Ustawa o systemach sztucznej inteligencji: projekt rządowy już jest
31 marca 2026 r. Rada Ministrów przyjęła projekt ustawy o systemach sztucznej inteligencji i skierowała go do Sejmu. Projekt reguluje organizację nadzoru nad AI w Polsce, procedury kontrolne, sankcje i piaskownice regulacyjne. Nie jest to ustawa o zakazach manipulacji podprogowej ani o deepfake’ach, choć komunikacja rządowa mogła sugerować coś innego.
Rzecznik rządu Adam Szłapka, przedstawiając projekt, mówił o zakazie manipulacji podprogowej, zakazie social scoringu, zakazie wykorzystywania słabości osób starszych i dzieci oraz o obowiązku oznaczania treści generowanych przez AI. Każda z tych rzeczy wynika jednak wprost z AI Act (rozporządzenie 2024/1689), nie z polskiej ustawy. Zakazy praktyk nieakceptowalnych są w art. 5 AI Act i obowiązują od 2 lutego 2025 r. Obowiązek oznaczania treści syntetycznych wynika z art. 50 AI Act i zacznie obowiązywać od 2 sierpnia 2026 r. (chyba że terminy zostaną zmienione na poziomie UE). Polska ustawa tych kwestii nie reguluje, bo nie musi, skoro rozporządzenie unijne stosuje się bezpośrednio.
Projekt ustawy zajmuje się czym innym. Tworzy krajową infrastrukturę instytucjonalną i proceduralną, bez której AI Act pozostanie w Polsce przepisem bez aparatu egzekwowania.
Czemu służy i co obejmuje ustawa wdrażająca
AI Act, podobnie jak RODO czy DSA, jest rozporządzeniem UE stosowanym bezpośrednio. Zakazy, obowiązki i definicje obowiązują bez potrzeby implementacji do prawa krajowego. Ale rozporządzenie nie przesądza, kto w danym państwie będzie je egzekwował, w jakim trybie będą prowadzone kontrole, jak będą nakładane kary i kto poprowadzi piaskownicę regulacyjną. Te kwestie AI Act zostawia państwom członkowskim (art. 70, art. 74 i n.).
To model znany chociażby z RODO i DSA: RODO wymagało powołania UODO, DSA wymagało wyznaczenia koordynatora ds. usług cyfrowych (Prezes UKE), w obu przypadkach potrzebne były więc krajowe przepisy. Ustawa o systemach sztucznej inteligencji pełni tę samą funkcję wobec AI Act.
Projekt ma 122 artykuły w 10 rozdziałach. Podsumowanie dla zabieganych przedstawia tabela poniżej.
| Co | Gdzie w projekcie | Uwagi |
|---|---|---|
| Organ nadzoru rynku — KRiBSI | rozdz. 2 (art. 5–47) | 7 członków, Przewodniczący powoływany przez Sejm za zgodą Senatu |
| Kontrola przestrzegania przepisów | rozdz. 3 (art. 48–58) | Kontrole zdalne jako zasada, stacjonarne w wyjątkowych przypadkach |
| Postępowanie przed organem nadzoru | rozdz. 4 (art. 59–70) | Skargi, ostrzeżenia, decyzje, odwołania do SOKiK |
| Układ w sprawie łagodzenia sankcji | rozdz. 5 (art. 71–85) | Obniżenie kary o 20–70%, przy samodenuncjacji 30–90% |
| Jednostki notyfikowane | rozdz. 6 (art. 86–90) | Organ notyfikujący: minister ds. informatyzacji |
| Piaskownice regulacyjne | rozdz. 7 (art. 91–99) | Konkurs na uczestników, MŚP bez opłat |
| Kary administracyjne i przepisy karne | rozdz. 8 (art. 100–110) | Stawki kar z AI Act + dwa wykroczenia |
| Zmiany w przepisach obowiązujących | rozdz. 9 (art. 111–119) | Nowelizacja 9 ustaw, m.in. KPC, ustawa o radiofonii i telewizji |
| Przepisy przejściowe | rozdz. 10 (art. 120–122) | Vacatio legis 14 dni |
Jesteśmy po czasie, ale nie ostatni
Art. 113 AI Act wymagał wyznaczenia organów nadzoru do 2 sierpnia 2025 r. Pełne stosowanie rozporządzenia wedle wciąż obowiązującego kalendarza zaczyna się 2 sierpnia 2026 r. i do tego samego dnia każde państwo musi uruchomić co najmniej jedną piaskownicę regulacyjną (art. 57).
Rada Ministrów przyjęła projekt ustawy 31 marca 2026 r., czyli ponad siedem miesięcy po terminie na wyznaczenie organów i nieco ponad cztery miesiące przed datą pełnego stosowania AI Act. KRiBSI jeszcze nie istnieje, więc mamy ponad roczną lukę w egzekwowaniu przepisów, które w części już obowiązują, bo zakazy z art. 5 stosuje się od 2 lutego 2025 r., a przepisy o organach notyfikujących i karach od 2 sierpnia 2025 r.
Polska nie jest jednak ostatnia, a spóźnił się niemal każdy. Sześć państw członkowskich zdążyło uchwalić ustawy implementacyjne przed polskim projektem. Pierwsza była Dania, która przyjęła ustawę już w maju 2025 r. i wyznaczyła Digitaliseringsstyrelsen jako koordynatora nadzoru. Potem Finlandia (faza I w sierpniu 2025 r., 10 organów sektorowych koordynowanych przez Traficom), Włochy (październik 2025 r.), Słowenia (listopad 2025 r., 10 organów nadzoru), Węgry (grudzień 2025 r.) i Malta.
Włoska Legge n. 132/2025 (tekst) zasługuje na osobną wzmiankę, bo wykracza poza czystą implementację. Nadzór podzielono między ACN (Agenzia per la Cybersicurezza Nazionale, nadzór rynku i punkt kontaktowy z UE) i AgID (Agenzia per l’Italia Digitale, organ notyfikujący). Ale dorzucono też — ponad wymagania AI Act — przepisy sektorowe dotyczące m.in. ochrony zdrowia (ostateczna decyzja diagnostyczna i terapeutyczna musi pozostać przy lekarzu), sądownictwa (AI może wspierać czynności administracyjne, ale nie służyć do interpretacji prawa) i stosunków pracy (obowiązek informowania pracowników o wdrożeniu systemów AI). Jest też nowy typ przestępstwa, tj. rozpowszechnianie deepfake’ów bez zgody osoby przedstawionej, zagrożone karą od roku do pięciu lat pozbawienia wolności.
Na porównywalnym etapie z Polską są Niemcy. Rząd federalny zatwierdził KI-Durchführungsgesetz 11 lutego 2026 r. i projekt przeszedł już pierwsze czytanie w Bundestagu 20 marca.
Część krajów wyznaczyła organy nadzoru bez uchwalania odrębnej ustawy — tak zrobiły m.in. Portugalia (ANACOM jako koordynator od września 2025 r.), Litwa, Cypr i Łotwa. Hiszpańska AESIA działa operacyjnie od czerwca 2024 r. jako pierwszy organ nadzoru AI w UE i zdążyła już wybrać 12 projektów do piaskownicy regulacyjnej.
Na drugim końcu skali są Francja, Rumunia i Bułgaria, które w marcu 2026 r. nie opublikowały projektów ustaw implementacyjnych ani nie wyznaczyły organów nadzoru rynku. Holandia planuje ustawę nie wcześniej niż w czwartym kwartale 2026 r.
Jak się robi nadzór
AI jest technologią horyzontalną. Ten sam system AI stosowany w rekrutacji może jednocześnie podlegać przepisom o ochronie danych osobowych (RODO), stanowić system wysokiego ryzyka w rozumieniu AI Act, działać na platformie internetowej (DSA) i korzystać z chronionych utworów (prawo autorskie).
Przy wdrażaniu RODO wybór organu nadzoru był prosty, bo dane osobowe to stosunkowo jednorodny przedmiot regulacji i model „jeden organ ochrony danych w każdym państwie” był naturalny. Z kolei przy DSA chodziło o nadzór nad największymi platformami, więc jego centralizacja w Komisji Europejskiej też była oczywistym wyborem. AI Act nie powiela żadnego z tych wzorców.
Art. 70 AI Act zostawia państwom członkowskim wybór: powołać jeden nowy organ (model scentralizowany) albo rozdzielić kompetencje między istniejących regulatorów sektorowych (model zdecentralizowany). Centralizacja daje spójność decyzji i łatwiejszą rekrutację specjalistów. Decentralizacja daje wiedzę sektorową, ale grozi fragmentacją, bo AI w diagnostyce medycznej i AI w scoringu kredytowym to zupełnie różne konteksty stosowania, nawet jeśli obowiązki z rozporządzenia brzmią tak samo.
Spośród państw, które dotąd wyznaczyły organy nadzoru, większość wybrała model zdecentralizowany. Model scentralizowany wybrały – jak dotąd – Hiszpania, Malta, Cypr i Luksemburg. Niemcy idą drogą hybrydową, łącząc centralny Bundesnetzagentur z niezależną Izbą Nadzoru Rynku AI (UKIM) i centrum kompetencyjnym (KoKIVO).
Jeden organ, żeby rządzić wszystkimi
Polska wybrała model scentralizowany. Organem nadzoru rynku ma być KRiBSI, czyli Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji, złożona z siedmiu członków, w tym Przewodniczącego powoływanego przez Sejm za zgodą Senatu (art. 19, art. 28). W składzie Komisji zasiadają też przedstawiciele czterech regulatorów sektorowych — UOKiK, KNF, KRRiT i UKE, którzy w założeniu mają zapewnić wiedzę sektorową.
W składzie KRiBSI brakuje natomiast Prezesa UODO. We wcześniejszych wersjach projektu rozważano jego włączenie, ale ostatecznie z tego zrezygnowano. Rola Prezesa UODO w nadzorze nad AI jest właściwie niedookreślona. Prezes UODO sygnalizował ten problem w piśmie do Ministerstwa Cyfryzacji z lipca 2025 r., wskazując na ryzyko sporów kompetencyjnych i niepewności prawnej. W projekcie problemu tego właściwie nie rozwiązano, bo przewiduje w zakresie kompetencji KRiBSI ogólnikowy, jednozdaniowy obowiązek współpracy z Prezesem UODO (art. 20 pkt 3) i dodanie symetrycznego obowiązku po stronie Prezesa UODO do ustawy o ochronie danych osobowych (art. 118 projektu). Ani procedur, ani podziału kompetencji projekt nie określa. Tymczasem system AI, który narusza art. 5 AI Act, będzie zwykle naruszał równocześnie RODO. Kto wtedy prowadzi postępowanie, nie jest jasne.
Obsługę administracyjną Komisji zapewniać ma Ministerstwo Cyfryzacji (art. 43). Ten układ budził wątpliwości w toku prac legislacyjnych, bo powierzenie Przewodniczącemu KRiBSI części uprawnień dyrektora generalnego ministerstwa w zakresie zwierzchnictwa służbowego nad pracownikami trudno pogodzić z wymogiem niezależności organu nadzoru z art. 70 AI Act. Ostatecznie przyjęto kompromis, w ramach którego pracownicy komórki obsługującej KRiBSI nie podlegają ministrowi cyfryzacji ani dyrektorowi generalnemu MC. Zapewne nie stoi za tym głęboka myśl ustrojowa, a po prostu trudność zorganizowania odrębnego biura do obsługi KRiBSI w niezbędnym czasie, ale wątpliwości pozostały.
A co z organami ochrony praw podstawowych?
Oprócz organu nadzoru rynku i organu notyfikującego art. 77 AI Act wymaga wyznaczenia organów ochrony praw podstawowych, które mają prawo dostępu do dokumentacji dotyczącej systemów wysokiego ryzyka z Załącznika III. Polska wyznaczyła cztery takie organy: Rzecznika Praw Dziecka, Rzecznika Praw Pacjenta, Państwową Inspekcję Pracy (od listopada 2024 r.) oraz Prezesa UODO (od maja 2025 r.). Na liście brakuje Rzecznika Praw Obywatelskich. RPO sam odmówił włączenia, powołując się na brak kompetencji wobec podmiotów prywatnych i brak środków. Fundacja Panoptykon postulowała jego włączenie, argumentując konstytucyjnym mandatem RPO do ochrony praw i wolności obywatelskich oraz rosnącym stosowaniem AI przez instytucje publiczne (np. algorytmy ZUS do weryfikacji zwolnień lekarskich).
To jeszcze nie koniec wdrażania
Projekt, o czym uzasadnienie wyraźnie wspomina, zapewnia jedynie częściowe wdrożenie AI Act. Pomija systemy wysokiego ryzyka, czyli to, co w rozporządzeniu jest najważniejsze. Art. 74 AI Act zobowiązuje państwa członkowskie do wyznaczenia organów nadzoru rynku dla konkretnych kategorii tych systemów. Projekt tego nie robi. Nie reguluje też krajowych procedur oceny zgodności. Jedyne, co robi w tym obszarze, to częściowe wdrożenie procedur wobec systemów stwarzających ryzyko (art. 79–80 AI Act). Mianowicie KRiBSI może nakazać zaprzestanie stosowania lub wycofanie systemu z rynku (art. 64 projektu), ale działa w tym zakresie sama, bez organów sektorowych.
W uzasadnieniu twórcy projektu tłumaczą się, że Komisja Europejska opóźniła się z wytycznymi dotyczącymi systemów wysokiego ryzyka, a Digital Omnibus on AI zmienia terminy stosowania tych przepisów. Ale wytyczne KE dotyczą praktycznego stosowania AI Act, nie są więc warunkiem przyjęcia przepisów krajowych, a Digital Omnibus sam jeszcze nie został uchwalony. Jeżeli terminy nie zostaną przesunięte, Polska nie będzie gotowa z regulacją systemów wysokiego ryzyka albo przedsiębiorcy dostaną przepisy na ostatnią chwilę. Prace nad ustawą wdrażającą powinny się więc toczyć sprawniej.
Nasze własne pomysły
Projekt zawiera kilka rozwiązań, których AI Act nie wymaga (ale których nie zabrania).
Opinie indywidualne (art. 8–17) pozwalają podmiotowi planującemu wdrożenie systemu AI zapytać KRiBSI, czy zamierzone działanie jest zgodne z przepisami, i uzyskać wiążącą odpowiedź. W złożonym otoczeniu regulacyjnym, w którym AI Act nakłada się na RODO, DSA i prawo sektorowe, możliwość uzyskania wiążącej interpretacji przed zainwestowaniem w konkretne rozwiązanie redukuje ryzyko prawne. Mechanizm wzorowany jest na interpretacjach podatkowych i AI Act niczego takiego nie przewiduje. To dobry pomysł. Trzeba jednak pamiętać, że opinie te wiążą tylko KRiBSI i inne polskie organy. Nie wiążą jednak AI Office ani organów nadzoru innych państw członkowskich.
Z kolei instytucja układu (art. 71–85) daje podmiotowi, który naruszył przepisy, możliwość wynegocjowania z KRiBSI obniżenia kary (20–70%, przy samodenuncjacji 30–90%) w zamian za współpracę i usunięcie skutków naruszenia. Informacje ujawnione w trakcie negocjacji nie mogą być użyte przeciwko podmiotowi, jeśli do układu nie dojdzie. Rozwiązanie wzorowane na instytucji dobrowolnego poddania się karze (leniency) z prawa konkurencji. AI Act takiego instrumentu nie zna.
Kolejnym krajowym rozwiązaniem jest wykaz ukaranych systemów (art. 67), tj. publiczny rejestr systemów AI, wobec których nałożono kary, z opisem ich działania i powiązanymi decyzjami. Obejmuje systemy wszelkich kategorii ryzyka, nie tylko wysokiego. Taka lista wstydu może w praktyce oddziaływać silniej niż sama kara pieniężna.
