Przewodnik AI Act·startbrain.ai
Przewodnik po AI Act: kompletny przewodnik dla firm Artykuł 4: obowiązek przeszkolenia wszystkich pracowników w zakresie AI Klasyfikacja systemów AI: czy podlegasz przepisom dotyczącym wysokiego ryzyka? Zakazane praktyki AI: czego Twoja firma już nie może robić Sankcje AI Act: do 35 milionów euro kary Harmonogram AI Act: wszystkie terminy od 2024 do 2027 Lista kontrolna zgodności AI Act według roli: IOD, HR, CIO, Zarząd

Sankcje AI Act: do 35 milionów euro kary

Sankcje AI Act mogą sięgać 35 mln € lub 7% światowego obrotu. Szczegóły kar według rodzaju naruszenia i porównanie z RODO.

Bezprecedensowy reżim sankcji

Europejskie Rozporządzenie w sprawie sztucznej inteligencji (Rozporządzenie 2024/1689) wprowadza jeden z najsurowszych systemów sankcji w europejskim prawie cyfrowym. Z karami sięgającymi 35 milionów euro lub 7% światowego obrotu AI Act wysyła jasny sygnał: brak zgodności w zakresie AI to nie abstrakcyjne ryzyko, to poważne ryzyko finansowe.

Artykuł 99Règlement (UE) 2024/1689

Państwa członkowskie określają system sankcji i innych środków egzekucyjnych, które mogą również obejmować ostrzeżenia i środki niepieniężne, mających zastosowanie do naruszeń niniejszego rozporządzenia przez operatorów, i podejmują wszelkie niezbędne środki w celu zapewnienia ich prawidłowego i skutecznego stosowania […].

Trzy poziomy kar

Artykuł 99 rozporządzenia definiuje trzy progi sankcji, w zależności od wagi naruszenia.

Poziom 1 — Zakazane praktyki: 35 mln € lub 7% światowego obrotu

Najwyższy poziom sankcji ma zastosowanie do naruszeń Artykułu 5 (zakazane praktyki):

  • Scoring społeczny
  • Manipulacja podprogowa lub techniki wprowadzające w błąd
  • Wykorzystywanie podatności osób
  • Biometryczna identyfikacja w czasie rzeczywistym w przestrzeniach publicznych (z wyjątkami)
  • Rozpoznawanie emocji w pracy i w edukacji
  • Tworzenie baz danych twarzy przez scraping

Kara może sięgać 35 milionów euro lub 7% rocznego światowego obrotu firmy, zastosowanie ma wyższa kwota.

Dla firmy o obrotach 500 milionów euro oznacza to potencjalnie 35 milionów euro kary. Dla globalnego koncernu z obrotami 10 miliardów euro, teoretyczna kara sięga 700 milionów euro.

Poziom 2 — Brak zgodności systemów wysokiego ryzyka: 15 mln € lub 3% światowego obrotu

Drugi próg karze naruszenia obowiązków dotyczących systemów AI wysokiego ryzyka i modeli AI ogólnego przeznaczenia:

  • Niespełnienie wymogów zarządzania ryzykiem (Artykuł 9)
  • Brak zarządzania danymi (Artykuł 10)
  • Brak dokumentacji technicznej (Artykuł 11)
  • Brak przejrzystości wobec użytkowników (Artykuł 13)
  • Niewystarczający nadzór człowieka (Artykuł 14)
  • Brak zgodności modeli AI ogólnego przeznaczenia (Artykuły 51-56)
  • Niespełnienie obowiązku kompetencji w zakresie AI (Artykuł 4)

Ten ostatni punkt jest kluczowy: brak szkolenia pracowników w zakresie AI podlega temu progowi. Firma, która nie podjęła żadnych środków w celu zapewnienia wystarczającego poziomu kompetencji w zakresie AI dla swojego personelu, naraża się na kary sięgające 15 milionów euro lub 3% światowego obrotu.

