Ustawa o AI – projektowany zakres regulacji i kontekst unijny

Rządowy projekt ustawy o systemach sztucznej inteligencji (nr druku: UC71) ma za zadanie uregulowanie krajowego stosowania przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 z 13.6.2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (Dz.Urz. UE L z 2024 r. s. 1689; dalej: AI Act). Ustawa ma charakter wykonawczy i wdrożeniowy – jej głównym celem jest ustanowienie struktury organizacyjnej służącej do krajowego egzekwowania unijnego prawa. Przepisy projektowanej ustawy mają obejmować wyznaczenie organów właściwych, ustalenie procedur nadzorczych oraz uregulowanie obowiązków po stronie podmiotów rozwijających i stosujących AI.

W tym miejscu należy jednak wskazać, że proces legislacyjny uległ istotnemu opóźnieniu. Choć AI Act zaczął obowiązywać 1.8.2024 r., a większość jego przepisów, w tym dotyczących systemów wysokiego ryzyka oraz mechanizmów sankcyjnych, ma zacząć być stosowana od 2.8.2025 r., Polska nie przyjęła jeszcze ustawy wykonawczej. Projekt nadal znajduje się na etapie przygotowawczym, a jego formalne wniesienie do Sejmu – według stanu na lipiec 2025 r. – nie nastąpiło. Oznacza to, że istnieje realne ryzyko, iż krajowy system nadzoru nad AI nie zostanie uruchomiony w pełnym zakresie przed wejściem w życie kluczowych przepisów AI Act.

Powołanie Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI)

Projekt przewiduje utworzenie krajowej struktury wdrożeniowej i nadzorczej, której centralnym elementem ma być Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI). Komisja ta, jako krajowy organ nadzoru rynku w rozumieniu art. 74 ust. 8 AI Act, zostanie wyposażona nie tylko w kompetencje doradczo-opiniodawcze, lecz także w szereg uprawnień wykonawczych. Do jej zadań należeć będzie m.in. prowadzenie postępowań administracyjnych, wydawanie decyzji i postanowień w indywidualnych sprawach, nakładanie sankcji administracyjnych za naruszenia przepisów oraz koordynacja nadzoru nad systemami sztucznej inteligencji w Polsce. KRiBSI będzie również obsługiwać krajowy punkt kontaktowy, do którego obywatele i podmioty będą mogli kierować zgłoszenia dotyczące naruszeń przepisów AI Act. Ponadto Komisja uzyska kompetencje do opracowywania wytycznych i zaleceń dotyczących stosowania przepisów ustawy, wspierania interpretacji prawa, promowania dobrych praktyk oraz koordynowania testowania innowacyjnych rozwiązań w ramach piaskownic regulacyjnych.

System rozproszonego nadzoru i rola organów sektorowych

W projekcie ustawy przyjęto model rozproszonego nadzoru, oparty na strukturze istniejących organów administracji publicznej. Oznacza to, że nie zostanie utworzony nowy centralny urząd dedykowany wyłącznie nadzorowi nad AI. Zamiast tego odpowiedzialność za egzekwowanie przepisów AI Act ma zostać powierzona organom już funkcjonującym, których kompetencje zostaną rozszerzone o kwestie związane z oceną zgodności, kontrolą i sankcjami wobec systemów AI.

Rozwiązanie to wpisuje się w szerszą tendencję decentralizacji nadzoru technologicznego, jednak – jak zauważa się w analizach legislacyjnych – wymaga nie tylko zmian kompetencyjnych, lecz także istotnego wzmocnienia zasobowego. W przypadku opóźnień we wdrażaniu ustawy oraz braku wystarczającego przygotowania organów sektorowych, może dojść do luki nadzorczej, w której funkcjonujące na rynku systemy AI nie będą podlegały realnej kontroli ani egzekucji zgodności z unijnymi przepisami.

Obowiązki dostawców i użytkowników systemów AI

Projekt przewiduje nałożenie szeregu obowiązków na podmioty dostarczające oraz wdrażające systemy sztucznej inteligencji, w szczególności zaklasyfikowane jako systemy wysokiego ryzyka. Obowiązki te obejmują m.in. konieczność rejestracji w unijnym rejestrze, prowadzenie dokumentacji technicznej, zapewnienie nadzoru człowieka nad systemem, a także monitorowanie skutków jego działania po wdrożeniu. Systemy te muszą zostać zaprojektowane w sposób przejrzysty, możliwy do audytu oraz zapewniający identyfikowalność podejmowanych decyzji.