AI Act przewiduje wyłącznie kary administracyjne. Projekt dodaje dwa wykroczenia (art. 108–109). Pierwsze to utrudnianie lub udaremnianie kontroli. Drugie – niewykonanie decyzji KRiBSI nakazującej zaprzestanie stosowania systemu stwarzającego bezpośrednie ryzyko. Za oba grozi kara ograniczenia wolności albo grzywny. Orzekanie w trybie kodeksu postępowania w sprawach o wykroczenia (art. 110).
Co zmieni Digital Omnibus on AI
Nie tylko państwa członkowskie nie zdążyły na czas z implementacją AI Act. Również Komisja Europejska nie dostarczyła na czas norm zharmonizowanych, nie opublikowała wytycznych dotyczących systemów wysokiego ryzyka, a jednostki oceniające zgodność nie zostały powołane. Okazało się, że nikt nie jest w stanie wdrożyć AI Act w terminie — ani Bruksela, ani stolice. Komisja odpowiedziała na to wnioskiem o zmianę rozporządzenia, tj. Digital Omnibus on AI (obecnie projekt jest przedmiotem trilogu).
Omnibus odracza stosowanie przepisów o systemach wysokiego ryzyka z Załącznika III do 2 grudnia 2027 r., a z Załącznika I do 2 sierpnia 2028 r. Przyszła polska regulacja tych systemów będzie więc pisana pod zmieniony AI Act, z innymi terminami i potencjalnie innym zakresem obowiązków.
Omnibus zmienia też podział kompetencji nadzorczych. Komisja Europejska chciała dać AI Office wyłączny nadzór nad systemami opartymi na modelach ogólnego przeznaczenia (GPAI) i nad systemami wbudowanymi w bardzo duże platformy. Parlament złagodził to do kompetencji równoległej, pozwalając organom krajowym działać, gdy Komisja nie wszczęła postępowania. Wynik trilogu przesądzi, czy KRiBSI zachowa kompetencje w tym obszarze.
Po uchwaleniu omnibusa kilka przepisów polskiej ustawy prawdopodobnie będzie wymagać dostosowania. Po pierwsze piaskownice regulacyjne (art. 91–97 projektu) nie uwzględniają wymogów wieloorganowego zarządzania i priorytetowego dostępu dla startupów, które przewiduje omnibus. Po drugie przepisy o sankcjach nie rozróżniają MŚP i spółek o średniej kapitalizacji (250–750 pracowników), dla których omnibus przewiduje różne pułapy kar. Oba przypadki to jednak kosmetyka.
Omnibus rozszerza też katalog zakazanych praktyk o nudifiery (nowy art. 5 ust. 1 lit. ha) i skraca okres przejściowy dla obowiązków oznaczania treści syntetycznych z art. 50 AI Act — dla systemów już obecnych na rynku termin zgodności przyspieszono z lutego 2027 r. (propozycja Komisji) na 2 listopada 2026 r. Te przepisy działają bezpośrednio i polska ustawa nie musi ich odrębnie implementować.
Co dalej
Projekt dopiero trafił do Sejmu. Musi przejść proces legislacyjny, a po uchwaleniu trzeba powołać Przewodniczącego KRiBSI (14 dni od wejścia w życie ustawy — art. 120), przeprowadzić konkursy na Zastępców, utworzyć komórkę organizacyjną w MC (2 miesiące) i zwołać pierwsze posiedzenie Komisji (3 miesiące). Realnie działającego organu nadzoru można się spodziewać najwcześniej kilka miesięcy po uchwaleniu ustawy. Wdrożenie AI Act trzeba też dokończyć uwzględniając systemy wysokiego ryzyka. A jeśli Digital Omnibus zostanie uchwalony w obecnym kształcie, część przepisów ustawy będzie wymagała dostosowania, zanim zdąży zadziałać.
Ustawa nie robi tego, co o niej mówi rzecznik rządu. Ale w zasadzie robi to, co powinna, czyli zapewnia organizację nadzoru, procedury, sankcje. Czyli minimum tego, co jest potrzebne, żeby AI Act w Polsce w ogóle zaczął funkcjonować.