Multicert

Bezpłatna wycena

Regulacje UE · w 2h, bez zobowiązań

Wyceń →
Regulacje UE

Wykorzystanie AI w organizacji — odpowiedzialność prawna i ISO 42001

EU AI Act, RODO art. 22 oraz odpowiedzialność za decyzje automatyczne. ISO 42001 jako dowód należytej staranności oraz podstawa dokumentacji odpowiedzialnego wykorzystania AI.

Zespół Multicert 6 min czytania
ZM

Zespół Multicert

Redakcja Multicert · Akredytowana jednostka certyfikująca

Wykorzystanie AI w organizacji stało się w ciągu ostatnich dwóch lat codzienną praktyką tysięcy polskich firm — od ChatGPT w marketingu, przez Copilot w księgowości, po systemy rekrutacyjne oparte o uczenie maszynowe w działach HR. Większość tych zastosowań podlega istniejącym regulacjom prawnym — RODO, prawu konsumenckiemu, prawu pracy. Od 2025 roku dodatkowo obowiązuje EU AI Act (Rozporządzenie (UE) 2024/1689) — pierwsza na świecie kompleksowa regulacja sztucznej inteligencji.

Trzy warstwy odpowiedzialności

Warstwa 1 — RODO art. 22: decyzje zautomatyzowane wywołujące skutki prawne lub w istotny sposób wpływające na osobę fizyczną. Każda organizacja wykorzystująca AI w procesach decyzyjnych HR, scoringu kredytowym, procesach akceptacji/odrzucenia zgłoszenia lub wycenie indywidualnej — podlega art. 22. Wymagane prawa osoby: prawo do uzyskania interwencji człowieka, do przedstawienia stanowiska oraz do zaskarżenia decyzji.

Warstwa 2 — EU AI Act: kompleksowy reżim regulacyjny dla systemów AI. Wprowadza następujące kategorie:

  • Systemy zakazane (scoring społeczny, manipulacja, biometria w czasie rzeczywistym w przestrzeni publicznej — z wyjątkami ustawowymi)
  • Systemy wysokiego ryzyka (wykaz w załączniku III) — szczegółowe wymogi dla dostawców oraz użytkowników
  • Systemy ograniczonego ryzyka — wymóg transparentności (informowanie o komunikacji z systemem AI)
  • Systemy minimalnego ryzyka — bez szczególnych wymogów

Fazowe wdrożenie: zakazy od lutego 2025 roku, większość przepisów od sierpnia 2026 roku, pełne wdrożenie do sierpnia 2027 roku.

Warstwa 3 — regulacje sektorowe: DORA (operacyjna odporność cyfrowa w sektorze finansowym), MDR/IVDR (wyroby medyczne z komponentem AI), dyrektywa platformowa (algorytmy kontrolujące pracę), pozostałe regulacje branżowe.

Zakres ryzyka dla organizacji

Trzy reprezentatywne scenariusze:

Scenariusz 1 — rekrutacja z modułem AI (wstępna selekcja kandydatów)

  • System AI (własny model lub komercyjny system rekrutacyjny z modułem uczenia maszynowego) odrzuca CV
  • Kandydat zaskarża decyzję — RODO art. 22, dyrektywa antydyskryminacyjna
  • Brak udokumentowanego zarządzania ryzykiem błędu systemowego (bias) skutkuje ryzykiem pozwu oraz kary

Scenariusz 2 — generatywne AI w obsłudze klienta

  • Chatbot udziela klientowi błędnej informacji o produkcie lub cenie
  • Klient zawiera umowę na podstawie błędnej informacji
  • Organizacja odpowiada cywilnoprawnie za zobowiązania (Kodeks cywilny, prawo konsumenckie)

Scenariusz 3 — AI w marketingu (deepfake, manipulacja)