W projekcie przewidziano również odpowiedzialność po stronie użytkowników – nie tylko w zakresie operacyjnego nadzoru nad systemami, lecz także w odniesieniu do zapewnienia odpowiednich kwalifikacji i przeszkolenia personelu korzystającego z AI. Ustawodawca zakłada, że zgodność systemu z przepisami nie kończy się w momencie jego wdrożenia, lecz wymaga bieżącego zarządzania ryzykiem oraz odpowiedzialnego modelowania procesów decyzyjnych.

Powiązania z systemem ochrony danych osobowych

W kontekście ochrony danych osobowych projektowana ustawa wyraźnie przewiduje ścisłą współpracę z Prezesem Urzędu Ochrony Danych Osobowych. Systemy AI bardzo często operują na danych osobowych, nierzadko w sposób zautomatyzowany i oparty na profilowaniu. W świetle rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 2016 Nr 119, s. 1; dalej: RODO), działania te muszą być poddane szczególnej kontroli, zwłaszcza gdy mogą prowadzić do skutków prawnych lub istotnie wpływać na sytuację osoby fizycznej.

Z tego względu ustawa zakłada obowiązek współdziałania między organami AI a Prezesem UODO, w tym konsultowanie projektów wdrożeń systemów wysokiego ryzyka, które mogą rodzić istotne ryzyko naruszenia prywatności. Ma to zapewnić spójność działań nadzorczych oraz zagwarantować, że zgodność z AI Act nie będzie interpretowana w oderwaniu od istniejących regulacji o ochronie danych.

Sankcje, środki nadzorcze i luka w egzekucji

Jednym z najważniejszych problemów pozostaje opóźnienie w implementacji przepisów wykonawczych przewidzianych w AI Act. Choć rozporządzenie unijne określa, że przepisy dotyczące systemów wysokiego ryzyka i związanych z nimi sankcji mają być stosowane od 2.8.2025 r., Polska – według stanu na lipiec 2025 r. – nie zakończyła prac nad ustawą krajową. W praktyce oznacza to, że system egzekwowania przepisów, w tym mechanizmy kontrolne i sankcyjne, nie będą gotowe na czas.

Projekt ustawy w obecnym brzmieniu zawiera ogólne odniesienie do sankcji administracyjnych i mechanizmów nadzorczych, jednak ich praktyczne zastosowanie będzie możliwe dopiero po uchwaleniu i wejściu w życie ustawy. Do tego czasu, mimo formalnego obowiązywania AI Act, polskie organy nadzorcze mogą nie dysponować narzędziami do jego egzekwowania. To istotne wyzwanie nie tylko z punktu widzenia efektywności prawa, lecz także ochrony praw obywateli wobec technologii wykorzystywanej przez administrację, pracodawców, czy instytucje finansowe.

Wnioski i perspektywy

Projekt ustawy o systemach sztucznej inteligencji to krok w kierunku uregulowania jednego z najbardziej dynamicznych obszarów współczesnego prawa technologicznego. Niemniej jednak opóźnienia legislacyjne oraz strukturalne wyzwania związane z rozproszonym modelem nadzoru mogą utrudnić skuteczne wdrożenie unijnych standardów w Polsce. Jeżeli ustawa nie zostanie uchwalona i wdrożona przed 2.8.2025 r., realna egzekucja przepisów AI Act może być utrudniona lub niemożliwa, co narazi Polskę na ryzyko niewypełnienia obowiązków wynikających z prawa UE.

Dla sektora publicznego i prywatnego oznacza to konieczność samodzielnego przygotowania się na nowe regulacje – poprzez analizę ryzyk, aktualizację wewnętrznych procedur, przeszkolenie personelu oraz ocenę stosowanych narzędzi AI. W przeciwnym razie, zarówno dostawcy, jak i użytkownicy systemów sztucznej inteligencji mogą zostać zaskoczeni nie tylko nowymi wymogami, lecz także ryzykiem sankcji, gdy krajowy nadzór zostanie ostatecznie ustanowiony.