Jesteś w sali posiedzeń zarządu. Wyniki kwartalne wyglądają dobrze. Ale wtedy odzywa się dział prawny:
"Musimy porozmawiać o narzędziach AI w operacjach. Nowe rozporządzenie UE wchodzi w życie w przyszłym roku - a teraz nawet nie wiemy, czego używamy".
Brzmi znajomo?
Unijna ustawa o sztucznej inteligencji nie jest problemem przyszłości. To kolejne RODO - tylko tym razem nie chodzi o prywatność, a o kontrolę.
Kontrola nad budowanymi, kupowanymi lub osadzanymi systemami AI. Kontrola nad tym, kto ponosi odpowiedzialność, gdy coś pójdzie nie tak. I kontrolę nad sposobem dokumentowania, monitorowania i udowadniania, że działasz zgodnie z zasadami.
Podobnie jak RODO zmusiło firmy do ponownego przemyślenia kwestii danych, prawo to zmusi Cię do ponownego przemyślenia sposobu podejmowania decyzji dotyczących sztucznej inteligencji - w obszarze IT, prawnym, operacyjnym, produktowym i zarządczym.
Mamy jednak dobrą wiadomość: jeśli zadziałasz odpowiednio wcześnie, nie tylko unikniesz kar. Zyskasz przejrzystość operacyjną, dostosowanie ryzyka, a nawet zaufanie rynku.
Do czego faktycznie odnosi się prawo
Niemiecki startup medtech wprowadza funkcję sztucznej inteligencji do diagnostyki. To tylko część produktu - dopóki nie zostanie oznaczona jako wysokie ryzyko na mocy unijnej ustawy o sztucznej inteligencji.
Teraz od założyciela oczekuje się wykazania kontroli ryzyka, rejestrowania, nadzoru i dokumentacji zgodności... szybko.
Taka jest rzeczywistość. Ustawa o sztucznej inteligencji nie dotyczy oprogramowania. Chodzi o odpowiedzialność.co robi system oraz jaką rolę odgrywasz w jego używaniu lub dystrybucji.
⚖️ Cztery poziomy ryzyka
Niedopuszczalne
W pełni zbanowany. Obejmuje scoring społecznościowy, publiczne rozpoznawanie twarzy, wykrywanie emocji w pracy i nie tylko.
Wysokie ryzyko
Dozwolone przy ścisłej kontroli. Pomyślmy o diagnostyce medycznej, narzędziach rekrutacyjnych, scoringu finansowym.
Ryzyko przejrzystości
Można z niej korzystać, ale użytkownicy muszą wiedzieć, że wchodzą w interakcję ze sztuczną inteligencją. Dotyczy to chatbotów, mediów syntetycznych itp.
Minimalne ryzyko
Brak zobowiązań. Dotyczy systemów o niskim wpływie, takich jak filtry antyspamowe lub programy do sprawdzania gramatyki z obsługą sztucznej inteligencji.
Cztery role, cztery zestawy obowiązków
Dostawca
Zbudowałeś lub sprzedałeś system. Jesteś odpowiedzialny za zgodność, dokumentację, kontrolę ryzyka i monitorowanie po wprowadzeniu na rynek.
Przykład: Francuska firma oferująca narzędzie rekrutacyjne oparte na sztucznej inteligencji w całej Europie.
Wdrażający
Korzystasz z systemu we własnych operacjach. Musisz zapewnić nadzór, przejrzystość i kontrolę wewnętrzną.
Przykład: Sprzedawca detaliczny wykorzystujący chatbota AI do automatyzacji obsługi klienta.
Importer
Wprowadzasz do UE sztuczną inteligencję spoza UE. Musisz sprawdzić zgodność dostawcy przed wejściem na rynek.
Przykład: Holenderska firma importująca amerykański model analityczny dla lokalnych szpitali.
Dystrybutor
Oferujesz narzędzia AI innym. Jeśli odkryjesz problem ze zgodnością, musisz działać.
Przykład: Dostawca IT sprzedający klientom rozwiązania AI innych firm.
Twój pierwszy ruch?
Mapuj każde narzędzie AI, z którym styka się Twoja firma. Oznacz rolę, jaką odgrywasz w każdym z nich i określ poziom ryzyka.
Tak zaczyna się zgodność z przepisami.
Oś czasu w prostych słowach
Pomyśl o harmonogramie EU AI Act jak o harmonogramie projektu, a nie tylko o odliczaniu prawnym. Im wcześniej zaczniesz działać, tym łatwiej będzie Ci kontrolować wynik. Zbyt długie opóźnienie spowoduje, że będziesz reagować pod presją.
