W debacie o rynku usług prawnych łatwo wpaść w prosty schemat: im więcej adwokatów, tym lepiej dla klientów. W praktyce sprawa jest bardziej złożona. O jakości obsługi decyduje nie tylko liczba osób z tytułem zawodowym, ale też ich rozmieszczenie, specjalizacja, standard komunikacji z klientem i to, czy rynek odpowiada na rzeczywiste, a nie tylko formalne potrzeby obywateli i firm.
Sztuczna inteligencja może przyspieszać pracę, obniżać koszty i wspierać decyzje, ale z perspektywy prawa równie łatwo może prowadzić do naruszenia prywatności, dyskryminacji, manipulacji konsumentami, błędnych decyzji kredytowych, sporów o prawa autorskie i odpowiedzialności za szkodę. W praktyce największym błędem jest dziś założenie, że skoro decyzję „podpowiedział algorytm”, to odpowiedzialność człowieka lub firmy się rozmywa. Prawo patrzy na to odwrotnie – im większy wpływ AI na prawa i sytuację człowieka, tym większy ciężar organizacyjny i dowodowy po stronie podmiotu, który z niej korzysta.
| Rodzaj zagrożenia | Przykład | Najważniejsze przepisy |
|---|---|---|
| Prywatność i dane | trenowanie modelu na danych osobowych, profilowanie klientów | RODO, stanowiska UODO i EROD, AI Act |
| Dyskryminacja i automatyczne decyzje | rekrutacja, scoring kredytowy, ocena pracowników | RODO, AI Act, prawo pracy |
| Manipulacja i deepfake | podszywanie się, sztuczne rekomendacje, dark patterns | AI Act, prawo konsumenckie, Kodeks cywilny, Kodeks karny |
| Prawa autorskie | wykorzystanie cudzych treści do treningu lub generowania | ustawa o prawie autorskim, AI Act |
| Odpowiedzialność za szkodę | błędna diagnoza, błędna wycena ryzyka, wadliwa rekomendacja | Kodeks cywilny, przepisy sektorowe, AI Act |
Na poziomie unijnym harmonogram jest już dość jasny. Od 2 lutego 2025 r. stosuje się przepisy o zakazanych praktykach, definicjach i kompetencjach w zakresie AI literacy. Od 2 sierpnia 2025 r. obowiązują reguły zarządzania oraz obowiązki dotyczące modeli ogólnego przeznaczenia. Zasadnicza część AI Act ma zacząć być stosowana od 2 sierpnia 2026 r., a część obowiązków dla systemów wysokiego ryzyka osadzonych w wyrobach regulowanych – od 2 sierpnia 2027 r. Równolegle w Polsce trwają prace nad ustawą krajową: Rada Ministrów przyjęła projekt 31 marca 2026 r., a 8 kwietnia 2026 r. projekt został w Sejmie skierowany do opinii.
1. Prywatność i dane osobowe – pierwszy front sporów o AI
Najbardziej oczywiste ryzyko dotyczy danych osobowych. Jeśli system AI jest uczony, testowany albo używany na danych, które pozwalają zidentyfikować człowieka, w grę wchodzi RODO. UODO przypomina, że na różnych etapach cyklu życia AI może dochodzić do przetwarzania danych osobowych, a EROD wskazuje, że model trenowany na danych osobowych nie zawsze da się uznać za anonimowy. Innymi słowy – samo „wrzucenie danych do modelu” nie powoduje automatycznie, że problem prywatności znika.
W praktyce szczególnie niebezpieczne są trzy sytuacje: budowa zbiorów treningowych z danych zebranych z różnych źródeł, profilowanie klientów lub pracowników oraz używanie AI do podejmowania decyzji mogących istotnie wpłynąć na człowieka. UODO wprost wskazuje, że rozwiązania AI bardzo często spełniają kryteria wymagające oceny skutków dla ochrony danych, zwłaszcza gdy chodzi o profilowanie, przewidywanie, zautomatyzowane decyzje, przetwarzanie na dużą skalę albo innowacyjne wykorzystanie technologii.
2. Dyskryminacja, scoring i decyzje podejmowane „bez człowieka”
RODO daje osobie fizycznej prawo, aby nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, jeśli wywołuje ona skutki prawne albo podobnie istotnie na nią wpływa. Dotyczy to między innymi przypadków takich jak odmowa kredytu, automatyczna selekcja kandydatów czy systemy oceniające ryzyko klienta. EDPB podkreśla też, że profilowanie często idzie w parze z automatycznym podejmowaniem decyzji i wymaga realnej, a nie pozornej, ingerencji człowieka.
