W lutym tego roku informowaliśmy o wejściu w życie pierwszych przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689, powszechnie określanego jako Akt o sztucznej inteligencji („AI Act”). Tymczasem, od 2 sierpnia 2025 roku zaczęła obowiązywać kolejna grupa regulacji, które znacząco rozszerzają zakres stosowania tego Aktu. Na szczególną uwagę zasługują przede wszystkim przepisy dotyczące modeli AI ogólnego przeznaczenia czy zasad nadzoru i egzekwowania prawa.
Stopniowe wchodzenie przepisów w życie
Jak pisaliśmy już w lutym, unijny AI Act to pierwsza tego rodzaju kompleksowa regulacja prawna dotycząca systemów i modeli sztucznej inteligencji. Przypomnieć należy, że ze względu na obszerność i poziom skomplikowania regulowanej materii zdecydowano się na stopniowe wprowadzanie poszczególnych elementów AI Act. Co do zasady przyjęto, że przepisy Aktu będą obowiązywać po upływie 24 miesięcy od jego ogłoszenia, jednak w przypadku części przepisów terminy nabrania mocy prawnej to kolejno 6, 12 i 36 miesięcy. W związku z powyższym, już od 2 lutego 2025 roku weszły w życie pierwsze przepisy rozporządzenia.
Od lutego 2025 roku w całej Unii Europejskiej zaczął obowiązywać wprost zakaz używania oraz wprowadzania na rynek szczególnie niebezpiecznych systemów AI, które spełniają kryteria praktyk zakazanych. Na początku lutego wszedł w życie również art. 4 AI Act, wprowadzający obowiązek dotyczący kompetencji w zakresie korzystania ze sztucznej inteligencji.
Nowe regulacje obowiązujące od sierpnia
Od 2 sierpnia 2025 roku wszedł w życie szereg kolejnych regulacji, dotyczących przede wszystkim modeli AI ogólnego przeznaczenia (GPAI) oraz szeroko rozumianego egzekwowania przepisów Aktu. Zbiorczo należy wskazać, że od bieżącego miesiąca rozpoczęło się stosowanie przepisów o:
- organach notyfikujących i jednostkach notyfikowanych w kontekście systemów AI wysokiego ryzyka (rozdział III sekcja 4),
- modelach AI ogólnego przeznaczenia (rozdział V),
- zarządzeniu wykonaniem AI Act (rozdział VII),
- karach (rozdział XII), za wyjątkiem art. 101, który mówi o karach pieniężnych dla dostawców modeli AI ogólnego przeznaczenia, oraz
- poufności (art. 78).
Modele AI ogólnego przeznaczenia
Definicja zawarta w art. 3 pkt 63 Rozporządzenia wskazuje, że model AI ogólnego przeznaczenia to model AI, w tym model trenowany dużą ilością danych z wykorzystaniem nadzoru własnego na dużą skalę, który wykazuje znaczną ogólność i jest w stanie kompetentnie wykonywać szeroki zakres różnych zadań, niezależnie od sposobu, w jaki model ten jest wprowadzany do obrotu, i który można zintegrować z różnymi systemami lub aplikacjami niższego szczebla (z wyłączeniem modeli AI, które są wykorzystywane na potrzeby działań w zakresie badań, rozwoju i tworzenia prototypów przed wprowadzeniem ich do obrotu). W praktyce oznacza to, że na co dzień najczęściej mamy do czynienia właśnie z tego typu narzędziami – przykładem są choćby popularne ChatGPT czy Gemini.
Zakwalifikowanie narzędzia AI do kategorii modeli AI ogólnego przeznaczenia powoduje, że dostawcy takich systemów muszą sprostać szeregowi nowych obowiązków. Wśród nich należy zwrócić szczególną uwagę na obowiązki z zakresu:
- sporządzania i aktualizacji dokumentacji technicznej modelu,
- publikowania streszczeń danych treningowych,
- wdrożenia polityki zapewniającej zgodność z prawem autorskim i prawami pokrewnymi w UE,
- udostępniania informacji i dokumentacji podmiotom, które integrują GPAI w swoich systemach,
- współpracy z organami nadzoru i raportowania zgodności.
Wspomnieć trzeba w tym miejscu, że choć modele dostępne już na rynku mają czas na dostosowanie do 2027 roku, to każdy nowy system wprowadzany po 2 sierpnia 2025 musi być zgodny z nowymi przepisami od razu.
Nadzór i możliwe kary
Nowe regulacje przewidują również wzmocnienie mechanizmów nadzoru nad przestrzeganiem przepisów Aktu. Teoretycznie do 2 sierpnia tego roku państwa członkowskie UE powinny były wskazać co najmniej jeden organ notyfikujący i co najmniej jeden organ nadzoru rynku.
Kluczowym organem w Polsce ma być Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji, która zostanie powołana obecnie projektowaną ustawą o systemach sztucznej inteligencji (nr druku: UC71). Komisja ta ma m.in. prowadzić inspekcje zdalne i stacjonarne, przyjmować zgłoszenia naruszeń oraz rozpatrywać odwołania.
Wyżej wspomniany projekt ustawy pozostaje jednak nadal na bardzo wczesnym etapie procedowania, co jest o tyle istotne, że choć AI Act jako unijne rozporządzenie stosuje się bezpośrednio we wszystkich krajach członkowskich, to bez krajowych przepisów wykonawczych stosowanie niektórych postanowień (w tym przepisów o karach) może być utrudnione. Przypomnieć należy, że zgodnie z Rozporządzeniem na podmioty, które nie będą przestrzegały regulacji wynikających z AI Act, może zostać nałożona kara finansowa w wysokości nawet do 35 milionów euro lub 7% globalnego rocznego obrotu. Na obecnym etapie, mimo że przepisy Aktu formalnie obowiązują, polskie organy mogą niekoniecznie dysponować narzędziami do ich egzekwowania.
Niemniej jednak, sierpniowe wejście w życie nowych regulacji oznacza faktyczny początek szerokiego stosowania Aktu o sztucznej inteligencji. Od tej pory zarówno dostawcy, jak i użytkownicy systemów AI muszą liczyć się z bardziej rygorystycznymi wymogami dokumentacyjnymi, prawnymi i organizacyjnymi, których celem jest zwiększenie bezpieczeństwa i transparentności wykorzystania sztucznej inteligencji w Unii Europejskiej.
W przypadku zainteresowania tematem przedstawionym w artykule, prosimy o kontakt na: kancelaria@cddlegal.pl
Autor: Kaja Stelmaszewska