Oto, co ma znaczenie - i kiedy:
📅 Sierpień 2024 r.
Prawo weszło w życie. Jesteś już na czas, nawet jeśli niektóre przepisy jeszcze nie weszły w życie.
📅 Luty 2025 r.
Wstępne postanowienia ogólne zaczynają obowiązywać. Jest to właściwy moment, aby ocenić, jak bardzo jesteś narażony na GPAI - zwłaszcza jeśli polegasz na dużych modelach zewnętrznych.
📅 Sierpień 2025 r.
Zasady specyficzne dla GPAI wchodzą w życie. Oznacza to obowiązki w zakresie przejrzystości, zabezpieczenia praw autorskich i obowiązkową wymianę informacji z dalszymi użytkownikami.
Jeśli korzystasz z narzędzi takich jak OpenAI, Claude lub LLM o otwartym kodzie źródłowym - dotyczy to Ciebie.
📅 Sierpień 2026 r.
Większość podstawowych wymagań staje się egzekwowalna, zwłaszcza w przypadku systemów wysokiego ryzyka. Konieczne będzie wprowadzenie zarządzania: klasyfikacja ryzyka, dokumentacja, nadzór ludzki, rejestrowanie i monitorowanie po wprowadzeniu na rynek.
📅 Sierpień 2027 r.
Oczekuje się pełnego wdrożenia, w tym nowych zasad dotyczących GPAI ryzyka systemowego i wszelkich opóźnionych standardów. Do tego momentu organy regulacyjne oczekują, że będziesz korzystać z dojrzałego modelu zarządzania sztuczną inteligencją - gotowość nie będzie opcjonalna.
Od czego zacząć teraz?
Nie musisz robić wszystkiego od razu, ale musisz zacząć. Skup się na:
- Tworzenie inwentarza AI
- Identyfikacja systemów wysokiego ryzyka
- Przypisywanie ról i własności kontroli
Każdy kwartał działania na wczesnym etapie daje czas, kontrolę i wiarygodność. Zbyt długie zwlekanie sprawi, że będziesz musiał nadrabiać zaległości, gdy rozpocznie się egzekwowanie przepisów.
Co jest zakazane, a co po prostu trudne
Startup w Hiszpanii instaluje rozpoznawanie twarzy w miejscach publicznych - nie zdając sobie sprawy, że jest to obecnie zabronione na mocy Artykuł 5 unijnej ustawy o sztucznej inteligencji. Zanim organy regulacyjne zainterweniują, będzie już za późno.
Grzywny przychodzą szybko, podobnie jak szkody dla reputacji.
Tymczasem firma logistyczna klasyfikuje swoją sztuczną inteligencję do optymalizacji tras jako wysoce ryzykowną. Jest ona złożona, owszem, ale dzięki udokumentowanemu nadzorowi, czystym danym i wewnętrznemu rejestrowaniu, przechodzi wstępną ocenę bez większych problemów.
To jest granica, którą wyznacza ustawa.
❌ Niektóre przypadki użycia sztucznej inteligencji są zabronione - bez wyjątków
- Systemy punktacji społecznej stosowane przez rządy
- Rozpoznawanie twarzy pobrane z sieci
- Wykrywanie emocji w szkołach lub miejscach pracy
- Identyfikacja biometryczna w czasie rzeczywistym w miejscach publicznych, z wyjątkiem bardzo wąskich warunków
- Predykcyjne działania policji oparte na profilowaniu
Te systemy nie są ryzykowne. Są nielegalne. Egzekwowanie prawa zaczyna się wcześnie.
Dla kontrastu, systemy wysokiego ryzyka są dozwolone, ale regulowane. Narzędzia takie jak oprogramowanie do sprawdzania CV, platformy do testów edukacyjnych, diagnostyka medyczna i sztuczna inteligencja do oceny zdolności kredytowej należą do tej kategorii.
Systemy te muszą spełniać rygorystyczne wymagania, w tym
- Udokumentowane zarządzanie ryzykiem
- Nadzór człowieka w pętli
- Wysokiej jakości dane treningowe
- Rejestrowanie i identyfikowalność
- Przejrzysta dokumentacja techniczna
- Bieżące monitorowanie po wprowadzeniu do obrotu
Jedna kategoria wymaga całkowitego zatrzymania. Druga wymaga dojrzałości operacyjnej.
Nie potrzebujesz perfekcji, aby przestrzegać zasad wysokiego ryzyka - potrzebujesz odpowiedzialności, struktury i procesu. Zacznij wcześnie, działaj stabilnie, a zgodność z przepisami stanie się łatwa do opanowania.
