AI Act – kolejna pula przepisów weszła w życie

W sierpniu 2025 roku w życie weszła kolejna pula przepisów AI Act. Warto wskazać na kluczowe grupy obowiązków, obowiązują od sierpnia tego roku: 

Posłuchaj jak Partnerzy PwC Polska Aleksandra Bańkowska i Marcin Makusak opowiadają jak nowa pula przepisów wpłynie na organizacje.

Obowiązki dostawców modeli AI ogólnego przeznaczenia 

Dostawcy modeli AI ogólnego przeznaczenia (tj.: modeli AI zdolnych do realizacji szerokiego zakresu celów, obejmujące modele generatywnej sztucznej inteligencji, opartych o duże modele językowe) od sierpnia muszą zapewnić dokumentację techniczną i publiczne streszczenie treści użytych do trenowania modelu, współpracować z organami nadzoru i Urzędem ds. AI, a w przypadku modeli z ryzykiem systemowym (więcej o tym poddtypie modeli poniżej)– spełniać dodatkowe wymogi dotyczące oceny i ograniczania ryzyka, przeprowadzać testy, wdrażać środki zaradcze i raportować o ryzykach. 

Dodatkowe wymogi dla modeli z ryzykiem systemowym 

Dostawcy modeli AI ogólnego przeznaczenia, które zostały uznane za modele z ryzykiem systemowym, muszą spełnić szereg dodatkowych, zaostrzonych wymogów, wykraczających poza standardowe obowiązki przewidziane dla wszystkich modeli ogólnego przeznaczenia. Przede wszystkim są oni zobowiązani do przeprowadzenia szczegółowej oceny modelu zgodnie ze znormalizowanymi protokołami i narzędziami, które odzwierciedlają najnowszy stan wiedzy technicznej. Dostawcy muszą stale oceniać i ograniczać ryzyko systemowe, co obejmuje wdrażanie strategii zarządzania ryzykiem, takich jak procesy rozliczalności, monitorowanie po wprowadzeniu do obrotu, podejmowanie odpowiednich środków w całym cyklu życia modelu oraz ścisłą współpracę z innymi podmiotami w łańcuchu wartości AI. 

W przypadku wystąpienia poważnego incydentu, dostawca modelu AI ogólnego przeznaczenia z ryzykiem systemowym jest zobowiązany do natychmiastowego monitorowania przebiegu incydentu, zgłoszenia wszelkich istotnych informacji oraz możliwych środków naprawczych Komisji Europejskiej i właściwym organom krajowym.  

Szczególny nacisk kładzie się także na zapewnienie wysokiego poziomu cyberbezpieczeństwa zarówno samego modelu, jak i jego infrastruktury fizycznej. Ochrona ta powinna obejmować zabezpieczenie wag modeli, algorytmów, serwerów i zbiorów danych, wdrożenie operacyjnych środków bezpieczeństwa informacji, strategii cyberbezpieczeństwa, rozwiązań technicznych oraz kontroli dostępu – zarówno fizycznego, jak i cyfrowego – adekwatnie do zidentyfikowanego ryzyka. Na dostawcach modeli o ryzyku systemowym spoczywają również szersze obowiązki w zakresie:  

• prowadzenia i archiwizacji dokumentacji technicznej,  
• monitorowania oraz oceny ryzyka 
• testowania.  

Część dokumentacji technicznej np.: w zakresie trenowania modeli powinna być również udostępniana przez dostawców publicznie.  

Ważnym elementem jest także obowiązek współpracy dostawców generatywnej AI z Komisją Europejską, Urzędem ds. AI oraz innymi organami nadzoru, w tym udostępnianie informacji, dokumentacji, a w razie potrzeby – także dostępu do modelu poprzez API lub inne narzędzia techniczne. W przypadku stwierdzenia poważnego ryzyka systemowego, Komisja może żądać od dostawcy podjęcia określonych środków zaradczych, ograniczenia udostępniania modelu na rynku, a nawet jego wycofania z rynku lub z użytku. Wszystkie te działania mają na celu zapewnienie, że modele AI ogólnego przeznaczenia o systemowym znaczeniu dla rynku unijnego będą rozwijane, wdrażane i wykorzystywane w sposób bezpieczny, transparentny i podlegający skutecznemu nadzorowi, z poszanowaniem praw podstawowych i interesu publicznego.  

Przepisy dotyczące kar administracyjnych 

Jednocześnie w sierpniu w życie weszła w życie większość przepisów dotyczących kar administracyjnych. Warto pamiętać, że mimo, iż w Polsce nie ma jeszcze powołanego urzędu nadzorczego, prace nad ustawą wciąż trwają - to podmioty objęte AI act mogą w przyszłości zostać pociągnięte do odpowiedzialności za potencjalne naruszenie obowiązków już obowiązujących dotyczących np.: AI literacy, czy wykorzystania zabronionych praktyk. 

Co ciekawe, prawodawca częściowo wyłączył na razie dostawców modeli AI ogólnego przeznaczenia spod sankcji. Zgodnie z artykułem 101 AI Act, dedykowane kary pieniężne dla dostawców modeli AI ogólnego przeznaczenia wejdą w życie dopiero w sierpniu 2026 r. 

Przepisy nakładające obowiązki na państwa członkowskie i organy administracji 

Kolejna grupa obowiązków, która weszła w życie w sierpniu dotyczy państw członkowskich, które już teraz muszą wyznaczyć i przygotować odpowiednie organy nadzoru rynku oraz jednostki notyfikowane, które będą odpowiedzialne za egzekwowanie przepisów AI Act. Urząd ds. AI uzyskuje uprawnienia do monitorowania, prowadzenia postępowań i egzekwowania zgodności modeli AI ogólnego przeznaczenia, w zakresie kar opisanych w AI Act. 

Przełożenie na użytkowników i innych uczestników łańcucha AI 

Podmioty stosujące systemy AI będą musiały korzystać z systemów AI zgodnie z instrukcjami i wymogami dostawcy, a w przypadku systemów wysokiego ryzyka – przeprowadzać ocenę skutków dla praw podstawowych, monitorować działanie systemu, informować pracowników o wykorzystaniu AI oraz zgłaszać incydenty. Importerzy i dystrybutorzy będą musieli sprawdzić, czy systemy AI wprowadzane na rynek UE spełniają wymogi AI Act, posiadają odpowiednią dokumentację, oznakowanie CE i deklarację zgodności, oraz współpracować z organami nadzoru rynku i przekazywać wymagane informacje. Jednocześnie możemy przypuszczać, że wykorzystanie modelu AI wbrew dokumentacji technicznej i instrukcji wpłynie na potencjalną odpowiedzialność cywilną dostawców modeli.  

Okres przygotowań 

Pamiętajmy, że rozpoczyna się okres intensywnych przygotowań do wejścia w życie głównych postanowień AI Act. Wchodzące w życie przepisy AI Act wymagają od dostawców, użytkowników, importerów i organów publicznych wdrożenia nowych procedur, narzędzi i praktyk, które mają zapewnić bezpieczne, etyczne i transparentne wykorzystanie sztucznej inteligencji. Przygotowanie się do tych zmian już teraz pozwoli uniknąć ryzyka niezgodności, kar oraz utraty zaufania na rynku.