Rada Ministrów przyjęła 31 marca 2026 r. projekt ustawy o systemach sztucznej inteligencji i skierowała go do Sejmu. Ustawa wypełnia obowiązki wynikające z rozporządzenia (UE) 2024/1689 — AI Act — w zakresie krajowej infrastruktury nadzorczej. PTI analizuje projekt w świetle wcześniej zgłaszanych uwag oraz aktualnego stanu regulacji europejskiej.
Co ta ustawa robi — a czego nie robi
Zanim przejdziemy do oceny projektu, warto wyjaśnić pewne nieporozumienie, które towarzyszy jego publicznej prezentacji. Komunikacja rządowa koncentrowała się na zakazach manipulacji podprogowej, deepfake’ach i ochronie dzieci przed algorytmami. Wszystkie te regulacje faktycznie istnieją — ale wynikają wprost z AI Act, który jako rozporządzenie unijne obowiązuje w Polsce bezpośrednio, bez potrzeby krajowej ustawy. Zakazy praktyk niedopuszczalnych z art. 5 AI Act stosują się w Polsce od 2 lutego 2025 r. — ponad rok przed uchwaleniem omawianej ustawy krajowej.
Polska ustawa robi coś innego, choć nie mniej ważnego: tworzy aparat egzekwowania tych przepisów. Wyznacza organ nadzoru rynku, określa procedury kontrolne, tryb nakładania kar, zasady akredytacji jednostek oceniających zgodność i ramy dla piaskownic regulacyjnych. Bez tych przepisów AI Act pozostałby w Polsce normą bez egzekutora — i tak właśnie było przez ponad rok, bo art. 113 AI Act wymagał wyznaczenia organów nadzoru do 2 sierpnia 2025 r. Polska spóźniła się o ponad siedem miesięcy. Zakres szkód wynikających z tej luki trudno precyzyjnie ocenić, ale fakt jej istnienia jest bezsporny.
Projekt obejmuje 122 artykuły w 10 rozdziałach i realizuje minimum wymagane przez AI Act w zakresie instytucjonalnym. Nie reguluje natomiast systemów wysokiego ryzyka wymienionych w Załącznikach I i III do AI Act — a to właśnie one są przedmiotem najbardziej szczegółowych i istotnych obowiązków rozporządzenia. Projektodawcy wskazują na trwające prace nad Digital Omnibus on AI, który prawdopodobnie przesunie terminy stosowania tych przepisów. To uzasadnienie częściowo zasadne — ale wyłącznie pod warunkiem, że Omnibus zostanie uchwalony w zakładanym kształcie, czego pewności nie ma.
Komisja: dobra decyzja ustrojowa, nierozwiązane problemy
Polska wybrała model scentralizowany: jedynym organem nadzoru rynku będzie Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji. To wybór, który można uzasadnić — centralizacja oznacza spójną politykę egzekwowania prawa i jeden punkt kontaktu dla przedsiębiorców. Alternatywą był model zdecentralizowany, przyjęty m.in. przez Finlandię i Słowenię, gdzie nadzór rozkłada się między kilkanaście organów sektorowych. Przy stosunkowo płytkim polskim rynku regulacyjnym i ograniczonej ekspertyzie AI w administracji publicznej, centralizacja jest rozwiązaniem racjonalnym.
Komisja ma liczyć siedmiu członków. Przewodniczący powoływany jest przez Sejm za zgodą Senatu na pięcioletnią kadencję, z ograniczeniem do dwóch kadencji. To istotna zmiana w stosunku do wcześniejszych wersji projektu i krok w dobrym kierunku — tryb parlamentarny wzmacnia niezależność i legitymizację organu. Wymogi kwalifikacyjne — wyróżniająca wiedza i znaczący dorobek w zakresie AI — dotyczą jednak wyłącznie Przewodniczącego i jego dwóch Zastępców. Czterech pozostałych członków to delegaci UOKiK, KNF, KRRiT i UKE, wobec których projekt nie stawia żadnych wymagań kompetencyjnych w zakresie systemów AI.
To strukturalne pęknięcie ma praktyczne konsekwencje. Komisja podejmuje uchwały zwykłą większością głosów przy quorum pięciu osób — co oznacza, że organ mający nadzorować jedną z kluczowych technologii naszych czasów może podejmować wiążące decyzje bez gwarancji, że większość głosujących rozumie, czym regulowany system faktycznie jest. Brak w składzie Komisji przedstawiciela środowiska naukowego lub ministerstwa odpowiedzialnego za naukę i cyfrową politykę państwa jest trudny do obronienia w kontekście zadań, jakie przed Komisją stoją.
Odrębnym problemem jest relacja KRiBSI z Prezesem UODO. Systemy AI przetwarzające dane osobowe — a takich jest zdecydowana większość systemów wysokiego ryzyka — będą z reguły naruszać jednocześnie AI Act i RODO. Projekt przewiduje jednozdaniowy obowiązek współpracy obu organów (art. 20 pkt 3) bez żadnych procedur, bez podziału kompetencji kontrolnych, bez mechanizmu rozstrzygania sporów. To nie jest kwestia techniczna — to luka systemowa, której konsekwencje odczują przede wszystkim podmioty zobowiązane, stojące przed pytaniem, kto ich sprawę prowadzi i na podstawie jakich przepisów.
Obsługę administracyjną Komisji zapewnia Ministerstwo Cyfryzacji. W toku prac legislacyjnych rozwiązanie to budziło wątpliwości co do zgodności z wymogiem niezależności organu wynikającym z art. 70 AI Act. Przyjęty kompromis — pracownicy komórki obsługującej KRiBSI nie podlegają ministrowi — formalnie adresuje ten problem. Wątpliwości ustrojowe nie znikają jednak razem z formalnym rozwiązaniem, szczególnie w kontekście zasad finansowania i faktycznej autonomii kadrowej komórki obsługi.
Społeczna Rada: skąd wziąć ekspertów za darmo
Przy Komisji działa Społeczna Rada do spraw Sztucznej Inteligencji jako organ opiniodawczo-doradczy. Projekt poszerzył katalog podmiotów mogących zgłaszać kandydatów — obejmuje on teraz m.in. izby gospodarcze branży AI, organizacje akademickie i Rzecznika Małych i Średnich Przedsiębiorców. To pozytywna zmiana. Problem jednak pozostaje niezmieniony od wersji z 2025 r.: za udział w pracach Rady nie przysługuje wynagrodzenie.
Trudno przecenić znaczenie tej decyzji dla faktycznej jakości Rady. Wynagrodzenia seniorów w obszarze uczenia maszynowego, bezpieczeństwa systemów AI i etyki sztucznej inteligencji kształtują się na poziomach, przy których praca społeczna jest przywilejem, na który mogą sobie pozwolić nieliczni. Efekt selekcji jest przewidywalny: do Rady trafią osoby o wysokiej motywacji pozafinansowej, niekoniecznie te o najwyższych kompetencjach. Kontrast z warunkami dla kierownictwa Komisji, które otrzymuje wynagrodzenie adekwatne do rangi stanowiska, jest uderzający.
Do tego dochodzi kwestia językowa z prawniczymi konsekwencjami. Art. 45 ust. 4 pkt 1 stanowi, że członkiem Rady może być osoba posiadająca wiedzę i doświadczenie „w szczególności z zakresu informatyki, cyberbezpieczeństwa, ochrony danych osobowych, prawa nowych technologii lub praw człowieka”. Spójnik „lub” tworzy logiczną alternatywę — każda z wymienionych kompetencji samodzielnie spełnia kryterium. W efekcie Rada doradzająca organowi nadzoru nad systemami AI może być ukonstytuowana bez udziału żadnego inżyniera lub informatyka.
Kontrola: nowe narzędzia z jedną luką
Rozdział o kontroli to jedna z bardziej dopracowanych części projektu i wyraźny postęp wobec wersji z 2025 r. Kontrola zdalna jest zasadą; kontrola w siedzibie kontrolowanego wymaga odrębnego postanowienia Komisji uzasadnionego ryzykiem dla życia, zdrowia lub praw podstawowych. Kontrolujący musi okazać imienny dokument tożsamości i pisemne upoważnienie zawierające jego numer — to konkretna ochrona przed podszywaniem się pod organ. Obowiązek złożenia oświadczenia o braku konfliktu interesów przez osoby prowadzące kontrolę zamyka standardowe luki proceduralne.
Istotna luka pozostaje jednak w zakresie uprawnień merytorycznych kontrolującego. Art. 52 daje prawo dostępu do dokumentacji, danych i wyjaśnień. Nie daje prawa do żądania uruchomienia działającego systemu AI i przeprowadzenia testów funkcjonalnych. To problem specyficzny dla tej technologii: systemy uczenia maszynowego mogą zachowywać się inaczej niż wynika ze specyfikacji technicznej, szczególnie na danych spoza zakresu treningowego. Systemy generatywne produkują wyniki niedeterministyczne. Systemy integrujące zewnętrzne modele bazowe mogą zmieniać zachowanie po każdej aktualizacji komponentu zewnętrznego. Ocena zgodności z wymogami AI Act w oparciu wyłącznie o dokumentację jest jak ocena leku wyłącznie na podstawie ulotki — konieczne jest badanie samego produktu.
Opinie indywidualne: polska interpretacja podatkowa dla AI
Art. 9–17 wprowadzają mechanizm, którego AI Act nie wymaga i który ma szansę stać się jednym z praktycznie najważniejszych instrumentów ustawy. Podmiot planujący wdrożenie systemu AI — lub już zobowiązany do stosowania AI Act — może zwrócić się do KRiBSI z wnioskiem o wiążącą interpretację prawną swojej konkretnej sytuacji. Opinia wydawana jest w terminie 30 dni (60 dni w sprawach szczególnie skomplikowanych), za opłatą 150 zł. Jeśli Komisja nie odpowie w terminie, wniosek uznaje się za uwzględniony zgodnie ze stanowiskiem wnioskodawcy.
Wzorowany na interpretacjach podatkowych mechanizm adresuje realny problem: AI Act nakłada się na RODO, DSA, prawo sektorowe i nadchodzącą dyrektywę o odpowiedzialności za AI. W tym środowisku regulacyjnym możliwość uzyskania wiążącej wykładni przed podjęciem decyzji inwestycyjnej ma wymierną wartość. Ograniczenia mechanizmu warto jednak znać: opinia wiąże KRiBSI i inne organy krajowe, ale nie AI Office, Komisję Europejską ani organy nadzoru innych państw członkowskich. Dla podmiotów działających transgranicznie ochrona gwarantowana przez opinię jest tym samym niepełna.
Dwie kwestie wymagają doprecyzowania. Pojęcie „przypadku szczególnie skomplikowanego” — jako przesłanka wydłużenia terminu do 60 dni — jest w projekcie zupełnie nieokreślone. Komisja dysponuje tu nieograniczonym uznaniem administracyjnym, co obniża przewidywalność systemu. Opłata 150 zł od każdego odrębnego stanu faktycznego może być z kolei uciążliwa dla MŚP wdrażających złożone systemy AI obejmujące wiele procesów lub użytkowników.
Układ leniency: dobry kierunek, niedokończona procedura
Art. 71–85 wprowadzają instytucję układu w sprawie warunków złagodzenia sankcji — mechanizm nieznany AI Act, wzorowany na leniency stosowanym w prawie ochrony konkurencji. Podmiot, który naruszył przepisy, może negocjować z KRiBSI obniżkę kary o 20–70% w zamian za współpracę i usunięcie skutków naruszenia. Przy dobrowolnym ujawnieniu naruszenia z własnej inicjatywy obniżka może sięgnąć 30–90%. Informacje ujawnione w toku negocjacji nie mogą być użyte przeciwko podmiotowi, jeśli do układu nie dojdzie.
Intencja tego mechanizmu jest właściwa: regulacje skuteczne to takie, które zachęcają do usuwania naruszeń, a nie wyłącznie do optymalizacji kosztów sankcji. Jest jednak luka procesowa, którą prawnicy reprezentujący podmioty rozważające skorzystanie z układu powinni mieć na uwadze. Art. 85 ust. 2 wymaga ujawnienia wszystkich istotnych okoliczności naruszenia, w tym osób współdziałających. W prawie ochrony konkurencji odpowiednie przepisy zawierają wyraźne gwarancje, że materiały złożone w ramach leniency nie mogą być użyte jako dowód w postępowaniu karnym. Projekt takich gwarancji nie zawiera. Dobrowolnie ujawnione informacje mogą zatem formalnie trafić do akt i pojawić się w późniejszym postępowaniu po ewentualnym wznowieniu sprawy.
Kary: proporcja zamiast ryczałtu
W zakresie kar pieniężnych projekt z 2026 r. różni się zasadniczo od wersji z 2025 r. Poprzedni projekt przewidywał kary ryczałtowe: 10 mln zł dla osób prawnych i 1 mln zł dla osób fizycznych. Projekt obecny odsyła bezpośrednio do rozdziału XII AI Act, który przewiduje kary obliczane jako procent globalnego rocznego obrotu — do 35 mln euro lub 7% obrotu za naruszenie zakazów z art. 5, do 15 mln euro lub 3% za inne naruszenia, do 7,5 mln euro lub 1,5% w przypadku modeli GPAI. Model proporcjonalny — znany z RODO — jest właściwym rozwiązaniem: kara ryczałtowa jest jednocześnie zbyt niska dla dużych podmiotów i potencjalnie egzystencjalnie dotkliwa dla małych.
Art. 103 przewiduje obniżenie nałożonej kary o 10–50% w przypadku szybkiego wykonania działań naprawczych wskazanych w ostrzeżeniu. Mechanizm ten — obok układu leniency — tworzy system bodźców skłaniających do compliance, a nie wyłącznie do minimalizacji sankcji. Projekt nie reguluje natomiast cywilnoprawnej odpowiedzialności za szkody wyrządzone przez systemy AI. Kwestia ta pozostaje poza zakresem AI Act i będzie przedmiotem odrębnej dyrektywy unijnej. Warto jednak, by ustawodawca śledził ten proces i przygotowywał się do implementacji zawczasu.
Piaskownica regulacyjna: przepis bez terminu
Rozdział o piaskownicy regulacyjnej (art. 91–99) jest jedną z mocniejszych części projektu. Środowisko testowe, w którym uczestnicy mogą rozwijać systemy AI pod nadzorem Komisji z częściowym zwolnieniem z wymogów AI Act, jest instrumentem realnie przydatnym dla startupów i podmiotów testujących innowacyjne rozwiązania. Projekt przewiduje konkurs na uczestników, zwolnienie MŚP z opłat i ochronę informacji poufnych. AI Act zobowiązuje każde państwo do uruchomienia co najmniej jednej piaskownicy do 2 sierpnia 2026 r.
Problem polega na tym, że projekt nie określa terminu, w jakim Komisja ma piaskownicę uruchomić. Art. 91 ust. 1 mówi jedynie, że Komisja „ustanawia piaskownicę” — bez żadnej granicy czasowej. Biorąc pod uwagę realistyczny harmonogram: kilka miesięcy na powołanie i ukonstytuowanie się Komisji, ogłoszenie konkursu, jego rozstrzygnięcie i zawarcie umów z uczestnikami — termin z AI Act jest poważnie zagrożony. Polska może po raz kolejny narazić się na naruszenie prawa unijnego, tym razem nie z powodu braku przepisów, ale braku jednego zdania o terminie ich wykonania.
Jawność działania Komisji
Projekt nakazuje sporządzanie protokołów posiedzeń Komisji (art. 24 ust. 4), a jednocześnie przewiduje publiczne udostępnianie opinii indywidualnych (art. 17) i opinii Rady (art. 46 ust. 5). Nie zawiera jednak przepisu nakazującego udostępnianie samych protokołów posiedzeń ani uchwał Komisji. To luka, która w praktyce ogranicza możliwość zewnętrznej oceny sposobu działania organu regulacyjnego. Transparentność decyzyjna jest warunkiem zaufania do instytucji nadzorczej — szczególnie nowej, dopiero budującej swoją pozycję.
Czego w ustawie brakuje
Systemy wysokiego ryzyka
Najważniejszym brakiem projektu pozostaje niepełna implementacja. Ustawa nie wyznacza organów nadzoru rynku dla systemów wysokiego ryzyka z Załączników I i III do AI Act — a to właśnie te systemy, stosowane w zarządzaniu infrastrukturą krytyczną, edukacji, rekrutacji, ochronie zdrowia i wymiarze sprawiedliwości, są objęte najistotniejszymi obowiązkami AI Act. Uzasadnienie odwołujące się do trwających prac nad Digital Omnibus on AI jest do pewnego stopnia zasadne — Omnibus prawdopodobnie przesunie terminy stosowania tych przepisów. Ale „prawdopodobnie” to za mało, by odkładać prace przygotowawcze.
Ochrona pracowników
Osobnym zagadnieniem jest ochrona pracowników. AI Act kwalifikuje systemy AI stosowane w rekrutacji i zarządzaniu pracownikami jako systemy wysokiego ryzyka. Polskie prawo pracy nie zawiera żadnych przepisów regulujących stosowanie systemów AI w środowisku pracy — brak obowiązku informowania pracowników o wdrożeniu, brak prawa do wyjaśnienia decyzji algorytmicznej, brak procedury odwoławczej. Projekt tej luki nie wypełnia, odsyłając temat do przyszłych prac. Niektóre państwa członkowskie, korzystając z możliwości przewidzianej w art. 2 ust. 11 AI Act, wprowadziły korzystniejsze regulacje krajowe już na etapie implementacji. Polska tego kroku nie robi.
Digital Omnibus on AI
Warto też mieć świadomość ryzyka legislacyjnego związanego z Digital Omnibus on AI. Jeżeli Omnibus zostanie uchwalony w kształcie bliskim aktualnemu projektowi trilogu, część przepisów polskiej ustawy będzie wymagała nowelizacji zanim zdąży w pełni zadziałać: inne będą progi kar dla MŚP, inne zasady kompetencji KRiBSI w sprawach dotyczących modeli GPAI, inne terminy stosowania przepisów o systemach wysokiego ryzyka. Przepisy krajowe oparte na odesłaniach do AI Act — a nie na powieleniu jego treści — dostosują się automatycznie. Projekt w dużej mierze stosuje tę metodę, choć nie konsekwentnie.
| Projekt ustawy o systemach sztucznej inteligencji jest dokumentem niezbędnym i w swoich kluczowych decyzjach architektonicznych — model centralny, tryb parlamentarny dla Przewodniczącego, mechanizm opinii indywidualnych, układ leniency — zasadniczo trafnym. Wypełnia lukę, której istnienie przez ponad rok osłabiało skuteczność AI Act w Polsce. Nie jest jednak projektem gotowym do uchwalenia bez dyskusji: problem kompetencji w składzie Komisji, biała plama w relacji z UODO, brak wynagrodzenia dla Rady, luka kontrolna dotycząca testowania działających systemów, brak terminu piaskownicy — to nie są szczegóły techniczne. To kwestie, które będą miały bezpośredni wpływ na to, czy KRiBSI okaże się organem skutecznym, czy tylko obecnym. |
Karolina Wilamowska – adwokatka, aplikantka rzecznikowska, mediatorka Centrum Mediacji przy Krajowej Izbie Gospodarczej, doktorantka Uczelni Łazarskiego, członkini Sekcji Aktualne Wyzwania Sztucznej Inteligencji przy PTI