Kompleksowe ramy zarządzania sztuczną inteligencją w Polsce
Odkryj jak prawidłowo wdrażać, zarządzać i nadzorować systemy AI w organizacji zgodnie z nowymi regulacjami, najlepszymi praktykami i standardami etycznymi.
Poznaj kluczowe akty prawne i ich harmonogramy, które kształtują ekosystem sztucznej inteligencji.
Rozpoczyna się stosowanie przepisów dla systemów AI wysokiego ryzyka, które są komponentami bezpieczeństwa w produktach podlegających odrębnym regulacjom (np. w urządzeniach medycznych).
Zaczyna obowiązywać większość przepisów Aktu o AI, w szczególności te dotyczące systemów wysokiego ryzyka (np. w rekrutacji, finansach). Do tego dnia państwa członkowskie muszą utworzyć co najmniej jedną piaskownicę regulacyjną AI.
Rozporządzenie w sprawie danych (Data Act) zacznie być stosowane, regulując dostęp do danych i ich udostępnianie, zwłaszcza w kontekście urządzeń IoT. Do tej daty dostawcy usług chmurowych muszą dostosować się do wymogów ułatwiających migrację danych.
Wchodzą w życie przepisy AI Act dotyczące modeli AI ogólnego przeznaczenia (GPAI), przepisy o karach administracyjnych oraz ramy dla organów nadzoru. Do tego dnia Polska powinna powołać krajowy organ nadzoru (planowo KRiBSI).
Zaczęły obowiązywać pierwsze przepisy Aktu o AI: zakazy dotyczące niedopuszczalnych praktyk (art. 5) oraz obowiązek zapewnienia kompetencji w zakresie AI w organizacjach (AI Literacy, art. 4). Naruszenie zakazów grozi karą do 35 mln euro lub 7% rocznego obrotu.
Rozporządzenie o cyfrowej odporności operacyjnej dla sektora finansowego (DORA) zaczęło obowiązywać. 6 maja 2025 r. Rada Ministrów przyjęła polski projekt ustawy dostosowawczej, wyznaczając KNF jako organ nadzoru.
Akt o sztucznej inteligencji (Rozporządzenie UE 2024/1689) wszedł w życie, ale jego przepisy są stosowane etapowo.
Kluczowe rozporządzenie UE, które wprowadza podejście oparte na ryzyku. Od 2.02.2025 zakazuje praktyk niedopuszczalnych (np. scoringu społecznego) i nakłada obowiązek AI Literacy. Od 2.08.2025 wchodzą w życie m.in. wymogi dla modeli GPAI.
Zgodność z RODO jest fundamentem dla zgodności z AI Act. Jeśli model AI został wytrenowany na danych zebranych z naruszeniem RODO, może być uznany za nielegalny ("grzech pierworodny"). Opinia EROD, opublikowana przez UODO, podkreśla rygorystyczne warunki dla przetwarzania danych na potrzeby trenowania AI.
Polska ustawa o AI utknęła w uzgodnieniach, a główny spór dotyczy organu nadzoru. Rząd proponuje nową Komisję Rozwoju i Bezpieczeństwa SI (KRiBSI). Z kolei Prezes UODO argumentuje, że to on powinien pełnić wiodącą rolę, by uniknąć chaosu kompetencyjnego.
Projekt ustawy o AI, po konsultacjach, ograniczył skład KRiBSI do 7 osób. UODO wskazuje jednak na ryzyko "dualizmu rozstrzygnięć" i powołuje się na Art. 74 AI Act, który desygnuje organy ochrony danych do nadzoru w pewnych obszarach. Brak ustawy do 2 sierpnia 2025 r. grozi luką prawną i postępowaniem ze strony KE.
Rozporządzenie będzie stosowane od 12 września 2025 r.. Reguluje dostęp i udostępnianie danych, głównie z urządzeń IoT. W Polsce trwały prekonsultacje dotyczące wyznaczenia organu nadzoru.
Do 12 września 2025 r. dostawcy usług chmurowych muszą umożliwić łatwe przenoszenie danych. Od 12 stycznia 2027 r. nie będą mogli pobierać opłat za migrację danych.
Polska jest opóźniona we wdrożeniu dyrektywy o cyberbezpieczeństwie. Termin minął 17 października 2024 r.. KE wszczęła postępowanie, dając Polsce 2 miesiące na działanie (od 7 maja 2025).
Piąty projekt nowelizacji ustawy o KSC opublikowano 7 lutego 2025 r.. Rząd planuje skierować go do parlamentu w czerwcu 2025 r., co oznacza wejście w życie przepisów najwcześniej w drugiej połowie 2025 r..
Obowiązuje od 17 stycznia 2025 r. dla sektora finansowego. Polska ustawa dostosowawcza wyznacza KNF jako organ nadzorczy, dając mu prawo do kontroli i nakładania kar do ok. 20 mln zł.
KNF już aktywnie egzekwuje nowe obowiązki, m.in. wymaga od podmiotów finansowych prowadzenia rejestru incydentów ICT i składania raportów.
Kluczowe praktyki efektywnego zarządzania sztuczną inteligencją w organizacjach
Organizacje skutecznie wdrażające zarządzanie AI w Polsce koncentrują się na kilku kluczowych obszarach, niezależnie od branży:
Klasyfikacja systemów AI według poziomu ryzyka (zgodnie z AI Act) i stosowanie odpowiednich procedur nadzoru i kontroli w zależności od potencjalnego wpływu systemów.
Powoływanie zespołów ds. AI łączących ekspertów technicznych, etycznych, prawnych i biznesowych, co zapewnia kompleksowe podejście do wdrożeń.
Tworzenie i egzekwowanie wewnętrznych standardów dotyczących rozwoju, testowania i monitorowania systemów AI, zgodnych z regulacjami i wartościami organizacji.
Stosowanie technik wyjaśnialnej AI (XAI) i jasna komunikacja z użytkownikami na temat tego, jak działa system i na jakiej podstawie podejmuje decyzje.
Organizacje powinny równolegle rozwijać dojrzałość w zakresie zarządzania danymi (Data Governance) i AI. Wskaźniki dojrzałości obejmują: poziom standaryzacji metadanych, automatyzację pipeline'ów danych dla AI, zdolność do mierzenia jakości danych w czasie rzeczywistym oraz zintegrowane systemy monitorowania zgodności (AI Act + Data Act + RODO).
Kluczowe zasady budowania godnej zaufania sztucznej inteligencji
AI ma wspierać decyzje ludzi, a nie je autonomicznie zastępować bez kontroli (human-in-the-loop). Systemy powinny wzmacniać zdolności człowieka, nie je zastępować.
Algorytmy muszą być odporne na awarie, błędy i ataki, zapewniać dokładność i możliwość auditowania wyników. Systemy AI powinny działać niezawodnie i bezpiecznie.
Pełna zgodność z przepisami o ochronie danych (RODO), zapewnienie jakości i integralności danych. Systemy AI muszą respektować prawo do prywatności i ochrony danych osobowych.
Działanie systemów AI powinno być zrozumiałe – należy dążyć do wyjaśnialności modeli i jawności co do wykorzystania AI. Użytkownicy powinni wiedzieć, że mają do czynienia z AI.
AI ma unikać stronniczości i służyć wszystkim grupom społecznym – ważne są procedury wykrywania i korygowania biasów. Systemy nie powinny dyskryminować żadnych grup.
AI powinna służyć pozytywnie społeczeństwu i środowisku, np. poprzez zrównoważony rozwój, nie pogłębiać negatywnych zjawisk. Powinna wspierać cele społeczne i środowiskowe.
Konieczne są mechanizmy audytu, możliwość sprawdzenia i pociągnięcia do odpowiedzialności za decyzje podjęte przez AI. Za każdą decyzją AI powinna stać odpowiedzialna osoba lub organizacja.
OECD sformułowało Zasady AI, podkreślające bezpieczeństwo, prawa człowieka, przejrzystość i odpowiedzialność – Polska jako członek OECD je poparła.
Wytyczne etyczne dotyczące godnej zaufania AI opracowane przez unijną grupę ekspertów (High-Level Expert Group on AI) z 7 kluczowymi wymaganiami.
UNESCO przyjęło Rekomendację w sprawie etyki AI. Polska wstrzymała się od głosu, argumentując, że dokument nie uwzględnia w pełni unijnych ram prawnych, takich jak AI Act.
W 2023 r. opublikowano kluczowe standardy, m.in. ISO/IEC 42001 (zarządzanie AI) i ISO/IEC 23053 (monitorowanie modeli). Polskie firmy mogą już uzyskać certyfikację w tych ramach poprzez PCA.
Komisja Europejska wraz z branżą pracuje nad kodeksami dobrych praktyk. Ostateczny Kodeks Postępowania dla modeli GPAI ma ukazać się w maju-czerwcu 2025 r., by ułatwić interpretację wymogów AI Act.
Komisja Europejska promuje modele dojrzałości danych (np. DMBOK 2.0, DCAM). Zgodność z Data Act i AI Act wymusza na firmach wdrożenie zaawansowanego ładu danych, w tym ocenę kompletności i pochodzenia danych (data lineage).
Główne bariery we wdrażaniu AI Governance i kierunki rozwoju
Mimo że AI Act wszedł w życie, w Polsce prace nad kluczową ustawą implementującą utknęły, a jej uchwalenie do terminu 2 sierpnia 2025 jest mało prawdopodobne. Tworzy to "lukę prawną": przepisy unijne obowiązują, ale brak krajowego organu nadzoru (KRiBSI) i procedur karania utrudnia egzekwowanie prawa. Głównym źródłem impasu jest nierozstrzygnięty spór o to, kto ma nadzorować AI w Polsce – nowa komisja KRiBSI czy Prezes UODO.
Firmy zmagają się z jakością danych – dane treningowe mogą być stronnicze lub niepełne. Kluczowym wyzwaniem staje się zapewnienie zgodności z RODO na etapie pozyskiwania danych, ponieważ błąd na tym etapie ("grzech pierworodny") może sprawić, że cały system AI będzie nielegalny w świetle AI Act. Inną trudnością jest przeniesienie pilotażowych projektów AI do codziennych operacji na dużą skalę.
Poważnym zagadnieniem jest brak zaufania – zarówno ze strony konsumentów, jak i menedżerów. Jeśli AI działa jak "czarna skrzynka" i nie wiadomo, jak dochodzi do decyzji, łatwo o utratę zaufania. Firmy wskazują utratę zaufania do technologii jako istotne ryzyko przy wdrażaniu AI.
Nakładanie się wymogów AI Act, Data Act, NIS2 i DORA tworzy kompleksowy obowiązek zgodności. Organizacje muszą być gotowe na multidyscyplinarny compliance.
Bank wykorzystujący AI do oceny zdolności kredytowej musi jednocześnie spełniać wymogi: wyjaśnialności algorytmu (AI Act), zasad udostępniania danych (Data Act), odporności operacyjnej infrastruktury (DORA) oraz odpowiedniego poziomu cyberbezpieczeństwa (NIS2).
Kierunki rozwoju AI governance będą koncentrować się na dalszym wzmacnianiu nadzoru nad algorytmami i wbudowywaniu etyki "w DNA" organizacji. Można spodziewać się wzrostu roli nowych stanowisk, takich jak oficer ds. etyki AI. Trendem globalnym jest rozwój narzędzi AI auditing. Na poziomie UE i krajowym tworzona jest infrastruktura certyfikacji i testowania AI (organy notyfikujące, piaskownice regulacyjne).
Zgodnie z AI Act, Polska musi utworzyć co najmniej jedną piaskownicę regulacyjną AI do 2 sierpnia 2026 r.. Krajowy projekt ustawy przewiduje, że będą one nadzorowane przez Przewodniczącego KRiBSI, który ogłosi co najmniej 3 nabory rocznie.
Udział dla startupów i MŚP ma być bezpłatny, a większe firmy poniosą symboliczną opłatę. Uczestnicy będą w kontrolowanych warunkach testować innowacyjne rozwiązania AI, a po zakończeniu przedstawią raport dla KRiBSI. Ma to pomóc w weryfikacji nowych technologii i dostarczeniu informacji zwrotnych regulatorom.
Przygotowujemy zbiór case studies polskich firm (m.in. PZU, PKO BP) wdrażających AI Governance, prezentujący konkretne rozwiązania i dobre praktyki.
Wdrożenie skutecznego ładu dla AI to inwestycja w przyszłość. Firmy, które strategicznie podejdą do kwestii regulacji i ryzyka AI, budując odpowiednie fundamenty od początku pracy z AI, będą lepiej przygotowane na nadchodzące zmiany.
Poznaj praktyczne rekomendacjeJak skutecznie wdrożyć ramy zarządzania AI w organizacji
Przeprowadź wewnętrzny audyt wykorzystania AI. Sprawdź, czy któreś z rozwiązań nie należy do kategorii zakazanych przez art. 5 AI Act. Zidentyfikuj systemy wysokiego ryzyka.
Określ, kto w organizacji nadzoruje kwestie związane ze sztuczną inteligencją. Może to być powołany komitet ds. AI/etyki złożony z przedstawicieli różnych działów, który będzie oceniał projekty AI przed wdrożeniem.
Spisz wewnętrzne zasady korzystania z AI. Taka polityka powinna obejmować m.in. wymagania co do danych treningowych, standardy projektowania modeli, procedury walidacji i zasady monitorowania modeli w działaniu.
Zainwestuj w szkolenia. Zgodnie z art. 4 AI Act, jest to już obowiązek prawny. Dostosuj programy szkoleniowe do ról pracowników (technicznych, zarządczych, prawnych).
Wdroż solidne Data Governance. Upewnij się, że dane treningowe są wysokiej jakości, wolne od biasów i pozyskane zgodnie z RODO. To kluczowe, by uniknąć "grzechu pierworodnego" systemu AI.
Wybieraj takie architektury rozwiązań, które umożliwiają interpretację decyzji. Stosuj techniki XAI (explainable AI) i przygotuj jasne komunikaty, gdy użytkownicy mają do czynienia z AI.
Ustanów mechanizmy ciągłego monitorowania działania systemów AI: śledź kluczowe wskaźniki jakości decyzji, częstość błędów, sygnały potencjalnej dyskryminacji czy skarg użytkowników.
Przygotuj organizację na jednoczesną zgodność z AI Act, Data Act, NIS2 i DORA. Wykorzystaj narzędzia klasy Integrated Risk Management (IRM) do zarządzania tym złożonym krajobrazem.
Przygotowujemy zbiór szablonów dokumentów i narzędzi, które pomogą we wdrażaniu AI Governance, w tym template Model Cards, AI Impact Assessment i przykładowe polityki AI.
Framework umiejętności potrzebnych w organizacji wdrażającej sztuczną inteligencję
Przeprowadź wewnętrzny audyt istniejących umiejętności związanych z AI w organizacji. Zidentyfikuj luki kompetencyjne w odniesieniu do wymagań technicznych, prawnych, etycznych i zarządczych.
Wyznacz interdyscyplinarny zespół osób odpowiedzialnych za wdrażanie i nadzorowanie AI w organizacji. Zapewnij im zaawansowane szkolenia z zakresu AI Governance.
Opracuj wielopoziomowy program szkoleń dla różnych grup pracowników - od podstawowej świadomości AI (wymaganej przez art. 4 AI Act), przez szkolenia dla użytkowników rozwiązań AI, aż po zaawansowane kursy dla specjalistów.
Nawiąż współpracę z uczelniami, organizacjami branżowymi i dostawcami szkoleń specjalizującymi się w AI. Rozważ staże, programy mentorskie i wymianę wiedzy.
Stwórz wewnętrzne centrum wiedzy o AI z dostępem do zasobów edukacyjnych, best practices i wskazówek dotyczących zgodności z regulacjami. Prowadź regularne warsztaty i sesje dzielenia się wiedzą.
Interaktywny glosariusz terminów związanych z ramami zarządzania sztuczną inteligencją
Rozporządzenie UE w sprawie sztucznej inteligencji, które weszło w życie 1 sierpnia 2024 r.. Wprowadza podejście oparte na ryzyku, klasyfikując systemy AI według czterech poziomów. Jego przepisy wchodzą w życie etapami.
Komisja Rozwoju i Bezpieczeństwa SI - proponowany w polskim projekcie ustawy centralny organ nadzoru nad AI. Jego powołanie i kompetencje są przedmiotem debaty, w której Prezes UODO proponuje alternatywne rozwiązanie.
Kontrolowane środowisko do testowania innowacyjnych systemów AI. Zgodnie z AI Act, Polska musi ustanowić co najmniej jedną piaskownicę do 2 sierpnia 2026 r.. Nadzór ma sprawować Przewodniczący KRiBSI, a udział dla MŚP ma być bezpłatny.
Dokumentacja modelu AI zawierająca kluczowe informacje o jego przeznaczeniu, architekturze, danych treningowych, metrykach wydajności, ograniczeniach i potencjalnych ryzykach. Wspiera przejrzystość i odpowiedzialność.
Wyjaśnialna sztuczna inteligencja - zestaw metod i technik pozwalających na interpretację i wyjaśnienie decyzji podejmowanych przez modele AI, szczególnie ważne w przypadku czarnych skrzynek, jak głębokie sieci neuronowe.
Systematyczne i nieuzasadnione faworyzowanie lub dyskryminowanie określonych grup przez algorytmy AI. Może być wynikiem stronniczości w danych treningowych, projektowaniu algorytmu lub interpretacji wyników.
Ocena wpływu AI - systematyczny proces analizy potencjalnych skutków wdrożenia systemu AI, obejmujący aspekty etyczne, społeczne, prawne i ekonomiczne. Pomaga identyfikować i minimalizować ryzyka przed wdrożeniem.
Ramy organizacyjne, procesy i zasady zapewniające, że systemy AI są projektowane, wdrażane i używane w sposób zgodny z prawem, etyczny, bezpieczny i zgodny z wartościami organizacji oraz społeczeństwa.
Kategoria systemów AI zdefiniowana w AI Act, obejmująca aplikacje w krytycznych obszarach (np. edukacja, zatrudnienie, wymiar sprawiedliwości), które podlegają szczególnym wymogom dotyczącym jakości danych, dokumentacji, nadzoru ludzkiego i oceny zgodności.
Unijne rozporządzenie, które będzie stosowane od 12 września 2025 r., regulujące dostęp do danych przemysłowych i IoT. Kluczowe dla projektów AI opartych na danych z czujników.
Dyrektywa o bezpieczeństwie sieci i systemów informatycznych. Polska jest opóźniona w jej wdrożeniu, za co KE wszczęła postępowanie. Nakłada na firmy z sektorów kluczowych wymóg ochrony systemów (w tym AI) przed cyberatakami.
Rozporządzenie o cyfrowej odporności operacyjnej w sektorze finansowym, obowiązujące od 17 stycznia 2025 r.. Wymaga od instytucji finansowych testowania odporności systemów AI na awarie i ataki.
Standard opisowy (framework) dotyczący sztucznej inteligencji opartej na uczeniu maszynowym. Norma ta tworzy ramy opisu i kategoryzacji systemów AI/ML – definiuje ogólne komponenty systemu AI, ich funkcje i relacje. Jest to standard informacyjny, niecertyfikowalny – służy jako wspólny język i model referencyjny dla projektantów, audytorów i regulatorów, aby jednoznacznie opisać architekturę i elementy systemów AI.
Podejście projektowe zakładające aktywny udział człowieka w cyklu działania systemu AI, szczególnie przy podejmowaniu lub zatwierdzaniu decyzji. Ma na celu zapewnienie nadzoru ludzkiego i minimalizację błędów algorytmicznych.
Rozliczalność - zasada, zgodnie z którą organizacje i osoby odpowiedzialne za tworzenie i wdrażanie systemów AI powinny być identyfikowalne i mogą zostać pociągnięte do odpowiedzialności za ich działanie i skutki.
Przejrzystość algorytmiczna - praktyka ujawniania informacji o działaniu i podejmowaniu decyzji przez algorytmy AI, umożliwiająca użytkownikom zrozumienie, jak działa system i na jakiej podstawie podejmuje decyzje.
Wymóg RODO (art. 35) dla operacji wysokiego ryzyka, takich jak automatyczne podejmowanie decyzji czy profilowanie. Brak DPIA dla systemów AI przetwarzających dane osobowe może skutkować karą do 10 mln EUR.
Pierwszy międzynarodowy standard dotyczący systemów zarządzania sztuczną inteligencją (AI Management System). Zawiera wymagania dla organizacji, które chcą ustanowić, wdrożyć i doskonalić system zarządzania AI w sposób odpowiedzialny i zgodny z najlepszymi praktykami. Norma ta kładzie nacisk m.in. na etykę, transparentność, bezpieczeństwo, niwelowanie uprzedzeń algorytmicznych i odpowiedzialność w cyklu życia systemów AI.