Zaledwie niespełna 2,5 miesiąca dzieli nas od wejścia w życie przepisów kolejnego etapu AI Act, które mogą mieć znaczący wpływ na funkcjonowanie firm działających w sektorach HR, outsourcingu, agencji pracy, fintechu, medtechu czy e-commerce. Z dniem 2 sierpnia 2026 r. zaczną obowiązywać przepisy dotyczące stosowania systemów wysokiego ryzyka oraz obowiązków przejrzystości. Dodatkowo trwają prace Parlamentu Europejskiego nad Digital Omnibus, który w założeniu ma uprościć i ujednolić przepisy dotyczące cyberbezpieczeństwa i prywatności.
Obecność nowych przepisów AI Act pokrywa się na wielu płaszczyznach prawnych z obowiązkami RODO. Jak bardzo te dwa unijne rozporządzenia na siebie oddziałują i jak wspólnie funkcjonują? Jaki mogą mieć wpływ na działalność Twojej firmy? Postaram się przybliżyć nieco problematykę, która dotknie wkrótce bardzo wiele polskich firm.
Czy AI Act i RODO działają wspólnie czy osobno?
Przede wszystkim należy zaznaczyć, że obydwa rozporządzenia – AI Act oraz RODO – stanowią dwa odrębne porządki prawne, które funkcjonują w pełni samodzielnie. Oznacza to, że przedsiębiorca naruszając przepis Aktu w sprawie sztucznej inteligencji, który równocześnie podpada pod ochronę danych osobowych, odpowiada zarówno przez UODO, jak i będzie rozliczany przez Komisję Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (organ, który zostanie ustanowiony na mocy projektowanej ustawy o systemach sztucznej inteligencji – ustawa jest obecnie na etapie prac legislacyjnych i nie weszła jeszcze w życie).
Sytuacje takie nie będą należeć do rzadkości, ponieważ systemy wysokiego ryzyka operują danymi osobowymi w branżach typu e-commerce, outsourcing czy medtech. Jeżeli zatem w firmie używasz w jakikolwiek sposób systemów AI, powinieneś poddać swoją działalność stosownej analizie, żeby upewnić się czy systemy te nie są przypadkiem wysokiego ryzyka.
Czym są systemy wysokiego ryzyka i dlaczego wiążą się z RODO?
Systemy wysokiego ryzyka są w pełni opisane w art. 6 oraz w Załącznikach I i III AI Act. Ich kwalifikacja jest dość obszerna i dodatkowo regulowana kluczowym w tym aspekcie wyjątkiem – mechanizmem samooceny. Załącznik III AI Act kwalifikuje systemy będące potencjalnie określane jako high risk, ze względu na zastosowanie (np. identyfikacją i kategoryzacją biometryczną osób fizycznych czy w obszarze zatrudniania, zarządzania pracownikami i dostępu do samozatrudnienia). Wszystkie te systemy są często wykorzystywane w firmach usługowych typu HR, marketing, fintech, SaaS, pracy tymczasowej czy pośrednictwa zatrudnienia.
Każda firma, która w jakikolwiek sposób (nawet niewielki) używa systemów AI, a prowadzi działalność np. w obszarze HR i zatrudnienia, agencji pracy tymczasowej, outsourcingu, e-commerce czy fintech, powinna przeanalizować działalność pod kątem systemów high risk. Nie wolno przy tym zapominać, że wszystkie te działalności wiążą się nieodzownie z przetwarzaniem danych osobowych, więc jednocześnie należy zadbać o obowiązku narzucone przez RODO, a w szczególności związane z:
-
art. 6 RODO – podstawy przetwarzania;
-
art. 12-14 – obowiązek informacyjny;
-
art. 15-21 – prawa użytkownika;
-
art. 22 – zautomatyzowane podejmowanie decyzji.
Ponadto pamiętaj, że każde profilowanie automatycznie skutkuje uznaniem systemu za system wysokiego ryzyka!
Co powinieneś zrobić, jeśli w firmie wykorzystujesz systemy AI?
W pierwszej kolejności, jeśli używasz jakichkolwiek systemów AI w działalności swojej firmy, powinieneś poddać je stosownej analizie, aby przekonać się można uznać je za systemy wysokiego ryzyka. Przypomnę, że kluczowy będzie tutaj wyjątek mechanizmu samooceny zawarty w art. 6 AI Act. Dobrze byłoby zapewne również powtórzyć audyt RODO lub przynajmniej solidnie skontrolować obszary działalności swojej firmy, które w jakikolwiek wiążą się z przetwarzaniem danych osobowych – w szczególności, gdy odbywa się to przy jednoczesnym użyciu narzędzi AI. Koniecznie także trzeba dostosować regulaminy do nowych przepisów.
Wskazana będzie konsultacja w tym względzie z wykwalifikowaną kancelarią prawną, która jednocześnie specjalizuje się w tematyce RODO oraz narzędzi AI, aby nie narazić swojej firmy na ryzyko wysokich kar.
Czy Twoją firmę czeka podwójna kara?
No właśnie, wreszcie muszę nawiązać do najgorszego scenariusza, czyli niechcianych konsekwencji w wypadku, kiedy nie zadba się wystarczająco o dostosowanie do nowych przepisów. Tak jak wspomniałem, AI Act oraz RODO stanowią samodzielne rozporządzenia, które działają równolegle, często na tym samym polu i mogą nakładać się w znaczeniu niektórych przepisów. Na przykład chatbot wykorzystany w dziale HR będzie powiązany z przepisami RODO, a także z obowiązkami transparentności opisanymi w art. 50 AI Act.
Jednak nie oznacza to, że w wypadku naruszenia takich przepisów stosowana będzie jedna, wspólna kara. Odpowiedzialny za to przedsiębiorca zostanie obarczony osobną karą grzywny przez UODO (nawet do 20 mln euro lub 4% globalnego obrotu w wypadku przedsiębiorstwa) oraz karą za naruszenie AI Act (nawet do 35 mln euro lub 7% obrotu).
Lepiej zatem potraktować poważnie zbliżające się zmiany w przepisach i zacząć przygotowania, nawet jeśli wejście w życie Cyfrowego Omnibusa mogłoby częściowo opóźnić obowiązywanie niektórych obowiązków AI Act.
Źródło: https://paluckiszkutnik.pl/systemy-wysokiego-ryzyka-ai-act-czy-twoj-biznes-jest-zagrozony