Wyrażam zgodę na przetwarzanie przez Polski Fundusz Rozwoju S.A. z siedzibą w Warszawie przy ul. Kruczej 50, 00-250 Warszawa, moich danych osobowych zawartych w formularzu wyłącznie w celu nawiązaniu kontaktu i udzieleniu odpowiedzi na zadane pytania.
Administratorem Pani/Pana danych osobowych jest Polski Fundusz Rozwoju S.A. z siedzibą w Warszawie przy ul. Kruczej 50, 00-250 Warszawa, zwany dalej "Administratorem". We wszystkich sprawach dotyczących przetwarzania Pani/Pana danych osobowych i przysługujących praw z tym związanych, można skontaktować się z Administratorem poprzez adres email [email protected], telefonicznie pod numerem +48 22 703 43 00 lub pisemnie na adres siedziby Administratora wskazany w punkcie 1 powyżej.
Pani/Pana dane osobowe mogą być przetwarzane do celów reklamacyjnych przez okres nie dłuższy niż rok od momentu utrwalenia danych, lub dłużej wyłącznie w przypadkach przewidzianych przepisami prawa. Pani/Pana dane osobowe mogą być udostępnione innym podmiotom uprawnionym na podstawie powszechnie obowiązującego prawa. Pani/Pana dane mogą być także przekazywane podmiotom przetwarzającym dane osobowe na zlecenie Administratora, przy czym takie podmioty przetwarzają dane na podstawie umowy z Administratorem i wyłącznie zgodnie z poleceniami Administratora.
Pani/Pana dane osobowe nie będą przekazywane do odbiorców znajdujących się w państwach poza Europejskim Obszarem Gospodarczym. Przysługują Pani/Panu następujące prawa:

  • prawo dostępu do danych osobowych oraz prawo żądania ich sprostowania, sprzeciwu wobec przetwarzania, ich usunięcia lub ograniczenia ich przetwarzania;
  • prawo wycofania zgody; wycofanie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem;
  • prawo do przenoszenia danych osobowych, tj. do otrzymania od Administratora danych osobowych, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (o ile ma to zastosowanie), w celu ewentualnego przekazania tych danych innemu administratorowi danych;
  • prawo do wniesienia skargi do organu nadzorczego zajmującego się ochroną danych osobowych, gdy uzna Pani/Pana, iż przetwarzanie danych osobowych dotyczących Pana/Pani osoby narusza przepisy Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016) (RODO).
  • W celu skorzystania z powyższych praw należy skontaktować się z Administratorem danych. Dane kontaktowe wskazane są w punkcie 2 wyżej.
  • Podanie danych osobowych jest dobrowolne, niemniej jest niezbędne do nawiązania kontaktu i udzielenie odpowiedzi na zadane pytania.
  • W związku z przetwarzaniem danych osobowych, decyzje dotyczące Pani/Pana osoby nie będą podejmowane w sposób zautomatyzowany (bez wpływu człowieka).


Wyrażam zgodę na przetwarzanie przez Polski Fundusz Rozwoju S.A. z siedzibą w Warszawie przy ul. Kruczej 50, 00-250 Warszawa, moich danych osobowych zawartych w formularzu wyłącznie w celu nawiązaniu kontaktu i udzieleniu odpowiedzi na zadane pytania.
Administratorem Pani/Pana danych osobowych jest Polski Fundusz Rozwoju S.A. z siedzibą w Warszawie przy ul. Kruczej 50, 00-250 Warszawa, zwany dalej "Administratorem". We wszystkich sprawach dotyczących przetwarzania Pani/Pana danych osobowych i przysługujących praw z tym związanych, można skontaktować się z Administratorem poprzez adres email [email protected], telefonicznie pod numerem +48 22 703 43 00 lub pisemnie na adres siedziby Administratora wskazany w punkcie 1 powyżej.
Pani/Pana dane osobowe mogą być przetwarzane do celów reklamacyjnych przez okres nie dłuższy niż rok od momentu utrwalenia danych, lub dłużej wyłącznie w przypadkach przewidzianych przepisami prawa. Pani/Pana dane osobowe mogą być udostępnione innym podmiotom uprawnionym na podstawie powszechnie obowiązującego prawa. Pani/Pana dane mogą być także przekazywane podmiotom przetwarzającym dane osobowe na zlecenie Administratora, przy czym takie podmioty przetwarzają dane na podstawie umowy z Administratorem i wyłącznie zgodnie z poleceniami Administratora.
Pani/Pana dane osobowe nie będą przekazywane do odbiorców znajdujących się w państwach poza Europejskim Obszarem Gospodarczym. Przysługują Pani/Panu następujące prawa:

