Wiele firm zakłada, że obowiązki związane z AI Act dotyczą głównie wielkich dostawców technologii: OpenAI, Google, Anthropic, Meta, Mistral, Microsoftu i innych podmiotów, które tworzą modele sztucznej inteligencji.

To częściowo prawda.

To właśnie dostawcy modeli ogólnego przeznaczenia, czyli tzw. GPAI, mają własne obowiązki dotyczące przejrzystości, prawa autorskiego, dokumentacji, bezpieczeństwa i - w przypadku najbardziej zaawansowanych modeli - ryzyk systemowych.

Ale z perspektywy zwykłej firmy problem nie kończy się na tym, że ktoś inny stworzył model.

Bo nawet jeśli organizacja nie buduje własnej sztucznej inteligencji, może intensywnie korzystać z AI w sprzedaży, HR, marketingu, obsłudze klienta, analizie dokumentów, administracji, finansach albo pracy menedżerskiej.

A wtedy pojawia się pytanie: czy firma wie, co właściwie kupuje, od kogo, na jakich zasadach i z jakim ryzykiem?

Czym jest GPAI i dlaczego to ważne?

GPAI to general-purpose AI, czyli model sztucznej inteligencji ogólnego przeznaczenia. To nie jest narzędzie stworzone do jednej, wąskiej funkcji. Taki model może wspierać wiele różnych zastosowań: generować tekst, analizować dokumenty, pisać kod, tłumaczyć, streszczać, tworzyć koncepcje, odpowiadać na pytania, wspierać obsługę klienta albo pomagać w pracy z wiedzą.

W praktyce wiele popularnych narzędzi AI działa właśnie w oparciu o takie modele.

Dla firm ma to ogromne znaczenie, bo ten sam model może być używany do bardzo różnych celów. W jednym dziale będzie pomagał poprawić styl maila, w innym analizować CV, w kolejnym streszczać umowy, a jeszcze gdzie indziej wspierać komunikację z klientem.

Technologia jest ta sama albo podobna, ale ryzyko może być zupełnie inne.

Dlatego AI Act rozróżnia obowiązki dostawców modeli ogólnego przeznaczenia i obowiązki organizacji, które używają systemów AI w konkretnych procesach. Dostawca odpowiada za określone elementy modelu i dokumentacji. Firma odpowiada za to, jak wykorzystuje narzędzie w swoim środowisku.

Code of Practice: sygnał dla całego rynku

Komisja Europejska opublikowała General-Purpose AI Code of Practice jako dobrowolne narzędzie pomagające dostawcom modeli ogólnego przeznaczenia wykazać zgodność z obowiązkami AI Act.

Kodeks koncentruje się na trzech głównych obszarach: przejrzystości, prawie autorskim oraz bezpieczeństwie i ochronie. Dla najbardziej zaawansowanych modeli szczególne znaczenie mają kwestie ryzyk systemowych, testowania, dokumentowania i zarządzania bezpieczeństwem.

Formalnie jest to dokument skierowany przede wszystkim do dostawców GPAI.

Ale jego znaczenie jest szersze.

Pokazuje, w jakim kierunku zmierza rynek: coraz mniej wystarczy powiedzieć „nasz model działa dobrze". Coraz ważniejsze będzie to, czy dostawca potrafi wyjaśnić, jak model jest dokumentowany, jakie ma ograniczenia, jakie są zasady dotyczące danych, jak podchodzi do praw autorskich i jakie mechanizmy bezpieczeństwa stosuje.

Dla klientów biznesowych to jasny sygnał: jeśli używasz AI w firmie, musisz nauczyć się zadawać dostawcom lepsze pytania.

Firma nie może kupować AI tak, jak kupuje zwykłą aplikację

Wdrożenie narzędzia AI wygląda często bardzo prosto. Wybieramy subskrypcję, tworzymy konta, dajemy dostęp pracownikom i zaczynamy korzystać.

To pozorna prostota.

Narzędzie AI może mieć dostęp do treści, które wcześniej nigdy nie opuszczały organizacji: zapytań klientów, dokumentów wewnętrznych, danych osobowych, materiałów marketingowych, kodu, notatek ze spotkań, analiz finansowych albo treści ofert.

Może też wpływać na jakość pracy. Jeśli pracownik korzysta z AI przy tworzeniu komunikacji, analizy, rekomendacji albo odpowiedzi do klienta, wynik modelu zaczyna pośrednio oddziaływać na proces biznesowy.

