Autor: Piotr Eisenmann, Ekspert ds. ochrony danych osobowych Perfectinfo sp. z o.o.
Za naruszenie AI Act organizacjom grożą kary finansowe sięgające 35 milionów euro lub 7% rocznego globalnego obrotu, co jest stawką wyższą niż w RODO. Obie regulacje mogą być stosowane jednocześnie, zwłaszcza przy przetwarzaniu danych biometrycznych, co prowadzi do ryzyka kumulacji sankcji i podwójnej odpowiedzialności prawnej.
Kary w AI Act – trójstopniowy system sankcji
Rozporządzenie AI Act wprowadza trzy progi kar finansowych, zależne od wagi naruszenia. Najwyższe sankcje, sięgające 35 mln euro lub 7% globalnego obrotu, dotyczą stosowania zakazanych praktyk AI. Niższe progi obowiązują za niezgodność systemów wysokiego ryzyka oraz inne uchybienia proceduralne, takie jak brak przejrzystej dokumentacji.
Rozporządzenie w sprawie sztucznej inteligencji, które weszło w życie 1 sierpnia 2024 roku, ustanowiło zharmonizowane ramy prawne dla AI na terenie Unii Europejskiej. Chociaż kluczowe obowiązki dla dostawców i użytkowników systemów wysokiego ryzyka zaczną w pełni obowiązywać dopiero 2 sierpnia 2026 roku, niektóre przepisy, jak te dotyczące zakazanych praktyk, były skuteczne już od 2 lutego 2025 roku. Organy krajowe, a w niektórych przypadkach Komisja Europejska, będą odpowiedzialne za egzekwowanie przepisów. Struktura kar została zaprojektowana tak, aby sankcje były nie tylko dotkliwe, ale również proporcjonalne do skali naruszenia:
Do 35 mln EUR lub 7% globalnego rocznego obrotu za stosowanie zakazanych systemów AI (zgodnie z art. 5 AI Act), takich jak systemy scoringu społecznego czy manipulacji behawioralnej.
Do 15 mln EUR lub 3% globalnego rocznego obrotu za naruszenie obowiązków dotyczących systemów AI wysokiego ryzyka (np. brak oceny ryzyka, niewdrożenie nadzoru ludzkiego, niedostateczna jakość danych).
Do 7,5 mln EUR lub 1,5% globalnego rocznego obrotu za dostarczenie nieprawdziwych informacji organom nadzorczym lub inne naruszenia obowiązków informacyjnych.
Należy podkreślić, że w każdym przypadku zastosowanie będzie miała kwota wyższa, co stanowi istotne ryzyko finansowe, szczególnie dla dużych organizacji międzynarodowych.
AI Act fundamentalnie zmienia optykę. Zarządzanie ryzykiem związanym ze sztuczną inteligencją przestaje być domeną działów IT, a staje się strategicznym obowiązkiem zarządu. Organizacje, które potraktują to jako kolejne biurokratyczne obciążenie, a nie szansę na budowę zaufania, w perspektywie kilku lat poniosą nie tylko straty finansowe, ale przede wszystkim wizerunkowe.
— Paweł Maliszewski, Prezes Zarządu Perfectinfo sp. z o.o.
AI Act a RODO – Ryzyko podwójnej odpowiedzialności
Gdy system AI przetwarza dane osobowe, organizacja musi spełniać wymogi zarówno AI Act, jak i RODO. Naruszenie przepisów w takim scenariuszu, na przykład przy użyciu AI do analizy biometrycznej, może skutkować nałożeniem dwóch niezależnych kar – jednej przez organ nadzorczy ds. AI, drugiej przez Urząd Ochrony Danych Osobowych (UODO).
Kumulacja odpowiedzialności jest jednym z największych wyzwań prawnych nadchodzących lat. System AI wykorzystywany w procesie rekrutacji, który analizuje mimikę kandydatów (rozpoznawanie emocji – praktyka wysokiego ryzyka, a w kontekście zatrudnienia zakazana), będzie podlegał ocenie z perspektywy obu aktów prawnych. Nawet jeśli globalne kary za naruszenia RODO w 2024 roku wyniosły, według dostępnych analiz, ponad 4 miliardy euro, AI Act wprowadza nową, równoległą ścieżkę egzekwowania prawa.
Porównanie kluczowych aspektów AI Act i RODO
Aspekt AI Act (Rozporządzenie ws. Sztucznej Inteligencji) RODO (Ogólne Rozporządzenie o Ochronie Danych) Główny cel Regulacja projektowania, wprowadzania i używania systemów AI w oparciu o poziom ryzyka dla praw podstawowych. Ochrona praw i wolności osób fizycznych w związku z przetwarzaniem ich danych osobowych. Maksymalne kary Do 35 mln EUR lub 7% globalnego rocznego obrotu. Do 20 mln EUR lub 4% globalnego rocznego obrotu. Organ nadzorczy (w Polsce) Wyznaczony krajowy organ nadzorczy (oczekuje na formalne ustanowienie). Urząd Ochrony Danych Osobowych (UODO). Zakres terytorialny Eksterytorialny – dotyczy dostawców i użytkowników AI w UE lub gdy wyniki działania AI dotyczą osób w UE. Eksterytorialny – dotyczy podmiotów przetwarzających dane osób w UE.
Największe ryzyko leży na styku obu regulacji. System AI klasyfikowany jako wysokiego ryzyka, który jednocześnie przetwarza dane szczególnych kategorii, np. dane biometryczne, tworzy dla organizacji podwójne pole minowe. Błąd w ocenie skutków dla ochrony danych (DPIA) może być jednocześnie naruszeniem obowiązku zarządzania ryzykiem w AI Act, co otwiera drogę do dwóch postępowań administracyjnych.
— Karolina Pudło, Ekspert ds. ochrony danych osobowych
Więcej niż kary finansowe: Ukryte koszty niezgodności
Niezgodność z AI Act i RODO generuje ryzyka wykraczające poza grzywny finansowe. Organizacje mogą stracić licencje na działalność, zostać wykluczone z zamówień publicznych, a także ponieść straty wizerunkowe. Dodatkowo rośnie ryzyko roszczeń cywilnych od osób poszkodowanych przez działanie systemów AI.
Sankcje administracyjne to tylko wierzchołek góry lodowej. Prawdziwe koszty braku zgodności mogą okazać się znacznie wyższe i obejmować m.in.:
Sankcje rynkowe: Wycofanie produktu z rynku lub nakaz wstrzymania świadczenia usługi opartej na niezgodnym systemie AI.
Wykluczenie z przetargów: Instytucje publiczne będą wymagały certyfikacji zgodności z AI Act, co może zamknąć drogę do lukratywnych kontraktów.
Odpowiedzialność cywilna: Osoby, które poniosły szkodę w wyniku dyskryminującego działania algorytmu (np. niesłuszne odrzucenie wniosku kredytowego), będą mogły dochodzić odszkodowań na drodze sądowej.
Utrata reputacji: Informacja o nałożeniu kary, szczególnie w obszarze tak wrażliwym jak AI, może trwale zniszczyć zaufanie klientów i partnerów biznesowych. Nasz audyt z końca 2025 roku wykazał, że ponad 70% badanych podmiotów nie rozpoczęło jeszcze formalnej oceny ryzyka dla używanych narzędzi AI, co wskazuje na niską świadomość tych zagrożeń.
Jak przygotować organizację na AI Act przed sierpniem 2026?
Kluczem do zgodności jest wdrożenie wewnętrznych ram zarządzania AI (AI Governance) przed 2 sierpnia 2026 r. Należy zmapować używane systemy AI, ocenić ich poziom ryzyka, wdrożyć nadzór ludzki oraz przygotować wymaganą dokumentację techniczną, szczególnie dla systemów wysokiego ryzyka.
Aby uniknąć kar i zminimalizować ryzyko, organizacje powinny podjąć ustrukturyzowane działania już teraz. Poniższa lista kontrolna stanowi praktyczny plan wdrożeniowy:
Inwentaryzacja i mapowanie AI: Stwórz i utrzymuj rejestr wszystkich systemów i narzędzi AI używanych w organizacji. Zidentyfikuj ich dostawców, cele biznesowe oraz kategorie przetwarzanych danych.
Klasyfikacja ryzyka: Oceń każdy system AI pod kątem definicji z AI Act. Ustal, które systemy są zakazane, które mają wysokie ryzyko, a które niskie. Szczególną uwagę zwróć na narzędzia wykorzystywane w HR, finansach, infrastrukturze krytycznej i organach ścigania.
Analiza luk i wdrożenie mechanizmów kontrolnych: Dla systemów wysokiego ryzyka zidentyfikuj braki w stosunku do wymogów AI Act (np. brak systemu zarządzania ryzykiem, niewystarczająca cyberodporność, brak logów). Opracuj plan ich wdrożenia.
Przygotowanie dokumentacji technicznej: Zacznij gromadzić i tworzyć wymaganą dokumentację, w tym opisy funkcjonalności systemu, zastosowanych danych treningowych oraz instrukcje dla użytkowników.
Szkolenie zespołów: Przeszkól osoby odpowiedzialne za wdrażanie, nadzorowanie i używanie systemów AI z nowych obowiązków, w tym dotyczących nadzoru ludzkiego i monitorowania incydentów.
Podsumowanie: Kluczowe kroki do zgodności
Zbliżający się termin pełnego stosowania AI Act, 2 sierpnia 2026 r., wymaga od organizacji natychmiastowego działania. Kary, znacznie przewyższające te znane z RODO, oraz ryzyko kumulacji odpowiedzialności sprawiają, że ignorowanie nowych przepisów jest strategią nie do przyjęcia. Proaktywne podejście jest jedynym sposobem na zabezpieczenie działalności.
Zidentyfikuj i sklasyfikuj systemy AI w swojej organizacji, aby zrozumieć, które z nich podlegają najsurowszym regulacjom.
Nie czekaj na ostatnią chwilę. Wdrożenie ram zarządzania AI jest procesem złożonym i czasochłonnym – rozpocznij go już dziś.
Traktuj zgodność z AI Act i RODO jako integralny element strategii biznesowej, a nie tylko zadanie dla działu prawnego czy IT.
Pamiętaj o ryzykach pozafinansowych, takich jak utrata reputacji czy wykluczenie z rynku, które mogą być równie dotkliwe jak grzywny.
Jakie są maksymalne kary finansowe za naruszenie AI Act?
Za naruszenie AI Act grożą kary finansowe sięgające 35 milionów euro lub 7% całkowitego rocznego światowego obrotu firmy. Wysokość sankcji jest uzależniona od wagi naruszenia i podzielona na trzy progi.
Czy kary przewidziane w AI Act są wyższe niż w RODO?
Tak, maksymalne kary finansowe w AI Act są wyższe niż te określone w RODO. Najwyższy próg sankcji w AI Act to 35 mln euro lub 7% globalnego obrotu, co jest stawką wyższą niż w przypadku RODO.
Za jakie konkretne naruszenia grożą najwyższe kary?
Najwyższe kary, do 35 mln euro lub 7% obrotu, grożą za stosowanie zakazanych systemów AI. Przykłady takich systemów to te służące do scoringu społecznego lub manipulacji behawioralnej.
Czy firma może zostać ukarana jednocześnie z AI Act i RODO?
Tak, obie regulacje mogą być stosowane jednocześnie, co prowadzi do ryzyka kumulacji sankcji i podwójnej odpowiedzialności prawnej. Taka sytuacja może wystąpić zwłaszcza przy przetwarzaniu danych biometrycznych.
Od kiedy zaczną obowiązywać przepisy AI Act?
Rozporządzenie weszło w życie 1 sierpnia 2024 roku, jednak jego przepisy wchodzą w życie etapami. Na przykład, zakazane praktyki będą sankcjonowane od 2 lutego 2025 roku, a kluczowe obowiązki dla systemów wysokiego ryzyka zaczną w pełni obowiązywać od 2 sierpnia 2026 roku.
Jakie są kary za uchybienia dotyczące systemów AI wysokiego ryzyka?
Za naruszenie obowiązków dotyczących systemów AI wysokiego ryzyka, np. brak oceny ryzyka czy niedostateczną jakość danych, grożą kary do 15 milionów euro lub 3% globalnego rocznego obrotu. Jest to drugi próg kar określony w rozporządzeniu.
Kto będzie egzekwował przepisy AI Act i nakładał kary?
Odpowiedzialność za egzekwowanie przepisów i nakładanie kar spoczywa na organach krajowych. W niektórych przypadkach w proces ten może być zaangażowana również Komisja Europejska.