Poziom 3 — Nieprawidłowe informacje: 7,5 mln € lub 1,5% światowego obrotu

Trzeci próg ma zastosowanie, gdy firma dostarcza organom lub jednostkom notyfikowanym informacji niedokładnych, niepełnych lub wprowadzających w błąd:

  • Fałszywe deklaracje zgodności
  • Sfałszowane lub niepełne dokumenty techniczne
  • Niedokładne odpowiedzi na wnioski o informacje od organów
  • Zatajenie incydentów lub usterek

Kara może sięgać 7,5 miliona euro lub 1,5% rocznego światowego obrotu.

Porównanie z RODO: wyższe kary

Aby ocenić surowość reżimu AI Act, porównanie z RODO jest wymowne:

KryteriumRODOAI Act
Maksymalna kara (kwota stała)20 mln €35 mln €
Maksymalna kara (% obrotu)4% światowego obrotu7% światowego obrotu
Liczba progów23
Obowiązuje odMaja 2018Stopniowo (2025-2027)
Organ nadzorczyOrgany ochrony danychOrgany krajowe + Europejskie Biuro ds. AI

Europejski prawodawca celowo ustalił sankcje AI Act powyżej tych z RODO. Przekaz jest jasny: ryzyka związane ze źle zarządzaną AI są uznawane za co najmniej tak poważne jak te dotyczące ochrony danych — a firmy będą odpowiednio karane.

Dla przypomnienia — sankcje RODO nie pozostały teoretyczne. W 2023 roku Meta otrzymała karę 1,2 miliarda euro od irlandzkiego organu. Amazon otrzymał 746 milionów euro w 2021 roku w Luksemburgu. W Polsce UODO nakładał już istotne kary na mocy RODO. Europejskie organy udowodniły, że nie wahają się stosować maksymalnych sankcji wobec dużych firm.

Specjalne zasady dla MŚP

Rozporządzenie przewiduje dostosowane traktowanie małych firm. Artykuł 99(6) precyzuje, że kary muszą być “skuteczne, proporcjonalne i odstraszające”. Dla MŚP i startupów organy muszą uwzględniać rentowność ekonomiczną przedsiębiorstwa.

Konkretnie:

  • Procenty obrotu mają zastosowanie w ten sam sposób, ale kwoty stałe (35 mln €, 15 mln €, 7,5 mln €) stanowią bezwzględny pułap
  • Organy muszą uwzględniać wielkość firmy, wagę naruszenia, jego umyślny lub nieumyślny charakter oraz środki podjęte w celu złagodzenia szkód
  • Piaskownice regulacyjne (Artykuł 57) oferują ramy, w których MŚP mogą testować swoje systemy AI w warunkach rzeczywistych z towarzyszeniem organów

Kto kontroluje i kto karze?

Właściwe organy krajowe

Każde państwo członkowskie musi wyznaczyć jeden lub więcej właściwych organów krajowych odpowiedzialnych za nadzór rynku i egzekwowanie rozporządzenia. W Polsce odpowiedzialność ta będzie prawdopodobnie podzielona między kilka instytucji:

  • UODO (Urząd Ochrony Danych Osobowych) — już właściwy w zakresie ochrony danych, posiada naturalną kompetencję w odniesieniu do systemów AI przetwarzających dane osobowe
  • UKE lub nowy dedykowany organ — w zakresie modeli AI i infrastruktury
  • Istniejące organy sektorowe (KNF — Komisja Nadzoru Finansowego — dla finansów, NFZ/Ministerstwo Zdrowia dla zdrowia) — dla systemów AI wysokiego ryzyka w ich domenach

Europejskie Biuro ds. AI (AI Office)

Utworzone w ramach Komisji Europejskiej, Europejskie Biuro ds. AI pełni rolę koordynacyjną i posiada bezpośrednie kompetencje w odniesieniu do modeli AI ogólnego przeznaczenia. Może:

  • Oceniać zgodność modeli AI ogólnego przeznaczenia
  • Żądać od dostawców środków naprawczych
  • Nakładać kary za naruszenia dotyczące modeli ogólnego przeznaczenia
📄AI Act Artykuł 4: obowiązek szkolenia w zakresie AI

Znaczenie umiejętności udowodnienia zgodności

Poza karami, mechanizm AI Act opiera się na fundamentalnej zasadzie: ciężar dowodu spoczywa na firmie. To nie organ musi wykazać, że nie jesteś zgodny — to Ty musisz wykazać, że jesteś.

Co konkretnie oznacza “udowodnienie zgodności”

  1. Dokumentacja techniczna: dla każdego systemu AI wysokiego ryzyka, kompletna teczka opisująca system, jego cele, wydajność, ograniczenia, wykorzystane dane treningowe
  2. Rejestry zgodności: historia ocen zgodności, audytów wewnętrznych, aktualizacji
  3. Logi użytkowania: automatyczne rejestry śledzące decyzje podejmowane przez systemy AI (minimalna retencja sześć miesięcy)
  4. Dowody szkolenia: certyfikaty, wyniki ocen, wskaźniki uczestnictwa — wykazujące, że personel osiąga poziom kompetencji wymagany przez Artykuł 4
  5. Procedury zgłaszania: udokumentowane mechanizmy umożliwiające użytkownikom zgłaszanie usterek lub problematycznych wyników

Mierzalny i identyfikowalny wskaźnik kompetencji dla każdego pracownika stanowi szczególnie mocny element dowodowy dla Artykułu 4. Podobnie, pełna historia przebytych szkoleń, z datami, treściami i wynikami, pozwala obiektywnie udowodnić zgodność.

Czynnik obciążający: brak jakichkolwiek środków

W przypadku kontroli, najgorsza sytuacja to nie posiadanie niedoskonałego programu zgodności — to nieposiadanie żadnego. Organy wezmą pod uwagę wysiłki podjęte przez firmę. Rozpoczęcie ustrukturyzowanego podejścia, nawet niepełnego, jest zawsze lepsze od całkowitej bierności.

📄Audyt AI w firmie: praktyczny przewodnik krok po kroku

Kalendarz ryzyk

Sankcje stosowane są stopniowo, zgodnie z wejściem w życie poszczególnych obowiązków:

DataObowiązujące przepisyStosowane sankcje
1 lutego 2025Zakazane praktyki (Artykuł 5)Do 35 mln € / 7%
2 sierpnia 2025Kompetencje w zakresie AI (Artykuł 4) + Modele ogólnego przeznaczeniaDo 15 mln € / 3%
2 sierpnia 2026Systemy AI wysokiego ryzykaDo 15 mln € / 3%
2 sierpnia 2027Systemy wysokiego ryzyka zintegrowane w produktach regulowanychDo 15 mln € / 3%

Dwa pierwsze terminy już minęły. Firmy, które jeszcze nie podjęły działań w zakresie zakazanych praktyk i kompetencji AI, znajdują się już w strefie ryzyka.

Poza karami: ryzyka pośrednie

Sankcje finansowe to tylko widoczna część. Brak zgodności z AI Act naraża na inne, równie istotne ryzyka:

  • Ryzyko reputacyjne: publiczna identyfikacja jako firma niezgodna z regulacjami AI wysyła katastrofalny sygnał klientom, partnerom i inwestorom
  • Ryzyko handlowe: zgodne firmy będą wymagać od swoich dostawców i partnerów, aby również byli zgodni — efekt kaskadowy porównywalny z RODO
  • Ryzyko operacyjne: organy mogą nakazać wycofanie z rynku niezgodnego systemu AI lub zakazać jego używania — potencjalnie paraliżując krytyczne procesy biznesowe
  • Ryzyko procesowe: osoby dotknięte przez niezgodny system AI mogą wszcząć postępowania sądowe, z towarzyszącymi kosztami prawnymi i odszkodowawczymi

Ce que ça implique pour vous

AI Act wprowadza najsurowsze sankcje w europejskim prawie cyfrowym: 35 milionów euro lub 7% światowego obrotu za zakazane praktyki, 15 milionów za systemy wysokiego ryzyka i brak szkolenia. Klucz do minimalizacji ryzyka: udowodnienie zgodności poprzez rzetelną dokumentację, udokumentowane szkolenia i mierzalne oceny. Pierwsze terminy już minęły — każdy dzień bez działania zwiększa narażenie.