  • prawo dostępu do danych osobowych oraz prawo żądania ich sprostowania, sprzeciwu wobec przetwarzania, ich usunięcia lub ograniczenia ich przetwarzania;
  • prawo wycofania zgody; wycofanie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem;
  • prawo do przenoszenia danych osobowych, tj. do otrzymania od Administratora danych osobowych, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (o ile ma to zastosowanie), w celu ewentualnego przekazania tych danych innemu administratorowi danych;
  • prawo do wniesienia skargi do organu nadzorczego zajmującego się ochroną danych osobowych, gdy uzna Pani/Pana, iż przetwarzanie danych osobowych dotyczących Pana/Pani osoby narusza przepisy Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016) (RODO).
  • W celu skorzystania z powyższych praw należy skontaktować się z Administratorem danych. Dane kontaktowe wskazane są w punkcie 2 wyżej.
  • Podanie danych osobowych jest dobrowolne, niemniej jest niezbędne do nawiązania kontaktu i udzielenie odpowiedzi na zadane pytania.
  • W związku z przetwarzaniem danych osobowych, decyzje dotyczące Pani/Pana osoby nie będą podejmowane w sposób zautomatyzowany (bez wpływu człowieka).


Publikacje Data publikacji: 09 października 2024

AI Act: Nowe wyzwania i obowiązki dla startupów technologicznych

Startujemy z nowym cyklem artykułów na temat dokumentu AI Act, czyli aktu prawnego wprowadzonego przez Unię Europejską. Wraz z kancelarią Rymarz Zdort Maruta przygotowaliśmy serię publikacji, które przybliżą najważniejsze wymogi oraz pomogą sprawdzić, jak uwzględnić je w rozwijających się przedsiębiorstwach. 

Autorzy: Marcin Serafin, Wojciech Piszewski 

Sztuczna inteligencja (AI) ma coraz większe znaczenie w rozwoju nowoczesnych technologii. Dostrzegając potrzebę jej regulacji, Unia Europejska wprowadziła AI Act – pierwszy na świecie kompleksowy akt prawny dotyczący sztucznej inteligencji. Dla startupów tworzących lub wykorzystujących AI oznacza to nowe zasady i sporo nowych obowiązków. Warto zatem zapoznać się z najważniejszymi wymogami AI Act oraz sprawdzić, w jakim zakresie mają one zastosowanie do realizowanych projektów.

Najważniejsze postanowienia AI Act

AI Act, podobnie jak RODO, jest rozporządzeniem UE. Oznacza to, że obowiązuje w jednakowym zakresie we wszystkich państwach UE. To istotne, ponieważ w przypadku projektów o międzynarodowym charakterze nie będzie konieczności analizowania lokalnych przepisów. Nakazy i zakazy będą obowiązywać bezpośrednio, a krajowe regulacje skupią się jedynie na kwestiach formalnych i organizacyjnych, takich jak wskazanie organu, który będzie nadzorował stosowanie nowych przepisów.

AI Act wprowadza wymogi dotyczące m.in. cyberbezpieczeństwa, przejrzystości, monitorowania i nadzoru nad systemami AI, obejmując cały cykl ich życia – od projektowania i tworzenia, przez wdrożenie, aż po stosowanie i dalsze monitorowanie. Obejmuje to obowiązki dla dostawców, importerów, dystrybutorów oraz użytkowników systemu. Firmy muszą spełnić określone wymagania w zależności od roli, w jakiej występują, oraz poziomu ryzyka przypisanego systemowi AI w wyniku jego klasyfikacji. W niektórych przypadkach konieczna będzie ocena pod kątem ryzyka dla użytkowników i naruszenia praw podstawowych.

Role w ekosystemie AI

AI Act definiuje różne role podmiotów związanych z tworzeniem i wdrażaniem systemów AI, z których każda ma swoje obowiązki. Kluczowe role to:

  • Dostawca (provider): Osoba lub organizacja, która tworzy system AI i wprowadza go na rynek. Przykładem może być firma technologiczna rozwijająca system AI do analizy danych. Dostawca musi zapewnić zgodność systemu z AI Act, w tym prowadzić dokumentację techniczną, oceniać ryzyko oraz monitorować system przez cały cykl jego życia, również po wprowadzeniu go na rynek.
  • Podmiot stosujący  (deployer): Podmiot korzystający z systemu AI w swoich procesach biznesowych. Przykładem może być szpital wdrażający narzędzie diagnostyczne oparte na AI czy firma rekrutacyjna używająca AI do oceny kandydatów. Wdrażający musi przede wszystkim monitorować działanie systemu i zapewniać, że jest on używany zgodnie z przeznaczeniem i z przepisami, zwłaszcza w kontekście ochrony praw podstawowych i bezpieczeństwa danych.

Dodatkowo AI Act definiuje role importera (wprowadzającego systemy AI spoza UE na rynek unijny), dystrybutora (który udostępnia system AI, ale nie odpowiada za jego tworzenie) oraz autoryzowanego przedstawiciela (reprezentującego dostawców spoza UE w zakresie zgodności z przepisami unijnymi).

Klasyfikacja systemów AI

AI Act definiuje cztery kategorie ryzyka:

  1. Ryzyko nieakceptowalne: W tej kategorii mieszczą się np. systemy AI wykorzystujące techniki manipulacyjne, takie jak wpływanie na ludzkie zachowanie za pomocą podprogowych metod czy rozpoznawanie emocji w miejscach pracy. Ich użycie jest bezwzględnie zakazane.
  2. Ryzyko wysokie: To systemy AI, które np. wykorzystują biometrię czy służą do oceny kandydatów w rekrutacji. Takie systemy muszą spełniać szereg wymogów – ich użycie jest dozwolone, ale wiąże się z dodatkowymi obowiązkami.
  3. Ryzyko niskie / ograniczone: To np. chatboty i systemy AI, które służą do generowania treści. W tym przypadku trzeba zapewnić przejrzystość i poinformować użytkowników o wykorzystaniu AI.
  4. Ryzyko minimalne: Ta kategoria obejmuje proste aplikacje, takie jak filtry antyspamowe czy gry wideo, które nie podlegają szczególnym regulacjom.

Wymogi dla systemów wysokiego ryzyka

Systemy wysokiego ryzyka są najbardziej regulowane przez AI Act. Dostawcy tych systemów muszą spełnić szereg wymogów, w tym przede wszystkim:

  1. Wdrożyć system zarządzania ryzykiem, który obejmuje identyfikację zagrożeń związanych z działaniem systemu AI oraz podejmowanie działań minimalizujących te ryzyka.
  2. Zapewnić bezpieczeństwo systemu AI i ochronę praw podstawowych, transparentność i jakość danych – systemy wysokiego ryzyka muszą być odporne na ataki, manipulacje czy nieautoryzowane zmiany. Dane używane do ich trenowania, testowania i walidacji muszą być odpowiedniej jakości, aby uniknąć błędów, uprzedzeń i dyskryminacji. Użytkownicy muszą mieć świadomość, że korzystają z systemu AI, i otrzymać jasne wytyczne dotyczące jego działania.
  3. Opracować szczegółową dokumentację techniczną systemów AI, która musi być aktualizowana na bieżąco, aby spełniać wymogi zgodności przez cały cykl życia systemu.
  4. Przeprowadzić ocenę zgodności przed wprowadzeniem systemu AI wysokiego ryzyka na rynek, aby upewnić się, że system spełnia wymogi AI Act. W niektórych przypadkach ocena zgodności może wymagać certyfikacji przez odpowiednie organy
  5. Monitorować system AI po wprowadzeniu na rynek – wszelkie nieprawidłowości lub incydenty związane z funkcjonowaniem systemu AI muszą być zgłaszane odpowiednim organom nadzoru. Dostawcy muszą też umożliwić organom regularne audyty systemów.

