Dbamy o Twój biznes

Pomagamy szybko i profesjonalnie

System AI niskiego ryzyka wg AI Act

Rodzaje systemów AI

Na gruncie rozporządzenia AI Act wyłania się kilka rodzajów systemów AI: systemy AI wskazane w art. 5 (systemy zakazanego ryzyka), art. 6 (systemy wysokiego ryzyka) oraz art. 50 (systemy z ryzykiem umiarkowanym). Nie będą to jednak wszystkie możliwe systemy sztucznej inteligencji, bowiem na rynku najczęściej będziemy spotykać systemy AI niskiego ryzyka, którymi będą systemy AI inne niż wymienione powyżej. Co istotne, w obrębie systemów AI niskiego ryzyka można wyodrębnić dwie osobne kategorie: systemy AI udostępniane na podstawie bezpłatnych licencji otwartego oprogramowania oraz „komercyjne” systemy AI niskiego ryzyka.

Czasem spotkać można się z twierdzeniami, że systemy niskiego ryzyka są zwolnione z obowiązków wynikających z AI Act. Czy jest tak jednak w rzeczywistości?

Zgodnie z art. 2 ust. 12 AI Act „rozporządzenia nie stosuje się do systemów AI udostępnianych na podstawie bezpłatnych licencji otwartego oprogramowania, chyba że systemy te są wprowadzane do obrotu lub oddawane do użytku jako systemy AI wysokiego ryzyka lub jako system AI objęty art. 5 lub 50”.

Z powyższego wynika więc, że dostawcy systemów AI niskiego ryzyka udostępnianych na podstawie bezpłatnych licencji open source nie muszą faktycznie przejmować się obowiązkami płynącymi z AI Act. Oczywiście tak długo, jak ich system nie zostanie zakwalifikowany jako system z ryzykiem niedopuszczalnym (art. 5 AI Act) lub umiarkowanym (art. 50 AI Act). Wspomniany przepis nasuwa jednak jeszcze jeden, ważniejszy wniosek. Wbrew dość powszechnej opinii pewne istotne wymogi przewidziane w AI Act ciążą również na niektórych operatorach systemów AI niskiego ryzyka, które nie są udostępniane na podstawie bezpłatnych licencji open source, a które dla uproszczenia nazywać będziemy komercyjnymi systemami AI niskiego ryzyka.

Obowiązki związane z komercyjnymi systemami AI niskiego ryzyka

Dostawcy komercyjnych systemów AI niskiego ryzyka i podmioty stosujące te systemy zadośćuczynić muszą przede wszystkim obowiązkowi tzw. AI literacy płynącemu z art. 4 AI Act. Zgodnie z nim „Dostawcy i podmioty stosujące systemy AI podejmują środki w celu zapewnienia, w możliwie największym stopniu, odpowiedniego poziomu kompetencji w zakresie AI wśród swojego personelu i innych osób zajmujących się działaniem i wykorzystaniem systemów AI w ich imieniu, z uwzględnieniem ich wiedzy technicznej, doświadczenia, wykształcenia i wyszkolenia oraz kontekstu, w którym systemy AI mają być wykorzystywane, a także biorąc pod uwagę osoby lub grupy osób, wobec których systemy AI mają być wykorzystywane”.

