Harmonogram wdrożenia EU AI Act: kluczowe daty

EU AI Act (Rozporządzenie 2024/1689) weszło w życie 1 sierpnia 2024 roku, ale jego poszczególne przepisy stosuje się stopniowo — według harmonogramu rozłożonego na lata 2025–2027. Zrozumienie tego harmonogramu jest kluczowe dla dostawców i wdrażających systemy AI, którzy muszą planować zgodność z wyprzedzeniem.

Etap 1: luty 2025 — zakaz systemów AI wysokiego ryzyka społecznego

Od 2 lutego 2025 roku obowiązuje zakaz stosowania systemów AI, które Akt o AI klasyfikuje jako niedopuszczalne. Dotyczy to praktyk takich jak:

• Subliminalny wpływ na zachowanie: Systemy AI wykorzystujące techniki podprogowe, które zniekształcają zachowanie osób w sposób mogący im zaszkodzić.
• Eksploatacja słabości: Systemy celowo wykorzystujące podatności wynikające z wieku, niepełnosprawności lub sytuacji społecznej.
• Scoring społeczny: Systemy oceniające wiarygodność osób fizycznych na podstawie zachowania społecznego w sposób prowadzący do nieuzasadnionego lub nieproporcjonalnego traktowania.
• Identyfikacja biometryczna w czasie rzeczywistym: Zdalne systemy identyfikacji biometrycznej w przestrzeni publicznej do celów egzekwowania prawa (z wąskimi wyjątkami).
• Wnioskowanie o emocjach: Systemy inferencji emocji w miejscu pracy i w instytucjach edukacyjnych.

W tym samym terminie (luty 2025) rozpoczęły się obowiązki dotyczące umiejętności w zakresie AI — organizacje muszą zapewnić personelowi odpowiednią wiedzę o systemach AI, z którymi pracuje (art. 4 Aktu o AI).

Etap 2: sierpień 2025 — modele AI ogólnego przeznaczenia (GPAI)

Od 2 sierpnia 2025 roku zastosowanie mają przepisy dotyczące modeli AI ogólnego przeznaczenia (General-Purpose AI models — GPAI). Dotyczy to dostawców modeli fundamentalnych, takich jak duże modele językowe (LLM) i modele generatywne.

Dostawcy modeli GPAI muszą spełnić następujące wymagania:

• Przygotowanie i utrzymywanie dokumentacji technicznej (art. 53) umożliwiającej ocenę zgodności przez Komisję Europejską.
• Udostępnienie dostawcom systemów AI działającym na bazie danego modelu informacji i dokumentacji wystarczającej do zachowania zgodności.
• Wdrożenie polityki poszanowania prawa autorskiego (art. 53 ust. 1 lit. c) — szczególnie istotne dla modeli trenowanych na danych z internetu.
• Publikacja podsumowania treści użytych do trenowania (art. 53 ust. 1 lit. d).

Dla modeli GPAI o dużym ryzyku systemowym (model z możliwością obliczeniową trenowania powyżej 10²⁵ FLOP, lub wyznaczony przez Komisję) dodatkowe wymagania obejmują: ocenę modelu, testy adversarialne, zgłaszanie incydentów do Komisji i wdrożenie środków cyberbezpieczeństwa.

W sierpniu 2025 roku uruchomiono również Europejski Urząd ds. AI (AI Office) przy Komisji Europejskiej, który jest głównym organem nadzoru nad modelami GPAI.

Etap 3: sierpień 2026 — pełne stosowanie dla systemów wysokiego ryzyka

2 sierpnia 2026 roku to kluczowa data dla większości podmiotów w sektorze prywatnym. Od tego momentu pełne przepisy Aktu o AI stosują się do systemów AI wysokiego ryzyka wymienionych w Załączniku III, które nie są objęte zakresem Załącznika I (produkty regulowane sektorowo).

Systemy AI wysokiego ryzyka wymienione w Załączniku III obejmują m.in.:

• Systemy biometryczne (kategoryzacja, rozpoznawanie emocji).
• Systemy zarządzające infrastrukturą krytyczną (energia, woda, transport).
• Systemy AI w edukacji — ocena uczniów, egzaminy, rekrutacja.
• Systemy AI w zatrudnieniu — rekrutacja, ocena pracownicza, awanse.
• Systemy AI w usługach publicznych i prywatnych niezbędnych do życia — scoring kredytowy, ubezpieczenia, opieka zdrowotna.
• Systemy AI w egzekwowaniu prawa.
• Systemy AI w zarządzaniu migracją i azylem.
• Systemy AI wspomagające wymiar sprawiedliwości.

