Zanim się obejrzysz skończy się maj, zacznie czerwiec i zawita beztroskie lato. Dla wielu przedsiębiorców ten okres wcale nie musi być równie beztroski, ponieważ wtedy już zostanie zaledwie kilka tygodni na porządki, jakie należy koniecznie wykonać przed 2 sierpnia 2026 r. Jeśli Twoja firma używa w jakimkolwiek stopniu narzędzi AI, powinieneś dokonać ich dokładnej analizy i póki trwa maj zabrać się za, nieco co spóźnione, ale wiosenne porządki, żeby przygotować swoją firmę do nowych wytycznych AI i RODO.
Podpowiada Kancelaria Adwokacka Pałucki & Szkutnik z Krakowa
Jakie przepisy wchodzą 2 sierpnia 2026 r.?
2 sierpnia 2026 r. stanowi istotną datę dla przedsiębiorców z branży HR, outsourcingu, agencji pracy tymczasowych, e-commerce, fintech, medtech, którzy stosują w swoich firmach systemy AI. To właśnie wtedy wchodzi w życie kolejny etap przepisów AI Act dotyczących obowiązków związanych z systemami wysokiego ryzyka czy transparentności (art. 50 AI Act). Te drugie szczególnie wiążą się z RODO.
Obowiązki dotyczące systemów wysokiego ryzyka są opisane w art. 6 AI Act oraz w Załącznikach I i III, przy czym w art. 6 zawarty został kluczowy wyjątek w postaci mechanizmu samooceny. System nie zostanie uznany za wysokiego ryzyka, jeśli nie powoduje istotnego zagrożenia dla zdrowia, bezpieczeństwa lub praw podstawowych oraz nie wpływa znacząco na podejmowane decyzje. W praktyce oznacza to konieczność indywidualnej oceny każdego rozwiązania AI.
W powietrzu unosi się nadchodzący powoli Cyfrowy Omnibus
Digital Omnibus jest przygotowywanym przez Parlament Europejski pakietem deregulacyjnym, który ma uprościć i ujednolić przepisy dotyczące cyberbezpieczeństwa i prywatności. Termin wprowadzenia Digital Omnibus nie jest jeszcze znany, ale warto wspomnieć, że wiąże się z propozycją PE o odroczeniu części obowiązków dla systemów wysokiego ryzyka na koniec 2027 r. (data wynikająca z aktualnej wersji projektu).
Propozycje Cyfrowego Omnibusa wiążą się m.in. z wprowadzeniem uproszczeń w kontekście AI Act dla małych i średnich przedsiębiorstw czy ułatwieniem zgodności z przepisami o ochronie danych – firmy mogłyby przetwarzać wrażliwe dane w systemach AI, aby wykrywać i ograniczać stronniczość, pod warunkiem zastosowania odpowiednich zabezpieczeń.
Jak się ma RODO do AI Act?
RODO oraz AI Act stosuje się w podobnych obszarach działalności firmy, jednak nie oznacza to, że jedno mogłoby zastąpić drugie. Obydwa rozporządzenia są osobnymi porządkami prawnymi i obowiązują zupełnie samodzielnie. Zatem dokonanie naruszenia, które wiąże się z którymikolwiek przepisami RODO oraz AI Act, będzie skutkowało nałożeniem dwóch osobnych kar – jednej ze strony RODO, drugiej ze strony AI Act.
Kto powinien dostosować regulaminy przed 2 sierpnia 2026 r.?
Każda firma, która korzysta z narzędzi AI (np. chatboty, rekomendacje, scoring) i przetwarza dane osobowe użytkowników powinna zainteresować się dokonaniem stosownej analizy swojej działalności. Jeśli istnieje prawdopodobieństwo, że podpada ona pod obowiązki systemów wysokiego ryzyka lub transparentności z art. 50 AI Act, koniecznie należy wprowadzić stosowne uaktualnienie w regulaminach czy politykach prywatności.
Mowa tutaj o organizacjach działających, w szczególności, w branży:
- outsourcingu;
- agencji pracy tymczasowych;
- HR;
- fintech;
- medtech;
- e-commerce.
Jakie są najważniejsze zmiany w regulaminach, które powinny zostać wprowadzone?
Koniecznych do wprowadzenia zmian nie da się zawrzeć w zamkniętej liście, gdyż wiele zależy od rodzaju prowadzonej działalności, stopnia użycia systemów AI czy ich rodzaju. Z pewnością przy dokonaniu takiej analizy warto skonsultować się z wykwalifikowaną ku temu kancelarią prawną.
Najważniejsze zmiany będą wiązać się z szeroko pojętym obowiązkiem transparentności, zakazem manipulacyjnych praktyk, zastosowaniem dodatkowych obowiązków informacyjnych i dokumentacyjnych w przypadku systemów wysokiego ryzyka czy uwzględnieniem opisu systemu działania AI czy sposobu podejmowania decyzji.
Równolegle wciąż obowiązuje RODO!
Na koniec wreszcie warto pamiętać, że równolegle do nowych przepisów obowiązują te nałożone przez RODO. Więc jeśli Twoja firma przetwarza jakiekolwiek dane osobowe, to tworząc lub aktualizując regulamin, musi pamiętać o:
- art. 6, według którego wyznacza się odpowiednią podstawę prawną przetwarzania danych osobowych;
- art. 12-14, które traktują o obowiązku informacyjnym;
- art. 15-21, gdzie znajdują się wytyczne praw przysługujących użytkownikom;
- art. 22, który dotyczy zautomatyzowanego przetwarzania danych.
