Obraz Gerd Altmann z Pixabay
W dobie szerokiego zastosowania sztucznej inteligencji mało kto nie słyszał o unijnym AI Act. Jak ten dokument wpływa na podmioty korzystające z narzędzi AI? Czy nakłada jakieś obowiązki na organizacje, w których pracownicy mają dostęp do systemów AI i korzystają w swej codziennej pracy z pomocy np. ChataGPT czy Copilota? Tego wszystkiego dowiesz się z tego artykułu.
AI Act to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji). Choć rozporządzenie to wejdzie w życie dopiero w sierpniu 2026 r., to jednak część jego przepisów obowiązuje już od 2 lutego 2025 r. Nie wszyscy mają jednak tego świadomość.
Jednym z kluczowych i już obowiązujących przepisów AI Act jest art. 4, który nakłada konkretne obowiązki na podmioty stosujące systemy sztucznej inteligencji takie jak firmy, instytucje i organizacje.
Czego wymaga art. 4 AI Act?
Zgodnie z art. 4 AI Act, dostawcy, a także podmioty stosujące systemy AI muszą zapewnić, aby osoby zaangażowane w ich obsługę i wykorzystanie posiadały odpowiednie kompetencje i wiedzę w zakresie sztucznej inteligencji. Umiejętność świadomego, odpowiedzialnego i zgodnego z prawem korzystania z systemów opartych na AI, a więc tzw. AI Literacy, to obowiązek obejmujący zarówno pracowników, jak i współpracowników działających w imieniu organizacji. Celem systematycznego budowania świadomości i umiejętności związanych z technologiami AI jest nie tylko efektywne wykorzystanie samych narzędzi, ale także minimalizacja ryzyka.
Polityka korzystania z AI – konieczność czy opcja
Organizacje powinny budować kompetencje swoich pracowników korzystających z AI nie tylko poprzez szkolenia ze stosowania wdrażanych narzędzi, ale także poprzez opracowanie i wdrożenie wewnętrznych zasady korzystania z AI. Taki dokument w formie polityki czy regulaminu powinien zawierać m.in.:
- Zakres dopuszczalnego użycia AI – np. do analizy danych, tworzenia treści, wsparcia administracyjnego,
- Zasady ochrony danych – np. zakaz przesyłania danych osobowych do zewnętrznych narzędzi AI bez podstawy prawnej,
- Wytyczne dotyczące poufności – określenie, jakie informacje nie mogą być przetwarzane przez AI, a więc nie powinny być ujawniane w ramach promptowania,
- Obowiązek i zasady weryfikacji inputu (zapytań) i outputu (treści wygenerowanej przez AI),
- Obowiązek oznaczania treści wygenerowanych przez AI – szczególnie w komunikacji z klientami lub partnerami,
- Obowiązek szkoleń i podnoszenia kwalifikacji w zakresie korzystania z AI.
Dlaczego to ważne?
Brak wdrożenia zasad korzystania z AI może narazić organizację na szereg ryzyk, w tym. m.in.:
- ryzyko halucynacji (systemy AI generują wyniki nieprawdziwe, podają „zmyślone” dane),
- ryzyko nadmiernego polegania na AI (poleganie wyłącznie na rezultacie wygenerowanym przez AI bez weryfikacji i krytycznego spojrzenia),
- ryzyko dyskryminacji występujące, gdy dane na których system AI był trenowany były oparte na uprzedzeniach, w takiej sytuacji uprzedzenia te mogą być powielone w wynikach wygenerowanych przez AI,
- ryzyko ujawnienia informacji poufnych pojawiające się, gdy osoba korzystająca z narzędzia AI celem przeprowadzenia jakiejś analizy lub sporządzenia raportu czy prezentacji, w ramach promptowania posługuje się informacjami poufnymi,
- ryzyko prawne związane z roszczeniami klientów lub sankcjami administracyjnymi grożącymi za zidentyfikowane naruszenia,
- ryzyko reputacyjne (wizerunkowe) prowadzące do utraty zaufania do organizacji przez jej klientów i partnerów.
Przykład zmaterializowania się ryzyka: raport Deloitte dla rządu Australii
W 2025 roku firma Deloitte Australia przygotowała dla australijskiego rządu raport dotyczący systemu automatycznych kar w systemie świadczeń socjalnych. Raport został częściowo wygenerowany przy użyciu narzędzia AI bez pełnej kontroli jakości i weryfikacji źródeł.
Raport zawierał sfabrykowane cytaty, w tym przypisane sędziemu federalnemu, oraz nieistniejące publikacje naukowe. Sprawę wykrył i naświetlił jeden z pracowników naukowych Uniwersytetu w Sydney, dr Chris Rudge. Wskazał on na istnienie ponad 20 błędów w tej publikacji. Deloitte przyznało się do użycia AI i opublikowało poprawioną wersję raportu. Firma została zobowiązana do zwrotu wynagrodzenia w wysokości 440 000 AUD (ok. 290 000 USD).
Raport zawierał sfabrykowane cytaty, w tym przypisane sędziemu federalnemu, oraz nieistniejące publikacje naukowe. Sprawę wykrył i naświetlił jeden z pracowników naukowych Uniwersytetu w Sydney, dr Chris Rudge. Wskazał on na istnienie ponad 20 błędów w tej publikacji. Deloitte przyznało się do użycia AI i opublikowało poprawioną wersję raportu. Firma została zobowiązana do zwrotu wynagrodzenia w wysokości 440 000 AUD (ok. 290 000 USD).
Ten przypadek pokazuje, że brak kontroli nad treściami generowanymi przez AI może prowadzić do:
- dezinformacji w dokumentach strategicznych,
- naruszenia prawa,
- utraty reputacji i zaufania publicznego,
- konsekwencji finansowych.
Rekomendacja dla organizacji
Każdy podmiot stosujący AI powinien:
- Zidentyfikować narzędzia AI wykorzystywane w organizacji.
- Opracować politykę AI – dostosowaną do specyfiki firmy.
- Przeszkolić personel – w zakresie bezpiecznego i zgodnego z prawem korzystania z AI.
- Monitorować zgodność – prowadzić nadzór nad stosowaniem narzędzi AI.
Jeśli Twoja firma potrzebuje wsparcia w opracowaniu polityki AI lub wdrożeniu zgodności z AI Act – zapraszam do kontaktu.
Zachęcam do zapoznania się z innymi artykułami dotyczącymi prawa gospodarczego:
- RODO - informacja o kategoriach czy o tożsamości odbiorców danych
- Umowy dystrybucyjne i franczyzowe - nowe regulacje!
- Atak hakerski a odpowiedzialność odszkodowawcza na gruncie RODO
- Spółka z ograniczoną odpowiedzialnością – praca i usługi świadczone przez wspólnika - część I
- Spółka z ograniczoną odpowiedzialnością – praca i usługi świadczone przez wspólnika - część II
- Ustawa o ochronie sygnalistów
- Ustawa o ochronie sygnalistów - cz. 2
- Ostatni dzwonek na wdrożenie ustawy o ochronie sygnalistów
- EUDR – czyli unijne rozporządzenie dotyczące wylesiania
- Przekształcenie spółki