GPAI bez szumu: Co musisz zrobić teraz
Sztuczna inteligencja ogólnego przeznaczenia to nie tylko kwestia Big Tech. Jeśli twoje zespoły korzystają z narzędzi takich jak ChatGPT, Claude lub Gemini, jesteś w zasięgu - a teraz na haku.
Zgodnie z unijną ustawą o sztucznej inteligencji, Dostawcy GPAI muszą publikować podsumowania danych szkoleniowych, utrzymywać dokumentację techniczną, przestrzegać zasad dotyczących praw autorskich i przekazywać kluczowe szczegóły dalej.
Jeśli ich modele stwarzają "ryzyko systemowe", stosowane są dodatkowe zabezpieczenia.
Ale jeśli jesteś przy użyciu te narzędzia w swojej firmie, nie jesteś poza haczykiem. Oczekuje się, że:
- Potwierdzenie zgodności dostawcy
- Poproś o dokumentację - karty modeli, podsumowania danych, zamierzone zastosowanie
- Rejestrowanie wewnętrznych przypadków użycia
- W razie potrzeby zastosuj nadzór ludzki
The Kodeks postępowania GPAI (lipiec 2025 r.) daje wyraźną przewagę. Skorzystaj z niego, aby pokierować zapytaniami dostawców i zbudować swój wewnętrzny playbook - nawet jeśli nie jesteś firmą wysokiego ryzyka.
Zacznij prosto: wymień narzędzia, dostawców i otrzymane dokumenty. To Twój punkt odniesienia.
Gdy liczy się szybkość, firmy często zatrudniają Tymczasowy lider ds. zgodności ze sztuczną inteligencją aby zbudować ten fundament i szybko dostosować wszystkich do siebie.
Zbuduj inwentarz AI i sklasyfikuj ryzyko
Wyobraź sobie taką sytuację: jesteś w sali konferencyjnej i ktoś pyta,
"Ile systemów AI uruchamiamy i jaki jest ich poziom ryzyka?". Jeśli Twoja odpowiedź zaczyna się od pauzy, nie jesteś sam. Ale nie jesteś też gotowy.
Oto jak przejąć kontrolę - szybko i wyraźnie.
Zacznij od utworzenia prostej tabeli z pięcioma kolumnami:
System | Właściciel | Poziom ryzyka | Rola | Dokumentacja
I. Zacznij od tego, co oczywiste: chatboty, silniki cenowe, narzędzia do sprawdzania CV, modele scoringowe.
II. Dla każdego z nich oznacz poziom ryzykazakazane, wysokiego ryzyka, tylko przejrzyste lub minimalne.
III. Zidentyfikuj swój rola: Czy go zbudowałeś (dostawca)? Używasz go (wdrożeniowiec)? Pozyskałeś go z zewnątrz (importer/dystrybutor)?
IV. Zbierz to, co już masz: umowy, karty modeli, dokumenty dostawców, wewnętrzne oceny.
Już po kilku sesjach roboczych mgła zaczyna się rozwiewać.
Przed: Brak zapasów, niejasne domysły, rozłączone zespoły.
Po: 15 zmapowanych narzędzi, 3 systemy wysokiego ryzyka oznaczone, wyraźni właściciele wskazani, widoczne luki w dokumentacji.
Tak zaczyna się gotowość - nie od teorii, ale od wspólnego poglądu na to, co jest realne, a co wymaga pracy.
Jasność ról i minimalna kontrola, która działa
Uruchamianie sztucznej inteligencji w firmie bez zdefiniowanych ról jest jak zarządzanie halą produkcyjną bez kierowników zmian. Może funkcjonować w dobre dni - ale psuje się, gdy coś idzie nie tak.
Traktuj to jak swoją grupę zadaniową AI. Każdy zespół ma jasno określoną rolę do odegrania i chociaż konfiguracja nie musi być ciężka, musi być celowa.
The Zarząd definiuje apetyt na ryzyko i co kwartał sprawdza postępy. Ich zadaniem jest zadawanie pytań: "Czy to nasza chwila RODO - i czy poważnie podchodzimy do kwestii zasobów?"
The CIO lub dyrektor ds. danych jest właścicielem inwentarza AI, nadzoru nad dostawcami i przepływów pracy w zakresie zgodności. Wiedzą, które modele są używane i kto jest odpowiedzialny za każdy z nich.
Produkt i operacje utrzymywać zabezpieczenia ludzkie - zapewniając, że procesy awaryjne i testy w świecie rzeczywistym są częścią przepływu pracy. Ich pytanie: "Co się stanie, gdy SI pójdzie w bok o 2 w nocy?".
