Akt o sztucznej inteligencji - znany jako AI Act - to pierwsze na świecie kompleksowe rozporządzenie regulujące systemy AI. Wszedł w życie w sierpniu 2024 roku. Dla wielu firm pytanie brzmi: jak AI Act ma się do RODO, które już obowiązuje i które dotyczy każdego systemu przetwarzającego dane osobowe? Odpowiedź nie jest prosta, bo oba akty nakładają się na siebie - i w Polsce UODO aktywnie zabiega o to, żeby role tych przepisów nie zostały pomylone.
AI Act - podstawy w trzech zdaniach
AI Act klasyfikuje systemy AI według poziomu ryzyka: niedopuszczalne (zakazane), wysokiego ryzyka, ograniczonego ryzyka i minimalnego ryzyka. Im wyższe ryzyko, tym surowsze wymogi: ocena zgodności, rejestry, obowiązki przejrzystości, nadzór ludzki. Zakazane są m.in. systemy biometrycznej kategoryzacji osób na podstawie cech wrażliwych oraz systemy punktacji społecznej używane przez władze publiczne.
Gdzie AI Act łączy się z RODO
Wiele systemów AI przetwarza dane osobowe - co automatycznie oznacza, że muszą spełnić również wymogi RODO. Oba rozporządzenia mówią o różnych aspektach tego samego procesu:
- RODO reguluje jak przetwarzać dane osobowe - podstawy prawne, prawa podmiotów, bezpieczeństwo
- AI Act reguluje jak projektować i wdrażać systemy AI - transparentność, nadzór, zakazy
System AI analizujący CV kandydatów jest jednocześnie: systemem AI wysokiego ryzyka (AI Act) i systemem przetwarzającym dane osobowe (RODO). Musi spełnić oba zestawy wymogów.
Stanowisko UODO: Prezes Urzędu Ochrony Danych Osobowych jednoznacznie zaznaczył w uwagach do polskiego projektu ustawy wdrażającej AI Act (styczeń 2025), że przepisy krajowe nie mogą pomijać roli UODO jako organu wyłącznie właściwego w sprawach ochrony danych osobowych przetwarzanych przez systemy AI. UODO już teraz jest uprawniony do kontroli i nakładania kar w sprawach, gdzie AI przetwarza dane bez wymaganej podstawy prawnej.
Co AI Act oznacza w praktyce dla kancelarii prawnych i adwokatów
Kancelarie prawne rzadko budują własne systemy AI - głównie z nich korzystają. To ma znaczenie, bo AI Act rozróżnia dostawców (producenci systemów) i użytkowników (deployers). Kancelaria korzystająca z zewnętrznego narzędzia AI do analizy dokumentów jest użytkownikiem - i na niej spoczywa część obowiązków, w tym:
- obowiązek informowania klientów o użyciu systemu AI wysokiego ryzyka przy podejmowaniu decyzji dotyczących ich interesów
- obowiązek nadzoru ludzkiego nad wynikami systemu AI - prawnik nie może "ślepko" podpisać pisma wygenerowanego przez AI bez weryfikacji
- obowiązek zachowania logów i dokumentacji, jeśli system AI jest klasyfikowany jako wysokiego ryzyka
Dla radcy prawnego i adwokata AI Act wzmacnia i tak już istniejący obowiązek zawodowy nadzoru nad jakością pracy - również tej wykonywanej przez narzędzia AI.
Anonimizacja to krok, który spełnia wymogi obu aktów jednocześnie
Jeśli przetwarzasz dokumenty prawne z danymi osobowymi przy pomocy zewnętrznych narzędzi AI, anonimizacja przed wysłaniem eliminuje ryzyka wynikające z RODO i upraszcza compliance z AI Act. Beznazwisk.pl robi to lokalnie - bez chmury.
Pobierz bezpłatnieCo AI Act oznacza dla firm HR
Systemy AI używane w rekrutacji i zarządzaniu zasobami ludzkimi są explicite wymienione w AI Act jako systemy wysokiego ryzyka. Obejmuje to narzędzia do automatycznej selekcji CV, oceny kandydatów, monitorowania wydajności pracowników.
Firma korzystająca z takich narzędzi musi: przeprowadzić ocenę ryzyka przed wdrożeniem, zapewnić przejrzystość wobec kandydatów (informacja o użyciu AI), zagwarantować nadzór ludzki nad decyzjami rekrutacyjnymi, prowadzić dokumentację. Do tego dochodzi pełny reżim RODO dla danych przetwarzanych przez te systemy.
Systemy AI zakazane przez AI Act - co nie może być używane
AI Act wprowadza kategorie systemów, które są zakazane bez wyjątków. Dotyczą one głównie podmiotów publicznych i władz, ale znajomość tych zakazów jest użyteczna również dla prawników:
- systemy punktacji społecznej obywateli przez organy publiczne
- systemy biometrycznej kategoryzacji na podstawie danych genetycznych, religijnych, politycznych, seksualnych
- systemy manipulacji podprogowej i eksploatacji słabości psychologicznych
- zdalna identyfikacja biometryczna w czasie rzeczywistym w miejscach publicznych (z wąskimi wyjątkami dla organów ścigania)
Harmonogram wdrazania AI Act
AI Act wchodzi w życie stopniowo. Zakazy dotyczące systemów niedopuszczalnych obowiązują od lutego 2025. Pełne przepisy dotyczące systemów wysokiego ryzyka mają obowiązywać od 2027 roku. Oznacza to, że firmy mają czas na dostosowanie się - ale już teraz powinny audytować używane systemy AI pod kątem klasyfikacji i wymagań.
Przeczytaj również
Autor: Zespół Beznazwisk.pl. Tekst ma charakter informacyjny i nie stanowi porady prawnej.