Kiedy w połowie lat dziewięćdziesiątych PMI wydawał pierwsze wydanie PMBoK Guide, nikt nie wyobrażał sobie, że dwie dekady później project managerowie będą musieli orientować się w unijnych rozporządzeniach o sztucznej inteligencji. A jednak – regulacje dojrzewają szybciej niż niejeden harmonogram projektu.
Coraz więcej organizacji sięga po narzędzia AI: asystenci automatyzują raporty, algorytmy wspierają rekrutację do zespołów projektowych, modele predykcyjne szacują ryzyka. W tle tego technologicznego entuzjazmu tworzy się jednak cichy, lecz niezwykle istotny krajobraz prawny. Nieznajomość tych regulacji – podobnie jak nieznajomość prawa w ogóle – nie zwalnia z odpowiedzialności.
📌 Harmonogram wdrożenia AI Act – kluczowe daty
1 sierpnia 2024 r.: wejście w życie Rozporządzenia (UE) 2024/1689 (AI Act). • 2 lutego 2025 r.: zakazy zabronionych praktyk AI (art. 5) i obowiązek zapewnienia kompetencji AI (AI literacy). • 2 sierpnia 2025 r.: obowiązki dla modeli AI ogólnego przeznaczenia (GPAI). • 2 sierpnia 2026 r.: pełne wymagania dla systemów wysokiego ryzyka z Załącznika III. • 2 sierpnia 2027 r.: systemy wbudowane w produkty regulowane (Załącznik I). |
AI Act wchodzi na scenę – i to nie od razu z całą mocą
Jednym z najczęstszych nieporozumień jest przekonanie, że rozporządzenie, dotyczące AI Act, weszło w życie naraz, jak ustawa zasadnicza. Tymczasem jest to legislacja etapowa, rozłożona na kilka lat. Pierwsza faza – obowiązująca od 2 lutego 2025 roku – objęła zakazy ośmiu kategorii praktyk uznanych za niedopuszczalne: m.in. systemy oceny społecznej (social scoring), rozpoznawanie emocji w miejscu pracy i placówkach oświatowych, biometryczna kategoryzacja osób w celu wnioskowania o ich przekonaniach politycznych czy orientacji seksualnej [1]. Równocześnie organizacje zostały zobowiązane do zapewnienia odpowiedniego poziomu kompetencji AI (AI literacy) wśród pracowników mających kontakt z systemami sztucznej inteligencji.
Sierpień 2025 roku przyniósł obowiązki dla dostawców modeli AI ogólnego przeznaczenia (GPAI), natomiast pełne wymagania dla systemów wysokiego ryzyka wymienionych w Załączniku III do rozporządzenia – w tym narzędzia stosowane w rekrutacji, zarządzaniu kadrami czy infrastrukturze krytycznej – wejdą w życie dopiero 2 sierpnia 2026 roku. Systemy wbudowane w produkty regulowane, takie jak wyroby medyczne czy pojazdy autonomiczne, mają czas do 2027 roku.
Dla project managerów kluczowe jest jedno pytanie: czy wdrażany system AI wchodzi w zakres przepisów już obowiązujących, czy tych, które dopiero nadejdą? Odpowiedź powinna znaleźć się w rejestrze ryzyk projektu, nie dopiero w fazie zamknięcia.
RODO i AI – nierozłączne duo
Tam, gdzie pojawia się sztuczna inteligencja, prawie zawsze pojawiają się dane osobowe. Systemy AI są uczone na danych, przetwarzają dane, generują wnioski dotyczące konkretnych ludzi. To sprawia, że RODO i AI Act zazębiają się w wielu obszarach, tworząc złożoną sieć obowiązków.
Pierwszym z nich jest zautomatyzowane podejmowanie decyzji. Artykuł 22 RODO przyznaje osobom prawo do tego, by nie podlegały decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu, jeśli wywierają one na nie znaczący wpływ [2]. W praktyce oznacza to, że system AI rekomendujący odrzucenie kandydata w procesie rekrutacyjnym musi mieć ludzką przeciwwagę – kogoś, kto może zakwestionować decyzję algorytmu.
