Dbamy o Twój biznes

Pomagamy szybko i profesjonalnie

Kary pieniężne za naruszenie AI Act

Brutalna rzeczywistość obrotu gospodarczego pokazuje, że o doniosłości danego aktu prawnego i respektowaniu jego wymogów decydują sankcje. „Co nas spotka jeśli nie wdrożymy tych przepisów?” –  pytają uczestnicy obrotu prawnego, gdy stają przed wyzwaniem wdrożenia w ich organizacjach nowych regulacji. Jeśli sankcje są surowe, to podejście do implementacji jest zgoła odmienne aniżeli w przypadku łagodnych konsekwencji czy ich braku. Doskonale ten problem zobrazowało ustawodawstwo w zakresie ochrony danych osobowych. Do maja 2018 r. kwestia ochrony danych była traktowana pobocznie i mało który administrator danych przejmował się znajomością i stosowaniem (na gruncie polskim) wymogów ustawy z 1997 r. Począwszy od 25 maja 2018 r., gdy rozpoczęto stosowanie ogólnego rozporządzenia o ochronie danych (tzw. RODO), na rynku trudno znaleźć podmiot, któremu hasło "RODO" nie byłoby znane. O zmianie podejścia zadecydowały konsekwencje prawne naruszenia przepisów: ustawa o ochronie danych osobowych z 1997 r. nie przewidywała żadnych konsekwencji finansowych za uchybienie jej przepisom, natomiast RODO zrobiło furorę dzięki możliwości nakładania przez organy nadzorcze państw unijnych administracyjnych kar pieniężnych sięgających nawet 20 000 000 euro (lub wyższych w przypadku największych przedsiębiorstw).

Unijny ustawodawca w toku prac nad przyjętym 13 czerwca 2024 r. rozporządzeniem dotyczącym sztucznej inteligencji (tzw. AI Act) wyciągnął wnioski z tej lekcji i utrzymał „zachętę” do rzetelnego wdrożenia przez organizacje wymogów aktu pod rygorem nakładania administracyjnych kar pieniężnych, z tym że ich wysokość sięgać ma nawet 30 000 000 euro (lub więcej w przypadku największych przedsiębiorstw - próg maksymalnej kary podwyższono o 50% w stosunku do RODO).

Zgodnie z art. 99 ust. 1 AI Act państwa członkowskie przyjmują przepisy dotyczące kar, w tym administracyjnych kar pieniężnych, mających zastosowanie w przypadku naruszeń rozporządzenia i podejmują wszelkie działania niezbędne do zapewnienia ich właściwego i skutecznego wdrożenia. Jak podkreślono, przewidziane kary muszą być „skuteczne, proporcjonalne i odstraszające”. Mamy więc do czynienia wręcz z identycznym podejściem do kar jak w wypadku RODO. Co ciekawe jednak, unijny ustawodawca w AI Act (czego nie czynił na gruncie rozporządzenia 2016/679) nakazuje, aby kary uwzględniały „interesy drobnych dostawców i przedsiębiorstw typu start-up oraz ich rentowność”, co ma swoje istotne przełożenie na wprowadzone regulacje prawne.

Na gruncie AI Act przewidziano 3 grupy kar pieniężnych:

  • kary do 35 000 000 EUR (lub – jeżeli naruszenia dopuszcza się przedsiębiorstwo – w wysokości do 7% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa) – za nieprzestrzeganie zakazu praktyk w zakresie sztucznej inteligencji, o których mowa w art. 5 rozporządzenia AI (o tych praktykach pisaliśmy tutaj);
  • kary do 15 000 000 EUR (lub – jeżeli naruszenia dopuszcza się przedsiębiorstwo – w wysokości do 3% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa) – za naruszenie szeregu wymogów i obowiązków wymienionych w art. 99 ust. 4 oraz w art. 101 ust. 1 AI Act;
  • kary do 7 500 000 EUR (lub – jeżeli naruszenia dopuszcza się przedsiębiorstwo – w wysokości do 1% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa) – za przekazywanie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji jednostkom notyfikowanym i właściwym organom krajowym w odpowiedzi na ich wniosek.

W myśl art. 99 ust. 7 AI Act przy ustalaniu wysokości administracyjnej kary pieniężnej, w każdym indywidualnym przypadku uwzględnia się wszystkie istotne okoliczności danej sytuacji i zwraca się należytą uwagę na cały szereg kwestii, m.in. na:

  1. charakter, wagę i czas trwania naruszenia oraz jego konsekwencje;
  2. czy inne organy nadzoru rynku nałożyły już na tego samego operatora administracyjne kary pieniężne za to samo naruszenie;
  3. wielkość operatora dopuszczającego się naruszenia i jego roczny obrót i udział w rynku;
  4. wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy;
  5. stopień współpracy z właściwymi organami krajowymi;
  6. stopień odpowiedzialności danego operatora;
  7. sposób, w jaki organy krajowe dowiedziały się o naruszeniu;
  8. umyślny lub wynikający z zaniedbania charakter naruszenia.

Ciekawostką w porównaniu z RODO jest fakt, że na gruncie AI Act mocno akcentuje się wielkość organizacji zobowiązanej do przestrzegania przepisów, co oznacza że im większy podmiot tym większe wymagania względem niego. W przypadku RODO taka przesłanka nie była wyrażona wprost. Tutaj zaś przewidziano wprost, że maksymalna kara za naruszenie przepisów AI Act nałożona na podstawie art. 99 ust. 3, 4 lub 5 AI Act nie może przekraczać odpowiednio przewidzianej w danym przepisie wartości procentowej albo kwoty - w zależności od tego, która z tych kwot jest niższa. Jest to więc odwrócenie ogólnej reguły - z myślą o ograniczonych możliwościach finansowych części małych i średnich przedsiębiorstw.

Na marginesie należy zauważyć, że zasady nakładania kar na instytucje, organy i jednostki organizacyjne UE zostały uregulowane osobno, a ich wysokość sięga maksymalnie 1 500 000 EUR.

Biorąc pod uwagę powyższe regulacje, można zakładać, że nadchodzące przepisy prawa dotyczące sztucznej inteligencji nie przejdą bez echa i zostaną wdrożone przez podmioty zaangażowane w tworzenie systemów AI oraz podmioty z systemów takich korzystające. Warto więc w porę rozpocząć proces wdrożeniowy by zdążyć na czas z nowymi regulacjami oraz uniknąć komplikacji związanych z ponoszeniem ewentualnych konsekwencji finansowych, o których była mowa w niniejszym artykule.

Wpisy powiązane:

Sztuczna inteligencja okiem UE

Poziomy ryzyka systemów AI

Wymogi dla systemu wysokiego ryzyka

Konwencja Rady Europy dot. AI

Sztuczna inteligencja a RODO

Czy AI jest legalna?

Zgłoszenie incydentu systemu AI

Obowiązki dostawców systemów AI

Obowiązki importerów systemów AI

Obowiązki dystrybutorów systemów AI

Obowiązki podmiotów stosujących AI

🔝Prawo AI - wszystkie wpisy

Data publikacji: 12.01.2024

Data aktualizacji: 16.09.2024

Kontakt

Borek Doliński Radcowie Prawni spółka jawna

ul. Grunwaldzka 224b/9, 60-166 Poznań

office@bdrp.pl

[0048] 530 001 500 // 510 551 991

O nas

Specjalizujemy się w obsłudze prawnej biznesu, ze szczególnym uwzględnieniem branży IT.

Oferujemy najwyższą jakość świadczonego wsparcia prawnego, wysoką responsywność i osobiste zaangażowanie wspólników Kancelarii.