Dlatego zakup AI nie powinien być wyłącznie decyzją działu, który „chce usprawnić pracę". Powinien być elementem zarządzania ryzykiem.

Nie każda firma potrzebuje rozbudowanego procesu oceny dostawców jak duża korporacja. Ale każda organizacja powinna wiedzieć, jakie narzędzia AI dopuszcza, kto z nich korzysta i czy są one odpowiednie do danego zastosowania.

O co pytać dostawcę AI?

Pytania do dostawcy AI nie muszą od razu tworzyć wielkiego audytu. Na początek chodzi o zdrowy rozsądek i minimalny poziom kontroli.

Firma powinna rozumieć, czy dane wprowadzane do narzędzia mogą być wykorzystywane do trenowania modeli, gdzie są przetwarzane, jakie obowiązują ustawienia prywatności, czy istnieje wersja biznesowa z lepszą ochroną danych i jakie są ograniczenia użycia systemu.

Powinna też wiedzieć, czy dostawca udostępnia dokumentację, informacje o modelu, opis ograniczeń, zasady bezpieczeństwa, warunki przetwarzania danych i mechanizmy reagowania na incydenty.

Ważne jest również prawo autorskie. Jeśli narzędzie generuje treści, obrazy, teksty lub kod, firma powinna rozumieć, jakie są zasady korzystania z wyników, jakie ryzyka mogą dotyczyć materiałów wejściowych i czy dostawca deklaruje zgodność z obowiązkami dotyczącymi praw autorskich.

To nie są pytania teoretyczne. To pytania, które mogą wrócić przy audycie, reklamacji, sporze z klientem, incydencie bezpieczeństwa albo kontroli.

Dostawca odpowiada za model. Firma odpowiada za użycie

To rozróżnienie jest kluczowe.

Dostawca modelu może mieć obowiązki związane z dokumentacją, bezpieczeństwem, przejrzystością czy prawem autorskim. Ale jeśli firma użyje narzędzia AI do niewłaściwego procesu, przekaże mu poufne dane albo oprze decyzję biznesową na niezweryfikowanym wyniku, nie może po prostu powiedzieć: „to wina dostawcy".

AI Act buduje odpowiedzialność w łańcuchu wartości. Oznacza to, że różne podmioty mają różne role i różne obowiązki.

Dla organizacji korzystającej z AI najważniejsze jest zrozumienie własnego kontekstu. To ona wie, czy narzędzie jest używane w marketingu, rekrutacji, obsłudze klienta, analizie danych czy procesie decyzyjnym. To ona wie, jakie dane są przetwarzane. To ona określa, czy wynik AI jest tylko inspiracją, czy elementem realnej decyzji.

Dostawca może pomóc, ale nie zastąpi odpowiedzialności firmy za sposób użycia AI.

Rejestr narzędzi AI jako fundament

Nie da się pytać dostawców o zgodność, jeśli firma nie wie, z jakich narzędzi korzysta.

To jedna z największych luk w organizacjach.

Część narzędzi AI jest kupiona oficjalnie. Część działa w ramach istniejących systemów. Część jest testowana przez zespoły. Część funkcjonuje przez prywatne konta pracowników. Część jest „niewidoczna", bo AI pojawiła się jako nowa funkcja w znanym już narzędziu.

Dlatego pierwszym krokiem powinien być prosty rejestr AI.

Nie po to, żeby tworzyć biurokrację. Po to, żeby firma wiedziała, jakie narzędzia są używane, kto za nie odpowiada, do czego służą, jakie dane przetwarzają i czy wymagają dodatkowej oceny.

Dopiero wtedy można sensownie rozmawiać o dostawcach, dokumentacji, ryzyku, zgodach, akceptacjach i zasadach korzystania.

Bez rejestru firma działa na domysłach.

GPAI Code of Practice a praktyka zakupowa firm

Code of Practice dla GPAI nie oznacza, że każda mała czy średnia firma musi czytać techniczne dokumenty największych modeli.

Oznacza jednak, że rynek dojrzewa.

Dostawcy AI będą coraz częściej oceniani nie tylko przez pryzmat jakości odpowiedzi, ale także przez pryzmat przejrzystości, bezpieczeństwa, dokumentacji, praw autorskich i zgodności z regulacjami.

Firmy, które kupują AI, powinny przygotować się na podobną zmianę.

