Kary za sztuczną inteligencję. Ile zapłacą firmy za złamanie AI Act?

Młotek sędziowski, monety euro i cyfrowy symbol AI na tle książki z napisem AI Act, ilustrujące kary za naruszenie unijnych przepisów o sztucznej inteligencji.
AI Act przewiduje kary sięgające 35 mln euro albo 7 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa.GazetaPrawna.pl / Gazeta Prawna/Zdjęcie poglądowe
wczoraj, 13:15

Firmy korzystające ze sztucznej inteligencji w Unii Europejskiej wchodzą w etap realnej odpowiedzialności finansowej. AI Act przewiduje kary sięgające 35 mln euro albo 7 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa. Najwyższe sankcje dotyczą zakazanych praktyk AI, niższe — naruszeń obowiązków dla systemów wysokiego ryzyka i zasad przejrzystości. W Polsce nadzór nad stosowaniem przepisów ma sprawować Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji.

AI Act nie jest regulacją wyłącznie technologiczną. To akt prawny, który przenosi odpowiedzialność za działanie systemów sztucznej inteligencji na podmioty wprowadzające je na rynek, dostawców, importerów, dystrybutorów oraz firmy i instytucje, które korzystają z AI zawodowo. Najbardziej dotkliwe sankcje mają działać podobnie jak w RODO: nie jako koszt uboczny działalności, ale jako ryzyko zdolne wpłynąć na wynik finansowy dużej grupy kapitałowej.

Najwyższy próg kary przewidziano za naruszenie zakazu stosowania praktyk AI uznanych za niedopuszczalne. Chodzi o sankcję do 35 mln euro albo do 7 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego — zastosowanie ma wyższa z tych dwóch wartości. W praktyce oznacza to, że dla największych firm technologicznych, banków, ubezpieczycieli, platform internetowych czy grup handlowych realny limit nie będzie liczony w milionach euro, lecz jako procent globalnych przychodów.

Drugi próg obejmuje m.in. naruszenia obowiązków dostawców, importerów, dystrybutorów, użytkowników profesjonalnych systemów AI oraz obowiązków przejrzystości. Tu maksymalna kara wynosi 15 mln euro albo 3 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa. Trzeci próg dotyczy przekazania organom nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji. W takim przypadku kara może sięgnąć 7,5 mln euro albo 1 proc. światowego obrotu.

Najwyższe sankcje za zakazane zastosowania AI

Najpoważniejszym naruszeniem będzie stosowanie systemów AI objętych zakazem. AI Act wymienia m.in. szkodliwą manipulację, wykorzystywanie szczególnej podatności osób ze względu na wiek, niepełnosprawność lub sytuację społeczną i ekonomiczną, scoring społeczny, niektóre formy predykcyjnej oceny ryzyka popełnienia przestępstwa, masowe budowanie baz rozpoznawania twarzy z internetu lub monitoringu, rozpoznawanie emocji w pracy i edukacji oraz biometryczną kategoryzację prowadzącą do wnioskowania o cechach chronionych.

Dla firm kluczowe jest to, że zakaz nie ogranicza się do tworzenia takich narzędzi. Obejmuje także wprowadzanie ich do obrotu, oddawanie do użytku i samo korzystanie z nich. Przedsiębiorca nie będzie więc mógł bronić się wyłącznie tym, że system kupił od zewnętrznego dostawcy. Jeżeli wdroży go w organizacji, wykorzysta do oceny pracowników, klientów lub użytkowników, a system będzie mieścił się w katalogu zakazanych praktyk, ryzyko sankcji będzie dotyczyło także jego.

Szczególnie wrażliwe obszary to HR, edukacja, bezpieczeństwo, marketing behawioralny, finanse, windykacja i administracja publiczna. To tam systemy AI mogą podejmować albo przygotowywać decyzje dotyczące człowieka: kogo zatrudnić, komu przyznać świadczenie, komu odmówić usługi, kogo uznać za ryzykownego klienta, którego ucznia zakwalifikować do programu albo jak ocenić zachowanie pracownika.

Kary za deepfake, chatboty i brak oznaczenia treści AI

Niższy, ale nadal bardzo wysoki próg — do 15 mln euro albo 3 proc. światowego obrotu — obejmuje m.in. naruszenia zasad przejrzystości. To ważne dla firm medialnych, reklamowych, politycznych, e-commerce, obsługi klienta i wszystkich podmiotów korzystających z generatywnej AI. AI Act przewiduje, że człowiek powinien wiedzieć, kiedy rozmawia z systemem AI, chyba że z okoliczności jasno wynika, że ma do czynienia z maszyną.

Obowiązki dotyczą także treści syntetycznych. Dostawcy systemów generujących obraz, dźwięk, wideo lub tekst mają zapewnić, aby wyniki działania systemu były oznaczalne w formacie możliwym do odczytu maszynowego i wykrywalne jako treść sztucznie wygenerowana lub zmanipulowana. Z kolei podmioty wykorzystujące systemy AI do tworzenia albo modyfikowania obrazu, dźwięku lub wideo stanowiących deepfake mają ujawnić, że materiał został sztucznie wygenerowany lub zmieniony.

Dodatkowy obowiązek dotyczy tekstów publikowanych w celu informowania opinii publicznej o sprawach leżących w interesie publicznym. Jeżeli taki tekst został wygenerowany albo zmanipulowany przez AI, powinno to zostać ujawnione. Wyjątek przewidziano wtedy, gdy materiał przeszedł proces ludzkiej kontroli lub redakcyjnej weryfikacji, a za publikację odpowiada osoba fizyczna albo prawna.

Systemy wysokiego ryzyka i obowiązki przed wdrożeniem

Największym wyzwaniem organizacyjnym nie będą wyłącznie same kary, lecz obowiązki poprzedzające wdrożenie systemów wysokiego ryzyka. AI Act zalicza do tej kategorii m.in. wybrane systemy stosowane w edukacji, zatrudnieniu, usługach publicznych i prywatnych o podstawowym znaczeniu, infrastrukturze krytycznej, migracji, ściganiu przestępstw, wymiarze sprawiedliwości i procesach demokratycznych.

Dostawcy takich systemów muszą spełnić wymogi dotyczące zarządzania ryzykiem, jakości danych, dokumentacji technicznej, rejestrowania zdarzeń, przejrzystości dla użytkownika profesjonalnego, nadzoru człowieka, dokładności, odporności i cyberbezpieczeństwa. W wielu przypadkach konieczne będzie także przygotowanie dokumentacji pozwalającej organowi nadzoru ocenić zgodność systemu z prawem.

Dla firm oznacza to konieczność uporządkowania całego procesu korzystania z AI: od wyboru narzędzia, przez analizę celu jego użycia, po dokumentację, testy, monitoring i zasady odpowiedzialności człowieka. Sam regulamin korzystania z ChatGPT lub innego narzędzia nie wystarczy, jeżeli system zaczyna wpływać na prawa osób fizycznych albo decyzje o istotnym znaczeniu.

Polska Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji

W Polsce projekt ustawy o systemach sztucznej inteligencji przewiduje powołanie Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji. Zgodnie z komunikatem Ministerstwa Cyfryzacji organ ten ma prowadzić postępowania administracyjne, wydawać decyzje, nakładać sankcje administracyjne i koordynować nadzór nad systemami AI w Polsce. Rząd przyjął projekt 31 marca 2026 r.

Komisja ma pełnić funkcję krajowego organu odpowiedzialnego za stosowanie AI Act, ale jej rola nie ma ograniczać się do karania. Ma także wspierać rozwój ekosystemu AI, tworzyć piaskownice regulacyjne, prowadzić działania edukacyjne i informacyjne oraz współpracować z organami innych państw i instytucjami Unii Europejskiej. Dla przedsiębiorców oznacza to, że nadzór nad AI będzie w Polsce scentralizowany, a nie rozproszony wyłącznie między istniejące urzędy.

Nie zmienia to faktu, że AI Act będzie działał równolegle z innymi regulacjami, zwłaszcza RODO, przepisami konsumenckimi, prawem pracy, prawem autorskim i regulacjami sektorowymi. Jedno wdrożenie AI może więc wywołać kilka ryzyk naraz: naruszenie zasad ochrony danych, brak przejrzystości wobec konsumenta, niezgodne z prawem profilowanie lub naruszenie zakazu z AI Act.

Terminy stosowania AI Act dla firm

AI Act wszedł w życie 1 sierpnia 2024 r., ale jego obowiązki zaczęły obowiązywać etapami. Zakazane praktyki AI i obowiązki dotyczące kompetencji AI stosuje się od 2 lutego 2025 r. Zasady zarządzania i obowiązki dotyczące modeli ogólnego przeznaczenia zaczęły obowiązywać 2 sierpnia 2025 r. Zasady przejrzystości, w tym oznaczanie treści generowanych przez AI, mają wejść w życie 2 sierpnia 2026 r.

Komisja Europejska wskazuje, że po politycznym porozumieniu dotyczącym uproszczenia AI Act obowiązki dla systemów wysokiego ryzyka w wybranych obszarach, m.in. edukacji, zatrudnienia, biometriach, infrastrukturze krytycznej oraz migracji, mają być stosowane od 2 grudnia 2027 r., a dla systemów zintegrowanych z produktami, np. windami lub zabawkami, od 2 sierpnia 2028 r. To nie oznacza jednak zawieszenia odpowiedzialności. Zakazane praktyki już obowiązują, a systemy wdrażane teraz będą oceniane według dokumentacji, celu użycia i skutków dla ludzi.

Źródła: Rozporządzenie Parlamentu Europejskiego i Rady UE 2024/1689, Komisja Europejska, AI Act Service Desk, Ministerstwo Cyfryzacji, wytyczne Komisji Europejskiej dotyczące zakazanych praktyk AI.

Źródło: gazetaprawna.pl

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.

Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.

Autopromocja
381536mega.png
381439mega.png
381499mega.png