Do czasu podpisania i ogłoszenia ustawy rozwiązania te nie są jednak obowiązującym prawem.
KRiBSI jako krajowy organ nadzoru nad AI
AI Act wymaga od państw członkowskich wyznaczenia co najmniej jednego organu nadzoru rynku i jednego organu notyfikującego oraz wskazania pojedynczego punktu kontaktowego. Polska ustawa powierza centralną rolę Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji, określanej skrótem KRiBSI. Ma być organem nadzoru rynku w zakresie systemów AI, a zarazem elementem współpracy z instytucjami unijnymi i innymi krajowymi regulatorami.
Nie oznacza to przejęcia wszystkich spraw przez jedną instytucję. W obszarach regulowanych nadal istotne będą kompetencje organów sektorowych, w tym Komisji Nadzoru Finansowego, Urzędu Ochrony Konkurencji i Konsumentów, Urzędu Komunikacji Elektronicznej, Krajowej Rady Radiofonii i Telewizji oraz Prezesa Urzędu Ochrony Danych Osobowych. Ustawa ma uporządkować podział zadań i współpracę, ale praktyczna skuteczność systemu będzie zależała od sprawnego przekazywania informacji oraz unikania sporów kompetencyjnych.
Kontrole systemów sztucznej inteligencji
Komisja ma prowadzić działania nadzorcze, wszczynać postępowania w sprawie naruszeń i wydawać decyzje administracyjne. Kontrola może dotyczyć nie tylko samego oprogramowania, lecz także dokumentacji, sposobu wykorzystania systemu, procedur nadzoru człowieka, danych wejściowych pozostających pod kontrolą podmiotu oraz reakcji na incydenty. AI Act rozdziela obowiązki między dostawcę, importera, dystrybutora i podmiot stosujący, dlatego przedmiotem oceny będzie rola konkretnej organizacji w łańcuchu dostaw.
Krajowy organ ma działać w ramach unijnego mechanizmu nadzoru rynku. Jeżeli system stwarza ryzyko dla zdrowia, bezpieczeństwa lub praw podstawowych, możliwe są środki prowadzące do usunięcia niezgodności, ograniczenia udostępniania, wycofania z rynku albo odzyskania produktu. Nawet system formalnie zgodny z wymaganiami może wymagać interwencji, jeżeli w praktyce stwarza ryzyko.
Skarga obywatela na działanie AI
Art. 85 AI Act daje każdej osobie fizycznej i prawnej prawo do złożenia skargi do właściwego organu nadzoru rynku, jeżeli istnieją podstawy do uznania, że doszło do naruszenia rozporządzenia. Polska ustawa ma ustanowić krajową procedurę obsługi takich zgłoszeń przez KRiBSI. Skarga nie jest tym samym co pozew o odszkodowanie. Jej celem jest uruchomienie nadzoru i doprowadzenie do zbadania zgodności praktyki z AI Act.
Obywatel może równolegle korzystać z innych środków. Jeśli sprawa dotyczy danych osobowych, właściwa może być skarga do Prezesa UODO. W relacji konsumenckiej znaczenie mają reklamacja, pomoc rzecznika konsumentów, działania UOKiK i droga sądowa. Przy dyskryminacji w zatrudnieniu zastosowanie znajdują przepisy prawa pracy. Nowa komisja nie zastąpi wszystkich tych instytucji ani nie będzie automatycznie przyznawała odszkodowania osobie dotkniętej błędem algorytmu.
Administracyjne kary za naruszenie AI Act
KRiBSI ma uczestniczyć w krajowym systemie nakładania sankcji przewidzianych w AI Act. Najwyższy unijny limit za naruszenie zakazanych praktyk wynosi do 35 mln euro albo do 7 proc. światowego rocznego obrotu przedsiębiorstwa. Za wskazane naruszenia obowiązków operatorów i przejrzystości grozi do 15 mln euro albo do 3 proc. obrotu, a za przekazanie organowi informacji nieprawidłowych, niepełnych lub wprowadzających w błąd do 7,5 mln euro albo do 1 proc. obrotu. Dla MŚP górnym limitem jest niższa, a nie wyższa z odpowiednich wartości.
