2 sierpnia 2025 r. wchodzi w życie druga faza stosowania przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 – znanego szerzej jako AI Act. Tym razem na celowniku znajdują się przede wszystkim modele ogólnego przeznaczenia (GPAI), systemy wysokiego ryzyka oraz krajowe organy odpowiedzialne za nadzór nad AI. To punkt zwrotny dla firm i instytucji działających na europejskim rynku sztucznej inteligencji.
GPAI – nowe obowiązki dla dostawców modeli
General Purpose AI to modele, które nie zostały stworzone do jednego konkretnego zadania. Ich elastyczność oznacza też większą odpowiedzialność. Od 2 sierpnia 2025 r. każdy podmiot, który:
- opracowuje GPAI lub zleca jego opracowanie,
- udostępnia go na rynku UE (nawet niekomercyjnie, np. w repozytorium open source),
- modyfikuje cudzy model i rozpowszechnia go dalej jako własny,
będzie musiał spełnić szereg wymagań zawartych w art. 53–55 AI Act.
Do najważniejszych obowiązków należą:
- przygotowanie dokumentacji technicznej modelu (zgodnej z załącznikiem XI),
- streszczenie danych treningowych – czyli zestaw informacji na temat źródeł danych użytych do trenowania modelu,
- polityka praw autorskich – dostawca musi potwierdzić, że korzystał z treści legalnie i zgodnie z prawem UE.
W przypadku modeli uznanych za systemowo ryzykowne (np. największe generatywne LLM-y), dodatkowo dochodzą:
- analiza i zarządzanie ryzykiem,
- niezależne testy w zakresie bezpieczeństwa,
- monitoring wpływu modelu na prawa podstawowe.
Kodeks postępowania – pomoc w spełnianiu wymagań
10 lipca 2025 r. Komisja Europejska opublikowała finalną wersję Kodeksu Postępowania dla GPAI, opracowanego wspólnie z interesariuszami branżowymi. To narzędzie dobrowolne, ale mocno zalecane – podpisanie kodeksu może ograniczyć biurokrację i zwiększyć pewność prawną dla dostawców.
Kodeks dzieli się na trzy rozdziały:
- Transparentność – zawiera formularz dokumentacji modelu do wypełnienia,
- Prawo autorskie – podpowiada, jak wdrożyć politykę zgodną z regulacjami UE,
- Bezpieczeństwo – dotyczy jedynie modeli systemowo ryzykownych.
Pozostała część artykułu pod materiałem wideo:
Systemy wysokiego ryzyka – obowiązkowy rejestr i testy
Od sierpnia rusza także art. 49–54 AI Act, czyli zestaw wymagań dla systemów wysokiego ryzyka. Dotyczy to m.in. AI stosowanej w zatrudnianiu, edukacji, sądownictwie czy infrastrukturze krytycznej. Nowe obowiązki?
- Rejestracja w unijnej bazie danych – zanim system trafi do użytkownika,
- Zgłoszenie testów w rzeczywistych warunkach – wraz z planem, oceną ryzyka i obowiązkiem raportowania wyników.
Bez tego ani rusz – system uznany za high-risk bez spełnienia tych warunków będzie uznany za nielegalny.
Obowiązki państw członkowskich
Również kraje UE nie mogą zostać w tyle. Do 2 sierpnia 2025 r. muszą:
- wyznaczyć organy notyfikujące i jednostki oceniające zgodność,
- zgłosić punkt kontaktowy (Single Point of Contact),
- złożyć pierwszy raport o zasobach (kadrowych, finansowych, technicznych) potrzebnych do egzekwowania AI Act,
- transponować system kar do prawa krajowego i poinformować Komisję.
Poufność informacji i kary
Od sierpnia obowiązuje również art. 78 AI Act, który nakłada ścisłe wymagania poufności na Komisję, państwa członkowskie i jednostki notyfikowane. Dane techniczne, takie jak kod źródłowy, mogą być chronione przed ujawnieniem – chyba że zachodzi nadrzędny interes publiczny.
Jeśli zaś chodzi o kary, to ich wysokość przyprawia o zawrót głowy:
- do 35 mln euro lub 7% globalnego obrotu – za stosowanie zakazanych praktyk,
- do 15 mln euro lub 3% obrotu – za niespełnienie wymogów GPAI i systemów high-risk,
- do 7,5 mln euro lub 1% obrotu – za wprowadzanie organów w błąd.
Co z istniejącymi modelami?
Jest jedno istotne złagodzenie: obowiązki nie działają wstecz. Jeśli GPAI trafił na rynek przed 2 sierpnia 2025 r., nie trzeba „oduczać” go danych ani powtarzać treningu – ale nowe wersje modelu lub jego modyfikacje już muszą spełniać pełen zestaw wymogów.
Sierpniowy etap AI Act to coś więcej niż formalność. To moment, w którym UE przechodzi od zapowiedzi do egzekwowania. Jeśli Twoja organizacja korzysta z modeli ogólnego przeznaczenia lub systemów wysokiego ryzyka – nie ma już miejsca na improwizację. To nie rewolucja, to obowiązek. A jak wiadomo, z obowiązkiem nie warto się spóźniać.
Czytaj dalej: