Regulacje prawne dotyczące sztucznej inteligencji w Unii Europejskiej i Polsce zmieniają się dynamicznie. AI Act, RODO, prawo pracy, prawo autorskie i regulacje sektorowe tworzą złożony krajobraz prawny, w którym polskie firmy muszą się poruszać wdrażając AI.
Ten przewodnik przedstawia kluczowe regulacje prawne dotyczące AI w Polsce i UE, praktyczne wymogi compliance oraz rekomendacje dla firm planujących wdrożenie sztucznej inteligencji.
AI Act — unijne rozporządzenie o sztucznej inteligencji
AI Act (Rozporządzenie Parlamentu Europejskiego i Rady w sprawie sztucznej inteligencji) to pierwsze na świecie kompleksowe prawo regulujące AI. Weszło w życie etapowo od 2024 roku, z pełnym stosowaniem od 2026.
AI Act wprowadza podejście oparte na ryzyku — im wyższe ryzyko systemu AI, tym surowsze wymogi. Firmy muszą klasyfikować swoje systemy AI i spełnić odpowiednie wymogi, pod groźbą kar do 35 mln EUR lub 7% obrotu globalnego.
- Zakazane praktyki AI (social scoring, manipulacja podprogowa) — obowiązują od 02.2025
- Systemy AI wysokiego ryzyka (rekrutacja, credit scoring) — wymogi od 08.2026
- Modele AI ogólnego przeznaczenia (GPT-4, Claude) — wymogi dla dostawców
- Systemy ograniczonego ryzyka (chatboty) — obowiązek transparentności
- Systemy minimalnego ryzyka — brak specjalnych wymogów
RODO a sztuczna inteligencja — kluczowe wymogi
RODO (GDPR) pozostaje fundamentalnym aktem prawnym regulującym przetwarzanie danych osobowych w systemach AI. Każde zastosowanie AI przetwarzające dane osobowe musi spełniać wymogi RODO — od marketingowej personalizacji po automatyczne decyzje HR.
Kluczowe artykuły RODO dla AI: art. 5 (zasady przetwarzania), art. 6 (podstawa prawna), art. 22 (zautomatyzowane podejmowanie decyzji), art. 35 (DPIA). Więcej o bezpieczeństwie danych na stronie bezpieczeństwo danych w AI.
Prawo autorskie a treści generowane przez AI
Prawo autorskie treści generowanych przez AI to obszar pełen kontrowersji i niepewności prawnej. Kluczowe pytania: kto jest autorem treści wygenerowanej przez AI? Czy treści AI podlegają ochronie prawnoautorskiej? Czy AI może naruszać prawa autorskie, korzystając z danych treningowych?
W polskim prawie autorskim (ustawa z 1994 r.) autor to osoba fizyczna, która stworzyła utwór — AI nie może być autorem. Treści generowane wyłącznie przez AI prawdopodobnie nie podlegają ochronie prawnoautorskiej. Jednak treści AI zredagowane i dopracowane przez człowieka mogą być chronione jako utwór.
AI w prawie pracy — regulacje dotyczące pracowników
Wykorzystanie AI w kontekście pracowniczym podlega zarówno Kodeksowi pracy, jak i RODO i AI Act. Kluczowe obszary to: rekrutacja z AI (art. 22 RODO, AI Act high-risk), monitoring pracowników (art. 22(2) Kodeksu pracy), zautomatyzowane oceny pracownicze i AI w zarządzaniu czasem pracy.
AI Act klasyfikuje systemy AI w rekrutacji i zarządzaniu pracownikami jako high-risk, co nakłada obowiązek dokumentacji, nadzoru ludzkiego i regularnych audytów. Więcej na stronie AI w HR.
Odpowiedzialność za decyzje i błędy AI
Kto ponosi odpowiedzialność, gdy AI podejmie błędną decyzję lub wyrządzi szkodę? To jedno z najważniejszych pytań prawnych dotyczących AI. W obecnym stanie prawnym odpowiedzialność spoczywa na operatorze systemu AI — firmie, która go wdraża.
UE pracuje nad dyrektywą o odpowiedzialności za AI (AI Liability Directive), która ma ułatwić dochodzenie roszczeń. Polskie firmy powinny już teraz wdrożyć mechanizmy minimalizujące ryzyko: nadzór ludzki, audyty, dokumentację i ubezpieczenie odpowiedzialności cywilnej.