Jakie wnioski płyną z powyższego? Mianowicie takie, że dostawcy komercyjnych systemów AI niskiego ryzyka i podmioty stosujące takie systemy, w praktyce powinni wdrożyć tzw. AI policy – a więc politykę stosowania/tworzenia AI, która da personelowi zaangażowanemu w kontakt ze sztuczną inteligencją wytyczne dotyczące stosowania/tworzenia AI. Realizację obowiązku AI literacy uzupełnić warto szkoleniami adresowanymi dla personelu stosującego lub tworzącego narzędzia oparte o sztuczną inteligencję. Co przy tym ważne, zgodnie z art. 3 pkt 56) AI Act, przez kompetencje w zakresie AI rozumiemy „umiejętności, wiedzę oraz zrozumienie, które pozwalają dostawcom, podmiotom stosującym i osobom, na które AI ma wpływ – z uwzględnieniem ich odnośnych praw i obowiązków w kontekście niniejszego rozporządzenia – w przemyślany sposób wdrażać systemy sztucznej inteligencji oraz mieć świadomość, jakie możliwości i ryzyka wiążą się z AI oraz jakie potencjalne szkody może ona wyrządzić”. Oznacza to nie tylko kompetencje techniczne, ale również świadomość prawną dotyczącą zasad tworzenia AI oraz korzystania z niej. Jest to o tyle istotne, że niewłaściwe stosowanie AI może prowadzić do negatywnych konsekwencji prawnych. Z tego względu również operatorzy niekomercyjnych systemów AI niskiego ryzyka – na których obowiązek w zakresie AI Literacy formalnie nie ciąży – powinni na poważnie rozważyć dobrowolną jego realizację, by do takich niepożądanych konsekwencji nie doszło.

Ponadto, operator każdego systemu AI (bez względu na jego rodzaj) powinien przedsięwziąć środki mające na celu zapewnienie, że system nie będzie stosowany w sposób wskazany w art. 5 AI Act lub w obszarach wskazanych w art. 6 AI Act. Unikanie zastosowań sztucznej inteligencji wskazanych w art. 5 AI Act jest najważniejszym bodajże obowiązkiem płynącym z tego rozporządzenia. Tej kwestii poświęciliśmy osobny wpis.  Co się zaś tyczy art. 6 AI Act, tj. systemów AI wysokiego ryzyka, to unikanie zastosowań sztucznej inteligencji tam wskazanych jest nie tyle obowiązkiem, co bardziej rekomendacją. Jeśli bowiem dysponujemy systemem AI niskiego ryzyka, a zaczniemy go stosować w sposób wskazany w art. 6 AI Act, to nasz system automatycznie ulegnie przekształceniu w system AI wysokiego ryzyka, co z perspektywy operatorów tych systemów (zwłaszcza dostawców) niepomiernie zwiększy zakres obowiązków - o czym szerzej pisaliśmy w osobnym wpisie. Wobec tego dostawcy systemów AI niskiego ryzyka powinni wprowadzić odpowiednie zabezpieczenia w regulaminach udostępnianych systemów lub umowach zawieranych z klientami, określając w szczególności przeznaczenie udostępnianego systemu AI. Czasem bowiem „niewinny” system AI, do którego przypisane jest niskie ryzyko, stać się może w jednej chwili systemem wysokiego lub nawet niedopuszczalnego ryzyka – tylko ze względu na nieroztropne zastosowanie go w sposób wskazany w art. 5 lub 6 AI Act. Warto tu w szczególności zaakcentować ryzyko związane z zastosowaniem systemu AI w obszarze rekrutacji lub zatrudnienia – jest to sytuacja dość powszechna, a kwalifikująca z automatu system AI jako system wysokiego ryzyka. W świetle art. 25 ust. 1 AI Act doprowadzić może to nawet do zakwalifikowania nieroztropnego przedsiębiorcy jako dostawcy systemu AI wysokiego ryzyka – tylko dlatego, że nienależycie przeszkolony personel zastosował wykorzystywane narzędzie wbrew jego przeznaczeniu np. dla oceny kandydata do pracy czy do podjęcia lub choćby uzasadnienia decyzji o awansie zawodowym lub zwolnieniu pracownika.

Warto pamiętać o jeszcze jednym obowiązku dostawców komercyjnych systemów AI niskiego ryzyka. Istnieje możliwość, w której dostawca dysponuje systemem AI domyślnie kwalifikującym się jako systemy wysokiego ryzyka, bowiem ma on zastosowanie w obszarach wskazanych w załączniku III do AI Act (np. rekrutacja). Dostawca może jednak uważać, że ten system nie jest systemem wysokiego ryzyka ze względu na odstępstwo przewidziane w art. 6 ust. 3 AI Act (np. gdy AI ma znikomy wpływ na proces podejmowania decyzji). Wówczas na takim dostawcy ciąży obowiązek udokumentowania oceny mówiącej o zakwalifikowaniu jego systemu AI jako systemu niebędącego systemem AI wysokiego ryzyka (będzie on wówczas systemem AI niskiego ryzyka, o ile nie spełni warunków wskazanych w art. 50 AI Act). Kolejnym obowiązkiem takiego dostawcy będzie rejestracja systemu AI w unijnej bazie danych zgodnie z art. 49 ust. 2 i art. 71 AI Act. Nałożenie powyższych obowiązków ma na celu zniechęcenie nierzetelnych dostawców do podejmowania prób obchodzenia art. 6 ust. 2 AI Act. Pamiętać przy tym należy, iż podmiot, który w złej wierze zakwalifikował swój system AI wskazany w art. 6 ust. 2 jako podlegający pod odstępstwo wskazane w art. 6 ust. 3, podlega karom pieniężnym przewidzianym w art. 99 AI Act.

Sankcje dla operatorów systemów AI niskiego ryzyka

Czy AI Act przewiduje kary pieniężne dla operatorów systemów AI niskiego ryzyka? Nie bezpośrednio. Brak w szczególności administracyjnej kary pieniężnej za niespełnienie obowiązku AI literacy. Jeśli natomiast na skutek nierozważnego stosowania systemu AI zostanie on zakwalifikowany jako system powiązany z którymkolwiek z wyższych poziomów ryzyka, doprowadzić może to automatycznie do naruszenia obowiązków ciążących na operatorach tych systemów, co prowadzi już wprost do ryzyka nałożenia kar pieniężnych przewidzianych w art. 99 AI Act.

Jeśli do powyższego dodamy ryzyka niezwiązane ściśle z AI Act, a wynikające np. z GDPR, Data Act, prawa autorskiego, czy umów zawartych przez naszą organizację z partnerami biznesowymi, koniecznym się wydaje dogłębne pochylenie się nad zasadami tworzenia i stosowania naszych systemów AI choćby były to „tylko” systemy niskiego ryzyka. Jest tak tym bardziej, że nieprawidłowe zaprojektowanie lub wykorzystanie systemu AI może doprowadzić do naruszenia cudzych praw, co z kolei skutkować może powództwem cywilnym przeciwko naszej organizacji. Organizacjom stosującym lub tworzącym AI możemy pomóc w kwalifikacji poszczególnych narzędzi korzystających z AI oraz identyfikacji obowiązków ciążących na organizacji w związku z tworzeniem lub stosowaniem danego narzędzia. Zapewnienie zgodności z AI Act to nie tylko wymóg prawny, ale również konieczność biznesowa mogąca dać organizacji przewagę konkurencyjną nad mniej rzetelnymi konkurentami.

Wpisy powiązane:

Kary pieniężne za naruszenie AI Act 

Zakazane praktyki AI

Ogólne wymogi dla systemu AI

Obowiązki dostawców systemów AI

Obowiązki podmiotów stosujących AI

🔝Prawo AI - wszystkie wpisy

Data publikacji: 26.02.2026

Kontakt

Borek Doliński Radcowie Prawni spółka jawna

ul. Grunwaldzka 224b/9, 60-166 Poznań

office@bdrp.pl

[0048] 530 001 500 // 510 551 991

O nas

Specjalizujemy się w obsłudze prawnej biznesu, ze szczególnym uwzględnieniem branży IT.

Oferujemy najwyższą jakość świadczonego wsparcia prawnego, wysoką responsywność i osobiste zaangażowanie wspólników Kancelarii.