Sztuczna inteligencja (AI) coraz śmielej wkracza do działalności gospodarczej – od chatbotów obsługujących klientów, poprzez systemy analizujące dane, aż po narzędzia wspierające rekrutację, marketing czy tworzenie treści. Dzięki AI przedsiębiorcy mogą zwiększać efektywność operacyjną i rozwijać nowe usługi, jednak korzystanie z takich technologii wiąże się również z istotnymi konsekwencjami prawnymi. Wbrew częstemu przekonaniu, wykorzystanie AI nie odbywa się w próżni regulacyjnej, a od 2025 roku przedsiębiorcy muszą już uwzględniać pierwsze obowiązki wynikające z unijnego Aktu o sztucznej inteligencji (AI Act), który będzie stosowany etapowo do 2027 roku.
Obecnie nie funkcjonuje jedna kompleksowa polska ustawa regulująca sztuczną inteligencję, jednak zastosowanie znajdują liczne przepisy ogólne, w szczególności dotyczące ochrony danych osobowych, prawa pracy, prawa konsumenckiego, odpowiedzialności cywilnej, własności intelektualnej oraz bezpieczeństwa produktów i usług cyfrowych. Kluczowe znaczenie ma jednak rozporządzenie Parlamentu Europejskiego i Rady ustanawiające ramy dla sztucznej inteligencji, czyli tzw. AI Act, które weszło w życie 1 sierpnia 2024 roku i przewiduje stopniowe wdrażanie obowiązków. Część przepisów – w szczególności dotyczących zakazanych praktyk – obowiązuje już od lutego 2025 roku, regulacje dotyczące modeli ogólnego przeznaczenia (w tym dużych modeli generatywnych) obowiązują od 2025 roku, natomiast zasadnicze obowiązki dla systemów wysokiego ryzyka zaczną obowiązywać od sierpnia 2026 roku, a niektóre przepisy wejdą w życie w 2027 roku.
AI Act wprowadza klasyfikację systemów sztucznej inteligencji według poziomu ryzyka, wyróżniając systemy niedopuszczalne (zakazane), wysokiego ryzyka, ograniczonego ryzyka oraz minimalnego ryzyka. Dla przedsiębiorców szczególnie istotne są systemy wysokiego ryzyka, obejmujące m.in. rozwiązania wykorzystywane w rekrutacji, ocenie pracowników, usługach finansowych, edukacji czy w obszarach związanych z bezpieczeństwem. W przypadku takich systemów konieczne będzie spełnienie szeregu wymogów, w tym prowadzenie zarządzania ryzykiem, zapewnienie jakości danych, wprowadzenie nadzoru człowieka, sporządzenie dokumentacji technicznej oraz spełnienie obowiązków transparentności.
Jednym z najważniejszych obszarów ryzyka prawnego przy korzystaniu z AI pozostaje ochrona danych osobowych. Jeżeli system AI przetwarza dane klientów, pracowników lub kontrahentów, musi to odbywać się zgodnie z przepisami RODO. Dotyczy to zarówno trenowania modeli, jak i profilowania czy automatycznego podejmowania decyzji. Szczególne znaczenie ma art. 22 RODO, zgodnie z którym decyzje wywołujące skutki prawne wobec osoby fizycznej nie mogą opierać się wyłącznie na zautomatyzowanym przetwarzaniu, chyba że spełnione są określone warunki i zapewniona jest możliwość interwencji człowieka. W wielu przypadkach wdrożenie systemu AI będzie wymagało przeprowadzenia oceny skutków dla ochrony danych (DPIA), zwłaszcza gdy system przewiduje profilowanie lub analizę zachowań użytkowników.
Istotnym problemem pozostaje również ryzyko dyskryminacji algorytmicznej. Systemy uczące się na danych historycznych mogą powielać istniejące uprzedzenia i prowadzić do nierównego traktowania, np. kandydatów w procesie rekrutacji lub klientów przy ocenie zdolności kredytowej. Odpowiedzialność za skutki działania systemu AI ponosi przedsiębiorca, który go wdraża, a powoływanie się na „autonomię algorytmu” nie zwalnia z odpowiedzialności. Organy nadzorcze w Unii Europejskiej konsekwentnie wskazują, że podmiot wykorzystujący AI musi zapewnić kontrolę nad jego działaniem i możliwość ingerencji człowieka.
AI Act wprowadza także obowiązki dotyczące transparentności, w szczególności w sytuacjach, gdy użytkownik wchodzi w interakcję z systemem AI. Dotyczy to m.in. chatbotów, systemów generujących treści, deepfake’ów oraz narzędzi wykorzystujących biometrię. W praktyce oznacza to konieczność informowania użytkowników, że mają do czynienia z systemem sztucznej inteligencji, a w niektórych przypadkach również oznaczania treści wygenerowanych przez AI.
Kolejnym zagadnieniem jest odpowiedzialność za szkody spowodowane przez systemy AI. Sztuczna inteligencja nie posiada osobowości prawnej, dlatego odpowiedzialność spoczywa na przedsiębiorcy, który ją wykorzystuje. Dotyczy to zarówno błędnych rekomendacji finansowych, wadliwych decyzji rekrutacyjnych, jak i naruszenia dóbr osobistych przez wygenerowane treści. W związku z tym szczególnego znaczenia nabiera testowanie systemów, audyty algorytmiczne oraz wprowadzenie mechanizmów nadzoru człowieka. Na poziomie unijnym trwają prace nad dodatkowymi regulacjami dotyczącymi odpowiedzialności za AI, które mają ułatwić dochodzenie roszczeń przez poszkodowanych.
Wykorzystanie AI rodzi również pytania dotyczące własności intelektualnej. Przyjmuje się, że utwór wygenerowany wyłącznie przez sztuczną inteligencję nie podlega ochronie prawa autorskiego, ponieważ brak jest elementu twórczości człowieka. Ochronie może natomiast podlegać wkład twórczy osoby korzystającej z narzędzia. Jednocześnie korzystanie z danych treningowych może prowadzić do naruszenia praw autorskich, a generowane treści mogą naruszać prawa osób trzecich, w tym prawa do wizerunku lub znaki towarowe. Z tego względu przedsiębiorcy powinni weryfikować warunki licencyjne narzędzi AI oraz analizować sposób wykorzystania generowanych treści.
W związku z postępującym rozwojem regulacji przedsiębiorcy powinni już teraz wdrożyć podstawowe elementy zarządzania zgodnością w zakresie AI. W praktyce oznacza to przeprowadzenie audytu wykorzystywanych narzędzi, identyfikację systemów wysokiego ryzyka, analizę zgodności z RODO, wprowadzenie polityki korzystania z AI w organizacji oraz szkolenie pracowników. Dobrą praktyką jest również projektowanie rozwiązań zgodnie z zasadą „compliance by design”, czyli uwzględnianie wymogów prawnych już na etapie wdrożenia systemu.
Regulacje dotyczące sztucznej inteligencji będą się w najbliższych latach dynamicznie rozwijać. Pełne stosowanie AI Act nastąpi w latach 2026–2027, pojawią się również wytyczne organów nadzorczych oraz pierwsze orzeczenia sądowe dotyczące odpowiedzialności za działanie algorytmów. Przedsiębiorcy, którzy odpowiednio wcześnie przygotują swoje organizacje do nowych obowiązków, ograniczą ryzyko prawne i zyskają przewagę konkurencyjną. Sztuczna inteligencja oferuje bowiem ogromne możliwości, jednak jej wdrażanie powinno odbywać się w sposób świadomy, tak aby innowacja szła w parze z poszanowaniem prawa.
Kancelaria Adwokacka Hindemith Nobis
adwokat Piotr Hindemith +48 501 563 240 piotr@hindemith.pl
adwokat Aleksander Nobis +48 792 010 008 aleksander.nobis@adwokatura.pl
Stan prawny: 24 marca 2026 roku
