Firmy, które wdrożyły systemy sztucznej inteligencji przed rozpoczęciem stosowania nowych wymogów AI Act, nie zawsze będą musiały przebudować je od podstaw. Unijne przepisy przewidują okres przejściowy dla starszych systemów wysokiego ryzyka. Ochrona nie jest jednak bezwarunkowa. Poważna zmiana konstrukcji lub przeznaczenia systemu może spowodować, że przedsiębiorca będzie musiał dostosować go do nowych wymogów, w tym dotyczących oceny zgodności, dokumentacji, zarządzania ryzykiem i nadzoru człowieka.
Dla przedsiębiorstw korzystających z AI kluczowe będzie więc nie tylko ustalenie, kiedy system został kupiony lub uruchomiony. Znaczenie może mieć również to, czy później został rozbudowany, przebudowany albo zaczął być wykorzystywany do innych celów. Po przyjęciu AI Omnibus unijne przepisy dodatkowo precyzują zasady dotyczące modeli i typów systemów wprowadzonych na rynek przed datą rozpoczęcia stosowania wymogów dla systemów wysokiego ryzyka.
Starsze systemy AI z okresem przejściowym
AI Act nie nakłada automatycznie pełnego zestawu nowych obowiązków na każdy system wysokiego ryzyka, który został wcześniej legalnie wprowadzony na rynek lub oddany do użytku. Artykuł 111 rozporządzenia przewiduje szczególne rozwiązanie dla systemów już funkcjonujących.
Zasada ma ograniczyć sytuacje, w których przedsiębiorstwa musiałyby natychmiast wycofywać lub kosztownie przebudowywać legalnie działające rozwiązania tylko dlatego, że zaczęły obowiązywać nowe regulacje. Unijny ustawodawca chciał zachować ciągłość korzystania z systemów, a jednocześnie nie dopuścić do sytuacji, w której stary produkt byłby dowolnie rozbudowywany i nadal pozostawał poza nowym reżimem.
W praktyce granica przebiega pomiędzy dalszym korzystaniem z tego samego rozwiązania a zmianą, która istotnie ingeruje w konstrukcję systemu albo jego przeznaczenie. To właśnie moment modyfikacji może zdecydować o konieczności pełnego dostosowania.
Istotna zmiana systemu AI uruchamia nowe obowiązki
AI Act posługuje się pojęciem istotnej modyfikacji. Chodzi o zmianę dokonaną po wprowadzeniu systemu na rynek lub oddaniu go do użytku, której nie przewidziano w pierwotnej ocenie zgodności i która wpływa na zgodność rozwiązania z wymogami dla systemów wysokiego ryzyka albo zmienia jego ocenione wcześniej przeznaczenie.
Nie każda aktualizacja oprogramowania będzie zatem oznaczała automatyczne wejście w pełny reżim AI Act. Zwykła poprawka techniczna, usunięcie błędu czy aktualizacja bezpieczeństwa nie musi być traktowana tak samo jak głęboka przebudowa mechanizmu podejmowania decyzji. Znaczenie będzie miała skala i skutek zmiany.
Inaczej należy ocenić sytuację, w której firma zmienia sposób działania modelu, rozszerza zakres analizowanych danych, dodaje nowe funkcje decyzyjne albo zaczyna używać systemu w obszarze, do którego pierwotnie nie był przeznaczony. Szczególnie istotna może być zmiana celu zastosowania. Narzędzie stworzone do porządkowania dokumentów nie może być bezrefleksyjnie przekształcone w system oceniający kandydatów do pracy, klientów ubiegających się o określone usługi lub osoby korzystające ze świadczeń.
AI Omnibus doprecyzowuje zasady dla starych systemów
Przyjęty w 2026 r. AI Omnibus wprowadza ważne doprecyzowanie okresu przejściowego. Zgodnie z ostatecznym tekstem znaczenie ma typ i model systemu, a nie tylko pojedynczy egzemplarz.
Jeżeli co najmniej jedna jednostka określonego typu i modelu systemu wysokiego ryzyka została legalnie wprowadzona na rynek albo oddana do użytku przed właściwą datą graniczną, kolejne jednostki tego samego typu i modelu mogą korzystać z okresu przejściowego. Warunkiem jest zachowanie niezmienionej konstrukcji systemu.
To istotne dla producentów, którzy przed datą rozpoczęcia stosowania nowych wymogów sprzedali pierwsze egzemplarze określonego rozwiązania, a następnie nadal dostarczają ten sam produkt. Sam fakt wyprodukowania kolejnej jednostki po tej dacie nie musi jeszcze oznaczać utraty ochrony okresu przejściowego.
Inaczej będzie po istotnej zmianie konstrukcji. Przyjęty tekst AI Omnibus wskazuje, że taka ingerencja ma uruchamiać obowiązek pełnego przestrzegania odpowiednich przepisów AI Act dotyczących systemów wysokiego ryzyka, w tym wymogów związanych z oceną zgodności.
Nowe terminy dla systemów AI wysokiego ryzyka
Sytuację przedsiębiorstw komplikuje zmieniony kalendarz wdrażania AI Act. Pierwotnie wiele wymogów dla systemów wysokiego ryzyka z załącznika III miało być stosowanych od 2 sierpnia 2026 r.
Po wielomiesięcznych pracach nad AI Omnibus Unia Europejska przesunęła te terminy. Rada UE 29 czerwca 2026 r. ostatecznie zatwierdziła akt. Dla samodzielnych systemów wysokiego ryzyka wymienionych w załączniku III, obejmujących między innymi określone zastosowania w zatrudnieniu, edukacji, infrastrukturze krytycznej, dostępie do podstawowych usług, organach ścigania i kontroli granicznej, przyjęto datę 2 grudnia 2027 r.
Dla systemów AI będących produktami lub elementami bezpieczeństwa produktów objętych określonymi przepisami sektorowymi termin przesunięto do 2 sierpnia 2028 r. Chodzi między innymi o rozwiązania powiązane z niektórymi regulowanymi urządzeniami i maszynami.
Nie oznacza to jednak, że do tych dat przedsiębiorstwa mogą ignorować AI Act. Część jego przepisów obowiązuje już dziś. Od 2 lutego 2025 r. stosowane są między innymi zakazy dotyczące niedopuszczalnych praktyk AI oraz obowiązki związane z kompetencjami w zakresie sztucznej inteligencji. Od 2 sierpnia 2025 r. stosuje się natomiast część przepisów dotyczących modeli AI ogólnego przeznaczenia.
Audyt systemów AI przed kolejną modernizacją
Dla firm najważniejszym krokiem staje się ustalenie, jakie systemy AI rzeczywiście funkcjonują w organizacji. Sama lista zakupionych licencji może nie wystarczyć. Trzeba ustalić datę wdrożenia, pierwotne przeznaczenie, kolejne aktualizacje, zakres zmian oraz to, kto podejmował decyzję o rozszerzeniu funkcji.
Problem może pojawić się wtedy, gdy system przez kilka lat był stopniowo rozbudowywany bez prowadzenia pełnej dokumentacji zmian. Firma może mieć wówczas trudność z wykazaniem, czy nadal używa tego samego rozwiązania, czy doszło już do modyfikacji wpływającej na jego status prawny.
Szczególnej kontroli wymagają systemy, które zaczęły pełnić funkcje odmienne od pierwotnych. Zmiana nie musi polegać na stworzeniu zupełnie nowego programu. Czasami wystarczy połączenie istniejącego narzędzia z nowym źródłem danych, wdrożenie dodatkowego modelu lub rozszerzenie jego roli z funkcji doradczej na funkcję wpływającą na decyzje dotyczące konkretnych osób.
Dla przedsiębiorcy najbezpieczniejszym rozwiązaniem jest więc prowadzenie historii zmian systemu. W praktyce znaczenie mogą mieć umowy z dostawcą, dokumentacja wersji, instrukcje użytkowania, zakres nowych funkcji, wyniki testów i decyzje o zmianie sposobu wykorzystania AI. Bez takich informacji ustalenie, czy okres przejściowy nadal przysługuje, może być znacznie trudniejsze.
Pytania i odpowiedzi
Co oznaczają „starsze systemy AI” w kontekście AI Act?
Nie jest to formalne pojęcie używane w AI Act. Chodzi o systemy sztucznej inteligencji, które zostały wprowadzone na rynek albo oddane do użytku przed rozpoczęciem stosowania odpowiednich obowiązków wynikających z nowych przepisów. W praktyce mogą to być systemy działające w firmach już od kilku lat, np. do rekrutacji, oceny pracowników, analizy ryzyka kredytowego czy wspierania decyzji biznesowych.
Przykłady starszych systemów AI:
- system AI wdrożony wcześniej do:
- oceny kandydatów do pracy i sortowania CV,
- oceny pracowników, przydzielania im zadań lub monitorowania ich wyników,
- oceny zdolności kredytowej osób fizycznych,
- ustalania wysokości składki lub oceny ryzyka w określonych ubezpieczeniach,
- oceny uczniów, studentów albo kandydatów do szkół i uczelni,
- sterowania lub wspierania działania infrastruktury krytycznej,
- wspierania decyzji organów ścigania,
- kontroli granicznej i migracji,
- określonych zastosowań w wymiarze sprawiedliwości,
- działania jako element bezpieczeństwa regulowanego produktu, np. określonego urządzenia medycznego lub maszyny.
Czy każdy wcześniej wdrożony system AI będzie musiał zostać dostosowany do AI Act?
Nie. Sam fakt, że system działał przed rozpoczęciem stosowania nowych obowiązków, nie oznacza automatycznej konieczności jego pełnej przebudowy. Kluczowe znaczenie ma to, czy nadal jest wykorzystywany w tym samym kształcie i do tego samego celu. Poważna modyfikacja konstrukcji lub przeznaczenia może jednak uruchomić nowe obowiązki.
Co może zostać uznane za istotną modyfikację systemu AI?
Może nią być zmiana, która wpływa na zgodność systemu z wymaganiami AI Act albo zmienia jego pierwotnie ocenione przeznaczenie. Przykładem może być rozbudowa narzędzia analizującego dane o funkcję podejmowania decyzji dotyczących ludzi, dodanie nowych źródeł danych albo zmiana roli systemu z pomocniczej na decyzyjną.
Czy zwykła aktualizacja oprogramowania oznacza nowe obowiązki?
Nie zawsze. Poprawka bezpieczeństwa, usunięcie błędu lub drobna aktualizacja techniczna nie musi być traktowana jako istotna modyfikacja. Znaczenie ma skala zmiany i jej wpływ na działanie systemu, poziom ryzyka oraz sposób wykorzystania AI.
Czy zmiana przeznaczenia systemu AI może mieć znaczenie prawne?
Tak. To jeden z najważniejszych przypadków. System używany wcześniej wyłącznie do porządkowania danych może zacząć wpływać na decyzje dotyczące kandydatów do pracy, pracowników, klientów lub innych osób. Taka zmiana może spowodować, że system zacznie podlegać znacznie bardziej rygorystycznym wymogom.
Jakie systemy AI mogą być objęte okresem przejściowym?
Mogą to być m.in. wcześniej wdrożone systemy wspierające rekrutację, ocenę pracowników, analizę zdolności kredytowej, określone zastosowania w edukacji, infrastrukturze krytycznej, organach ścigania czy regulowanych produktach. Zawsze trzeba jednak ocenić, czy dany system rzeczywiście należy do kategorii wysokiego ryzyka.
Czy firma może dalej używać tego samego systemu AI po wejściu nowych przepisów?
W wielu przypadkach tak, jeżeli system nadal działa w zasadniczo niezmienionej formie i nie doszło do istotnej zmiany jego konstrukcji lub przeznaczenia. Firma powinna jednak mieć dokumentację pozwalającą wykazać, kiedy system wdrożono i jak był później zmieniany.
Kto powinien ocenić, czy doszło do istotnej modyfikacji AI?
W praktyce taka ocena powinna być dokonywana wspólnie przez osoby odpowiedzialne za technologię, zgodność z prawem, bezpieczeństwo i działalność biznesową. Sama decyzja działu IT może nie wystarczyć, ponieważ znaczenie ma nie tylko techniczna zmiana systemu, ale również sposób jego wykorzystania.
Czy firma powinna prowadzić historię zmian systemu AI?
Tak. Dokumentowanie kolejnych wersji, aktualizacji, nowych funkcji i zmian przeznaczenia może mieć kluczowe znaczenie. Bez takiej historii firma może mieć problem z wykazaniem, że nadal korzysta z tego samego systemu objętego okresem przejściowym.
Co firma powinna sprawdzić przed modernizacją systemu AI?
Przede wszystkim pierwotne przeznaczenie systemu, zakres planowanej zmiany, nowe źródła danych, wpływ na decyzje dotyczące ludzi oraz to, czy po modernizacji system może zostać zakwalifikowany jako wysokiego ryzyka. W wielu przypadkach potrzebna będzie ponowna analiza zgodności.
Czy system AI używany od kilku lat może nagle zostać objęty nowymi obowiązkami?
Tak. Może do tego dojść po istotnej zmianie konstrukcji albo celu wykorzystania. Właśnie dlatego wiek systemu nie jest najważniejszy. Znaczenie ma to, co firma z nim zrobiła po wdrożeniu.
Czy brak dokumentacji zmian może być problemem?
Tak. Firma, która nie prowadzi historii zmian, może mieć trudność z wykazaniem, że system nadal funkcjonuje w niezmienionej formie. Może też nie być w stanie określić, kiedy dokładnie doszło do modyfikacji mającej znaczenie prawne.
Czy starszy system AI oznacza przestarzałą technologię?
Nie. System może być nowoczesny i nadal być traktowany jako wcześniej wdrożony. Chodzi o moment wprowadzenia na rynek lub oddania do użytku, a nie o wiek technologii czy stopień jej zaawansowania.
Jakie jest największe ryzyko dla firm korzystających z wcześniej wdrożonych systemów AI?
Największym ryzykiem jest stopniowa rozbudowa systemu bez formalnej oceny prawnej. Firma może przez lata dodawać nowe funkcje i zmieniać sposób wykorzystania AI, nie zauważając momentu, w którym przestaje korzystać z tego samego rozwiązania, a zaczyna używać systemu podlegającego nowym obowiązkom.
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady UE 2024/1689, w szczególności art. 3, art. 111 i art. 113.
- AI Act Service Desk Komisji Europejskiej, art. 111 i motyw 177.
- Rada Unii Europejskiej, informacja o ostatecznym zatwierdzeniu AI Omnibus z 29 czerwca 2026 r.
- Ostateczny tekst legislacyjny AI Omnibus, PE-CONS 30/26.
- Komisja Europejska, informacje o harmonogramie stosowania AI Act.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu