W Polsce, jak i w całej UE, zetknięcie się na takim obszarze działalności oznacza obowiązywanie przepisów zarówno RODO, jak i AI Act, nie wspominając już o zbliżającym pakiecie nowelizacyjnym, który ma zmodyfikować szereg istniejących aktów (w tym AI Act i Rodo), czyli projektowanym Cyfrowym Omnibusie. Przepisy te nie wykluczają się wzajemnie, lecz jednocześnie się na siebie nakładają w przypadku przetwarzania danych osobowych.

Mieszanka wybuchowa? W praktyce zwiększa to złożoność obowiązków po stronie przedsiębiorców – tym bardziej zatem warto się temu bliżej przyjrzeć.

RODO vs AI Act – dwa różne cele działające w rzeczywistości często na jednym obszarze danych

RODO i AI Act pełnią różne, ale uzupełniające się funkcje w systemie ochrony danych i regulacji technologii. Rozporządzenie 2016/679 koncentruje się na ochronie danych osobowych na każdym etapie ich przetwarzania. Opiera się na podstawowych zasadach, takich jak:

  • minimalizacja danych;
  • ograniczenie celu przetwarzania;
  • zgodność z prawem, rzetelność i przejrzystość przetwarzania;
  • ograniczenie przechowywania danych;
  • integralność, poufność, rozliczalność.

Natomiast AI Act reguluje systemy sztucznej inteligencji, ze szczególnym uwzględnieniem poziomu ryzyka, jaki mogą one generować. Głównym celem AI Act jest zapewnienie bezpieczeństwa systemów AI oraz ochrona praw podstawowych osób fizycznych – nie zaś kontrola nad danymi per se, która pozostaje domeną RODO. Od 2 sierpnia 2026 wchodzi kolejny etap wdrażania przepisów AI Act, który wiąże się właśnie z systemami wysokiego ryzyka oraz obowiązkami przejrzystości (art. 50), które bardzo ściśle wiążą się z RODO.

W praktyce oznacza to, że oba akty patrzą na ten sam proces z różnych perspektyw. Przykładowo, systemy takie jak scoring kandydatów do pracy mogą jednocześnie podlegać zarówno RODO, jak i AI Act.

Dlaczego przepisy RODO i AI Act się nakładają?

Odpowiedź na to pytanie jest bardzo prosta – są to niezależne rozporządzenia prawne, które należy traktować równolegle. Systemy AI bardzo często operują na danych osobowych, przez co ich stosowanie natychmiastowo wchodzi w zakres obowiązków RODO. Musisz pamiętać, że AI Act nie zastępuje RODO, podobnie jak Digital Omnibus nie zastąpi żadnego z tych rozporządzeń – przepisy te częściowo się uzupełniają, a przede wszystkim dodają nowe obowiązki związane np. z transparentnością czy klasyfikacją ryzyka.

Przykładowo wykorzystywany w dziale HR chatbot będzie związany z przepisami RODO, które zadbają o legalność przetwarzania danych kandydatów oraz przez AI Act, który zadba o transparentność.

Skala kar RODO i AI Act

Przede wszystkim w sytuacji, która będzie podpadać pod obydwa rozporządzenia prawne (jak we wspomnianym przykładowym scoringu kandydatów na stanowisko za pomocą systemów AI), nie zastosuje się przepisów, jakie „bardziej będą odpowiadać” dla wyznaczenia kary. W jednej sytuacji będą się toczyć dwa niezależne postępowania, a sankcje mogą być nałożone zarówno ze strony RODO, jak i AI Act. W Polsce organem nadzorczym zajmującym się naruszeniem RODO jest UODO, a w zakresie AI Act organem nadzorczym ma zostać Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji, która zostanie ustanowiona na mocy projektowanej ustawy krajowej.

Jak wygląda zatem skala przewidywanych kar?

  • I stopień sankcji: za naruszenie art. 5 AI Act, czyli systemów zakazanych, kara wynosi do 35 mln euro lub 7% globalnego obrotu w wypadku przedsiębiorstwa, w wypadku RODO najwyższą karą jest 20 mln euro lub 4% obrotu;
  • II stopień sankcji: za naruszenie związane z systemami wysokiego ryzyka lub art. 50 AI Act kara wynosi 15 mln euro lub 3% obrotu, a w wypadku RODO za mniej poważne wykroczenie przewiduje się 10 mln euro lub 2% obrotu.
  • III stopień sankcji: za podanie nieprawdziwych informacji organom nadzoru można otrzymać grzywnę do 7,5 mln euro lub 1% obrotu w przypadku AI Act, natomiast ogólna klasyfikacja sankcji w RODO kończy się na tych dwóch powyższych.

Jak uniknąć podwójnego „wybuchu” sankcji?

Każdy przedsiębiorca, który używa w swojej firmie system AI, nawet w wydawałoby się niewielkim stopniu, powinien zintegrować podejście do compliance i zarządzania ryzykiem, traktując RODO i AI Act jako jeden spójny system wymagań. Najlepiej skorzystać w tym celu z wykwalifikowanej ku temu kancelarii prawnej, która pomoże Twojej firmie przygotować się do spełnienia stosownych obowiązków.

Na co, między innymi, zwrócić uwagę?

  • dbałość o jakość danych, ich minimalizację oraz aktualność;
  • wdrażanie zasad privacy by design oraz privacy by default oraz zasad zarządzania ryzykiem - wymaganym przez AI Act (art. 9) jeszcze na etapie projektowania systemów;
  • prowadzenie stałego monitoringu działania systemów AI oraz ich wpływu na prawa i wolności jednostki.

Źródło:
https://paluckiszkutnik.pl/
https://paluckiszkutnik.pl/sztuczna-inteligencja-jako-narzedzie-marketingowe-o-czym-nalezy-pamietac-aby-dzialac-zgodnie-z-rodo/