AI Act 2026: urzędy nie wiedzą, czy używają AI
Od sierpnia 2026 r. obowiązuje AI Act, ale polskie urzędy nie potrafią odpowiedzieć, czy używają sztucznej inteligencji.
Polska administracja publiczna nie wie, czy używa sztucznej inteligencji – to główny wniosek z raportu Sieci Obywatelskiej Watchdog Polska, który ujawnia chaos przed wdrożeniem unijnego AI Act.
Kiedy zacznie obowiązywać AI Act i co to oznacza?
Od 2 sierpnia 2026 r. zacznie być stosowany AI Act – unijne rozporządzenie mające zwiększyć przejrzystość i kontrolę nad wykorzystaniem sztucznej inteligencji. Przepisy obejmą wszystkie podmioty używające systemy AI w Unii Europejskiej, w tym polskie urzędy, samorządy, szpitale i sądy.
Część przepisów zacznie obowiązywać wcześniej, ale główny termin to 2 sierpnia 2026 r. Rozporządzenie nakłada na organizacje obowiązki dokumentacji, oceny ryzyka (tzw. FRIA – ocena skutków dla praw podstawowych), przejrzystości wobec użytkowników i mechanizmy zabezpieczające dla systemów wysokiego ryzyka.
Problem: niejasna definicja AI
AI Act definiuje system sztucznej inteligencji w art. 3 pkt 1 jako “system maszynowy, który został zaprojektowany do działania z różnym poziomem autonomii po jego wdrożeniu oraz który może wykazywać zdolność adaptacji po jego wdrożeniu, a także który – na potrzeby wyraźnych lub dorozumianych celów – wnioskuje, jak generować na podstawie otrzymanych danych wejściowych wyniki, takie jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne lub wirtualne”.
Definicja jest szeroka i obejmuje popularne generatywne chatboty (ChatGPT, Claude), duże modele językowe, ale także zaawansowane systemy analityczne i algorytmy predykcyjne funkcjonujące od lat. Każdy podmiot musi sam dokonać oceny, czy system, z którego korzysta, spełnia tę definicję – co oznacza, że instytucja publiczna musi ustalić, czy dane narzędzie to w ogóle system AI i określić swoją rolę (dostawca czy podmiot stosujący).
Tutaj pojawia się problem: instytucje publiczne interpretują definicję z AI Act bardzo swobodnie.
Co pokazał raport Watchdog Polska?
Sieć Obywatelska Watchdog Polska zapytała o korzystanie ze sztucznej inteligencji 5480 jednostek samorządu terytorialnego, ministerstw, sądów, placówek medycznych i spółek komunalnych. Raport z kwietnia 2026 r. ujawnia trzy podejścia do definicji AI:
| Podejście | Przykład | Problem |
|---|---|---|
| Zbyt wąskie | OCR do rozpoznawania tekstu na dokumentach skanowanych | Unikanie obowiązków FRIA i oceny ryzyka |
| Zbyt szerokie | Wszystkie systemy informatyczne to AI | Niska świadomość o regulacjach |
| Brak przejrzystości | Odmowa ujawnienia zaawansowanych modeli analitycznych | Ucieczka od jawności |
Michał Zemełka, autor raportu Watchdog Polska, podkreśla: “Nasze badanie pokazało, że spór o definicję bywa pretekstem dla ucieczki od jawności. Instytucja może twierdzić, że dane narzędzie nie jest systemem AI, że AI jest tylko jednym z modułów, że funkcja jest opcjonalna, nieaktywna albo że ostateczną decyzję i tak podejmuje człowiek”.
Konkretne przykłady unikania obowiązków
Zakład Ubezpieczeń Społecznych i system predykcyjny
ZUS używa narzędzia opartego na modelu predykcyjnym do analizy zwolnień lekarskich. System przypisuje im wartość scoringową, aby wskazać ryzyko nieprawidłowości. Wynik analizy jest uwzględniany przez lekarzy orzeczników przy decydowaniu o kontroli zaświadczenia.
System wydaje się stosować techniki wymienione w definicji AI Act, ale ZUS nie uznaje go za system AI. Dlatego nie czuje się zobligowany do stosowania mechanizmów zabezpieczających, takich jak kwalifikacja ryzyka czy ocena skutków dla praw podstawowych (FRIA).
Krajowa Izba Rozrachunkowa i system STIR
System STIR w KIR służy do analizy ryzyka wykorzystywania rachunków bankowych do wyłudzeń skarbowych. Wylicza wskaźniki ryzyka będące podstawą do blokowania kont podatników. Trudno uwierzyć, że system nie korzysta z technologii mieszczących się w definicji AI Act, ale Ministerstwo Finansów i KIR oszczędnie udzielają informacji na ten temat, powołując się na poufność.
