekwowaniu obowiązków.
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →
