Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji, powszechnie określane jako Akt o AI (AI Act), weszło w życie 1 sierpnia 2024 r. i jest stosowane etapami. Kluczowa dla większości kancelarii jest data 2 sierpnia 2026 r., od której obowiązywać będą przepisy dotyczące systemów wysokiego ryzyka.
Rozporządzenie nakłada bardzo różne obowiązki na różne kategorie podmiotów. Zakres tych obowiązków w pierwszej kolejności zależy od tego, czy w danej relacji kancelaria jest dostawcą (ang. provider), czy podmiotem stosującym (ang. deployer) system AI. Różnica nie jest akademicka, dostawca systemu wysokiego ryzyka ponosi ciężar certyfikacji, dokumentacji technicznej i odpowiedzialności za zgodność systemu z wymogami AI Act. Podmiot stosujący, ograniczony zestaw obowiązków organizacyjnych.
Definicje według art. 3 AI Act
Dostawca (art. 3 pkt 3), podmiot, który rozwija system AI lub model AI ogólnego przeznaczenia lub zleca rozwój systemu AI, oraz który, odpłatnie lub nieodpłatnie, pod własną nazwą lub własnym znakiem towarowym wprowadza do obrotu lub oddaje do użytku system AI.
Podmiot stosujący (art. 3 pkt 4), podmiot, który wykorzystuje system AI, nad którym sprawuje kontrolę, z wyjątkiem sytuacji, gdy system AI jest wykorzystywany w ramach osobistej działalności pozazawodowej.
Krajowa Izba Radców Prawnych w rekomendacjach z kwietnia 2025 r. wprost wskazała: „Co do zasady radcowie prawni będą podmiotami stosującymi systemy AI". To stanowisko racjonalne, większość kancelarii korzysta z gotowych narzędzi (ChatGPT, Microsoft Copilot, dedykowane wyszukiwarki orzeczeń) bez ingerencji w ich strukturę techniczną.
Kiedy radca prawny staje się dostawcą
AI Act przewiduje kilka sytuacji, w których podmiot początkowo „używający" systemu AI zostaje przekwalifikowany do kategorii dostawcy, z wszystkimi tego konsekwencjami. Najistotniejsze z nich:
1. Zmiana przeznaczenia „zwykłego" systemu AI w wysoko-ryzykowy
Art. 25 ust. 1 lit. c AI Act stanowi, że jeśli podmiot stosujący modyfikuje system AI w sposób istotny, zmieniając jego przeznaczenie tak, że staje się on systemem wysokiego ryzyka, to sam staje się jego dostawcą. Przykład: kancelaria fine-tunes ogólnodostępny model językowy na własnej bazie akt sprawy w celu automatycznej oceny szans procesowych kandydata na klienta. Jeśli zastosowanie takiego narzędzia ma wpływ na dostęp do usług prawnych, możliwa jest kwalifikacja systemu jako wysokiego ryzyka (w kontekście załącznika III pkt 5 lit. b, systemy AI stosowane do oceniania uprawnień do świadczeń).
2. Wprowadzenie systemu do obrotu pod własną marką
Art. 25 ust. 1 lit. a AI Act: dostawcą staje się podmiot, który umieszcza własną nazwę lub znak towarowy na już istniejącym systemie AI wprowadzonym do obrotu przez innego dostawcę. Kancelaria, która oferuje klientom dostęp do platformy z AI pod własną marką, podpadałaby pod tę kategorię, nawet jeśli silnik AI jest dostarczany przez partnera technologicznego.
3. Rozwój własnego narzędzia AI
Jeśli kancelaria tworzy własne rozwiązanie z wykorzystaniem AI (np. chatbot na stronie www obsługujący klientów, system automatycznej kategoryzacji dokumentów), staje się jego dostawcą od momentu wprowadzenia go do obrotu lub oddania do użytku, nawet jeśli używa gotowych komponentów innych producentów.
Praktyka: zwykłe użycie ChatGPT, Claude, Gemini czy wbudowanego w Microsoft 365 Copilota w celach analitycznych nie czyni radcy dostawcą systemu. Prawnik jest podmiotem stosującym. Dopiero aktywne działania, trenowanie własnego modelu, rebranding, wdrożenie zewnętrznej integracji, zmieniają tę kwalifikację.
Obowiązki podmiotu stosującego (deployer)
Podstawowe obowiązki ciążą na podmiocie stosującym niezależnie od tego, czy używany system jest wysokiego ryzyka. Kluczowe z nich:
- Art. 4 AI Act, kompetencje w zakresie AI (AI Literacy). Przepis już obowiązuje od 2 lutego 2025 r. Podmiot stosujący jest zobowiązany zapewnić personelowi korzystającemu z systemów AI odpowiednie kompetencje, z uwzględnieniem ich wiedzy technicznej, doświadczenia, wykształcenia i kontekstu użycia.
- Art. 50 AI Act, obowiązki przejrzystości. W przypadku niektórych kategorii systemów (np. generujących deepfake, chatboty) podmiot stosujący musi informować użytkowników, że wchodzą w interakcję z systemem AI.
- Ochrona danych osobowych. Niezależnie od AI Act, zastosowanie systemu AI przetwarzającego dane osobowe wymaga spełnienia wymogów RODO, w szczególności art. 5 (zasady), art. 6 (podstawa prawna), art. 28 (umowa powierzenia z dostawcą AI), a przy wysokim ryzyku, art. 35 (ocena skutków dla ochrony danych, DPIA).
Obowiązki dodatkowe przy systemach wysokiego ryzyka
Jeśli kancelaria korzysta z systemu zakwalifikowanego jako wysokiego ryzyka według art. 6 i załącznika III AI Act (np. narzędzia rekrutacyjne oparte na AI, systemy scoringowe do oceny zdolności kredytowej, narzędzia biometryczne), art. 26 AI Act nakłada na podmiot stosujący dodatkowe obowiązki:
- wykorzystywanie systemu zgodnie z instrukcją obsługi dostarczoną przez dostawcę,
- zapewnienie ludzkiego nadzoru,
- monitorowanie działania systemu i informowanie dostawcy o poważnych incydentach,
- przechowywanie logów działania systemu (co najmniej 6 miesięcy, o ile inne przepisy nie przewidują dłuższego okresu),
- przeprowadzenie oceny wpływu na prawa podstawowe (Fundamental Rights Impact Assessment), w przypadkach wskazanych w art. 27 AI Act.
Nie wysyłaj do AI danych osobowych klientów
Najbardziej ryzykowny punkt w każdej kancelarii korzystającej z AI to moment wklejenia tekstu pisma do narzędzia zewnętrznego. Beznazwisk.pl anonimizuje dokument lokalnie, zanim jakikolwiek fragment opuści Twój komputer.
Pobierz bezpłatnieSankcje
Art. 99 AI Act przewiduje trzy stawki kar administracyjnych:
- Do 35 mln EUR lub 7% globalnego rocznego obrotu, za stosowanie zakazanych praktyk AI z art. 5 (np. systemy rozpoznawania emocji w miejscu pracy, social scoring).
- Do 15 mln EUR lub 3% obrotu, za naruszenie obowiązków dotyczących systemów wysokiego ryzyka, w tym obowiązków podmiotu stosującego z art. 26 i 27.
- Do 7,5 mln EUR lub 1,5% obrotu, za udzielanie niekompletnych lub wprowadzających w błąd informacji organowi nadzorczemu.
Stawka wyższa (ta korzystniejsza dla organu) obowiązuje w każdym przypadku. Dla MŚP, w tym dla większości kancelarii, przewidziano niższą z dwóch kwot (jako kwota sztywna lub procent obrotu, zależnie od tego, co mniejsze).
Co zrobić przed 2 sierpnia 2026 r.
- Zinwentaryzuj narzędzia AI, z których korzysta kancelaria. Lista powinna obejmować zarówno samodzielne aplikacje (ChatGPT, Claude), jak i wbudowane (Copilot w Microsoft 365, Gemini w Google Workspace, AI w systemach księgowych).
- Dla każdego narzędzia ustal rolę kancelarii. Jeśli tylko używacie, podmiot stosujący. Jeśli rozwijacie własne rozwiązania lub integrujecie pod własną marką, ryzyko bycia dostawcą.
- Przeprowadź klasyfikację ryzyka każdego systemu. W większości przypadków kancelarie korzystają z systemów minimalnego lub ograniczonego ryzyka. Ale jeśli używacie AI do decyzji wpływających na klienta (np. automatyczny scoring sprawy), kwalifikacja może się zmienić.
- Sporządź wewnętrzną politykę AI. Dokument powinien określać dopuszczalne narzędzia, zakazy (np. wklejanie danych objętych tajemnicą zawodową), zasady weryfikacji outputu, obowiązki informacyjne wobec klienta.
- Przeprowadź szkolenie personelu z AI Literacy. Obowiązek z art. 4 AI Act stosuje się już od lutego 2025 r.
- Zweryfikuj umowy licencyjne narzędzi AI. Pod kątem obowiązków informacyjnych dostawcy, odpowiedzialności za halucynacje, zapewnień dotyczących przetwarzania danych (czy dostawca jest procesorem w rozumieniu art. 28 RODO, czy administratorem).
Źródła
- Rozporządzenie (UE) 2024/1689 z 13 czerwca 2024 r. (AI Act), tekst: eur-lex.europa.eu/eli/reg/2024/1689/oj
- Rekomendacje KIRP dotyczące korzystania przez radców prawnych z narzędzi opartych na sztucznej inteligencji, kwiecień 2025 r.
- Art. 3, 4, 25, 26, 27, 50, 99 AI Act
Przeczytaj również
Autor: Zespół Beznazwisk.pl. Tekst ma charakter informacyjny i nie stanowi porady prawnej.