Systemy AI ogólnego przeznaczenia (GPAI)

Część AI Act poświęcona jest tzw. systemom AI ogólnego przeznaczenia (GPAI), zaprojektowanym do wykonywania szerokiego zakresu zadań. Obowiązki dostawców i użytkowników GPAI są bardziej rozbudowane w porównaniu do zwykłych systemów AI. Wynika to z uniwersalności GPAI i możliwości ich zastosowania w różnych sektorach i kontekstach, co niesie ze sobą większe ryzyka. Dlatego AI Act nakłada na dostawców GPAI dodatkowe obowiązki w zakresie oceny ryzyka, przejrzystości, dokumentacji oraz zarządzania danymi, aby zapewnić odpowiedzialne i bezpieczne wykorzystanie tych systemów.

Etyczna sztuczna inteligencja

AI Act kładzie duży nacisk na bezpieczeństwo, przejrzystość i odpowiedzialność systemów AI. Nowe przepisy chronią prawa podstawowe i minimalizują ryzyko, jakie AI może stwarzać dla społeczeństwa, np. poprzez zakaz praktyk manipulacyjnych czy dyskryminacyjnych. Wymaga to zapewnienia nadzoru ze strony człowieka nad systemami wysokiego ryzyka, oceny wpływu na prawa podstawowe, zarządzania ryzykiem i jakością danych.

Sankcje za nieprzestrzeganie przepisów

AI Act przewiduje surowe sankcje za nieprzestrzeganie przepisów. Naruszenie regulacji dotyczących systemów, które są zakazane lub wysokiego ryzyka, może skutkować karą do 35 milionów euro lub 7% globalnych obrotów firmy. Sankcje grożą także za brak odpowiednich zabezpieczeń w zakresie ochrony danych oraz niewłaściwe zarządzanie ryzykiem. Warto pamiętać, że kary te nie wyłączają odpowiedzialności za naruszenie innych przepisów mających zastosowanie do systemów AI, w obszarach takich jak RODO, własność intelektualna, cyberbezpieczeństwo czy przepisy sektorowe.

Wyzwania i korzyści dla startupów

Wdrożenie wymogów AI Act może być wyzwaniem dla startupów, zwłaszcza w zakresie dokumentacji i zarządzania ryzykiem. Konieczne będzie identyfikowanie ryzyka związanego z AI i ocena, jakie obowiązki wynikają z AI Act. Wdrożenie tych obowiązków może wymagać dodatkowych zasobów oraz kosztów.

Przestrzeganie AI Act przynosi jednak również korzyści. Zgodność z przepisami buduje zaufanie klientów i inwestorów, co może ułatwić rozwój i ekspansję na rynkach europejskich. Startupy, które dostosują swoje działania do nowych regulacji, zyskają przewagę konkurencyjną, pozycjonując się jako odpowiedzialni i bezpieczni dostawcy innowacyjnych technologii.

AI Act nieodwracalnie zmieni sposób, w jaki startupy tworzą, wprowadzają i monitorują swoje systemy AI. Zrozumienie swojej roli w ekosystemie AI, efektywne zarządzanie ryzykiem oraz zgodność z przepisami ochrony danych będą kluczowe dla sukcesu na rynku unijnym.

Co dalej?

W nadchodzących tygodniach planujemy publikację dodatkowych materiałów, które pomogą startupom w pełni zrozumieć wymagania AI Act. Kolejne artykuły ekspertów kancelarii Rymarz Zdort Maruta będą dotyczyć następujących tematów:

  • Zakazane praktyki w AI – szczegółowa analiza praktyk zakazanych przez nowe przepisy, w tym technik podprogowych i dyskryminacyjnych.
  • Bezpieczeństwo i etyka w AI – przewodnik po zasadach bezpieczeństwa i etyki w tworzeniu oraz wdrażaniu AI.
  • Wpływ AI Act na startupy – jak nowe regulacje wpłyną na startupy i jakie kroki należy podjąć, aby być zgodnym z przepisami.
  • Edukacja i zasoby – informacje o dostępnych materiałach edukacyjnych i inicjatywach wspierających dostosowanie się do nowych wymogów.
  • AI Act w praktyce – poradnik dotyczący zgodności rozwiązań z wytycznymi AI Act.

Zachęcamy do śledzenia naszych cotygodniowych publikacji, które ukażą się w każdy poniedziałek. Kolejny artykuł już w przyszłym tygodniu!