Śląsk od lat umacnia swoją pozycję jako jeden z ważniejszych regionów technologicznych w Polsce – firmy z Rybnika, Gliwic i Katowic coraz chętniej wdrażają zaawansowane modele językowe do obsługi klienta, automatyzacji dokumentacji oraz wsparcia decyzji biznesowych. Zanim jednak system oparty na sztucznej inteligencji trafi do środowiska produkcyjnego, pojawia się szereg wyzwań prawnych. Kwestie te coraz częściej analizuje wyspecjalizowana kancelaria prawna IT – co powinna zawierać bezpieczna umowa z dostawcą AI i kto ponosi odpowiedzialność za zgodność z przepisami, gdy system wygeneruje błąd? Od 2 sierpnia 2025 roku unijny AI Act nakłada pełne obowiązki na dostawców modeli GPAI (ogólnego przeznaczenia), jednak podmiot stosujący – czyli firma wdrażająca model na własne potrzeby – również nie jest zwolniony z odpowiedzialności.
Dostawca AI a podmiot stosujący – kto odpowiada za co według AI Act?
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 (AI Act) wprowadza precyzyjne rozróżnienie pomiędzy dostawcą (provider) a podmiotem stosującym (deployer). Obie role wiążą się z odrębnym pakietem obowiązków prawnych, których nie można w drodze zwykłej umowy cywilnoprawnej w całości przerzucić na drugą stronę.
Dostawca modelu GPAI (np. OpenAI, Anthropic, Google) odpowiada za dostarczenie pełnej dokumentacji technicznej, wdrożenie polityki przestrzegania praw autorskich oraz publikację szczegółowego streszczenia danych wykorzystanych do treningu modelu. Obowiązki te weszły w życie 2 sierpnia 2025 roku.
Z kolei podmiot stosujący odpowiada za eksploatację systemu zgodnie z instrukcjami dostawcy. Do jego zadań należy m.in. zapewnienie odpowiedniego nadzoru człowieka nad działaniem algorytmu, przeprowadzenie oceny skutków dla praw podstawowych w przypadku systemów sklasyfikowanych jako wysokie ryzyko, a także dopełnienie obowiązków informacyjnych wobec pracowników i klientów, którzy wchodzą w interakcję z AI.
Kiedy podmiot stosujący staje się dostawcą – pułapka zmiany roli?
Wdrażanie modeli językowych przez API niesie ze sobą poważne ryzyko prawne związane z nieświadomą zmianą roli w świetle AI Act. Jeżeli firma decyduje się na oznaczenie zewnętrznego modelu własną marką (tzw. white-labeling) lub dokonuje istotnej modyfikacji jego pierwotnego przeznaczenia i sposobu działania, system uznaje ją za dostawcę.
Klasycznym przykładem takiej sytuacji jest integracja zewnętrznego modelu LLM z własnym produktem SaaS, który następnie jest komercjalizowany i sprzedawany klientom końcowym jako autorskie rozwiązanie. Z chwilą zmiany roli na firmę spada pełen pakiet restrykcyjnych obowiązków compliance przewidzianych dla twórców AI. Dlatego umowa z pierwotnym dostawcą technologii musi precyzyjnie określać granice modyfikacji kodu i konfiguracji, po przekroczeniu których wchodzi się w reżim odpowiedzialności dostawcy.
Co musi znaleźć się w umowie z dostawcą modelu językowego?
Prawidłowo skonstruowany kontrakt na wdrożenie technologii LLM musi wykraczać poza standardowe ramy umowy licencyjnej. Do kluczowych elementów, które należy zabezpieczyć w umowie, należą:
- Podział obowiązków wynikających z AI Act: Jasne wskazanie, które wymogi regulacyjne (np. w zakresie transparentności) są realizowane przez dostawcę, a które leżą po stronie wdrażającego, wraz z procedurą wzajemnego raportowania.
- Gwarancja dostępu do dokumentacji technicznej: Zapis zobowiązujący dostawcę do niezwłocznego dostarczenia wszelkich informacji i specyfikacji modelu na wypadek kontroli ze strony krajowego organu nadzoru nad sztuczną inteligencją.