Kary nie będą nakładane automatycznie. Organ ma oceniać charakter, wagę i czas trwania naruszenia, liczbę osób dotkniętych działaniem, poziom szkody, wielkość przedsiębiorcy, współpracę, umyślność i działania naprawcze. Ustawa krajowa określa procedurę, kompetencje i zasady działania organu, natomiast podstawowe maksymalne poziomy sankcji wynikają bezpośrednio z rozporządzenia unijnego.
Opinie indywidualne i większa pewność dla firm
Polskie rozwiązanie przewiduje możliwość występowania do Komisji o opinię indywidualną dotyczącą stosowania AI Act. Z instrumentu ma móc skorzystać podmiot już objęty obowiązkami lub planujący działanie, które może prowadzić do objęcia przepisami. Może to mieć znaczenie przy ocenie, czy konkretne rozwiązanie jest systemem AI, jaka jest rola przedsiębiorcy oraz czy zastosowanie mieści się w kategorii wysokiego ryzyka.
Opinia nie powinna być traktowana jak certyfikat pozwalający ignorować późniejsze zmiany systemu. Ocena dotyczy przedstawionego stanu faktycznego. Aktualizacja modelu, rozszerzenie źródeł danych, zmiana grupy użytkowników lub wykorzystanie wyniku do nowej decyzji może prowadzić do odmiennej kwalifikacji. Przedsiębiorca będzie musiał przekazać komisji rzetelny i kompletny opis, a nie marketingową charakterystykę narzędzia.
Piaskownice regulacyjne dla innowatorów
Ustawa reguluje również piaskownice AI, czyli kontrolowane środowiska, w których można rozwijać i testować innowacyjne systemy przy współpracy z organami. AI Act wymaga, aby każde państwo członkowskie zapewniło co najmniej jedną taką piaskownicę. Rozwiązanie ma ułatwić zrozumienie wymagań, identyfikację ryzyka i przygotowanie dokumentacji przed wejściem produktu na rynek.
Mikro-, mali i średni przedsiębiorcy mają korzystać z preferencji, w tym z dostępu do informacji i wsparcia dostosowanego do ich skali. Udział w piaskownicy nie znosi odpowiedzialności ani nie pozwala testować dowolnego systemu na ludziach bez zabezpieczeń. Testowanie w warunkach rzeczywistych podlega osobnym wymaganiom, w tym zasadom ochrony danych i, w odpowiednich przypadkach, świadomej zgodzie uczestników.
Ustawa na ostatnim etapie procesu
3 lipca Sejm przyjął większość poprawek Senatu i zakończył parlamentarny etap prac. Według stanu na 10 lipca ustawa oczekuje na decyzję prezydenta. Dopiero podpis, ogłoszenie i upływ przewidzianego okresu vacatio legis pozwolą mówić o obowiązujących krajowych rozwiązaniach. Sam AI Act jest rozporządzeniem i obowiązuje bezpośrednio, dlatego brak działającego krajowego organu nie usuwa obowiązków przedsiębiorców wynikających z prawa unijnego.
Źródła
- Ustawa z 3 lipca 2026 r. o systemach sztucznej inteligencji – tekst ustalony po rozpatrzeniu poprawek Senatu, druk sejmowy nr 2443.
- Sejm Rzeczypospolitej Polskiej, przebieg prac nad drukiem nr 2443.
- Ministerstwo Cyfryzacji, informacja o projekcie ustawy przyjętym przez Radę Ministrów 31 marca 2026 r.
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689, w szczególności art. 70, art. 74–85 i art. 99.
- Urząd Ochrony Danych Osobowych, uwagi do projektu ustawy o systemach sztucznej inteligencji.
Współpracował z Wirtualną Polską, Wprost, Zieloną Interią. Komentuje wydarzenia polityczne dla Polskiego Radia. Zajmuje się polityką międzynarodową i krajową na łamach Gazety Prawnej. Pasjonat technologii i nauki.