Zespoły zajmujące się nauką o danych i uczeniem maszynowym zarządzają dokumentacją techniczną, wykrywaniem dryftu modeli i kontrolą wersji. Zwracają uwagę na jedną kluczową kwestię: "Czy nadal korzystamy z modelu, który zatwierdziliśmy w zeszłym miesiącu?".
Przepisy prawne i zgodność kierują polityką, ocenami i gotowością do audytu. Ich rola jest prosta, ale krytyczna: "Czy możemy pokazać dokumentację, zanim zostaniemy o nią poproszeni?".
Jaki jest najmniejszy stos elementów sterujących, który faktycznie działa?
- Jeden wspólny zasób AI
- Zdefiniowany ludzki nadzór nad systemami wysokiego ryzyka
- Aktywne rejestrowanie
- Plik techniczny w ruchu
- Standardowa lista kontrolna dostawców
Zachowaj lekkość. Niech będzie żywy. To właśnie pozwala przetrwać audyt.
Kiedy powołać tymczasowe kierownictwo
Gdy terminy przyspieszają lub zakres wykracza poza możliwości zespołu, firmy sprowadzają tymczasowy kierownik ds. zgodności z AI - Kogoś, kto tworzy inwentarz, dostosowuje dostawców i prowadzi dokumentację do przodu bez odciągania zespołów produktowych od pracy.
CE Interim specjalizuje się w powierzaniu tym operatorom mandatów na okres od 30 do 90 dni - skoncentrowanych, osadzonych i gotowych do realizacji.
Grzywny nie są celem - unikaj ich z założenia
Tak, grzywny są wysokie: do 35 milionów euro lub 7% globalnego obrotu za najgorsze naruszenia. Ale nie to powinno spędzać sen z powiek.
Prawdziwe ryzyko? Transakcje opóźnione z powodu luk w zgodności. Produkty zablokowane w momencie wprowadzenia na rynek. Rozmowy z inwestorami wykolejone przez pytania dotyczące zarządzania.
Późniejsza naprawa tych problemów kosztuje więcej - pieniędzy, czasu i reputacji.
Najtańszą ścieżką jest Zgodność z przepisami od samego początkua nie przykręcać go po fakcie.
30-dniowy plan gotowości
Dotarłeś tak daleko - teraz dowiesz się, jak działać szybko i mądrze.
Tydzień 1: Mapowanie krajobrazu
Stwórz swój inwentarz AI. Przypisz właścicieli. Oznaczaj wszystko, co dotyczy wrażliwych danych, klientów lub obszarów zgodności.
Punkt kontrolny: zmapowano 80% narzędzi, pojawiły się czerwone flagi.
Tydzień 2: Zaangażowanie dostawców
Poproś o dokumentację - wzory kart, podsumowania szkoleń, deklaracje zgodności. Skorzystaj z Kodeksu postępowania GPAI jako przewodnika.
Punkt kontrolny: Dokumenty zebrane, przepływy pracy opracowane.
Tydzień 3: Test ciśnieniowy
Uruchom symulację przypadku użycia wysokiego ryzyka. Przetestuj procedury "człowiek w pętli" i sprawdź, w jaki sposób uruchamiane są funkcje awaryjne i dzienniki.
Punkt kontrolny: Zidentyfikowano luki, zaplanowano poprawki.
Tydzień 4: Dostosowanie przywództwa
Przedstawienie zarządowi ryzyka, luk i zapytań budżetowych. Przedstawienie jasnej 90-dniowej mapy drogowej powiązanej z celami dotyczącymi produktu i zgodności.
Punkt kontrolny: Plan zatwierdzony, rozmach zabezpieczony.
Gdy zespoły są rozciągnięte w czasie tymczasowy lider programu może przeprowadzić cały sprint, czysto przekazać i wyjść, pozostawiając strukturę za sobą.
Podsumowanie - od ryzyka do gotowości
To nie jest tylko kolejna regulacja. To przycisk resetujący sposób, w jaki firmy radzą sobie ze sztuczną inteligencją - w zakresie technologii, produktów, zgodności i przywództwa.
Ustawa o sztucznej inteligencji nie wymaga perfekcji. Prosi o własność. O widoczność. O gotowość.
Zacznij od zmapowania tego, czego już używasz. Zdefiniuj, kto jest odpowiedzialny. Pokaż, jak kontrolowane jest ryzyko.
Zacznij od małego. Niech to będzie realne. Stamtąd nabierz rozpędu.
Zacznij w tym tygodniu - i bądź na bieżąco.
EN 
DE 
FR 
IT 
PL 
RO 
CS 
SK 
HU 
ES 
RU 
AR 
SL 