Rząd opublikował projekt ustawy o systemach AI

W dniu 16 październikach 2024 r. rząd opublikował projekt ustawy o systemach sztucznej inteligencji, którego zadaniem jest dostosowanie polskiego systemu prawnego do regulacji zawartej w tzw. AI Act. Chodzi o rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany wskazanych rozporządzeń i dyrektyw. W ramach wdrożenia AI Act do polskiego systemu w projekcie ustawy m.in. wskazano organ nadzoru rynku, sąd właściwy do rozpatrywania odwołań od decyzji organu nadzoru w zakresie naruszeń AI Act i kwestie nakładania administracyjnych kar pieniężnych Część zaproponowanych rozwiązań budzi jednak niepokój środowisk prawniczych i biznesowych.

Nowy organ nadzoru

Opublikowany projekt wprowadza nowy organ nadzoru w zakresie  systemów sztucznej inteligencji – Komisję Rozwoju i Bezpieczeństwa Sztucznej Inteligencji. Zadaniem Komisji będzie czuwanie nad rynkiem w zakresie systemów sztucznej inteligencji oraz współpraca z innymi podmiotami publicznymi, takimi jak Komisja Nadzoru Finansowego, Prezes UOKiK czy Prezes UODO. Ponieważ Komisja ma pełnić funkcję organu nadzoru w rozumieniu AI Act, będzie rozpatrywać wnioski dotyczące zezwolenia na wprowadzenie do obrotu albo oddanie do użytku  systemów AI wysokiego ryzyka. 

Wśród zadań Komisji znalazły się między innymi:

• kontrola przestrzegania AI Act i ustawy, w szczególności poprzez przyznanie Komisji  uprawnień do wszczynania z urzędu spraw w przypadku uzyskania informacji o możliwości naruszenia przepisów AI Act oraz do przeprowadzenia kontroli podmiotu, wobec którego zostało wszczęte postępowanie;
• rozpatrywanie skarg na naruszenia AI Act, w szczególności w kwestii praktyk zakazanych, zakończone wydaniem decyzji (od decyzji Komisji przewidziane jest odwołanie do Sądu Okręgowego w Warszawie – Sądu Ochrony Konkurencji i Konsumentów);
• wspieranie rozwoju innowacyjności i konkurencyjności w obszarze AI;
• przeciwdziałanie zagrożeniom bezpieczeństwa systemów sztucznej inteligencji;
• wydawanie postanowień i decyzji dotyczących naruszenia przepisów o systemach AI;
• realizacja działań edukacyjnych w zakresie sztucznej inteligencji;
• opiniowanie projektów rządowych;
• wydawanie indywidualnych oraz generalnych interpretacji AI Act;
• publikowanie zbiorów dobrych praktyk dotyczących wykorzystywania AI;
• tworzenie i nadzorowanie działalności tzw. piaskownic regulacyjnych.

Wydawanie interpretacji generalnych i indywidualnych (wzorowanych na wydawanych przez administrację skarbową) przez Komisję, a także opiniowanie aktów prawnych dotyczących AI oraz rekomendacje dobrych praktyk w zakresie wdrażania i stosowania systemów sztucznej inteligencji oznaczają, że Komisja, poza nadzorem rynku, będzie także miała wpływ na rozwój sztucznej inteligencji w Polsce, co należy ocenić pozytywnie. 

Warto także zaznaczyć, że Prezes Urzędu Ochrony Danych Osobowych, jako członek Komisji, będzie nadzorował systemy AI wysokiego ryzyka wymienione w załączniku do AI ACT. Chodzi między innymi o systemy z obszarów:

• ścigania przestępstw;
• sprawowania wymiaru sprawiedliwości;
• kontroli granicznej i zarządzania migracją;
• biometrii;
• infrastruktury krytycznej;
• zatrudniania i zarządzania pracownikami.

Omawiany projekt ustawy powołuje przy Komisji Społeczną Radę do spraw Sztucznej Inteligencji, w skład której mają wejść między innymi przedstawiciele przedsiębiorców, związków zawodowych, organizacji pozarządowych oraz instytucji badawczych i naukowych. Rada ma być organem opiniodawczym i współkształtować politykę w zakresie AI.

Kontrole w firmach

Zgodnie z proponowanymi rozwiązaniami, Komisja będzie miała prawo kontrolować wszystkie podmioty zobowiązane do przestrzegania AI Act oraz omawianej ustawy. Co istotne, kontrola nie musi być wszczęta na podstawie jakichś konkretnych informacji – Komisja może ją przeprowadzić z własnej inicjatywy w ramach monitorowania przestrzegania prawa.

Podstawową formą kontroli ma być tryb zdalny, ale w uzasadnionych przypadkach można także będzie przeprowadzić kontrolę stacjonarną (w siedzibie podmiotu lub miejscu świadczenia działalności). Osoby przeprowadzające kontrolę zyskają prawo do:

• wchodzenia na teren obiektów firmy, do pomieszczeń i lokali;
• żądania udostępnienia wszelkich możliwych dokumentów;
• żądania dostępu do systemów informatycznych firmy;
• zabezpieczania materiałów i dokumentów;
• domagania się ustnych lub pisemnych wyjaśnień.

Postępowanie w sprawie naruszeń

Komisja będzie prowadzić nie tylko kontrole, ale także postępowania w sprawie naruszeń AI Act. W ramach swoi kompetencji Komisja będzie mogła nakładać na podmioty ostrzeżenia (w przypadku uzasadnionego podejrzenia, że działalność strony narusza przepisy AI Act), wydawać decyzje nakazujące zaprzestanie naruszeń, wprowadzenie działań naprawczych lub wycofanie systemu z rynku albo z użytku, a także składać zawiadomienia do prokuratury o uzasadnionym podejrzeniu popełnienia przestępstwa przed podmiot korzystający z systemów AI. Komisja zyska także możliwość nakładania na podmioty dokonujące naruszeń administracyjnych kar pieniężnych.

Poważne incydenty

Zgodnie z zapisami projektu dostawcy systemów sztucznej inteligencji będą mieli obowiązek zgłaszać Komisji poważne incydenty związane z tymi systemami. Zgłoszeń trzeba będzie co do zasady dokonywać drogą elektroniczną. Przewodniczący Komisji będzie natomiast miał obowiązek przekazać otrzymane informacje odpowiednim podmiotom, w tym ministrowi właściwemu do spraw informatyzacji oraz organowi właściwemu do spraw ochrony danych osobowych.

Tajemnica zawodowa

Uzasadnione wątpliwości budzi regulacja dotycząca tzw. tajemnicy zawodowej. Po pierwsze, kontrolujący będzie musiał pozostawić pisma i dokumenty zawierające pisemną komunikację kontrolowanego z adwokatem lub radcę tylko wtedy, gdy będzie to prawnik niezależny od kontrolowanego. Nie wiadomo przy tym, jak oceniać „niezależność” adwokata lub radcy, zwłaszcza gdy ma on podpisaną umowę o stałą obsługę prawną danego podmiotu. Ochrona takiej korespondencji jest także ograniczona przedmiotowo – chodzi o dokumenty sporządzone wyłącznie w związku z kontrolą.

To jednak nie wszystko. Największe wątpliwości budzi uprawnienie kontrolujących do pobieżnego zapoznania się z treścią pisma lub dokumentu objętego tajemnicą. Ma to umożliwić ustalenie autora, adresata, tytułu, daty sporządzenia i przedmiotu pisma lub dokumentu. „Pobieżność” jest tutaj elementem ocennym i kontrolowany de facto nie ma możliwości zabezpieczyć się przed tym, że kontrolujący zapozna się z informacjami chronionymi przez tajemnicą adwokacką lub radcowską.

Podsumowanie

Cel wprowadzenia omawianej ustawy jest słuszny. Problem tkwi oczywiście w szczegółach. Nasze wątpliwości budzą przede wszystkim zapisy dotyczące niemal dowolnych kontroli prowadzonych przez Komisję oraz niejasne regulacje związane z tajemnicą zawodową. W obecnym kształcie zapisy projektu dotyczące tajemnicy adwokackiej czy radcowskiej są niepotrzebnie rozbudowane i odmienne od regulacji w innych aktach prawnych. Rodzi to niepokój o to, czy podmiotom korzystającym z systemów AI zapewniono odpowiedni poziom bezpieczeństwa prawnego. Wśród dobrych i potrzebnych rozwiązań należy natomiast wskazać zobowiązanie Ministra Cyfryzacji do corocznego publikowania informacji na temat wymaganych zasobów obliczeniowych do dalszego rozwoju systemów sztucznej inteligencji i prognozowanego zużycia energii z tego tytułu.

Wciąż istnieje możliwość zgłaszania uwag do omawianego projektu ustawy – termin na ich złożenie mija 15 listopada 2024 r.

 

Zachęcamy do dośledzenia naszego profilu na LinkedIn, gdzie regularnie publikujemy najważniejsze alerty prawne.

W związku z dynamicznie zmieniającym się otoczeniem prawnym i przepisami zachęcamy Państwa także  do śledzenia naszych wpisów i publikacji, w szczególności tych odnoszących się do bieżącego funkcjonowania przedsiębiorców.