- Klauzule dotyczące aktualizacji i zmian modelu: Modele językowe podlegają ciągłym aktualizacjom ze strony ich twórców. Nagła zmiana wag modelu lub parametrów filtrowania treści przez dostawcę może drastycznie zmienić zachowanie systemu i wpłynąć na zgodność z regulacjami po stronie użytkownika biznesowego. Umowa powinna gwarantować wcześniejsze powiadomienie o planowanych zmianach oraz dostęp do środowiska testowego.
Dane wejściowe użytkowników a RODO
Wprowadzanie zapytań do modeli językowych hostowanych w chmurze to proces, który bezpośrednio dotyka kwestii ochrony prywatności. Jeśli prompty zawierają informacje o klientach lub pracownikach, stają się danymi osobowymi w rozumieniu RODO.
W takim scenariuszu niezbędne jest precyzyjne określenie roli dostawcy AI. Z reguły konieczne jest podpisanie umowy powierzenia przetwarzania danych (art. 28 RODO), w której dostawca zobowiązuje się, że przesyłane zapytania nie będą wykorzystywane do dalszego trenowania publicznych wersji modelu. Należy również zweryfikować fizyczną lokalizację serwerów – korzystanie z modeli hostowanych w USA wymusza wdrożenie Standardowych Klauzul Umownych (SCC) lub weryfikację certyfikacji dostawcy w ramach ram ochrony danych. Umowa powinna także zawierać jasny zakaz wprowadzania do promptów danych szczególnej kategorii (np. o zdrowiu) bez wyraźnej i odrębnej podstawy prawnej.
Odpowiedzialność za treści generowane przez model – kto odpowiada za błędne odpowiedzi?
Zjawisko tzw. halucynacji, czyli generowania przez modele LLM nieprawdziwych lub zmyślonych informacji w sposób brzmiący wiarygodnie, to jedno z największych wyzwań wdrożeniowych. W swoich standardowych regulaminach B2B globalni dostawcy AI całkowicie wyłączają odpowiedzialność za treść generowaną przez ich systemy.
Dla podmiotu wdrażającego model oznacza to, że ponosi on pełne ryzyko przed własnymi klientami. Jeżeli chatbot wdrożony w sklepie internetowym błędnie poinformuje konsumenta o cenie lub warunkach zwrotu, firma nie może zasłonić się błędem algorytmu i nie przeniesie odpowiedzialności na dostawcę AI. W umowach zawieranych na indywidualne zamówienie z integratorami systemów warto dążyć do ustanowienia mechanizmów zabezpieczających, takich jak dedykowane filtry i systemy guardrails, oraz zabezpieczyć projekt za pomocą odpowiednio skalibrowanych kar umownych i parametrów SLA określających maksymalny dopuszczalny poziom błędów systemu.
Klasyfikacja systemu AI jako wysokiego ryzyka – jak to sprawdzić przed podpisaniem umowy?
Wymogi prawne wobec systemów sztucznej inteligencji zależą od poziomu ryzyka, jakie generuje ich zastosowanie. Wykorzystanie modeli LLM w obszarach takich jak rekrutacja pracowników (ocena CV), ocena zdolności kredytowej, edukacja, ochrona zdrowia czy zarządzanie infrastrukturą krytyczną automatycznie kwalifikuje system jako rozwiązanie wysokiego ryzyka (zgodnie z Załącznikiem III do AI Act).
Wdrożenie systemu wysokiego ryzyka wiąże się z koniecznością przeprowadzenia formalnej oceny FRIA, rejestracji systemu w publicznej bazie danych UE (art. 49 AI Act) oraz wdrożenia ciągłego systemu zarządzania ryzykiem i jakością jeszcze przed uruchomieniem produkcyjnym.
Pełne i restrykcyjne wymogi dla systemów wysokiego ryzyka wchodzą w życie 2 sierpnia 2026 roku. Biorąc pod uwagę czas trwania projektów wdrożeniowych, umowy podpisywane obecnie powinny już zawierać odpowiednie klauzule dostosowawcze, które zobowiążą dostawcę do dostarczenia komponentów umożliwiających spełnienie tych nadchodzących obowiązków.
Przykładowo, pomoc prawną przy audycie przedwdrożeniowym systemów sztucznej inteligencji oraz negocjowaniu bezpiecznych kontraktów z dostawcami technologii świadczy działająca w Rybniku kancelaria KGM Legal IT. Kompleksowe wsparcie pozwala na trafną klasyfikację systemu według AI Act oraz bezpieczne ukształtowanie struktury odpowiedzialności i ochrony danych osobowych.