AI Act dodatkowo wzmacnia ten obszar. Systemy używane w zatrudnieniu, zarządzaniu pracownikami i dostępie do samozatrudnienia są traktowane jako zastosowania wysokiego ryzyka, ponieważ mogą wpływać na karierę, dochody i prawa pracownicze. Do kategorii wysokiego ryzyka zalicza się też niektóre zastosowania związane z dostępem do usług podstawowych, w tym oceną zdolności kredytowej. To oznacza, że im bardziej algorytm wpływa na życiowe szanse człowieka, tym mniej miejsca pozostaje na „czarną skrzynkę”.
3. AI w pracy – monitoring, emocje i ocena pracownika
W środowisku pracy ryzyko ma podwójny wymiar. Po pierwsze, pracodawca musi respektować przepisy o monitoringu i informowaniu pracowników. Kodeks pracy przewiduje warunki stosowania monitoringu, a pracownik przed dopuszczeniem do pracy powinien otrzymać pisemną informację o celu, zakresie i sposobie jego stosowania. Po drugie, sama automatyzacja zarządzania personelem może wchodzić w kolizję z RODO i AI Act, jeżeli prowadzi do punktowania, ukrytej selekcji lub zbyt daleko idącej kontroli zachowania.
Szczególnie ważne jest to, że AI Act zalicza do praktyk zakazanych rozpoznawanie emocji w miejscu pracy i w instytucjach edukacyjnych, z wyjątkiem sytuacji medycznych lub związanych z bezpieczeństwem. Dla pracodawców to wyraźny sygnał: eksperymenty z „czytaniem nastroju” pracowników przez kamerę, głos czy mimikę mogą być nie tylko etycznie wątpliwe, ale po prostu nielegalne.
4. Deepfake, podszywanie się i manipulacja konsumentem
Jednym z najbardziej widocznych zagrożeń AI jest deepfake. W praktyce nie chodzi tylko o fałszywe filmiki celebrytów, ale też o voice cloning, podszywanie się pod przełożonego, wyłudzanie przelewów, oszukańcze reklamy czy sztuczne rekomendacje. NASK i Ministerstwo Cyfryzacji ostrzegają, że deepfake jest już używany w cyberoszustwach i może służyć do łamania mechanizmów weryfikacji tożsamości oraz wywierania presji na szybkie działanie.
Z punktu widzenia polskiego prawa taki materiał może naruszać dobra osobiste, a w określonych sytuacjach wchodzić również w obszar odpowiedzialności karnej, na przykład gdy służy podszywaniu się pod inną osobę. Ochrona dóbr osobistych wynika z Kodeksu cywilnego, a przepisy karne przewidują odpowiedzialność za podszywanie się w celu wyrządzenia szkody majątkowej lub osobistej. AI nie znosi więc klasycznych narzędzi ochrony – raczej dostarcza nowych sposobów ich naruszania.
W relacji z konsumentem dodatkowym problemem są dark patterns, czyli interfejsy i komunikaty zaprojektowane tak, aby wymuszać określone decyzje. UOKiK przypomina, że nieuczciwa praktyka rynkowa to taka, która jest sprzeczna z dobrymi obyczajami i istotnie zniekształca zachowanie przeciętnego konsumenta, a urząd już prowadzi działania i projekty związane z wykrywaniem takich praktyk z użyciem AI. Jeżeli więc sztuczna inteligencja personalizuje presję zakupową, ukrywa koszty, wywołuje sztuczną pilność albo podszywa się pod autentyczną opinię człowieka, przedsiębiorca wchodzi na bardzo cienki lód.
Warto dodać, że obowiązki transparentności z AI Act obejmują także systemy, które wchodzą w interakcję z człowiekiem oraz treści generowane lub manipulowane przez AI, w tym deepfake. Zgodnie z aktualnym harmonogramem wytyczne dotyczące obowiązków z art. 50 mają znaczenie przed datą stosowania 2 sierpnia 2026 r., więc firmy tworzące boty, awatary czy syntetyczne materiały marketingowe powinny przygotować oznaczanie takich treści zawczasu.
5. Prawa autorskie i dane treningowe – ryzyko, które długo było bagatelizowane
Drugim dużym polem sporów są prawa autorskie. Polskie prawo zna już instytucję eksploracji tekstów i danych, ale nie oznacza to pełnej swobody kopiowania i trenowania modeli na dowolnych zasobach. Nowelizacja prawa autorskiego wprowadziła dozwolony użytek dla eksploracji tekstów i danych, a jednocześnie w praktyce pozostawiła znaczenie zastrzeżeń uprawnionych i innych ograniczeń wynikających z prawa autorskiego oraz ochrony baz danych.
Równolegle AI Act nakłada na dostawców modeli ogólnego przeznaczenia obowiązek wdrożenia polityki zgodności z prawem autorskim oraz publikowania odpowiednio szczegółowego podsumowania treści wykorzystanych do treningu modelu. To ważna zmiana: spór o dane treningowe przestaje być wyłącznie debatą etyczną, a staje się obszarem konkretnych obowiązków dokumentacyjnych i compliance.
6. Odpowiedzialność za szkodę – kto odpowiada, gdy AI się myli?
W polskim porządku prawnym odpowiedzialność za szkodę nie znika tylko dlatego, że w procesie uczestniczył model AI. Jeżeli przedsiębiorca używa systemu do podejmowania decyzji wobec klienta, pacjenta, pracownika czy kontrahenta, nadal może odpowiadać na zasadach cywilnych za skutki błędu, zaniechania, wadliwej organizacji procesu albo naruszenia dóbr osobistych. Dodatkowo AI Act przewiduje wysokie kary administracyjne – do 35 mln euro lub 7% światowego rocznego obrotu za najcięższe naruszenia, a do 15 mln euro lub 3% obrotu za inne naruszenia obowiązków.
To pokazuje podstawową zasadę praktyczną: AI może wspierać decyzję, ale nie powinna być wygodnym alibi. Jeżeli organizacja nie potrafi wyjaśnić, jakie dane wprowadziła do systemu, jak kontroluje błędy, kto sprawuje nadzór człowieka i jak obywatel lub klient może zakwestionować wynik, to ryzyko prawne rośnie lawinowo. Sam AI Act wprost przewiduje też prawo do uzyskania wyjaśnienia, gdy wynik systemu wysokiego ryzyka został użyty do podjęcia decyzji wywołującej skutki prawne wobec osoby fizycznej.
7. Jak ograniczyć ryzyko prawne AI w organizacji
- Sprawdź, czy używany system w ogóle podpada pod definicję AI z AI Act i czy nie jest zastosowaniem zakazanym.
- Zmapuj dane wejściowe – skąd pochodzą, czy zawierają dane osobowe i czy masz podstawę prawną ich użycia.
- Wykonaj ocenę ryzyka, a tam gdzie trzeba także DPIA, zwłaszcza przy profilowaniu, scoringu i decyzjach wpływających na ludzi.
- Zapewnij realny nadzór człowieka nad wynikiem modelu, a nie tylko formalne „zatwierdzanie”.
- Ustal zasady informowania użytkowników, pracowników i klientów, kiedy mają kontakt z AI lub treścią syntetyczną.
- Zweryfikuj legalność danych treningowych i materiałów wejściowych z perspektywy prawa autorskiego i ochrony baz danych.
- Przygotuj procedurę reklamacji, sprzeciwu i wyjaśniania decyzji algorytmicznych.
Końcowy komentarz
Największe zagrożenie związane z AI w świetle polskiego prawa nie polega dziś na tym, że „brakuje przepisów”. Problem jest odwrotny – przepisów jest już dużo, tylko pochodzą z różnych reżimów prawnych i zaczynają się na siebie nakładać. Dlatego przedsiębiorca, urząd lub pracodawca wdrażający AI powinien patrzeć nie tylko na samą technologię, ale też na skutki dla człowieka: prywatność, równe traktowanie, wolność decyzji, własność intelektualną i możliwość dochodzenia roszczeń. Kto zignoruje te elementy, ten ryzykuje nie tylko karę, ale też utratę zaufania, które przy AI jest dziś równie ważne jak sama innowacja.
Autorem tekstu jest adw. Patryk Skwiot, prowadzący kancelarię adwokacką w Olsztynie. W swojej praktyce zajmuje się między innymi zagadnieniami prawa nowych technologii, ochrony danych, odpowiedzialności prawnej przedsiębiorców oraz problematyką regulacji związanych ze sztuczną inteligencją. Dzięki połączeniu wiedzy prawnej z dobrą znajomością realiów cyfrowego biznesu kancelaria wspiera klientów w bezpiecznym wdrażaniu nowoczesnych rozwiązań i ograniczaniu ryzyk prawnych związanych z AI.

