Jednostka Komisji Europejskiej odpowiedzialna za nadzór i egzekwowanie przepisów dotyczących modeli ogólnego przeznaczenia (GPAI) oraz koordynację stosowania AI Act w skali UE. Wspiera spójność praktyki krajowych organów i prowadzi działania w zakresie kodeksów postępowania.

Załącznik do AI Act wymieniający obszary zastosowań kwalifikowane jako wysokie ryzyko, m.in. biometria, infrastruktura krytyczna, edukacja, zatrudnienie, dostęp do usług publicznych, ściganie przestępstw, migracja i wymiar sprawiedliwości. System z tych obszarów co do zasady podlega zaostrzonym obowiązkom zgodności.

Przepis nakładający obowiązki informacyjne wobec użytkowników, m.in. ujawnienie, że osoba wchodzi w interakcję z systemem AI oraz oznaczanie treści generowanych lub manipulowanych przez AI (w tym deepfake). Celem jest zapewnienie świadomości odbiorcy co do udziału AI.

Model AI o szerokim zakresie zastosowań, zdolny do wykonywania wielu różnych zadań i wbudowywany w liczne systemy lub aplikacje (np. duże modele językowe). AI Act przewiduje dla GPAI odrębne obowiązki, a dla modeli o tzw. ryzyku systemowym — obowiązki dodatkowe.

Niezależny podmiot oceniający zgodność, wyznaczony i zgłoszony (notyfikowany) przez państwo członkowskie do przeprowadzania oceny zgodności określonych systemów AI wysokiego ryzyka. Uczestniczy w procedurach wymagających udziału strony trzeciej, zanim system trafi na rynek.

Sankcje administracyjne przewidziane za naruszenie AI Act, ze stawkami zależnymi od rodzaju naruszenia. Najwyższe pułapy dotyczą stosowania praktyk zakazanych (do 35 mln EUR lub do 7% rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa); za inne naruszenia przewidziano niższe progi. Dokładny wymiar ustala właściwy organ.

Działania właściwych organów krajowych polegające na kontroli systemów AI już obecnych na rynku, weryfikacji zgodności, badaniu skarg oraz nakładaniu środków naprawczych. Obejmuje uprawnienia do żądania dokumentacji, ograniczenia, wycofania lub zakazu udostępniania systemu.

Procedura wykazania, że system AI spełnia wymogi AI Act przed wprowadzeniem do obrotu lub oddaniem do użytku. W zależności od kategorii może opierać się na kontroli wewnętrznej dostawcy albo wymagać udziału jednostki notyfikowanej; jej pozytywny wynik jest podstawą deklaracji zgodności i oznakowania CE.

Krajowy organ odpowiedzialny za ustanowienie i przeprowadzenie procedur oceny i wyznaczania jednostek oceniających zgodność oraz za ich notyfikację i monitorowanie. To organ, który formalnie „zgłasza" (notyfikuje) jednostki notyfikowane.

Oznaczenie umieszczane na systemie AI wysokiego ryzyka wskazujące, że zadeklarowano jego zgodność z mającymi zastosowanie wymogami UE. Co do zasady jest warunkiem udostępnienia takiego systemu na rynku unijnym i wiąże się z istnieniem deklaracji zgodności oraz dokumentacji technicznej.

Kontrolowane środowisko ustanawiane przez właściwe organy, umożliwiające rozwój, testowanie i walidację innowacyjnych systemów AI przez ograniczony czas, pod nadzorem regulatora i według uzgodnionego planu. Ma ułatwiać zgodność i innowacje; AI Act przewiduje, że każde państwo członkowskie zapewni dostęp do co najmniej jednej takiej piaskownicy.

AI Act stosuje podejście oparte na ryzyku, rozróżniając poziomy: niedopuszczalne (praktyki zakazane), wysokie (zaostrzone obowiązki), ograniczone (głównie obowiązki transparentności) oraz minimalne (brak szczególnych obowiązków). Kategoria wyznacza zakres wymogów wobec systemu.

