BazaPrawa.
Projekt polskiej ustawy o systemach sztucznej inteligencji – co musi wiedzieć biznes w 2025 r.
zespół BazaPrawa | 24 grudnia 2023
Projekt polskiej ustawy o systemach sztucznej inteligencji (“AI Systems Act”) – co musi wiedzieć biznes w 2025 r.
1. Skąd się bierze ustawa i kiedy wejdzie w życie?
Polska ustawa wdraża unijny Artificial Intelligence Act (UE 2024/1689) i ma zostać przyjęta przez Radę Ministrów w II kw. 2025 r. (gov.pl). Najważniejsze daty z harmonogramu (przewidziane zarówno w AI Act, jak i w projekcie krajowym):
| Data | Co zaczyna obowiązywać? | Podstawa |
|---|---|---|
| 2 lutego 2025 | zakazane praktyki AI + obowiązek oznaczania systemów ogólnego przeznaczenia | |
| 2 sierpnia 2025 | przepisy o zgłaszaniu organów notyfikowanych, modelach GPAI i karach | |
| 1 kwartał 2026 | (plan) polskie przepisy wykonawcze – rejestr systemów, sandboxy | (gov.pl) |
| 2 sierpnia 2027 | pełne obowiązki dla systemów wysokiego ryzyka (HR) |
2. Kto będzie patrzył na ręce firmom?
Projekt powołuje Komisję Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI) jako niezależny organ nadzoru – odpowiednik polskiego "UODO dla AI" .
- 7-osobowy skład po konsultacjach (wcześniej 16) – włączono przedstawicieli PIP i Urzędu Rejestracji Leków; resort cyfryzacji i UODO wypadły ze składu (traple.pl).
- Kontrole mają być zdalne; wizyty w siedzibie firmy tylko, gdy system stwarza ryzyko dla życia lub zdrowia (traple.pl).
- Przedsiębiorca może wystąpić o indywidualną opinię KRiBSI (opłata 150 zł) w sprawie klasyfikacji lub ryzyka systemu .
3. Ryzyko – ta sama piramida co w AI Act
| Poziom | Przykłady | Obowiązek firmy |
|---|---|---|
| Zakazane | systemy manipulujące dziećmi, scoring społeczny | nie wolno wprowadzać/udostępniać |
| Wysokie ryzyko (HR) | rekrutacja, scoring kredytowy, urządzenia medyczne | rejestr systemu, analiza ryzyka, dokumentacja techniczna, monitorowanie |
| Ograniczone ryzyko | chatboty, deep-fake | etykieta "AI", informacja dla użytkownika |
| Znikome ryzyko | filtry SPAM | brak dodatkowych wymogów |
Projekt wymaga, by każdy system HR przed premierą znalazł się w krajowym rejestrze, a dostawca uzyskał ocenę zgodności od jednostki notyfikowanej .
4. Nowości wersji "Draft 2.0" (luty 2025)
| Zmiana | Co oznacza w praktyce? | Źródło |
|---|---|---|
| Regulatory sandbox | możliwość testów w "bezpiecznej piaskownicy" na uproszczonych zasadach | (aichamber.eu) |
| Łagodniejsze kontrole | skrócenie postępowania z 12 mies. do 6 mies.; brak prawa KRiBSI do zajmowania sprzętu na 7 dni | (traple.pl) |
| Mechanizm ugodowy | firma może uniknąć kary, jeśli szybko usunie naruszenie | (traple.pl) |
| Kontrowersyjny art. 55 §2 | KRiBSI może zakazać systemu, który "może wpłynąć na emocje wyborców" – branża krytykuje uznaniowość | (aichamber.eu) |
5. Sankcje finansowe
Projekt przenosi pułapy z AI Act:
- do 35 mln € lub 7 % globalnego obrotu – za zakazane praktyki,
- do 15 mln € lub 3 % obrotu – za naruszenia innych obowiązków.
6. O czym biznes musi pomyśleć już w 2025 r.?
- Inwentaryzacja – zrób listę wszystkich systemów ML/AI w organizacji i oznakuj ich ryzyko.
- Szczególna uwaga na HR – systemy rekrutacyjne i oceny pracowników są z definicji wysokiego ryzyka (kadry.infor.pl).
- Dokumentacja techniczna – zacznij gromadzić dane potrzebne do analizy ryzyka (datasety, metryki bias, traceability).
- Polityka incydentowa – przygotuj formularz zgłoszenia "serious incident" do KRiBSI (24 h od wykrycia) .
- Proces "privacy + AI" – upewnij się, że ocena skutków DPIA łączy się z analizą ryzyka AI.
- Śledź konsultacje – projekt jest w kolejnej turze uwag do 1 lipca 2025 (cyberdefence24.pl).
- Budżet na integrację – rejestr, sandbox i e-formy zgłoszeń będą wymagać zmian w systemach compliance.
7. FAQ
| Pytanie | Krótka odpowiedź |
|---|---|
| Czy małe start-upy też muszą rejestrować system HR? | Tak – nie ma progu wielkości; przewidziano jednak sandbox i możliwość redukcji kar po dobrowolnej korekcie (traple.pl). |
| Czy zapisy krajowe będą "twardsze" niż AI Act? | Częściowo – polski projekt dodaje art. 55 §2 (możliwość zakazu systemu wpływającego na opinię publiczną), którego w AI Act nie ma (aichamber.eu). |
| Kiedy realnie zaczną się kary? | Najwcześniej od sierpnia 2025 r. (za zakazane praktyki); pełne pułapy dla systemów HR dopiero od sierpnia 2027 r. . |
Podsumowanie
Rok 2025 to ostatni moment, by firmy przygotowały się do nowego reżimu AI. Kluczowe kroki to:
- audyt i klasyfikacja obecnych rozwiązań,
- budowa dokumentacji ryzyka pod FAISS (polski rejestr),
- wdrożenie procedur incydentowych,
- udział w konsultacjach, by wpłynąć na ostateczny kształt przepisów.
Sprawne przygotowanie w 2025 r. pozwoli bezboleśnie wejść w okres testowy 2026 r. i uniknąć wielomilionowych kar, gdy pełne wymogi zaczną obowiązywać w 2027 r.