AI Act rozpala wyobraźnię przedsiębiorców tworzących oraz wykorzystujących systemy sztucznej inteligencji. Jakie obowiązki mnie dotyczą? Jak je zrealizować? Ile mam na to czasu? To tylko niektóre z pytań pojawiających się przed podmiotami zainteresowanymi uzyskaniem zgodności z przepisami rozporządzenia w sprawie AI.
Punktem wyjścia dla procesu AI Act compliance powinna być inwentaryzacja narzędzi AI tworzonych oraz wykorzystywanych w organizacji. Ważne by podejść do tego procesu rzetelnie i uwzględnić w nim nie tylko systemy znajdujące się w centrum uwagi organizacji i wykorzystywane ze wskazania kierownictwa. W wielu organizacjach personel korzysta bowiem z narzędzi AI samowolnie, z własnej inicjatywy, nie rzadko przy użyciu prywatnych kont.
Takie rzetelne podejście, wzmocnione wprowadzeniem polityki stosowania AI w organizacji (tzw. AI policy) jest najlepszym, co organizacja może zrobić, by przeciwdziałać szeregu ryzyk prawnych związanych z wykorzystaniem AI – takich jak w szczególności:
· niedopełnienie obowiązków wynikających z AI Act,
· naruszenie tajemnicy przedsiębiorstwa własnego lub partnerów biznesowych,
· naruszenie zobowiązań umownych w zakresie praw własności intelektualnej,
· naruszenie zasad przetwarzania danych osobowych (tzw. incydent RODO),
· naruszenie zasad przetwarzania danych nieosobowych,
· wejście nieświadomie w rolę dostawcy systemu AI wysokiego ryzyka na podstawie art. 25 AI Act.
Gdy organizacja dokona już inwentaryzacji narzędzi AI, audyt AI Act będzie miał na celu uzyskanie odpowiedzi na następujące pytania:
· czy moje narzędzie kwalifikuje się jako system AI lub model AI ogólnego przeznaczenia?
· do jakiej kategorii operatorów AI przynależy moja organizacja?
· z jaką kategorią ryzyka powiązany jest badany system AI?
· jakie obowiązki ciążą na organizacji w związku z tworzeniem lub wykorzystaniem danego narzędzia AI?
Do audytu AI Act podejść można w różny sposób – w zależności od wielkości organizacji oraz ilości i charakteru tworzonych lub stosowanych narzędzi AI. Co jednak ważne, najczęściej audyt AI Act da się dostosować do wielkości organizacji i posiadanego przez nią budżetu. To głównie na dostawcach systemów AI wysokiego ryzyka oraz modeli AI ogólnego przeznaczenia ciąży szeroki zakres obowiązków, wymagający uruchomienia znacznego budżetu na procesy compliance. Zgodność prawną z AI Act po stronie innych operatorów narzędzi AI można zapewnić przy pomocy proporcjonalnie niższych środków.
Masz pytania dotyczące audytu AI Act? Zapraszamy do kontaktu - pomożemy Ci podejść do procesów compliance w sposób dostosowany do potrzeb i możliwości Twojej organizacji.
Zachęcamy do zapoznania się z ofertą świadczonych przez nas usług prawnych w obszarze AI, która dostępna jest tutaj.
Wpisy powiązane:
Kary pieniężne za naruszenie AI Act
Obowiązki dostawców systemów AI
Obowiązki podmiotów stosujących AI
Data publikacji: 24.04.2026