Najwyższy poziom ryzyka, obejmujący praktyki AI zakazane w UE, np. określone formy manipulacji wykorzystującej podatności, scoring społeczny czy określone zastosowania identyfikacji biometrycznej. Systemów z tej kategorii co do zasady nie wolno wprowadzać na rynek ani stosować.

Kategoria systemów AI mogących istotnie wpływać na zdrowie, bezpieczeństwo lub prawa podstawowe (m.in. obszary z Aneksu III oraz systemy będące komponentem bezpieczeństwa produktów). Podlega zaostrzonym wymogom: zarządzaniu ryzykiem, jakości danych, dokumentacji, nadzorowi człowieka, ocenie zgodności i rejestracji.

Systemy AI, dla których przewidziano przede wszystkim obowiązki w zakresie transparentności (np. informowanie, że użytkownik rozmawia z chatbotem, oznaczanie treści generowanych przez AI). Poza tym nie podlegają one zaostrzonym wymogom właściwym dla wysokiego ryzyka.

Systemy AI niskiego ryzyka (np. typowe filtry antyspamowe czy mechanizmy w grach), dla których AI Act co do zasady nie wprowadza szczególnych obowiązków prawnych. Dla tej kategorii zachęca się do dobrowolnego stosowania kodeksów postępowania.

Zgodnie z definicją AI Act, system maszynowy zaprojektowany do działania z różnym poziomem autonomii, który na podstawie otrzymanych danych wejściowych generuje wyniki (np. predykcje, rekomendacje lub decyzje) wpływające na środowisko fizyczne lub wirtualne. Definicja jest celowo szeroka i niezależna od konkretnej technologii.

Asset-Referenced Token — kryptoaktywo, które ma utrzymywać stabilną wartość przez powiązanie z koszykiem aktywów, kilkoma walutami, towarami lub innymi kryptoaktywami (lub ich kombinacją). MiCA przewiduje dla emitentów ART szczególne wymogi autoryzacyjne i ostrożnościowe.

Wymóg uzyskania zezwolenia właściwego organu na świadczenie usług w zakresie kryptoaktywów (jako CASP) lub na emisję określonych tokenów (ART/EMT). Bez stosownej autoryzacji prowadzenie działalności objętej MiCA jest co do zasady niedozwolone.

Crypto-Asset Service Provider — podmiot świadczący zawodowo usługi związane z kryptoaktywami, np. prowadzenie platformy obrotu, przechowywanie i administrowanie aktywami klientów, wymiana, wykonywanie zleceń czy doradztwo. Działalność CASP wymaga autoryzacji i podlega nadzorowi.

Organ UE pełniący istotną rolę nadzorczą w ramach MiCA, w szczególności wobec emitentów tokenów znaczących (significant ART/EMT). Współtworzy standardy techniczne i wytyczne dotyczące tokenów powiązanych z aktywami oraz e-pieniądza.

E-Money Token — kryptoaktywo, którego celem jest utrzymanie stabilnej wartości przez powiązanie z jedną walutą urzędową. MiCA traktuje EMT zbliżenie do pieniądza elektronicznego; ich emisja jest co do zasady zastrzeżona dla uprawnionych instytucji (np. instytucji kredytowych lub pieniądza elektronicznego).

Organ UE współodpowiedzialny za stosowanie MiCA, m.in. za standardy techniczne, wytyczne oraz prowadzenie rejestrów (np. CASP). Współpracuje z EBA i organami krajowymi w zakresie nadzoru nad rynkiem kryptoaktywów.

Czas pozwalający podmiotom działającym przed pełnym stosowaniem MiCA na dostosowanie się do nowych wymogów, np. przez kontynuację działalności do uzyskania autoryzacji w wyznaczonym terminie. Szczegóły (długość, warunki) zależą od krajowej implementacji i decyzji państwa członkowskiego.

Dokument, który emitent zasadniczo musi sporządzić i — w zależności od rodzaju tokenu — opublikować bądź zgłosić przed oferowaniem kryptoaktywa lub jego dopuszczeniem do obrotu. Zawiera m.in. opis emitenta, projektu, praw, ryzyk oraz technologii; jego treść podlega wymogom rzetelności i braku wprowadzania w błąd.

Naczelna zasada metodologiczna portalu: żadne twierdzenie nie może wykraczać poza poziom poparcia go dowodem. Jeśli brak dowodu, twierdzenie nie jest podnoszone jako fakt, lecz oznaczane jako luka. Zasada porządkuje rozróżnienie między tym, co wykazane, a tym, co deklarowane.

Oznaczenie sytuacji, w której dla danego twierdzenia nie istnieje (lub nie pozyskano) dowodu. W metodologii K0NSULT GAP traktuje się jako brak danych, a nie jako potwierdzenie tezy — „brak danych = GAP, nie fakt". Wskazuje obszar wymagający weryfikacji.

Wymóg zapewnienia, by system AI pozostawał pod skutecznym nadzorem osób fizycznych, które mogą rozumieć jego działanie, interpretować wyniki oraz w razie potrzeby interweniować lub go zatrzymać. Ma ograniczać ryzyka dla zdrowia, bezpieczeństwa i praw podstawowych, zwłaszcza w systemach wysokiego ryzyka.

Prowadzony przez portal wykaz agentów AI uczestniczących w procesach (np. weryfikacji, korespondencji, analizy), wraz z ich rolą i statusem. Służy przejrzystości i rozliczalności — pozwala wskazać, który agent wykonywał daną czynność.

Oznaczenie, że dany element jest wdrożony i potwierdzony aktualnym dowodem (działa „na żywo"). W ramach zasady claim ≤ proof status LIVE przysługuje wyłącznie temu, co rzeczywiście funkcjonuje i jest poparte dowodem.

Oznaczenie, że dla danego elementu istnieją zebrane dane lub materiał źródłowy, choć niekoniecznie odpowiada to w pełni funkcjonującemu wdrożeniu „na żywo". Wskazuje na obecność podstawy informacyjnej.

Oznaczenie elementu planowanego lub będącego w przygotowaniu, dla którego brak jeszcze pełnego dowodu wdrożenia. Komunikuje zamiar rozwojowy, a nie stan dokonany — zgodnie z rozróżnieniem między wizją a tym, co LIVE.

Udokumentowany łańcuch materiałów (źródeł, zrzutów, dokumentów, znaczników czasu) pozwalający odtworzyć podstawę danego twierdzenia. Umożliwia weryfikację „od twierdzenia do dowodu" i wzmacnia rozliczalność publikowanych informacji.

Stałe zastrzeżenie portalu: publikowane materiały nie stanowią certyfikacji, nie są opinią jednostki notyfikowanej ani konkluzją prawną. Określa granice statusu informacji — charakter informacyjno-badawczy, nie urzędowy ani rozstrzygający.

Computer Security Incident Response Team — zespół odpowiedzialny za przyjmowanie zgłoszeń, obsługę i koordynację reagowania na incydenty cyberbezpieczeństwa. W krajowym systemie cyberbezpieczeństwa funkcjonują wyznaczone CSIRT-y o określonych właściwościach.

Data Protection Impact Assessment — ocena skutków planowanego przetwarzania dla ochrony danych osobowych, wymagana zwłaszcza gdy przetwarzanie może powodować wysokie ryzyko dla praw i wolności osób. Pozwala zidentyfikować i ograniczyć ryzyka przed rozpoczęciem przetwarzania (art. 35 RODO).

Zdarzenie naruszające lub zagrażające bezpieczeństwu informacji bądź ciągłości usług — w obszarze danych osobowych może to być naruszenie ochrony danych (np. nieuprawniony dostęp lub utrata), w obszarze cyber — zdarzenie zakłócające bezpieczeństwo systemów. Z incydentem mogą wiązać się obowiązki zgłoszeniowe wobec właściwego organu.

Data Protection Authority — niezależny organ nadzorczy odpowiedzialny za stosowanie przepisów o ochronie danych osobowych (w Polsce: Prezes Urzędu Ochrony Danych Osobowych). Rozpatruje skargi, prowadzi postępowania i może nakładać kary za naruszenia RODO.