Przepisy, pojęcia, FAQ i ścieżki compliance dla systemów AI w Polsce i UE. Aktualizowane na bieżąco, wersjonowane, z datą.
AI Act
Rozporządzenie UE 2024/1689 · w mocy od 01.08.2024
Kompleksowe ramy prawne dla systemów AI w UE. Kategoryzacja ryzyka, obowiązki dostawców i wdrażających, sankcje do 35 mln EUR / 7% obrotu.
RODO
Rozporządzenie UE 2016/679 · obowiązuje od 25.05.2018
Ochrona danych osobowych. W kontekście AI: zakaz profilowania bez zgody (art. 22), obowiązkowe DPIA (art. 35), prawa podmiotów danych.
KPA
Kodeks postępowania administracyjnego · Dz.U. 1960 nr 30 poz. 168
Podstawa prawna decyzji administracyjnych. Art. 107 — wymóg uzasadnienia decyzji. Kluczowy przy decyzjach wspomaganych AI.
KSC
Ustawa o krajowym systemie cyberbezpieczeństwa · Dz.U. 2018 poz. 1560
Bezpieczeństwo systemów IT/AI w operatorach usług kluczowych. Wymagania dla systemów AI używanych w infrastrukturze krytycznej.
PZP
Prawo zamówień publicznych · Dz.U. 2019 poz. 2019
Zamówienia na systemy AI przez instytucje publiczne. Wymogi dotyczące specyfikacji technicznych, audytu i odpowiedzialności dostawcy.
KC art. 417
Kodeks Cywilny · odpowiedzialność Skarbu Państwa
Podstawa dochodzenia odszkodowania od organów publicznych za szkodę wyrządzoną niezgodnym z prawem działaniem systemu AI.
AI ActRozporządzenie UE 2024/1689 — ramy prawne dla AI w UE
System AI wysokiego ryzykaSystemy z Annex III AI Act: rekrutacja, biometria, edukacja, infrastruktura krytyczna, wymiar sprawiedliwości
DPIAData Protection Impact Assessment — Ocena Skutków dla Ochrony Danych (RODO art. 35)
EUDBEU AI Database — unijny rejestr systemów AI wysokiego ryzyka
Human-in-the-loopWymóg udziału człowieka w decyzjach systemu AI (AI Act art. 26 ust. 5)
Claim ≤ proofZasada K0NSULT: twierdzimy tylko tyle, ile możemy udowodnić
GAPLuka dowodowa — brak danych potwierdzających twierdzenie (nie = fałsz)
XAIExplainable AI — wyjaśnialna AI; wymóg dla systemów wysokiego ryzyka
Czy muszę rejestrować system AI w EUDB?
Tak — jeśli system kwalifikuje się jako wysokiego ryzyka (Annex III AI Act). Obowiązek rejestracji spoczywa na dostawcy. Wdrażający powinien zweryfikować rejestrację przed wdrożeniem.
Co to jest DPIA i kiedy jest wymagane?
DPIA (Ocena Skutków dla Ochrony Danych) jest wymagana gdy przetwarzanie danych "może powodować wysokie ryzyko" (RODO art. 35). Systemy AI profilujące, analizujące biometrię lub podejmujące decyzje w sprawach publicznych — prawie zawsze wymagają DPIA.
Jakie są kary za naruszenie AI Act?
Do 35 mln EUR lub 7% globalnego obrotu (naruszenia art. 5 — zakazy bezwzględne). Do 15 mln EUR lub 3% obrotu — inne naruszenia. Organy publiczne: kary mogą być niższe, ale też stosowane.
Portal nie stanowi certyfikacji — co to oznacza?
K0NSULT nie jest jednostką notyfikowaną w rozumieniu AI Act. Nasze oceny są analizami badawczymi opartymi o dostępne dane (claim ≤ proof). Certyfikacja wymagana przez AI Act musi być przeprowadzona przez akredytowane jednostki notyfikowane.