Obowiązki wdrażających (deployers) systemy wysokiego ryzyka od sierpnia 2026 roku obejmują między innymi:

• Przeprowadzenie oceny wpływu na prawa podstawowe (FRIA) przed wdrożeniem.
• Rejestrację systemu w unijnej bazie danych EU AI Act.
• Zapewnienie nadzoru ludzkiego nad systemem podczas jego działania.
• Monitorowanie działania systemu i zgłaszanie poważnych incydentów do organu nadzorczego.
• Przechowywanie logów przez minimum 6 miesięcy (lub dłużej, jeśli wymaga prawa).
• Informowanie pracowników i osób, których systemy dotyczą, o stosowaniu AI (art. 26 ust. 6).

Etap 4: sierpień 2027 — systemy wysokiego ryzyka z Załącznika I

Do 2 sierpnia 2027 roku przedłużony jest termin wdrożenia dla systemów AI wysokiego ryzyka stanowiących element produktów regulowanych przepisami sektorowymi UE — tj. wymienionych w Załączniku I Aktu o AI. Dotyczy to m.in.:

• Systemów AI w urządzeniach medycznych (regulowanych dyrektywą MDR/IVDR).
• Systemów AI w maszynach, zabawkach, sprzęcie morskim i lotniczym objętych odpowiednimi dyrektywami unijnymi.
• Systemów AI w pojazdach i komponentach motoryzacyjnych.

Termin ten został wydłużony, ponieważ systemy te przechodzą już przez procesy certyfikacji w ramach istniejących regulacji sektorowych — przepisy AI Act dostosowują się do tych cykli.

Dostawcy vs. wdrażający: różny zakres obowiązków

AI Act rozróżnia dwie główne kategorie podmiotów z różnymi obowiązkami:

• Dostawcy (providers): Podmioty opracowujące lub zlecające opracowanie systemu AI wprowadzanego na rynek UE. To na nich spoczywa największy ciężar — dokumentacja techniczna, ocena zgodności, oznakowanie CE (dla systemów wysokiego ryzyka), rejestracja w bazie danych.
• Wdrażający (deployers): Podmioty korzystające z systemu AI w kontekście zawodowym. Ich obowiązki są węższe, ale znaczące: nadzór ludzki, rejestracja (dla Załącznika III), FRIA (jeśli system ma istotny wpływ na prawa jednostek), transparentność wobec pracowników i osób dotkniętych.

Kancelarie prawne i firmy finansowe, które korzystają z zewnętrznych narzędzi AI (np. asystentów prawnych AI, systemów scoringu kredytowego), działają jako wdrażający — a nie jako dostawcy. Nie zwalnia ich to jednak z obowiązku weryfikacji, że stosowane narzędzia spełniają wymogi AI Act po stronie dostawcy.

Sankcje i egzekwowanie

AI Act przewiduje system kar administracyjnych podobny do RODO:

• Do 35 mln EUR lub 7% globalnego rocznego obrotu — za naruszenia zakazów stosowania systemów niedopuszczalnych lub za przekazanie organom nieprawdziwych informacji.
• Do 15 mln EUR lub 3% globalnego rocznego obrotu — za inne naruszenia przepisów dotyczących systemów wysokiego ryzyka.
• Do 7,5 mln EUR lub 1,5% globalnego rocznego obrotu — za przekazanie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji organom.

Dla MŚP i startupów kary są kalkulowane z uwzględnieniem niższego progu bezwzględnego. Organy nadzorcze mają być wyznaczone przez każde Państwo Członkowskie do 2 sierpnia 2025 roku. W Polsce rolę tę powierzono Prezesowi Urzędu Komunikacji Elektronicznej (UKE), który współpracuje z UODO w zakresie kwestii danych osobowych.

Co zrobić teraz: plan działania dla organizacji

Niezależnie od etapu, w którym znajduje się Twoja organizacja, warto podjąć następujące kroki już dziś:

• Inwentaryzacja systemów AI: Zidentyfikuj wszystkie systemy AI używane lub planowane do wdrożenia w organizacji — zarówno własne, jak i zewnętrzne narzędzia SaaS.
• Klasyfikacja ryzyka: Oceń, czy każdy zidentyfikowany system należy do kategorii zakazanej, wysokiego ryzyka, ograniczonego ryzyka czy minimalnego ryzyka.
• Weryfikacja dostawców: Zażądaj od dostawców narzędzi AI dokumentacji potwierdzającej zgodność z AI Act (zwłaszcza dla systemów wysokiego ryzyka).
• Szkolenie personelu: Zapewnij pracownikom wiedzę o AI (obowiązek od lutego 2025) — zacznij od podstawowych szkoleń dotyczących systemu AI Act i zasad nadzoru ludzkiego.
• Przegląd strony internetowej: Zweryfikuj, czy strona organizacji zawiera wymagane informacje o stosowaniu systemów AI — chatboty AI muszą być wyraźnie oznaczone, polityka prywatności powinna zawierać klauzulę o zautomatyzowanym podejmowaniu decyzji.