- Odpowiedzialność kontraktowa — za nienależyte wykonanie umowy z użyciem AI
- Odpowiedzialność deliktowa — za szkody wyrządzone przez AI
- AI Liability Directive — planowane ułatwienia w dochodzeniu roszczeń
- Product Liability Directive — odpowiedzialność producenta AI
- Ubezpieczenie OC — pokrycie ryzyk związanych z AI
Regulacje sektorowe dotyczące AI w Polsce
Oprócz AI Act i RODO, polskie firmy muszą uwzględnić regulacje sektorowe. Sektor finansowy (KNF, PSD2, AML), medyczny (wyroby medyczne, HIPAA-equivalent), telekomunikacyjny (Prawo telekomunikacyjne) i publiczny (ustawa o informatyzacji) mają dodatkowe wymogi dla AI.
Finanse: AI w credit scoring podlega rekomendacjom KNF i wymogom transparentności. Medycyna: AI diagnostyczne to wyrób medyczny wymagający certyfikacji CE. Prawo: AI wspierające decyzje prawne wymaga nadzoru ludzkiego.
Jak przygotować firmę na wymogi prawne AI?
Przygotowanie na wymogi prawne AI to proces wieloetapowy. Zacznij od inwentaryzacji systemów AI, klasyfikacji ryzyka, gap analysis wobec AI Act i RODO, a następnie wdróż brakujące procedury i dokumentację.
Finito Pro wspiera polskie firmy w osiągnięciu zgodności z regulacjami AI — od inwentaryzacji systemów, przez ocenę ryzyka, po wdrożenie wymaganych procedur i dokumentacji.
- Inwentaryzacja wszystkich systemów AI w firmie
- Klasyfikacja ryzyka zgodnie z AI Act
- Gap analysis — identyfikacja braków compliance
- Wdrożenie wymaganej dokumentacji i procedur
- Szkolenia dla zespołu z regulacji AI
- Regularne audyty compliance i aktualizacja procedur
Gotowy na zmianę?
Dołącz do setek polskich firm, które już zautomatyzowały swoje procesy. Bez zobowiązań — 30 dni za darmo.
Rozpocznij bezpłatny test →Najczęstsze pytania
AI Act wchodzi w życie etapowo: zakaz niedopuszczalnych praktyk od lutego 2025, wymogi dla modeli GPAI od sierpnia 2025, wymogi dla systemów high-risk od sierpnia 2026. Polskie firmy powinny już teraz przygotowywać się na pełne stosowanie w 2026.
Jeśli firma wdraża lub korzysta z systemów AI na terenie UE — tak. AI Act dotyczy zarówno dostawców (twórców) jak i deployers (użytkowników) systemów AI. Zakres obowiązków zależy od klasyfikacji ryzyka systemu AI. Większość zastosowań biznesowych to limited lub minimal risk.
Kary są proporcjonalne do naruszenia: do 35 mln EUR lub 7% obrotu za zakazane praktyki AI, do 15 mln EUR lub 3% obrotu za naruszenie wymogów high-risk, do 7,5 mln EUR lub 1,5% obrotu za nieprawidłowe informacje. Dla MŚP kary są proporcjonalnie niższe.
W polskim prawie treści wygenerowane wyłącznie przez AI prawdopodobnie nie podlegają ochronie prawnoautorskiej, bo utwór wymaga ludzkiego twórcy. Jednak treści AI zredagowane i twórczo przetworzone przez człowieka mogą być chronione. Orzecznictwo w tym zakresie dopiero się kształtuje.
Tak — AI Act wymaga transparentności: chatboty i voiceboty muszą informować o interakcji z AI, treści deepfake muszą być oznaczane, systemy high-risk wymagają informacji o logice działania. RODO wymaga informacji o zautomatyzowanym przetwarzaniu danych osobowych.
Dla prostych zastosowań AI (ChatGPT, chatboty) wystarczy konsultacja z prawnikiem ds. RODO. Dla wdrożeń high-risk (rekrutacja, finanse, medycyna) rekomendujemy wyspecjalizowaną kancelarię. Polskie kancelarie coraz częściej oferują usługi AI compliance.