Dziennik Gazeta Prawana logo

AI Act nie tylko dla gigantów. Pięć pułapek dla małych firm

Ai ACT
Małe przedsiębiorstwo nie musi tworzyć własnego modelu językowego, aby podlegać AI Act. Wystarczy, że korzysta z chatbota do obsługi klientów, generatora treści, narzędzia filtrującego CV albo systemu oceniającego zachowanie pracowników./dziennik.pl
Małe przedsiębiorstwo nie musi tworzyć własnego modelu językowego, aby podlegać AI Act. Wystarczy, że korzysta z chatbota do obsługi klientów, generatora treści, narzędzia filtrującego CV albo systemu oceniającego zachowanie pracowników. Zakres obowiązków zależy od roli firmy i zastosowania systemu, a nie wyłącznie od wielkości zatrudnienia lub obrotu. MŚP korzystają z ułatwień, w tym łagodniejszej konstrukcji maksymalnych kar i środków wsparcia, ale nie są generalnie wyłączone z rozporządzenia.

Najczęstszy problem powstaje poza oficjalnymi zakupami. Pracownicy zakładają konta w publicznych generatorach tekstu, tworzą grafiki, podsumowują umowy, odpowiadają na wiadomości i analizują arkusze. Wtyczki AI pojawiają się w programach biurowych, systemach sprzedażowych i aplikacjach do rekrutacji. Właściciel firmy może więc nie wiedzieć, ile systemów przetwarza dane klientów i dokumenty wewnętrzne.

Inwentaryzacja powinna wskazać nazwę narzędzia, dostawcę, użytkowników, cel, kategorie danych, rodzaj generowanych wyników i to, czy wynik wpływa na decyzję dotyczącą człowieka. Firma musi też ustalić swoją rolę. Najczęściej będzie podmiotem stosującym, ale jeśli rozwija system pod własną nazwą, istotnie go modyfikuje albo zmienia przewidziane przeznaczenie, może przejąć obowiązki dostawcy.

Druga pułapka: chatbot bez jasnej informacji

Od 2 sierpnia 2026 r. użytkownik powinien zostać poinformowany, że bezpośrednio komunikuje się z systemem AI, chyba że jest to oczywiste. Obowiązek może dotyczyć chatbota w małym sklepie internetowym, voicebota umawiającego wizyty w salonie lub wirtualnego doradcy odpowiadającego klientom biura rachunkowego. Nie wystarczy ukryć informację w regulaminie. Powinna pojawić się najpóźniej przy pierwszej interakcji i być czytelna oraz dostępna.

Jeżeli bot zbiera dane osobowe, przedsiębiorca musi równolegle wykonać obowiązki z RODO. Powinien określić podstawę przetwarzania, zakres informacji, czas przechowywania i odbiorców. Zakup gotowej usługi nie zwalnia z wyboru właściwego procesora, zawarcia odpowiedniej umowy i sprawdzenia, czy dane nie są wykorzystywane w nieuzgodnionym celu.

Trzecia pułapka: publikowanie treści z AI

AI Act wprowadza techniczne obowiązki po stronie dostawców generatorów oraz informacyjne obowiązki po stronie podmiotów publikujących określone materiały. Szczególne zasady dotyczą deepfake'ów i tekstów generowanych lub manipulowanych przez AI, które służą informowaniu opinii publicznej o sprawach leżących w interesie publicznym. Mała agencja marketingowa, lokalny portal lub firma prowadząca profil informacyjny nie może zakładać, że regulacja dotyczy wyłącznie platform technologicznych.

Nie każda treść przygotowana z pomocą narzędzia wymaga identycznej etykiety. Znaczenie ma charakter materiału, stopień kontroli redakcyjnej, odpowiedzialność wydawcy i wyjątki przewidziane w art. 50. Firma powinna jednak zachować proces pozwalający ustalić, kiedy użyto AI, kto zweryfikował wynik i czy techniczne oznaczenie nie zostało usunięte podczas obróbki.

Czwarta pułapka: AI w rekrutacji i ocenie pracowników

Narzędzia filtrujące CV, punktujące kandydatów, przydzielające zadania i oceniające wydajność mogą należeć do systemów wysokiego ryzyka. Po zmianie harmonogramu szczegółowe obowiązki tej kategorii mają być stosowane od 2 grudnia 2027 r. Już teraz obowiązują jednak przepisy prawa pracy, RODO i zakaz dyskryminacji.

Rozpoznawanie emocji w miejscu pracy i podczas rekrutacji jest co do zasady zakazane od 2 lutego 2025 r., z wąskimi wyjątkami medycznymi i bezpieczeństwa. Mała firma nie może używać programu analizującego mimikę lub głos kandydata w celu ustalenia pewności siebie tylko dlatego, że dostawca oferuje funkcję w tanim abonamencie. Dostępność produktu nie przesądza o legalności zastosowania.

Piąta pułapka: dane firmy w publicznym modelu

Pracownik może wkleić do generatora dane klienta, projekt umowy, kod źródłowy lub nieopublikowany cennik. Ryzyko wykracza poza AI Act i obejmuje RODO, tajemnicę przedsiębiorstwa, obowiązek poufności oraz prawa autorskie. Firma potrzebuje zasad określających dozwolone narzędzia, rodzaje danych, sposób anonimizacji i przypadki wymagające akceptacji.

Zakaz używania wszystkich publicznych modeli bywa trudny do egzekwowania, jeśli przedsiębiorstwo nie zapewnia bezpiecznej alternatywy. Skuteczna polityka powinna łączyć ograniczenia z praktycznym szkoleniem i kontrolą konfiguracji. Obowiązek zapewniania odpowiednich kompetencji w zakresie AI obowiązuje od 2 lutego 2025 r. i dotyczy także mniejszych organizacji. Zakres szkolenia powinien odpowiadać ryzyku i zadaniom personelu.

Ułatwienia AI Act dla MŚP

Rozporządzenie zobowiązuje państwa do zapewnienia MŚP, w tym start-upom, priorytetowego dostępu do piaskownic regulacyjnych, działań informacyjnych, specjalnych kanałów komunikacji i odpowiedniego wsparcia. Opłaty za ocenę zgodności mają uwzględniać wielkość, rynek i inne istotne wskaźniki, aby nie tworzyć nieproporcjonalnych barier.

Szczególna jest też konstrukcja kar. Dla dużego przedsiębiorstwa maksymalny pułap jest co do zasady wyższą z kwoty w euro i procentu światowego obrotu. Dla MŚP, w tym start-upów, górną granicę stanowi niższa z tych wartości. Za zakazaną praktykę będzie to maksymalnie 35 mln euro albo 7 proc. obrotu, lecz dla MŚP wybiera się wartość niższą. Analogiczna reguła dotyczy progów 15 mln euro lub 3 proc. oraz 7,5 mln euro lub 1 proc.

Prosty plan zgodności dla małej firmy

Przedsiębiorca powinien zacząć od krótkiego rejestru narzędzi, a następnie oznaczyć zastosowania dotyczące klientów, pracowników i decyzji finansowych. Dla każdego systemu trzeba wskazać osobę odpowiedzialną, dopuszczalne dane, dostawcę, zasady weryfikacji wyniku i procedurę błędu. Kolejny krok to poprawa komunikatów chatbota i publikacji przed 2 sierpnia 2026 r. oraz przegląd umów z dostawcami.

Firma nie potrzebuje rozbudowanego komitetu, jeśli używa dwóch prostych narzędzi. Potrzebuje jednak dowodów, że świadomie oceniła ryzyko. Krótka, aktualizowana dokumentacja, jasne uprawnienia i szkolenie personelu są bardziej użyteczne niż obszerny regulamin, którego nikt nie stosuje.

Źródła

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689, w szczególności art. 4, art. 25, art. 50, art. 62, art. 63 i art. 99.
  • Komisja Europejska, oficjalne informacje o harmonogramie stosowania AI Act.
  • Komisja Europejska, Kodeks postępowania w zakresie oznaczania i etykietowania treści generowanych przez AI, 10 czerwca 2026 r.
  • Komisja Europejska, repozytorium praktyk dotyczących kompetencji w zakresie AI.
  • AI Act Service Desk, materiały dla podmiotów
Copyright
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję
Źródło dziennik.pl
Michał Kaźmierczak
Michał Kaźmierczak

Współpracował z Wirtualną Polską, Wprost, Zieloną Interią. Komentuje wydarzenia polityczne dla Polskiego Radia. Zajmuje się polityką międzynarodową i krajową na łamach Gazety Prawnej. Pasjonat technologii i nauki.

Zobacz wszystkie artykuły tego autoraSztuczna inteligencja wykonała przelew bez kontroli. Firma nie schowa się za algorytmem »
Zapisz się na newsletter
Najważniejsze wydarzenia polityczne i społeczne, istotne wiadomości kulturalne, najlepsza rozrywka, pomocne porady i najświeższa prognoza pogody. To wszystko i wiele więcej znajdziesz w newsletterze Dziennik.pl. Trzymamy rękę na pulsie Polski i świata. Zapisz się do naszego newslettera i bądź na bieżąco!

Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich

Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj