Sprawdź swój regulamin przed sierpniem. AI Act i RODO wymuszają zmiany, których nie możesz pominąć

Przedsiębiorstwa korzystające z AI lub przetwarzające dane użytkowników muszą pilnie zweryfikować swoje regulaminy i polityki prywatności.  Nie wolno zapominać, że AI Act i RODO, choć działają często na tym samym obszarze, są osobnymi rozporządzeniami, które obowiązują zupełnie samodzielnie, a to wiąże się z faktem nałożenia dwóch osobnych kar w wypadku naruszenia przepisów powiązanych z obydwoma rozporządzeniami. Na co zwrócić zatem uwagę?

Jakie firmy powinny podjąć działania przed 2 sierpnia 2026 r.?

Tak jak już wspomniałem przepisami wchodzącymi w sierpniu są te, które dotyczą systemów wysokiego ryzyka oraz obowiązków przejrzystości z art. 50 AI Act. Te pierwsze związane są natomiast z art. 6 AI Act oraz Załącznikami I oraz III. Na podstawie Załącznika III dokonuje się kwalifikacji systemów wysokiego ryzyka, a art. 6 mówi także o kluczowym wyjątku mechanizmu samooceny. Zgodnie z nim system nie będzie kwalifikowany jako high-risk, o ile:

• nie stwarza znaczącego ryzyka szkody dla zdrowia, bezpieczeństwa lub praw podstawowych osób fizycznych, 
• nie ma istotnego wpływu na wynik procesu decyzyjnego (np. jedynie wspiera podejmowanie decyzji przez użytkownika lub nie zmienia jej wyniku).

Uwaga: wyjątek samooceny nie ma zastosowania, jeżeli system AI dokonuje profilowania osób fizycznych – w takim przypadku kwalifikacja jako system wysokiego ryzyka jest obligatoryjna niezależnie od spełnienia powyższych przesłanek.

Zatem każda organizacja, która:

• korzysta z narzędzi AI (np. chatboty, rekomendacje, scoring) i,
• przetwarza dane osobowe użytkowników

powinna dokonać odpowiedniej analizy swojej działalności i wprowadzić stosowne uaktualnienie w regulaminach czy politykach prywatności.

Dotyczy to szeroko pojętej branży HR, outsourcingu, agencji pracy tymczasowych, e-commerce, fintech, medtech.

Jakie najważniejsze zmiany powinno wprowadzić się w regulaminach?

Przede wszystkim każda z firm korzystająca z narzędzi AI powinna skorzystać z porady wykwalifikowanej ku temu kancelarii prawnej – lepiej zapobiegać niż płacić, a sankcje za niektóre naruszenie AI Act są jeszcze wyższe niż te za złamanie RODO.

Do najważniejszych aspektów zmian można zaliczyć:

• obowiązek transparentności (np. informowanie użytkownika, że ma do czynienia z AI);
• zakaz niektórych praktyk (np. manipulacyjne i wykorzystujące wrażliwości użytkownika);
• w przypadku systemów wysokiego ryzyka zastosowanie dodatkowych obowiązków informacyjnych i dokumentacyjnych;
• regulaminy powinny uwzględniać opis systemu działania AI czy sposób podejmowania decyzji.

Nie zapominaj o wymaganiach RODO!

Kluczowe w działalności, w której dochodzi do jakiegokolwiek przetwarzania danych osobowych, jest również uwzględnienie obowiązków nakładanych przez RODO, które są stosowane równolegle do przepisów AI Act. O czym należy zatem, między innymi, pamiętać?

• posiadaniu odpowiedniej podstawy prawnej przetwarzania danych – art. 6 RODO;
• obowiązku informacyjnym (kto przetwarza dane, w jakim celu, przez jaki czas) – art. 12-14 RODO;
• prawach użytkownika (dostęp do danych, sprzeciw, usunięcie danych) – art. 15-21 RODO;
• zautomatyzowane podejmowanie decyzji – art. 22 RODO.

Jakie są najczęstsze błędy w regulaminach związane z AI Act i RODO?

Przedsiębiorcy muszą pamiętać o ryzyku podwójnej odpowiedzialności w przypadku stosowania w swojej firmie narzędzi AI oraz przetwarzaniu danych osobowych. Kary za naruszenie RODO mogą sięgać do 20 mln euro lub 4% globalnego obrotu w przypadku przedsiębiorstwa, natomiast za złamanie AI Act sankcje mogą być jeszcze wyższe – nawet do 35 mln euro lub 7% globalnego obrotu. 

Do możliwych najczęstszych błędów, które mogą popełnić przedsiębiorcy, należy:

• brak informacji o wykorzystaniu AI, 
• zbyt ogólne zapisy o przetwarzaniu danych,
• brak odniesienia do automatycznych decyzji, 
• nieaktualne lub kopiowane polityki prywatności, 
• brak spójności między regulaminem a praktyką.

Przed sierpniem 2026 r. warto więc zaktualizować zapisy dotyczące AI i danych osobowych, a także wdrożyć odpowiednie zasady privacy by design i zasady zarządzania ryzykiem wymagane przez AI Act oraz przeprowadzić stosowne szkolenia w swoich zespołach. 

Źródło: https://paluckiszkutnik.pl/