Agencja Bezpieczeństwa Wewnętrznego – całkowita tajemnica
O stosowanych systemach milczy ABW, argumentując, że nawet sama odpowiedź mogłaby ujawnić metody działania i zainteresowania operacyjne. Watchdog Polska zauważa, że gdyby systemy AI nie były stosowane wcale, nie byłoby powodu do odmowy.
Co to oznacza dla przejrzystości i bezpieczeństwa?
Raport Watchdog Polska ocenia, że zbliżający się termin wdrożenia AI Act działa odwrotnie do zamierzonego efektu. Kiedy organizacje pytane były bardziej szczegółowo o konkretne systemy, ryzyka, dokumentację i ocenę wpływu na prawa podstawowe, uzyskanie informacji stało się trudniejsze. Część instytucji, które wcześniej deklarowały użycie AI, później zaczęła twierdzić, że jednak z systemów AI nie korzysta.
Mecenas Paweł Dymek z kancelarii Głowacki i Wspólnicy ocenia: “Zbyt wąskie interpretowanie definicji systemu AI może być chęcią uniknięcia rygorystycznych procedur wynikających z rozporządzenia. Z drugiej strony raport Watchdog pokazuje też, że w innych przypadkach wszystkie systemy informatyczne są uznawane przez instytucje publiczne za system AI, co sugeruje niską świadomość co do nowych regulacji”.
Problem jest poważny, bo instytucje publiczne podejmują decyzje dotyczące obywateli – od przyznawania świadczeń przez ZUS, przez blokowanie kont bankowych w STIR, po działania operacyjne ABW. Jeśli systemy AI stosowane w tych procesach nie będą podlegać ocenie ryzyka i przejrzystości, obywatele nie będą wiedzieć, w jaki sposób i na podstawie jakich algorytmów podejmowane są decyzje je dotyczące.
Jak instytucje powinny się przygotować?
Przed 2 sierpnia 2026 r. każda instytucja publiczna powinna:
- Przeprowadzić audyt systemów informatycznych – zidentyfikować, które narzędzia spełniają definicję AI z art. 3 pkt 1 AI Act.
- Określić swoją rolę – czy jest dostawcą, podmiotem stosującym, czy importerem systemu AI.
- Ocenić ryzyko – przeprowadzić FRIA (ocenę skutków dla praw podstawowych) dla systemów wysokiego ryzyka.
- Przygotować dokumentację – zebrać informacje o celach, danych treningowych, testowaniu i monitorowaniu.
- Zapewnić przejrzystość – przygotować się do ujawniania informacji o używanych systemach AI.
Ale jak pokazuje raport Watchdog Polska, wiele instytucji tego nie robi – zamiast tego szuka sposobów na interpretowanie regulacji na swoją korzyść. To może prowadzić do sankcji po wdrożeniu AI Act i podważenia zaufania obywateli do administracji publicznej.
Najczęstsze pytania
Kiedy zacznie obowiązywać AI Act w Polsce?
AI Act będzie stosowany od 2 sierpnia 2026 r. Rozporządzenie obejmie wszystkie podmioty używające systemy sztucznej inteligencji w Unii Europejskiej, w tym polskie urzędy i instytucje publiczne.
Jaka jest definicja systemu AI w AI Act?
Zgodnie z art. 3 pkt 1 AI Act, system sztucznej inteligencji to system maszynowy zaprojektowany do działania z różnym poziomem autonomii, który może się adaptować i wnioskować na podstawie danych wejściowych, generując predykcje, treści, zalecenia lub decyzje wpływające na środowisko fizyczne lub wirtualne.
Czy polskie urzędy wiedzą, czy używają AI?
Nie – raport Watchdog Polska z kwietnia 2026 r. pokazuje, że wiele z 5480 badanych jednostek samorządu, ministerstw, sądów i placówek medycznych nie potrafi lub nie chce odpowiedzieć na pytanie o używanie AI. Część twierdzi, że jej systemy nie spełniają definicji, inne odmawia ujawnienia informacji.
Jakie są przykłady systemów AI, które urzędy nie uznają za AI?
ZUS nie uznaje za AI system predykcyjny analizujący zwolnienia lekarskie, a KIR nie ujawnia, czy system STIR do analizy ryzyka bankowego korzysta z technologii AI, mimo że funkcjonalność sugeruje zastosowanie sztucznej inteligencji.
Co grozi urzędom za niezastosowanie się do AI Act?
Rozporządzenie przewiduje obowiązki przejrzystości, oceny ryzyka (FRIA) i mechanizmy zabezpieczające dla systemów AI. Instytucje, które nie uznają swoich systemów za AI, mogą uniknąć tych procedur, ale naraża się na sankcje po kontrolach organów nadzoru.
Na podstawie: Prawo.pl. Tekst opracowany redakcyjnie.