Nowa ustawa o AI, surowe zakazy deepfake’ów, koniec ery nieuchwytnych algorytmów – tak projekt ustawy o systemach sztucznej inteligencji, przyjęty przez Radę Ministrów 31 marca 2026 r., prezentowany był w komunikacji rządowej. Rzeczywistość jest jednak bardziej techniczna i – dla biznesu – znacznie ciekawsza. Projekt nie tworzy nowych zakazów, lecz buduje polski aparat egzekwowania unijnego AI Act: organ nadzoru, procedury kontrolne, system sankcji i piaskownice regulacyjne.
Zanim przejdziemy do polskiej ustawy: czym właściwie jest AI Act
AI Act, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r., to pierwszy na świecie kompleksowy akt prawny regulujący sztuczną inteligencję. Jego celem nie jest regulowanie samej technologii, lecz tego, w jaki sposób systemy AI są projektowane, wprowadzane na rynek i wykorzystywane – szczególnie tam, gdzie mogą oddziaływać na prawa, bezpieczeństwo lub zdrowie ludzi. Należy też zaznaczyć, że AI Act dotyczy dostawców, importerów, dystrybutorów i użytkowników systemów AI. Dotyczy też wyłącznie komercyjnego wykorzystania systemów AI.
Ustawa nie ogranicza się do nadzoru przedsiębiorców.
Projekt zawiera również rozwiązania, które nie sprowadzają się wyłącznie do klasycznej kontroli i karania. Istotnym przykładem są opinie indywidualne, które mają pozwolić firmie planującej wdrożenie systemu AI zapytać organ, czy zamierzone działanie jest zgodne z przepisami, i uzyskać wiążącą odpowiedź. Z perspektywy przedsiębiorcy to jedno z najciekawszych rozwiązań, bo może realnie ograniczać ryzyko prawne jeszcze przed wdrożeniem systemu.
Równie praktyczny charakter ma instytucja układu w sprawie łagodzenia sankcji. Z opisu wynika, że projekt przewiduje możliwość obniżenia kary w zamian za współpracę i usunięcie skutków naruszenia. To oznacza, że ustawodawca nie buduje wyłącznie modelu represyjnego, lecz wprowadza także mechanizm zachęcający do współpracy z organem i naprawy sytuacji.
Ważnym narzędziem, które będzie w jakiś sposób dyscyplinować podmioty wykorzystujące sztuczną inteligencję, ma być również publiczny wykaz ukaranych systemów. Tego rodzaju rozwiązanie prawdopodobnie będzie miało w praktyce duże znaczenie dla firm, ponieważ konsekwencją naruszenia może być nie tylko kara sankcja finansowa, ale także publiczne powiązanie konkretnego systemu z decyzją organu – co z kolei grozi stratą reputacyjną, której skalę ciężko przewidzieć.
Kary administracyjne będą jedną z głównych metod egzekwowania prawa – ale nie wyłączną.
Projekt wyraźnie zakłada możliwość nakładania przez organ nadzoru administracyjnych kar pieniężnych. Z przedstawionego opisu wynika, że ustawowo określone przypadki nałożenia kary oraz jej wysokość mają dotyczyć naruszeń art. 5 AI Actu. Środki z kar mają stanowić przychód budżetu państwa, a same kary mają podlegać egzekucji w trybie przepisów o postępowaniu egzekucyjnym w administracji.
Projekt nie zakłada stworzenia miękkiego, wyłącznie edukacyjnego modelu nadzoru. Przeciwnie, przewiduje twarde mechanizmy sankcyjne, osadzone w klasycznych instrumentach prawa administracyjnego. Z punktu widzenia przedsiębiorcy jest to sygnał, że naruszenia w obszarze zakazanych praktyk AI mają być traktowane jako realny obszar ryzyka regulacyjnego.