  • Wykorzystanie AI do tworzenia treści wprowadzających w błąd
  • Odpowiedzialność wobec UOKiK, Rzecznika Konsumentów oraz odpowiedzialność sądowa za nieuczciwą praktykę rynkową

ISO 42001 jako dowód należytej staranności

ISO/IEC 42001:2023 to pierwsza międzynarodowa norma systemu zarządzania AI. Wdrożenie oraz certyfikacja dostarczają udokumentowane, audytowane dowody systemowego podejścia do ryzyk AI:

  • Polityka AI zatwierdzona przez najwyższe kierownictwo
  • Inwentaryzacja systemów AI — zakres wykorzystywanych systemów, cele oraz użytkownicy
  • Ocena ryzyk AI dla każdego systemu (błąd systemowy, prywatność, bezpieczeństwo, ryzyka reputacyjne)
  • Klasyfikacja wg EU AI Act (zakazane / wysokiego ryzyka / ograniczonego / minimalnego)
  • Kontrole specyficzne dla AI — testy błędu systemowego, monitorowanie dryfu modelu, nadzór człowieka, wyjaśnialność decyzji
  • Procedury reagowania na incydenty AI (błędne decyzje modelu, wyciek danych z modelu, nadużycie)
  • Szkolenia pracowników — odpowiedzialne wykorzystanie AI

W przypadku sporu sądowego lub kontroli organu nadzoru certyfikat ISO 42001 stanowi istotny dowód należytej staranności (due diligence).

Zakres minimum dla MŚP

Organizacje nieplanujące pełnego wdrożenia ISO 42001 powinny zrealizować co najmniej następujący zakres:

  1. Polityka wykorzystania AI — zakres dopuszczony, zakres zabroniony, wykaz zatwierdzonych narzędzi
  2. Inwentaryzacja — identyfikacja obszarów wykorzystania AI w organizacji (liczba systemów jest zwykle wyższa niż szacunek początkowy)
  3. Klasyfikacja zastosowań zgodnie z EU AI Act
  4. Szkolenie pracowników — zasady odpowiedzialnego wykorzystania, rodzaje danych niedopuszczonych do modeli publicznych
  5. Aktualizacja polityki RODO — uwzględnienie zastosowań AI

Sprawdź szczegóły procesu: certyfikacja ISO 42001.

Powiązane artykuły:

Najczęstsze pytania

Jakie regulacje dotyczą wykorzystania AI w organizacji? +
EU AI Act (UE 2024/1689), RODO art. 22, regulacje sektorowe (DORA, MDR/IVDR, dyrektywa platformowa).
Czy organizacja odpowiada prawnie za błędy AI? +
Tak — odpowiedzialność spoczywa na operatorze lub dostawcy systemu AI. EU AI Act wprowadza szczegółowe obowiązki obu podmiotów.
Czym jest 'system AI wysokiego ryzyka' wg EU AI Act? +
Załącznik III: rekrutacja, kredyty, edukacja, infrastruktura krytyczna, ściganie przestępstw, biometria zdalna w przestrzeni publicznej.
W jaki sposób ISO 42001 ogranicza ryzyko prawne organizacji? +
ISO 42001 dostarcza udokumentowane ramy zarządzania AI — dowód należytej staranności w razie sporu lub kontroli.
Czy mała organizacja używająca ChatGPT również podlega regulacjom? +
Częściowo — RODO art. 22 dla zautomatyzowanych decyzji, EU AI Act dla systemów ograniczonego ryzyka. Dla MŚP wystarczy polityka wykorzystania AI oraz szkolenia.

Autor artykułu

ZM

Zespół Multicert

Redakcja Multicert · Akredytacja PCA AC 210

Artykuły przygotowuje zespół audytorów i specjalistów Multicert z wieloletnim doświadczeniem w certyfikacji systemów ISO, wyrobów CE oraz regulacjach UE.

← Wszystkie artykuły 25 lutego 2026
Zadzwoń Bezpłatna wycena