Tak, AI Act ma zastosowanie do wszystkich podmiotów wykorzystujących systemy AI na terenie UE. Jednak większość popularnych narzędzi (ChatGPT, asystenci pisania) to systemy minimalnego lub ograniczonego ryzyka, które mają niewielkie wymogi formalne – głównie transparentności (informowanie, że użytkownik komunikuje się z AI). Kluczowe jest jednak sprawdzenie, jakie dane wprowadzacie do systemu i czy nie dochodzi do przetwarzania danych osobowych lub informacji poufnych.

Kary są zróżnicowane w zależności od rodzaju naruszenia:

• Za stosowanie zakazanych systemów AI: do 35 mln euro lub 7% rocznego obrotu (w zależności która kwota jest wyższa)
• Za naruszenie wymogów dla systemów wysokiego ryzyka: do 15 mln euro lub 3% obrotu
• Za nieprawdziwe informacje dla organów: do 7,5 mln euro lub 1% światowego obrotu.

Dodatkowo mogą być kumulowane z karami z RODO (do 20 mln euro lub 4% obrotu).

Nie. AI Act i RODO to odrębne, komplementarne przepisy. AI Act reguluje bezpieczeństwo i przejrzystość systemów AI, natomiast RODO chroni dane osobowe. W praktyce większość systemów AI wykorzystujących dane osobowe musi spełniać wymogi obu rozporządzeń jednocześnie.

• DPIA (Data Protection Impact Assessment) to ocena skutków dla ochrony danych wymagana przez RODO, gdy przetwarzanie stwarza wysokie ryzyko dla praw osób.
• FRIA (Fundamental Rights Impact Assessment) to ocena wpływu na prawa podstawowe wymagana przez AI Act dla systemów wysokiego ryzyka.

Jeśli system AI przetwarza dane osobowe i jest klasyfikowany jako wysokiego ryzyka, prawdopodobnie muszą zostać przeprowadzone obie oceny.

AI Act definiuje systemy wysokiego ryzyka jako te, które mogą znacząco wpływać na zdrowie, bezpieczeństwo lub prawa podstawowe ludzi. Przykłady:

• AI w rekrutacji i zarządzaniu personelem;
• Systemy kredytowe i scoringowe;
• AI w opiece zdrowotnej (diagnostyka, analiza);
• Systemy w edukacji (ocena studentów);
• AI w zarządzaniu infrastrukturą krytyczną;

​​Podstawa prawna to art. 6 AI Act (klasyfikacja) oraz Załącznik III (katalog obszarów), gdzie systemy te uznaje się za high-risk ze względu na potencjalny znaczący wpływ na zdrowie, bezpieczeństwo lub prawa podstawowe.

Pierwszym krokiem jest audyt prawny, który zidentyfikuje wykorzystywane systemy, oceni ryzyko i wskaże niezbędne działania. Następnie należy uzupełnić brakującą dokumentację i wdrożyć procedury. Lepiej działać proaktywnie – kontrole UODO już się rozpoczęły.

Tak. AI Act reguluje nie tylko komercyjne rozwiązania, ale wszystkie systemy AI wykorzystywane w UE. Jeśli stosujesz open-source’owy model AI w swojej firmie, jesteś „podmiotem wdrażającym” i możesz mieć obowiązki związane z oceną ryzyka, dokumentacją i nadzorem – szczególnie jeśli system jest wysokiego ryzyka.

To jedno z najbardziej spornych zagadnień. Polskie prawo nie przyznaje praw autorskich treściom stworzonym wyłącznie przez AI (bez ludzkiego wkładu twórczego). Jednak AI Act nakłada obowiązki dotyczące praw autorskich danych treningowych – dostawcy modeli AI muszą zapewnić zgodność z prawem autorskim. W praktyce korzystając z AI, należy:

• Sprawdzać regulaminy
• Weryfikować, czy treści można wykorzystywać komercyjnie
• Uwzględniać wkład ludzki w proces twórczy

Tak. AI Act ma zastosowanie do wszystkich podmiotów bez względu na wielkość. Jednak rozporządzenie uwzględnia zasadę proporcjonalności – wymogi dla małych firm mogą być nieco prostsze, szczególnie gdy korzystają z gotowych rozwiązań niskiego ryzyka. Mimo to brak zgodności może skutkować karami, więc lepiej zadbać o podstawową dokumentację.

Nadzór ludzki (human oversight) to wymóg AI Act dla systemów wysokiego ryzyka. Oznacza, że:

• Człowiek musi mieć możliwość interwencji w działanie systemu
• Decyzje AI muszą być monitorowane i weryfikowane
• Użytkownicy muszą mieć możliwość zgłoszenia problemu

Systemy sztucznej inteligencji wysokiego ryzyka muszą być zaprojektowane w taki sposób, aby umożliwić ludziom skuteczny nadzór nad nimi. Celem nadzoru ludzkiego jest zapobieganie lub minimalizowanie ryzyka dla zdrowia, bezpieczeństwa lub praw podstawowych, które może wynikać z korzystania z tych systemów. Środki nadzoru powinny być dostosowane do ryzyka i kontekstu wykorzystania systemu sztucznej inteligencji. Środki te mogą być wbudowane w system przez dostawcę lub wdrożone przez użytkownika. 

