Wdrażanie AI Act odbywa się według stopniowego harmonogramu, obejmującego okres od 2 lutego 2025 do końca 2027 roku. Takie rozłożenie w czasie ma umożliwić podmiotom gospodarczym dostosowanie się do nowych wymogów, przy jednoczesnym szybkim uruchomieniu najpilniejszych mechanizmów ochronnych.
Ujęte w rozdziale V rozporządzenia, obowiązki GPAI stanowią sedno regulacji modeli foundation models. Każdy dostawca ogólnego przeznaczenia modelu AI wprowadzanego na rynek europejski - także w modelu open source, z częściowymi wyłączeniami - musi:
Dla modeli o ryzyku systemowym, zidentyfikowanych przez próg obliczeniowy powyżej 10²⁵ FLOPS lub wyznaczonych przez Komisję, obowiązują dodatkowo: ciągła ocena ryzyka, standaryzowane testy adversarialne (red-teaming), środki cyberbezpieczeństwa, zgłaszanie poważnych incydentów do AI Office oraz publikacja raportu dotyczącego efektywności energetycznej. W momencie wejścia w życie przepisów w sierpniu 2025, w tym zakresie znajdowały się m.in. GPT-4, Gemini Ultra, Claude 3 Opus oraz Llama 3.1 405B. Próg może zostać zrewidowany przez Komisję w zależności od postępu technologicznego.
Aby ułatwić zgodność z artykułami 53 i 55 przed przyjęciem standardów zharmonizowanych, Komisja Europejska rozpoczęła w lipcu 2024 prace nad Kodeksem dobrych praktyk dla modeli AI ogólnego przeznaczenia. Koordynowany przez AI Office i opracowywany przez trzynastu niezależnych ekspertów oraz blisko sto konsultowanych organizacji, kodeks przeszedł kilka wersji roboczych przed publikacją ostateczną 10 lipca 2025.
Kodeks opiera się na trzech filarach: przejrzystości (publikacja informacji technicznych dla wdrażających i opinii publicznej), prawie autorskim (procedury operacyjne zapewniające respektowanie opt-out) oraz bezpieczeństwie dla modeli o ryzyku systemowym. Jego przyjęcie jest dobrowolne, ale daje domniemanie zgodności: dostawca stosujący się do jego postanowień uznawany jest za spełniającego odpowiednie wymagania. Najważniejsze laboratoria amerykańskie i europejskie zgodziły się na jego przestrzeganie, z wyraźnym wyjątkiem Meta, która odmówiła podpisania w lipcu 2025, powołując się na niezgodność z praktykami dotyczącymi Llama. Google i Anthropic podpisały kodeks z zastrzeżeniami, natomiast OpenAI, Mistral AI i Microsoft udzieliły pełnego poparcia.
Artykuł 53 stał się ogniskiem debaty o współistnieniu AI generatywnej i przemysłów kreatywnych. Jego §1(c) nakłada na dostawców GPAI obowiązek wdrożenia polityki poszanowania praw autorskich, a §1(d) wymaga publikacji wystarczająco szczegółowego podsumowania treści użytych do treningu, według wzoru określonego przez AI Office.
W praktyce mechanizm opiera się na połączeniu wyjątku TDM (text and data mining, artykuł 4 dyrektywy 2019/790) oraz opt-out machine-readable. Uprawnieni, którzy nie chcą, by ich utwory były wykorzystywane do treningu modeli AI, muszą zgłosić sprzeciw w formacie czytelnym maszynowo - najczęściej poprzez plik robots.txt, nagłówek HTTP lub metadane w utworze. Istnieje kilka konkurencyjnych inicjatyw - TDM Reservation Protocol W3C, ai.txt, C2PA - ale żadna nie stała się standardem w 2026 roku.
Francuscy uprawnieni kwestionują skuteczność tego rozwiązania. SACEM, SCAM, SACD i SDRM podnoszą problem asymetrii informacji i braku realnych sankcji za nieprzestrzeganie opt-out. W maju 2026 odrzucenie przez Zgromadzenie Narodowe projektu ustawy Darcos, mającego wprowadzić odwrócony ciężar dowodu (domniemanie wykorzystania utworów w przypadku braku przejrzystości) poprzez artykuł L. 331-4-1 francuskiego Kodeksu własności intelektualnej, pozostawiło posiadaczy praw bez krajowego wsparcia legislacyjnego, odsyłając ich do ścisłego stosowania artykułu 53 przez Komisję Europejską.
AI Act powołuje dwa centralne organy europejskie. European AI Office (European AI Office), ustanowiony decyzją Komisji w maju 2024 i podlegający DG CONNECT, nadzoruje wdrażanie rozporządzenia w zakresie GPAI oraz modeli o ryzyku systemowym. Opracowuje kodeks dobrych praktyk, monitoruje dostawców, rozpatruje skargi i może nakładać sankcje. W momencie powstania zatrudniał około stu pracowników, a na jego czele stała Lucilla Sioli.
European AI Board (European AI Board) skupia przedstawicieli krajowych organów nadzorczych 27 państw członkowskich. Pierwsze oficjalne posiedzenie odbyło się we wrześniu 2024. Rada koordynuje działania państw członkowskich, ujednolica interpretację rozporządzenia i doradza Komisji. Całość uzupełnia Forum konsultacyjne z udziałem przemysłu, społeczeństwa obywatelskiego, środowisk akademickich i MŚP.
Na poziomie krajowym każde państwo członkowskie wyznacza jeden lub kilka właściwych organów. We Francji CNIL koordynuje wdrażanie przepisów dotyczących danych osobowych, natomiast DGCCRF i DGE odpowiadają za produkty i rynek wewnętrzny. W 2025 zapowiedziano powstanie międzyresortowej grupy koordynacyjnej, która jednak nie została sformalizowana do chwili wejścia w życie przepisów GPAI.
AI Act przewiduje skalę sankcji dostosowaną do wagi naruszenia:
MŚP i start-upy korzystają z proporcjonalnego limitu: stosuje się niższą z dwóch wartości. Pierwsze formalne postępowania mają zostać wszczęte przez AI Office pod koniec 2026 roku, po okresie stopniowego dostosowywania się do przepisów.
AI Act gruntownie zmienił europejski ekosystem AI. Dla dużych użytkowników korporacyjnych (banki, ubezpieczenia, zdrowie, HR) oznacza to konieczność uwzględniania wymogów regulacyjnych już na etapie projektowania systemów - podejście compliance by design - co wiąże się z mapowaniem zastosowań AI, analizami wpływu, dokumentacją techniczną i wewnętrznym zarządzaniem. Już w lutym 2024 kancelarie takie jak Wavestone, France Digitale i Gide opublikowały praktyczne przewodniki wspierające ten proces.
Dla dostawców modeli open source rozporządzenie przewiduje częściowe zwolnienia z obowiązków GPAI, jeśli parametry, architektura i informacje o zastosowaniach są publicznie dostępne - z wyjątkiem modeli o ryzyku systemowym. Koalicja europejskich podmiotów open source (Hugging Face, GitHub, Mistral, La Quadrature du Net) domagała się w lipcu 2023 bardziej elastycznych ram dla zachowania innowacji. Ostateczny kompromis utrzymuje te zwolnienia, ale nakłada obowiązek publikacji podsumowania danych treningowych i polityki praw autorskich, co utrudnia skalowanie modeli na bardzo dużych korpusach.
Dla europejskich championów - Mistral AI, LightOn, Aleph Alpha, Black Forest Labs - AI Act to podwójne wyzwanie: szybkie dostosowanie się do przepisów i jednoczesne prowadzenie treningu konkurencyjnych modeli względem OpenAI, Anthropic czy Google. Wielu, w tym Arthur Mensch (Mistral AI), ostrzegało przed ryzykiem dezindustrializacji Europy, jeśli obciążenia regulacyjne będą większe niż poza UE. Z drugiej strony Yoshua Bengio, Raja Chatila i Nicolas Miailhe uważają, że ścisłe ramy są kluczowe dla zachowania strategicznej autonomii Europy i zaufania społecznego.
AI Act wpisuje się w zróżnicowany krajobraz międzynarodowy. W USA Executive Order Bidena z października 2023 został w dużej mierze uchylony przez administrację Trumpa w styczniu 2025, pozostawiając agencjom federalnym i stanom (zwłaszcza Kalifornii z SB 1047) opracowywanie sektorowych lub lokalnych podejść. Chiny już w sierpniu 2023 wprowadziły obowiązek uzyskania zezwolenia dla modeli AI generatywnej dostępnych publicznie, zatwierdzając ponad 190 LLMs kosztem kontroli politycznej nad generowanymi treściami.
Wielka Brytania przyjęła podejście oparte na zasadach wdrażanych przez istniejących regulatorów sektorowych, bez odrębnej ustawy. Brazylia, Kanada, Japonia i Korea Południowa rozwijają własne ramy, często inspirowane europejskim podejściem opartym na ryzyku. Efekt Bruxelles - de facto eksterytorialność unijnych regulacji, gdy międzynarodowi dostawcy wybierają globalne dostosowanie zamiast zarządzania wieloma reżimami - powinien zadziałać podobnie jak w przypadku RGPD, choć w 2026 nie dało się jeszcze tego zmierzyć.
Budowę tych ram wyznaczyło kilka międzynarodowych szczytów: AI Safety Summit w Bletchley Park (listopad 2023), Séoul AI Safety Summit (maj 2024), AI Action Summit w Paryżu (luty 2025). Wszystkie potwierdziły brak globalnego konsensusu regulacyjnego, podkreślając jednocześnie szczególną odpowiedzialność UE jako pierwszego regulatora, który przyjął wiążący akt prawny.
Krytyczne wyzwania na najbliższe 18 miesięcy to:
AI Act nie jest celem samym w sobie, lecz ramą żywą. Jego rewizja przewidziana jest co cztery lata, a pierwsza spodziewana w 2028 roku. O sukcesie zdecyduje nie tyle litera aktu, co zdolność do pogodzenia ochrony praw podstawowych, innowacji przemysłowej i europejskiej suwerenności technologicznej.
Rozporządzenie weszło w życie 1 sierpnia 2024 roku, dwadzieścia dni po publikacji w Dzienniku Urzędowym Unii Europejskiej 12 lipca 2024 roku. Jego stosowanie jest rozłożone do sierpnia 2027 roku w zależności od rodzaju objętych systemów: zakazy obowiązują od 2 lutego 2025, obowiązki GPAI od 2 sierpnia 2025, a systemy wysokiego ryzyka od sierpnia 2026.
Model uznaje się za systemowo ryzykowny, jeśli przekracza próg 10²⁵ FLOPS skumulowanej mocy obliczeniowej podczas treningu. W momencie wejścia obowiązku w sierpniu 2025 dotyczyło to GPT-4, Gemini Ultra, Claude 3 Opus oraz Llama 3.1 405B. Komisja może również wyznaczyć inne modele według kryteriów jakościowych (liczba użytkowników, sposoby użycia, oceniane możliwości).
Każdy dostawca modelu ogólnego przeznaczenia wprowadzany na rynek europejski musi prowadzić dokumentację techniczną, opublikować szczegółowe podsumowanie danych treningowych, wdrożyć politykę poszanowania praw autorskich oraz współpracować z Biurem IA. Modele systemowo ryzykowne mają dodatkowe obowiązki ciągłej ewaluacji, testów adwersarialnych, cyberbezpieczeństwa i raportowania incydentów.
Artykuł 53 zobowiązuje dostawców GPAI do respektowania opt-out zgłoszonych przez uprawnionych na mocy dyrektywy 2019/790. Taki opt-out musi być machine-readable (robots.txt, nagłówki HTTP, metadane). Francuscy uprawnieni kwestionują skuteczność tego mechanizmu, ponieważ uchylenie ustawy Darcos w maju 2026 pozostawiło właścicieli praw bez krajowego wsparcia legislacyjnego.
Sankcje sięgają do 35 milionów euro lub 7% światowego rocznego obrotu za praktyki zakazane, 15 milionów lub 3% za naruszenia obowiązków dotyczących systemów wysokiego ryzyka i GPAI oraz 7,5 miliona lub 1% za przekazanie nieprawidłowych informacji. Wyższa kwota dotyczy dużych przedsiębiorstw, niższa - MŚP.
To dokument referencyjny opublikowany 10 lipca 2025 przez Komisję Europejską, opracowany przez trzynastu niezależnych ekspertów i około stu konsultowanych organizacji. Dobrowolne przyjęcie kodeksu daje domniemanie zgodności z artykułami 53 i 55. OpenAI, Mistral AI, Microsoft, Anthropic i Google go podpisały, Meta odmówiła.
Europejskie Biuro IA, podlegające Komisji Europejskiej (DG CONNECT), nadzoruje dostawców GPAI i modele systemowo ryzykowne. Europejski Komitet IA zrzesza krajowe organy 27 państw członkowskich. W Polsce organami właściwymi są UODO, UOKiK oraz Ministerstwo Cyfryzacji, w zależności od zakresu sprawy.
Tak, modele których parametry, architektura i informacje o użyciu są publikowane na licencji open source, korzystają z częściowych zwolnień z obowiązków GPAI - chyba że model jest systemowo ryzykowny. Jednak publikacja podsumowania danych treningowych i polityka praw autorskich pozostają obowiązkowe dla wszystkich modeli open source.
W lipcu 2025 ponad 150 szefów europejskich firm - w tym Carrefour, BNP Paribas, Airbus i TotalEnergies - podpisało list otwarty z żądaniem dwuletniego moratorium na stosowanie AI Act. Argumentowali ryzyko utraty konkurencyjności wobec podmiotów z USA i Chin. Komisja Europejska odrzuciła ten wniosek, utrzymując pierwotny harmonogram.
RODO reguluje przetwarzanie danych osobowych, natomiast AI Act reguluje wprowadzanie na rynek i używanie systemów IA, niezależnie od tego, czy przetwarzają dane osobowe. Oba akty stosuje się kumulatywnie: system IA wysokiego ryzyka przetwarzający dane osobowe musi spełniać zarówno obowiązki AI Act, jak i zasady RODO (legalność, minimalizacja, prawa osób).
Pierwsza czteroletnia rewizja rozporządzenia jest przewidziana na 2028 rok. Komisja będzie musiała ocenić skuteczność mechanizmu, rozwój technologii oraz zasadność zmiany progów, listy zastosowań wysokiego ryzyka i mechanizmów zarządzania.
5 articles liés à ce sujet
Konferencja jedenastu przewodniczących grup w Zgromadzeniu Narodowym nie uwzględniła, 12 maja 2026 rano, propozycji ustawy Darcos dotyczącej praw auto...
AI Act, europejska regulacja dotycząca sztucznej inteligencji (AI), obowiązuje od lutego 2024 roku, mimo sprzeciwu niektórych przedsiębiorstw. Nakłada...
Komisja Europejska przedstawiła ostateczną wersję kodeksu dobrych praktyk dla modeli AI o ogólnym zastosowaniu, mającą pomóc dostawcom w dostosowaniu...
Około pięćdziesiąt europejskich firm zaapelowało do Komisji Europejskiej o dwuletnią przerwę w realizacji AI Act. Komisja odrzuciła ten wniosek, podkr...
Biuro AI Komisji Europejskiej opublikowało trzecią wersję roboczą Kodeksu dobrych praktyk dla GPAI, mającego na celu spełnienie wymogów AI Act. Nowa w...
