Prawo AI i wdrożenia sztucznej inteligencji w organizacji
Sztuczna inteligencja zmienia ,,zasady gry” w biznesie. Wraz z AI Act i nowymi wymogami prawnymi, przedsiębiorcy stają przed pytaniem: jak wykorzystać potencjał AI, nie narażając się na poważne sankcje finansowe?
Od 1 sierpnia 2024 roku w życie weszło rozporządzenie AI Act – pierwsza na świecie kompleksowa regulacja sztucznej inteligencji. Pierwsze przepisy zaczęły obowiązywać już 2 lutego 2025 roku, a kolejne etapy wdrażania będą następować do 2027 roku.
Dla przedsiębiorców oznacza to:
- Nowe obowiązki prawne przy wdrażaniu systemów AI;
- Konieczność klasyfikacji ryzyka wykorzystywanych narzędzi;
- Rozszerzone wymogi dokumentacyjne;
- Odpowiedzialność za zgodność z AI Act i RODO równocześnie;
- Kary finansowe za nieprzestrzeganie przepisów.
Specjalizacją Kancelarii MDL jest zapewnienie wsparcia w bezpiecznym wdrażaniu nowoczesnych technologii, dbając o ich pełną zgodność z przepisami o ochronie danych osobowych, prawie autorskim oraz ochronie tajemnicy przedsiębiorstwa, a także zgodności z AI Act w kontekście wykorzystania sztucznej inteligencji. Pomagamy przedsiębiorcom w klasyfikacji systemów AI według kategorii ryzyka, ocenie zgodności obecnych i planowanych wdrożeń oraz przygotowaniu wymaganej dokumentacji prawnej. Przeprowadzamy również kompleksowe audyty zgodności z przepisami, które pozwalają zidentyfikować obszary wymagające działań naprawczych.
Szczególną uwagę poświęcamy ochronie danych osobowych w kontekście AI. Analizujemy, jak systemy AI przetwarzają dane osobowe, przeprowadzamy wymagane oceny wpływu (DPIA i FRIA), ustalamy właściwe podstawy prawne dla przetwarzania oraz implementujemy wymogi transparentności wobec użytkowników. To jeden z najbardziej krytycznych obszarów, ponieważ niewłaściwe przetwarzanie danych może skutkować kumulacją kar zarówno z AI Act, jak i RODO.
Wspieramy również klientów w obszarze umów i relacji z dostawcami AI. Negocjujemy umowy z dostawcami rozwiązań AI, przeglądamy regulaminy popularnych usług takich jak ChatGPT, Copilot czy Midjourney, określamy odpowiedzialność stron i niezbędne zabezpieczenia. Wiele firm nie zdaje sobie sprawy z ryzyk ukrytych w standardowych regulaminach, które mogą przerzucać całą odpowiedzialność prawną na użytkownika.
Zajmujemy się również kwestią własności intelektualnej w kontekście AI. Doradzamy w kwestiach ochrony utworów generowanych przy użyciu AI, analizujemy prawa autorskie w kontekście danych treningowych wykorzystywanych przez modele, zabezpieczamy know-how i tajemnicę przedsiębiorstwa przed nieuprawnionym ujawnieniem przez systemy AI, a także opracowujemy polityki wykorzystania AI w organizacji, które chronią zarówno firmę, jak i jej pracowników.
Cennik usług
| Usługa | Zakres | Termin realizacji | Cena netto |
|---|---|---|---|
| Audyt prawny AI (pakiet startowy) | – Analiza wykorzystywanych systemów AI (do 3 narzędzi); – Identyfikacja ryzyk prawnych; – Raport z rekomendacjami. | 5 – 10 dni roboczych | 5 000 zł |
| Compliance AI Act – wdrożenie | – Klasyfikacja jednego systemu AI według kategorii ryzyka; – Przygotowanie dokumentacji zgodności (DPIA/FRIA); – Procedury nadzoru i monitoringu; – Polityki wewnętrzne (np. procedura weryfikacji dostawców, polityka nadzoru człowieka, polityka zarządzania incydentami AI); – 2h konsultacji online po wdrożeniu (w ciągu 14 dni od doręczenia dokumentacji). | zależny od zakresu; 15 – 40 dni roboczych | 8 000 – 12 000 zł (zależne od zakresu) |
| Ochrona tajemnicy przedsiębiorstwa i RODO w AI | – Analiza przetwarzania danych osobowych w konkretnych narzędziach / systemach AI (w tym: klauzule informacyjne, DPA, w razie potrzeby – DPIA); – Analiza prawna narzędzi / systemów AI w zakresu poufności i ochrony tajemnicy przedsiębiorstwa; – Notatka z wnioskami i rekomendacjami; – 1h konsultacja kontrolna online po 3 miesiącach od zakończenia wdrożenia (przekazania dokumentacji). | 10 – 15 dni roboczych zależnie od obszerności dokumentacji | od 7 500 zł |
| Przegląd umów z dostawcami AI | – Analiza prawna regulaminu/umowy; – Identyfikacja klauzul ryzykownych; – Notatka z rekomendacjami. | 5 – 15 dni roboczych | Ryczałtowo 3 500 zł (za umowę / regulamin) lub 450 zł za godzinę pracy Kancelarii |
| Polityka AI i szkolenia | – Opracowanie wewnętrznej polityki AI – dokument określający zasady korzystania z sztucznej inteligencji w firmie (wskazanie dozwolonych narzędzi, zasady autoryzacji, odpowiedzialność); – Instrukcja bezpieczeństwa danych w AI: klasyfikacja danych, zasady weryfikacji systemów AI oraz odniesienie do istniejącej w firmie polityki bezpieczeństwa RODO; – 2h szkolenia online (w ciągu 14 dni od przekazania dokumentacji). | 20 dni roboczych + 2 dni robocze przed wyznaczonym terminem szkolenia | 8 500 zł |
| Abonament prawny AI | – Bieżące doradztwo prawne (do 8h/miesiąc); – Monitoring zmian przepisów; – Przegląd nowych rozwiązań AI; – Priorytetowy kontakt. | 4 000 zł za miesiąc |
Reprezentacja w postępowaniach – wycena indywidualna
Najczęściej zadawane pytania
Tak, AI Act ma zastosowanie do wszystkich podmiotów wykorzystujących systemy AI na terenie UE. Jednak większość popularnych narzędzi (ChatGPT, asystenci pisania) to systemy minimalnego lub ograniczonego ryzyka, które mają niewielkie wymogi formalne – głównie transparentności (informowanie, że użytkownik komunikuje się z AI). Kluczowe jest jednak sprawdzenie, jakie dane wprowadzacie do systemu i czy nie dochodzi do przetwarzania danych osobowych lub informacji poufnych.
Kary są zróżnicowane w zależności od rodzaju naruszenia:
- Za stosowanie zakazanych systemów AI: do 35 mln euro lub 7% rocznego obrotu (w zależności która kwota jest wyższa)
- Za naruszenie wymogów dla systemów wysokiego ryzyka: do 15 mln euro lub 3% obrotu
- Za nieprawdziwe informacje dla organów: do 7,5 mln euro lub 1% światowego obrotu.
Dodatkowo mogą być kumulowane z karami z RODO (do 20 mln euro lub 4% obrotu).
Nie. AI Act i RODO to odrębne, komplementarne przepisy. AI Act reguluje bezpieczeństwo i przejrzystość systemów AI, natomiast RODO chroni dane osobowe. W praktyce większość systemów AI wykorzystujących dane osobowe musi spełniać wymogi obu rozporządzeń jednocześnie.
- DPIA (Data Protection Impact Assessment) to ocena skutków dla ochrony danych wymagana przez RODO, gdy przetwarzanie stwarza wysokie ryzyko dla praw osób.
- FRIA (Fundamental Rights Impact Assessment) to ocena wpływu na prawa podstawowe wymagana przez AI Act dla systemów wysokiego ryzyka.
Jeśli system AI przetwarza dane osobowe i jest klasyfikowany jako wysokiego ryzyka, prawdopodobnie muszą zostać przeprowadzone obie oceny.
AI Act definiuje systemy wysokiego ryzyka jako te, które mogą znacząco wpływać na zdrowie, bezpieczeństwo lub prawa podstawowe ludzi. Przykłady:
- AI w rekrutacji i zarządzaniu personelem;
- Systemy kredytowe i scoringowe;
- AI w opiece zdrowotnej (diagnostyka, analiza);
- Systemy w edukacji (ocena studentów);
- AI w zarządzaniu infrastrukturą krytyczną;
Podstawa prawna to art. 6 AI Act (klasyfikacja) oraz Załącznik III (katalog obszarów), gdzie systemy te uznaje się za high-risk ze względu na potencjalny znaczący wpływ na zdrowie, bezpieczeństwo lub prawa podstawowe.
Pierwszym krokiem jest audyt prawny, który zidentyfikuje wykorzystywane systemy, oceni ryzyko i wskaże niezbędne działania. Następnie należy uzupełnić brakującą dokumentację i wdrożyć procedury. Lepiej działać proaktywnie – kontrole UODO już się rozpoczęły.
