Powrót do bloga
AI Act dla urzędów: co zmieni w 2026 i jak się przygotować?
#ai#administracja-publiczna#rodo#ai-act

13 czerwca 2024 roku zostało przyjęte rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689, potocznie zwane aktem w sprawie sztucznej inteligencji lub AI Act. To pierwsze kompleksowe rozporządzenie na poziomie Unii Europejskiej, które reguluje wykorzystanie sztucznej inteligencji.

W 2026 roku AI Act zaczyna obowiązywać w pełni, a to oznacza, że urzędy i instytucje publiczne muszą już teraz przygotować się do nowych wymagań. W tym artykule wyjaśnię, co zmieni AI Act, jakie obowiązki spadają na sektor publiczny i od czego zacząć przygotowania.

Czym jest AI Act i dlaczego to ważne?

AI Act to rozporządzenie, które wprowadza jednolite zasady wykorzystania sztucznej inteligencji w całej Unii Europejskiej. Jego głównym celem jest zapewnienie, że systemy AI są bezpieczne, transparentne i zgodne z wartościami europejskimi, przy jednoczesnym wspieraniu innowacji.

Dla sektora publicznego AI Act ma szczególne znaczenie, ponieważ:

  • Wiele zastosowań AI w administracji publicznej będzie klasyfikowanych jako systemy wysokiego ryzyka – wymaga to dodatkowych zabezpieczeń i procedur
  • Urzędy przetwarzają wrażliwe dane obywateli – bezpieczeństwo i zgodność z przepisami są priorytetem
  • Decyzje podejmowane przez AI mogą wpływać na prawa obywateli – konieczna jest transparentność i możliwość kontroli

Klasyfikacja systemów AI według poziomu ryzyka

AI Act wprowadza klasyfikację systemów AI według poziomu ryzyka. To kluczowe, bo od klasyfikacji zależą wymagania, które musisz spełnić.

Systemy niedopuszczalnego ryzyka (zakazane)

To systemy, które są całkowicie zakazane w UE, np.:

  • Systemy oceny wiarygodności społecznej (social scoring)
  • Manipulowanie ludzkim zachowaniem w sposób, który może wyrządzić szkodę
  • Wykorzystywanie podświadomych technik do wpływania na ludzi

Dobra wiadomość: Większość zastosowań AI w urzędach nie wpada w tę kategorię.

Systemy wysokiego ryzyka

To najważniejsza kategoria dla sektora publicznego. Systemy wysokiego ryzyka to te, które:

  • Mogą wpływać na prawa podstawowe obywateli – np. systemy oceny wniosków, decyzje administracyjne
  • Są wykorzystywane w obszarach wrażliwych – np. edukacja, zatrudnienie, dostęp do usług publicznych
  • Mogą prowadzić do dyskryminacji – np. systemy priorytetyzacji spraw

Przykłady systemów wysokiego ryzyka w urzędach:

  • Systemy automatycznej analizy wniosków obywateli
  • Systemy oceny i priorytetyzacji spraw
  • Chatboty podejmujące decyzje administracyjne
  • Systemy analizy dokumentów wpływające na decyzje urzędowe

Systemy o ograniczonym ryzyku

To systemy, które wymagają transparentności, ale nie tak rygorystycznych wymagań jak systemy wysokiego ryzyka. Przykłady:

  • Chatboty informacyjne (które nie podejmują decyzji)
  • Systemy generowania treści
  • Narzędzia wspierające pracę urzędników (bez wpływu na decyzje)

Systemy minimalnego ryzyka

To większość zastosowań AI, które nie wymagają szczególnych wymagań. Przykłady:

  • Filtry spam w emailach
  • Funkcje autouzupełniania w edytorach tekstu
  • Systemy rekomendacji treści

Wymagania dla systemów wysokiego ryzyka

Jeśli Twój urząd wykorzystuje systemy AI wysokiego ryzyka, musisz spełnić szereg wymagań:

1. Ocena wpływu na podstawowe prawa

Przed wdrożeniem systemu AI musisz przeprowadzić ocenę wpływu na podstawowe prawa (Fundamental Rights Impact Assessment). To dokument, który powinien zawierać:

  • Opis systemu AI i jego zastosowania
  • Analizę potencjalnego wpływu na prawa podstawowe obywateli
  • Identyfikację grup, które mogą być szczególnie narażone
  • Środki zaradcze i procedury kontrolne

2. Dokumentacja i przejrzystość

Musisz zapewnić odpowiednią dokumentację systemu, w tym:

  • Opis systemu – jak działa, jakie dane przetwarza, jakie są jego ograniczenia
  • Procedury weryfikacji – jak sprawdzasz poprawność wyników
  • Procedury monitorowania – jak kontrolujesz działanie systemu w czasie
  • Informowanie obywateli – musisz poinformować obywateli, że ich sprawa jest przetwarzana przez AI

3. Zapewnienie jakości i bezpieczeństwa

Systemy wysokiego ryzyka muszą spełniać wymagania dotyczące:

  • Jakości danych – dane treningowe muszą być reprezentatywne i wolne od uprzedzeń
  • Dokumentacji technicznej – szczegółowa dokumentacja systemu
  • Rejestrowania – logowanie działań systemu dla celów audytu
  • Ludzkiego nadzoru – zawsze musi być możliwość interwencji człowieka

4. Monitorowanie i audyt

Musisz regularnie monitorować działanie systemu i przeprowadzać audyty:

  • Ciągłe monitorowanie – sprawdzanie, czy system działa zgodnie z założeniami
  • Identyfikacja problemów – szybkie wykrywanie błędów i nieprawidłowości
  • Raporty – regularne raportowanie o działaniu systemu
  • Możliwość audytu – system musi umożliwiać weryfikację decyzji

AI Act a RODO – jak to się łączy?

Ważne jest, aby pamiętać, że AI Act nie zastępuje RODO, ale uzupełnia je. Oznacza to, że musisz przestrzegać zarówno przepisów RODO, jak i AI Act.

RODO reguluje:

  • Przetwarzanie danych osobowych
  • Prawa obywateli (dostęp, sprostowanie, usunięcie danych)
  • Zasady bezpieczeństwa danych

AI Act reguluje:

  • Bezpieczeństwo i jakość systemów AI
  • Transparentność i możliwość kontroli
  • Ocena wpływu na prawa podstawowe

W praktyce oznacza to:

  • Jeśli przetwarzasz dane osobowe przez AI → musisz spełnić wymagania RODO
  • Jeśli system AI wpływa na decyzje administracyjne → musisz spełnić wymagania AI Act
  • W wielu przypadkach musisz spełnić oba wymagania jednocześnie

Co musisz zrobić już teraz? Plan działania

Krok 1: Zidentyfikuj systemy AI w Twojej instytucji

Zacznij od inwentaryzacji – sprawdź, jakie systemy AI wykorzystujecie:

  • Czy używacie chatbotów?
  • Czy macie systemy analizy dokumentów?
  • Czy wykorzystujecie narzędzia AI do priorytetyzacji spraw?
  • Czy używacie narzędzi generujących treści?

Pytania pomocnicze:

  • Które systemy podejmują lub wspierają decyzje administracyjne?
  • Które systemy przetwarzają dane osobowe obywateli?
  • Które systemy mogą wpływać na prawa podstawowe?

Krok 2: Oceń poziom ryzyka każdego systemu

Dla każdego zidentyfikowanego systemu oceń:

  • Czy wpływa na decyzje administracyjne? → Prawdopodobnie system wysokiego ryzyka
  • Czy przetwarza wrażliwe dane? → Wymaga szczególnej uwagi
  • Czy może prowadzić do dyskryminacji? → System wysokiego ryzyka
  • Czy jest tylko narzędziem wspierającym? → Może być systemem o ograniczonym ryzyku

Krok 3: Przygotuj dokumentację

Dla systemów wysokiego ryzyka przygotuj:

  • Ocenę wpływu na podstawowe prawa (Fundamental Rights Impact Assessment)
  • Dokumentację techniczną systemu
  • Procedury weryfikacji i monitorowania
  • Informacje dla obywateli o wykorzystaniu AI

Krok 4: Wprowadź procedury kontrolne

Upewnij się, że masz:

  • Procedury weryfikacji – jak sprawdzasz poprawność wyników AI
  • Procedury monitorowania – jak kontrolujesz działanie systemu
  • Możliwość interwencji człowieka – zawsze musi być możliwość przejęcia kontroli
  • Procedury audytu – jak weryfikujesz decyzje podjęte przez AI

Krok 5: Przeszkol zespół

Upewnij się, że zespół:

  • Rozumie wymagania AI Act – co to oznacza w praktyce
  • Wie, jak korzystać z systemów AI bezpiecznie – zgodnie z wymaganiami
  • Zna procedury weryfikacji – jak sprawdzać wyniki AI
  • Wie, kiedy interweniować – kiedy przejąć kontrolę nad decyzją

Najczęstsze błędy i jak ich unikać

Błąd 1: Brak inwentaryzacji systemów AI

Problem: Nie wiesz, jakie systemy AI wykorzystujecie, więc nie możesz ocenić wymagań.

Rozwiązanie: Zacznij od kompleksowej inwentaryzacji. Sprawdź wszystkie narzędzia i systemy, które mogą wykorzystywać AI.

Błąd 2: Nieprawidłowa klasyfikacja poziomu ryzyka

Problem: System wysokiego ryzyka został sklasyfikowany jako system o niskim ryzyku, więc nie spełniasz wymagań.

Rozwiązanie: Jeśli masz wątpliwości, skonsultuj się z prawnikiem specjalizującym się w prawie nowych technologii. Lepiej być ostrożnym.

Błąd 3: Brak dokumentacji

Problem: System AI działa, ale nie masz dokumentacji wymaganej przez AI Act.

Rozwiązanie: Przygotuj dokumentację już teraz. To nie jest jednorazowe zadanie – dokumentacja musi być aktualizowana.

Błąd 4: Brak procedur kontrolnych

Problem: System AI podejmuje decyzje, ale nie masz procedur weryfikacji i monitorowania.

Rozwiązanie: Wprowadź procedury kontrolne przed pełnym wdrożeniem systemu. Zawsze musi być możliwość interwencji człowieka.

Błąd 5: Brak informowania obywateli

Problem: Obywatele nie wiedzą, że ich sprawa jest przetwarzana przez AI.

Rozwiązanie: Informuj obywateli o wykorzystaniu AI. To wymóg AI Act i buduje zaufanie.

Podsumowanie

AI Act wchodzi w życie w 2026 roku i wprowadza nowe wymagania dla systemów AI wykorzystywanych w sektorze publicznym. Wiele zastosowań AI w urzędach będzie klasyfikowanych jako systemy wysokiego ryzyka, co oznacza dodatkowe obowiązki dotyczące dokumentacji, monitorowania i transparentności.

Kluczowe działania:

  1. Zidentyfikuj wszystkie systemy AI w instytucji
  2. Oceń poziom ryzyka każdego systemu
  3. Przygotuj wymaganą dokumentację
  4. Wprowadź procedury kontrolne
  5. Przeszkol zespół

Pamiętaj:

  • AI Act nie zastępuje RODO, ale uzupełnia je
  • Systemy wysokiego ryzyka wymagają szczególnej uwagi
  • Zawsze musi być możliwość interwencji człowieka
  • Obywatele muszą być informowani o wykorzystaniu AI

Jeśli masz wątpliwości dotyczące wymagań AI Act lub ich zastosowania w kontekście Twojej instytucji, zawsze warto skonsultować się z prawnikiem specjalizującym się w prawie nowych technologii.

Chcesz dowiedzieć się więcej?

W ebooku "AI w Administracji Publicznej: Praktyczny Przewodnik" znajdziesz:

  • ✅ Pełne omówienie AI Act i jego wymagań
  • ✅ Checklisty bezpieczeństwa gotowe do użycia
  • ✅ Przykłady dokumentacji i procedur
  • ✅ Plan wdrożenia AI krok po kroku
  • ✅ Case studies z polskich i zagranicznych instytucji
  • ✅ Praktyczne wskazówki dotyczące zgodności z RODO i AI Act

Ebook jest napisany bez technicznego żargonu i skierowany do osób pracujących w sektorze publicznym, które chcą bezpiecznie wdrożyć AI w swojej instytucji.

Sprawdź szczegóły ebooka →

Źródła i dodatkowe informacje:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie sztucznej inteligencji
  • Urząd Ochrony Danych Osobowych – uodo.gov.pl
  • Europejska Agencja ds. Cyberbezpieczeństwa – enisa.europa.eu