Przypomnijmy: AI Act przewiduje surowe kary pieniężne. Za najpoważniejsze naruszenia przepisów przewidziano karę w wysokości sięgającej aż 35.000.000 €. Przedsiębiorstwo może natomiast otrzymać karę w wysokości do 7% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Jednocześnie polski projekt wykracza poza sam AI Act i przewiduje również dwa wykroczenia: utrudnianie lub udaremnianie kontroli oraz niewykonanie decyzji nakazującej zaprzestanie stosowania systemu stwarzającego bezpośrednie ryzyko. To ważne, bo pokazuje, że konsekwencje mogą dotyczyć nie tylko samego naruszenia przepisów materialnych, ale także zachowania podmiotu już na etapie postępowania i wykonywania decyzji organu. Jest to jednak podejście wciąż dalekie od realnych problemów, które może powodować AI. Jeszcze dalej w tym zakresie posunięto się np. we Włoszech, gdzie wprowadzono odrębny typ przestępstwa, polegający na nielegalnym rozpowszechnianiu treści wygenerowanych lub zmodyfikowanych przez AI, jeśli wyrządzają one szkodę, zagrożony karą pozbawienia wolności od 1 do 5 lat
Projekt wyraźnie zakłada możliwość nakładania przez organ nadzoru administracyjnych kar pieniężnych.
Projekt wiąże nadzór z rozwojem rynku AI, a nie tylko z jego ograniczaniem
i sposób systemy AI są projektowane, wprowadzane na rynek i wykorzystywane – szczególnie tam, gdzie mogą oddziaływać na prawa, bezpieczeństwo lub zdrowie ludzi. Rozporządzenie weszło w życie 1 sierpnia 2024 r., jednak unijny ustawodawca rozłożył stosowanie jego przepisów w czasie, aby dać rynkowi możliwość adaptacji. Od 2 lutego 2025 r. obowiązuje zakaz stosowania praktyk niedopuszczalnych z art. 5 oraz wymóg zapewnienia kompetencji w zakresie AI (AI literacy) przez podmioty korzystające z tych systemów. Od 2 sierpnia 2025 r. zaczęły obowiązywać przepisy dotyczące modeli ogólnego przeznaczenia oraz krajowych organów nadzoru. To właśnie w tym zakresie Polska ma obecnie opóźnienie, bo organ, który w teorii powinien działać już od tej daty, dopiero ma zostać powołany.
Jeśli chcesz przeczytać więcej o unijnym AI Act, zapraszmy tutaj: https://mdl-kancelariaprawna.pl/porady-prawne/ai-act-unijne-rozporzadzenie-w-sprawie-tzw-sztucznej-inteligencji/
Projekt polskiej ustawy o AI nie tworzy zasad od zera, ale buduje krajowy mechanizm ich egzekwowania
Projekt UC71 nie opisuje nowego, odrębnego polskiego systemu regulacji sztucznej inteligencji w pełnym znaczeniu tego słowa. Jego zasadniczym celem jest stworzenie w polskim porządku prawnym narzędzi potrzebnych do stosowania unijnego Aktu o AI (Rozporządzenie 2024/1689). Z perspektywy przedsiębiorcy to bardzo istotne rozróżnienie. Projekt nie koncentruje się na tym, czym jest AI i jak ją projektować w sensie technicznym, ale na tym, kto w Polsce będzie nadzorował rynek, kto będzie prowadził postępowania, kto przyjmie skargę, kto przeprowadzi kontrolę i kto nałoży karę.
To właśnie ten praktyczny wymiar projektu wydaje się najważniejszy. Ustawa ma umożliwić bezpośrednie stosowanie wybranych części AI Act rozporządzenia 2024/1689 i jednocześnie uzupełnić je o krajową infrastrukturę instytucjonalną oraz proceduralną. Innymi słowy, projekt odpowiada na pytanie, jak unijne przepisy o AI mają działać w Polsce w praktyce urzędowej i procesowej.
W centrum projektu stoi nowy organ nadzoru nad AI
Kluczowym rozwiązaniem projektu jest powołanie nowego organu nadzoru rynku dla modeli i systemów sztucznej inteligencji. Ma nim być Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI). Nazwa tak samo złożona jak zadania, które ma wykonywać – to właśnie ona ma pełnić rolę podstawowego regulatora krajowego w sprawach związanych z rynkiem AI. Zgodnie z art. 45 Projektu UC71, jako organ opiniodawczo-doradczy Komisji, dodatkowo zostanie ustanowiona Społeczna Rada do spraw Sztucznej Inteligencji. Według projektu, Rada ma na celu włączenie szerokiego grona interesariuszy, co spowodowałoby zwiększenie transparentności i demokratyczności działań Komisji. Dzięki temu możliwe jest uwzględnienie różnorodnych perspektyw i interesów społecznych oraz gospodarczych, co jest kluczowe w dynamicznie rozwijającej się dziedzinie AI.