Drugim wymaganiem wartym uwagi jest Ocena Skutków dla Ochrony Danych (DPIA). Wdrożenie nowego systemu AI przetwarzającego dane osobowe może wymagać przeprowadzenia takiej analizy jeszcze przed uruchomieniem produkcyjnym. To nie formalność – to realne narzędzie zarządzania ryzykiem, które powinno znaleźć się w harmonogramie projektu jako osobny kamień milowy, realizowany we współpracy z Inspektorem Ochrony Danych.
Warto też pamiętać o zasadzie minimalizacji danych. Modele AI – szczególnie generatywne – wymagają rozbudowanych zbiorów do trenowania. Odpowiedzialność za to, by dane użyte w projekcie były adekwatne do celu i legalnie pozyskane, spoczywa nie tylko na zespole data science, ale i na osobie odpowiedzialnej za prowadzenie projektu jako całości.
Kto odpowiada, gdy AI się myli? Koniec z dyrektywą, czas na produkt wadliwy
Przez kilka lat europejski legislator pracował nad odrębną Dyrektywą o odpowiedzialności za AI (AI Liability Directive), która miała harmonizować zasady dochodzenia roszczeń za szkody wyrządzone przez systemy sztucznej inteligencji. Projekt przewidywał m.in. ułatwione domniemanie związku przyczynowego dla poszkodowanych. Jednak w październiku 2025 roku Komisja Europejska oficjalnie wycofała projekt z procesu legislacyjnego – przede wszystkim ze względu na brak porozumienia między państwami członkowskimi i nakładanie się regulacji [3].
Próżnia ta jest jednak tylko częściowa. Już w październiku 2024 roku przyjęto Dyrektywę (UE) 2024/2853 w sprawie odpowiedzialności za wadliwe produkty – zwaną nową Dyrektywą PLD – stosowaną do produktów wprowadzanych na rynek po 9 grudnia 2026 roku. Kluczowa zmiana: systemy AI oraz oprogramowanie zostały wprost objęte definicją „produktu”. Oznacza to, że producent lub podmiot wprowadzający system AI na rynek może odpowiadać surowo (strict liability) za szkody wyrządzone przez wadliwy system – bez konieczności udowadniania winy po stronie poszkodowanego [4].
Co więcej, nowa Dyrektywa PLD powiązała domniemanie wadliwości z naruszeniem obowiązków dokumentacyjnych wynikających z AI Act. Innymi słowy: brak dokumentacji nie jest tylko uchybieniem formalnym – może stać się dowodem w procesie o odszkodowanie.
Dla project managerów rozróżnienie między dostawcą (provider) a wdrożeniowcem (deployer) w rozumieniu AI Act nabiera tu szczególnego znaczenia. Organizacja, która wdraża cudzy system AI we własnej działalności, działa jako wdrożeniowiec – i ponosi związane z tym obowiązki: ocenę zgodności systemu, monitorowanie jego działania, zgłaszanie incydentów. W przypadku szkód na gruncie nowej Dyrektywy PLD to właśnie wdrożeniowiec może znaleźć się w centrum sporu.
Generatywna AI i prawa autorskie, czyli kto jest autorem tego raportu?
Generatywna AI wnosi do projektów nowy rodzaj ryzyka prawnego. Narzędzia tworzące teksty, obrazy, kod oprogramowania czy dokumentację techniczną są coraz powszechniej wykorzystywane w codziennej pracy zespołów projektowych. Tymczasem pytanie o prawa autorskie do tak wytworzonych treści pozostaje otwarte.
Polskie prawo autorskie, podobnie jak większość systemów prawnych na świecie, wymaga, by utwór był efektem twórczości człowieka. Treść wygenerowana wyłącznie przez algorytm może zatem nie korzystać z ochrony prawnoautorskiej – co ma istotne konsekwencje zarówno dla zamawiającego, jak i wykonawcy projektu. Warto zadbać, by umowy projektowe precyzyjnie regulowały kwestię własności i statusu prawnego treści wytworzonych z udziałem AI.
Istnieje też ryzyko odwrotne: modele generatywne trenowane są na ogromnych zbiorach danych, nierzadko zawierających chronione dzieła. Generowana treść może być zbyt zbliżona do istniejącego materiału, co naraża organizację na roszczenia z tytułu naruszenia praw autorskich. Weryfikacja treści wytworzonych przez AI – szczególnie kodu oprogramowania, obrazów i obszernych fragmentów tekstu – powinna być elementem procesu zapewnienia jakości (quality assurance) w każdym projekcie cyfrowym.
PM jako strażnik zgodności – co warto uwzględnić w każdej fazie projektu
Wiedza prawna o AI powinna przekładać się na konkretne działania w cyklu życia projektu. Poniższa tabela porządkuje kluczowe zagadnienia według faz:
| Inicjacja projektu | Czy system AI jest klasyfikowany jako wysokiego ryzyka zgodnie z AI Act? Czy przetwarzane są dane osobowe? Czy wymagana jest ocena skutków dla ochrony danych (DPIA)? |
| Planowanie | Uwzględnij czas i budżet na działania zgodnościowe (compliance). Zidentyfikuj interesariuszy odpowiedzialnych za kwestie prawne, bezpieczeństwo i dane. Traktuj dokumentację prawną jako formalny rezultat projektu. |
| Realizacja i monitoring | Dokumentuj decyzje związane z wykorzystaniem AI. Zapewnij realny nadzór człowieka nad działaniem systemu. Weryfikuj treści generowane przez AI pod kątem praw autorskich i ryzyka dyskryminacji. Monitoruj incydenty i nieprawidłowości. |
| Zamknięcie projektu | Zapewnij kompletność dokumentacji systemu AI. Zweryfikuj obowiązki rejestracyjne (jeśli wymagane). Zarchiwizuj dokumentację zgodności i raporty z monitoringu. |
Rys. 1. Odpowiedzi respondentów na pytanie: Jakie narzędzia są stosowane w definiowaniu i analizie problemów?
Źródło: opracowanie własne
Prawo AI nie jest przeszkodą – jest nowym wymaganiem
Project managerowie zajmują wyjątkową pozycję w ekosystemie projektów AI: stają na przecięciu technologii, biznesu i – coraz częściej – prawa. Nie chodzi o to, by PM stał się prawnikiem. Chodzi o to, by wiedział, kiedy po prawnika sięgnąć, jak wbudować compliance w cykl życia projektu i jak zarządzać ryzykiem regulacyjnym z taką samą starannością, z jaką zarządza ryzykiem technicznym czy budżetowym.
Regulacje AI dojrzewają szybko. Kolejne miesiące przyniosą dalsze wytyczne organów nadzorczych, pierwsze decyzje wykonawcze i coraz więcej precedensów sądowych. Project manager, który już dziś rozumie podstawy prawa AI, jutro będzie dysponował realną przewagą – zarówno dla siebie, jak i dla organizacji, którą reprezentuje.
Bibliografia:
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji (Akt w sprawie sztucznej inteligencji), art. 5, Dz.U. UE L 2024/1689.
[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO), art. 22.
[3] European Parliament, Legislative Train Schedule, AI Liability Directive, withdrawal confirmed: C/2025/5423, October 2025, https://www.europarl.europa.eu/legislative-train/theme-a-europe-fit-for-the-digital-age/file-ai-liability-directive.
[4] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2024/2853 z dnia 23 października 2024 r. w sprawie odpowiedzialności za wadliwe produkty, art. 4, Dz.U. UE L 2024/2853.
[5] Bird & Bird, AI Liability in light of the new 2024 PLD – expanded liability, challenging defences and new evidentiary burdens, 2026, https://www.twobirds.com.
Stan prawny na 15 lutego 2026 r.
Adwokatka, aplikantka rzecznikowska, mediatorka i wykładowczyni. Przewodnicząca Komisji ds. Nowych Technologii przy ORA w Bydgoszczy, ekspertka Grupy Roboczej ds. Sztucznej Inteligencji przy Ministrze Cyfryzacji. Specjalizuje się w prawie nowych technologii, ochronie danych, własności przemysłowej i compliance. Wyróżniona przez Forbes Women (2022) jako jedna z 25 najlepszych prawniczek w biznesie.