Tak jak przy RODO organizacje nauczyły się pytać dostawców o powierzenie przetwarzania danych, lokalizację danych i środki bezpieczeństwa, tak przy AI będą musiały nauczyć się pytać o dokumentację modelu, zakres użycia danych, ograniczenia, ryzyka, zgodność z AI Act i możliwość wykazania odpowiedzialnego wdrożenia.

To nie musi być skomplikowane od pierwszego dnia. Ale musi się zacząć.

Co może pójść źle, jeśli firma tego nie zrobi?

Najprostszy scenariusz to naruszenie danych. Pracownik wprowadza do narzędzia AI informacje, których nie powinien przekazywać zewnętrznemu dostawcy.

Inny scenariusz to błędna decyzja. AI generuje przekonującą, ale nieprawdziwą analizę, a zespół używa jej bez weryfikacji.

Jeszcze inny scenariusz to problem praw autorskich. Firma publikuje treść lub grafikę wygenerowaną przez AI, nie rozumiejąc ograniczeń licencyjnych lub ryzyk związanych z materiałami wejściowymi.

Możliwy jest też problem operacyjny: firma opiera część procesu na narzędziu, które później zmienia warunki, podnosi ceny, ogranicza funkcje albo przestaje być dostępne.

We wszystkich tych sytuacjach wspólny mianownik jest ten sam: organizacja korzystała z AI, ale nie zarządzała tym użyciem.

Gdzie pomaga AI TrustCERT?

AI TrustCERT pomaga firmom uporządkować podstawy odpowiedzialnego korzystania z AI.

Zamiast zaczynać od skomplikowanego audytu technologicznego, organizacja może najpierw zbudować praktyczną gotowość: przeszkolić pracowników, przyjąć zasady korzystania z AI, zebrać akceptacje, stworzyć rejestr narzędzi, rozpoznać ryzyka i przygotować raport gotowości.

To dobry punkt wyjścia również do rozmów z dostawcami.

Jeżeli firma wie, jakich narzędzi używa i w jakich procesach, łatwiej jej określić, jakie pytania zadać dostawcom, gdzie potrzebna jest dodatkowa dokumentacja, a gdzie wystarczą proste zasady wewnętrzne.

AI TrustCERT nie zastępuje wszystkich obowiązków prawnych i technicznych. Pomaga jednak zrobić pierwszy, najważniejszy krok: przejść od przypadkowego korzystania z AI do świadomego i udokumentowanego procesu.

Podsumowanie

Nie trzeba tworzyć własnego modelu AI, żeby mieć odpowiedzialność za AI w firmie.

Wystarczy używać narzędzi AI w codziennej pracy.

Dostawcy modeli ogólnego przeznaczenia będą coraz mocniej zobowiązani do dokumentowania przejrzystości, bezpieczeństwa i zgodności z AI Act. Ale organizacje korzystające z tych narzędzi również muszą wykonać swoją część pracy.

Powinny wiedzieć, z jakich narzędzi korzystają, jakie dane do nich trafiają, kto jest dostawcą, jakie obowiązują zasady i czy sposób użycia AI jest odpowiedni do danego procesu.

AI w firmie nie kończy się na pytaniu: „czy to działa?"

Coraz częściej zaczyna się od pytania:

„Czy wiemy, na jakich zasadach tego używamy?"

Źródła

  1. Komisja Europejska opublikowała General-Purpose AI Code of Practice 10 lipca 2025 r.; kodeks pomaga dostawcom modeli ogólnego przeznaczenia spełniać obowiązki AI Act w zakresie bezpieczeństwa, przejrzystości i prawa autorskiego.
  2. Komisja Europejska wyjaśnia, że GPAI Code of Practice jest dobrowolnym narzędziem przygotowanym przez niezależnych ekspertów w procesie wielostronnym, a jego trzy główne rozdziały obejmują przejrzystość, prawo autorskie oraz bezpieczeństwo i ochronę dla najbardziej zaawansowanych modeli.
  3. Komisja Europejska wskazuje, że dostawcy modeli, którzy podpiszą kodeks, mogą wykazywać zgodność z AI Act przez przestrzeganie jego zapisów, co ma zmniejszyć obciążenia administracyjne i zwiększyć pewność prawną.
  4. Reuters opisał unijny Code of Practice jako dobrowolne narzędzie wspierające zgodność z AI Act, koncentrujące się na przejrzystości, prawie autorskim, bezpieczeństwie i ochronie.