Z punktu widzenia biznesu oznacza to pojawienie się wyspecjalizowanego organu, który nie ograniczy się do ogólnego monitorowania rynku, lecz będzie wykonywał konkretne kompetencje regulacyjne. Komisja ma nadzorować rynek systemów sztucznej inteligencji w zakresie określonym przez rozporządzenie, realizować zadania pojedynczego punktu kontaktowego, współpracować z organami krajowymi i instytucjami unijnymi, a także uczestniczyć w działaniach związanych z praktycznym wdrażaniem unijnego AI Act w Polsce.
Na uwagę zasługuje też to, że projekt nie przedstawia nowej Komisji wyłącznie jako organu represyjnego. Zgodnie z opisem ma ona docelowo pełnić również inne funkcje przewidziane w AI Act, w tym nadzorować ustanowienie i działanie piaskownic regulacyjnych. Mają one pozwalać na testowanie innowacyjnych systemów AI w bezpiecznych i kontrolowanych warunkach.
To ważny akcent z perspektywy przedsiębiorstw technologicznych. Ustawa ma nie tylko karać i kontrolować, ale również tworzyć ramy dla bezpiecznego rozwijania i testowania nowych rozwiązań. Projekt przewiduje także działania monitorujące, komunikacyjne i edukacyjne, wspierające rozwój sektora sztucznej inteligencji w Polsce. Widać więc wyraźnie, że ustawodawca próbuje połączyć funkcję nadzorczą z funkcją rozwojową.
W obszarze oceny zgodności projekt wskazuje wyraźny podział ról
Projekt przewiduje także wyznaczenie ministra właściwego do spraw informatyzacji jako organu odpowiedzialnego za notyfikację jednostek oceniających zgodność oraz jako organu notyfikującego. Z kolei sprawy związane z akredytacją mają zostać powierzone Polskiemu Centrum Akredytacji.
Dla rynku to istotna informacja, ponieważ porządkuje instytucjonalnie obszar związany z oceną zgodności i certyfikacją. Przedsiębiorca zyskuje przynajmniej podstawową jasność co do tego, które instytucje mają odpowiadać za te procesy na poziomie krajowym. To ważne szczególnie w otoczeniu regulacyjnym, w którym zgodność formalna i techniczna może decydować o możliwości legalnego działania na rynku.
Najważniejszy praktyczny wniosek: projekt porządkuje relację między AI a państwem
Zdaje się, że po zapoznaniu się z tekstem projektu, jego najważniejsza rola jest dość klarowna. Nie polega ona na powtarzaniu wszystkich unijnych zakazów i obowiązków dotyczących AI, ale na zorganizowaniu polskiego systemu ich wykonywania. Projekt wskazuje organ nadzoru, tworzy procedury skargowe i kontrolne, przewiduje decyzje, kary, drogę sądową, mechanizmy notyfikacji, a także dodatkowe krajowe instrumenty, takie jak opinie indywidualne, układ czy wykaz ukaranych systemów.
Dla przedsiębiorcy zajmującego się AI oznacza to wejście w bardziej formalne i przewidywalne, ale jednocześnie bardziej wymagające otoczenie regulacyjne. Korzystanie z AI nie będzie już wyłącznie kwestią technologii, polityki wewnętrznej czy compliance rozumianego ogólnie, a stanie się także kwestią relacji z konkretnym organem państwowym, gotowości do kontroli, reagowania na incydenty i zarządzania ryzykiem sankcyjnym. Dla użytkownika oznacza to natomiast, że AI Act ma przestać być w Polsce przepisem „na papierze”, a zacząć funkcjonować jako realny mechanizm ochrony praw.
W czym możemy Ci pomóc?
- Pomagamy przedsiębiorcom w klasyfikacji systemów AI według kategorii ryzyka, ocenie zgodności obecnych i planowanych wdrożeń oraz przygotowaniu wymaganej dokumentacji prawnej;
- Przeprowadzamy również kompleksowe audyty zgodności z przepisami, które pozwalają zidentyfikować obszary wymagające działań naprawczych.
Skontaktuj się z nami, aby uzyskać fachową pomoc i wsparcie w procesie wdrażania planowanych zmian. Sprawdź, jak możemy pomóc Twojej firmie dostosować się do nowych przepisów.