Tak. AI Act reguluje nie tylko komercyjne rozwiązania, ale wszystkie systemy AI wykorzystywane w UE. Jeśli stosujesz open-source’owy model AI w swojej firmie, jesteś „podmiotem wdrażającym” i możesz mieć obowiązki związane z oceną ryzyka, dokumentacją i nadzorem – szczególnie jeśli system jest wysokiego ryzyka.
To jedno z najbardziej spornych zagadnień. Polskie prawo nie przyznaje praw autorskich treściom stworzonym wyłącznie przez AI (bez ludzkiego wkładu twórczego). Jednak AI Act nakłada obowiązki dotyczące praw autorskich danych treningowych – dostawcy modeli AI muszą zapewnić zgodność z prawem autorskim. W praktyce korzystając z AI, należy:
- Sprawdzać regulaminy
- Weryfikować, czy treści można wykorzystywać komercyjnie
- Uwzględniać wkład ludzki w proces twórczy
Tak. AI Act ma zastosowanie do wszystkich podmiotów bez względu na wielkość. Jednak rozporządzenie uwzględnia zasadę proporcjonalności – wymogi dla małych firm mogą być nieco prostsze, szczególnie gdy korzystają z gotowych rozwiązań niskiego ryzyka. Mimo to brak zgodności może skutkować karami, więc lepiej zadbać o podstawową dokumentację.
Nadzór ludzki (human oversight) to wymóg AI Act dla systemów wysokiego ryzyka. Oznacza, że:
- Człowiek musi mieć możliwość interwencji w działanie systemu
- Decyzje AI muszą być monitorowane i weryfikowane
- Użytkownicy muszą mieć możliwość zgłoszenia problemu
Systemy sztucznej inteligencji wysokiego ryzyka muszą być zaprojektowane w taki sposób, aby umożliwić ludziom skuteczny nadzór nad nimi. Celem nadzoru ludzkiego jest zapobieganie lub minimalizowanie ryzyka dla zdrowia, bezpieczeństwa lub praw podstawowych, które może wynikać z korzystania z tych systemów. Środki nadzoru powinny być dostosowane do ryzyka i kontekstu wykorzystania systemu sztucznej inteligencji. Środki te mogą być wbudowane w system przez dostawcę lub wdrożone przez użytkownika.
Formularz kontaktowy
E-commerce
Radzimy jak zgodnie z prawem prowadzić handel w Internecie.
Bezpieczeństwo produktów (GPSR)
Wdrażamy i szkolimy z zakresu przepisów o bezpieczenie produktów.
Prawo kosmetyczne
Doradzamy producentom, importerom i dystrybutorom kosmetyków.
Ochrona danych osobowych (RODO)
Zalecamy jak zgodnie z prawem przetwarzać dane osobowe.
Prawo pracy, Sygnaliści
Wspieramy pracodawców w legalnym zatrudnianiu pracowników. Doradzamy, jak przygotować dokumentację dotyczącą ochrony sygnalistów.
Prawo UE
Wspieramy przedsiębiorców w stosowaniu przepisów unijnych.
PPWR
Pomagamy przedsiębiorstwom dostosować działalność w zakresie opakowań i gospodarki odpadami opakowaniowymi.
Postępowania kontrolne
Wspieramy przedsiębiorców w postępowaniach kontrolnych.
Odpady i opakowania / ROP
Kompleksowa obsługa prawna wdrożenia i funkcjonowania systemu kaucyjnego.
Prawo AI
Pomagamy przedsiębiorstwom bezpiecznie wdrażać i wykorzystywać systemy sztucznej inteligencji.
Prawo nowych technologii
Doradzamy jak zgodnie z prawem wykorzystywać nowe technologie w biznesie.
Obsługa prawna startupów
Wszechstronnie wspieramy nowopowstające biznesy i inwestowanie w nie.
Prawo gospodarcze
Kompleksowo pomagamy w legalnym prowadzeniu działalności.
Import / Export
Pomagamy przedsiębiorstwom prowadzić bezpieczny i efektywny handel międzynarodowy.
Prawo i postępowanie administracyjne
Chronimy interesy przedsiębiorców w relacji z państwem.
Umowy cywilnoprawne
Pomagamy optymalnie regulować stosunki majątkowe.
Negocjacje, ugody i szkolenia
Wspieramy w negocjacjach i prowadzimy szkolenia dla klientów.
Doradztwo podatkowe
Kompleksowe, bezpieczne i skuteczne wsparcie prawno-podatkowe.
Dostępność cyfrowa
Kompleksowe wsparcie prawne i techniczno-prawne EAA i PAD.