W modelu Waterfall (kaskadowym) zakres prac, harmonogram i wynagrodzenie są sztywno określone na początku. W modelu Agile (zwinny) praca odbywa się w iteracjach (sprintach), co pozwala na elastyczność, ale wymaga innego podejścia do rozliczeń (zazwyczaj Time & Material) i precyzyjnego określenia procedur odbiorowych.

Sama zapłata faktury nie oznacza nabycia praw autorskich. Zgodnie z polskim prawem, umowa o przeniesienie autorskich praw majątkowych musi być zawarta w formie pisemnej pod rygorem nieważności i musi wyraźnie określać tzw. pola eksploatacji (sposoby wykorzystania kodu).

SLA to umowa o gwarantowanym poziomie świadczenia usług. Określa ona parametry techniczne (np. dostępność systemu na poziomie 99,9%), czas reakcji na błędy oraz kary umowne za niedotrzymanie tych wskaźników. Jest to fundament bezpieczeństwa biznesowego dla firm korzystających z rozwiązań chmurowych.

Tak, od lutego 2024 r. większość przedsiębiorców prowadzących działalność online musi dostosować swoje regulaminy do przepisów DSA. Dotyczy to w szczególności zasad moderowania treści, procedur zgłaszania nielegalnych materiałów oraz przejrzystości reklam.

Kluczowe jest zawarcie umowy przed rozpoczęciem prac, która zawiera precyzyjne zapisy o zachowaniu poufności (NDA) oraz zobowiązanie do przeniesienia praw autorskich z chwilą ustalenia utworu. Warto również uregulować kwestię „czystości” kodu (brak nieautoryzowanych bibliotek osób trzecich).

W większości przypadków tak. Jeśli narzędzia AI przetwarzają dane osobowe (np. dane klientów lub pracowników), należy spełnić obowiązki informacyjne wynikające z RODO, ocenić ryzyko (DPIA) oraz upewnić się, że dane nie są wykorzystywane do trenowania modeli publicznych bez odpowiedniej podstawy prawnej.

Tak, AI Act nakłada obowiązki nie tylko na twórców systemów, ale również na podmioty, które je wykorzystują (tzw. wdrażających). Zakres obowiązków zależy od klasyfikacji ryzyka danego systemu. Nawet jeśli korzystasz z gotowych narzędzi AI wewnątrz firmy, musisz zweryfikować, czy Twoje procedury są zgodne z nowymi wymogami dotyczącymi przejrzystości i bezpieczeństwa danych.

Tak, prawo pozwala na umowne ograniczenie odpowiedzialności (np. do wysokości otrzymanego wynagrodzenia lub konkretnej kwoty polisy OC), jednak nie można wyłączyć odpowiedzialności za szkodę wyrządzoną umyślnie. Kluczowe jest precyzyjne rozróżnienie w umowie pojęć: „błąd krytyczny”, „usterka” oraz „zmiana zakresu” (change request), co pozwala uniknąć paraliżu projektu przy drobnych niedociągnięciach.

Największym ryzykiem w body leasingu jest tzw. „podbieranie pracowników” oraz kwestia odpowiedzialności za efekty ich pracy. Dobra umowa musi zawierać silne klauzule o zakazie namawiania do zmiany zatrudnienia (non-solicitation) oraz jasne zasady nadzoru nad specjalistą. Należy też zadbać aby autorskie prawa majątkowe przechodziły bezpośrednio na klienta końcowego, eliminując ryzyko ich pozostania przy pośredniku.

W umowach serwisowych (SLA) warto wprowadzić zapisy o tzw. „on-call duty” (dyżurach pod telefonem). Umowa musi tu precyzyjnie określać, co stanowi sytuację awaryjną wymagającą natychmiastowej reakcji, a co jest zwykłym zgłoszeniem. Jasne określenie stawek za roboczogodziny zapobiega konfliktom finansowym przy nagłych awariach systemu w dni wolne.

Jeśli kierujesz ofertę do firm (B2B) z różnych krajów, wersja angielska jest standardem i zazwyczaj w zupełności wystarcza. Strony mogą swobodnie ustalić język umowy, a w branży SaaS angielski jest najczęściej używany. W przypadku klientów indywidualnych (B2C) sytuacja wygląda inaczej. Jeśli sprzedajesz usługę konsumentom w Polsce lub innych krajach UE, przepisy wymagają, aby kluczowe informacje i warunki umowy były przedstawione w sposób jasny i zrozumiały — w praktyce często oznacza to udostępnienie regulaminu w języku danego rynku.