Tabela: Maksymalne kary administracyjne wg AI Act (wybrane przypadki)
| Kto odpowiada | Za co (przykład) | Podstawa | Maksymalna kara* |
| Każdy operator (dostawca/deployer/importer/dystrybutor) | Zakazane praktyki (np. manipulacja poza świadomością, predykcja przestępczości, nieuprawnione biometryczne kategoryzacje) | Art. 5 AIAct (zakazy), Art. 99 ust. 3 AIAct | do 35 mln € lub 7% globalnego obrotu (które wyższe) |
| Operatorzy systemów wysokiego ryzyka (w tym deployer–pracodawca) | Naruszenia „ogólnych” obowiązków (np. brak systemu zarządzania ryzykiem, dokumentacji, nadzoru człowieka, obowiązków deployera z art. 26 AIAct) | Art. 99 ust. 4 AIAct (katalog przepisów poza art. 5 AIAct) | do 15 mln € lub 3% globalnego obrotu (które wyższe) |
| Każdy adresat żądania (np. podmiot kontrolowany) | Nieprawidłowe/niekompletne/ wprowadzające w błąd informacje dla organu/notyfikowanej jednostki | Art. 99 ust. 5 AIAct | do 7,5 mln € lub 1% globalnego obrotu (które wyższe) |
| Dostawcy modeli GPAI | Naruszenia obowiązków właściwych dla GPAI (np. dokumentacja, udostępnienie informacji, współpraca z AI Office) | Art. 101 AIAct | do 15 mln € lub 3% globalnego obrotu (które wyższe) |
| Mikro/małe/średnie przedsiębiorstwa (MŚP) | Jak wyżej – z ulgą | Art. 99 ust. 6 AIAct | dla MŚP stosuje się „niższy z progów” (kwota lub procent – co niższe) zamiast „co wyższe” |
* Uwaga: Ostateczny wymiar grzywny ustalają właściwe organy krajowe wyznaczone na podstawie AI Act, biorąc pod uwagę m.in. charakter, wagę i czas trwania naruszenia, liczbę osób dotkniętych oraz rozmiar szkody; możliwe są także ostrzeżenia i środki niemajątkowe.
W Polsce trwają prace nad docelową architekturą nadzoru; według publicznie dostępnych informacji rządowych i branżowych przewidziano komisję ds. AI jako organ nadzoru rynku oraz Ministra Cyfryzacji jako organ notyfikujący. Szczegóły (w tym kompetencje i procedury) będą doprecyzowywane w przepisach krajowych.
Terminy i egzekwowanie – co już obowiązuje?
Zakazy i część przepisów już obowiązują (od 2.2.2025 r.), a reguły i governance dla GPAI od 2.8.2025 r. Państwa członkowskie powinny mieć gotowe zasady kar i powołane właściwe organy. W praktyce tempo implementacji i gotowość organów różni się między państwami.
Wnioski (krytycznie i praktycznie)
Skala sankcji przewidzianych w AI Act jest naprawdę wysoka. Za stosowanie zakazanych praktyk grożą kary sięgające 35 mln euro lub 7% globalnego obrotu firmy. To znacznie więcej niż maksymalne stawki z RODO i ma na celu nie tylko edukację, ale przede wszystkim wymuszenie zmiany zachowań.
Co istotne, deployer, czyli np. pracodawca wdrażający system AI, nie jest tu tylko biernym obserwatorem. Zaniedbania takie jak brak nadzoru człowieka nad systemem, niewystarczające informowanie pracowników czy inne naruszenia art. 26 mogą skutkować karami do 15 mln euro lub 3% obrotu.
Dostawcy modeli ogólnego przeznaczenia (GPAI) podlegają odrębnemu systemowi kar do 3% obrotu lub 15 mln euro. Ryzyko jednak nie kończy się na nich, a przechodzi również na użytkowników, zwłaszcza gdy modele są wykorzystywane w obszarach wpływających na ludzi.
Mniejsze firmy (MŚP) mają pewne ulgi. W ich przypadku kara obliczana jest jako niższa z dwóch wartości: procentowa lub kwotowa. Nie oznacza to jednak mniejszych obowiązków. Przepisy są takie same, zmienia się tylko wysokość ewentualnych kar.
Egzekwowanie przepisów jest zdecentralizowane i wciąż się kształtuje, dlatego w 2025 r. można spodziewać się różnic między krajami, zarówno w podejściu, jak i w priorytetach. W praktyce często oznacza to ostrzeżenia na początek, a dopiero potem sankcje.
Wszystko to pokazuje, że firmy powinny działać proaktywnie i wdrażać compliance z wyprzedzeniem, zamiast biernie czekać na wytyczne, które mogą nadejść z opóźnieniem lub w różnych wersjach.
