AI w prawie polskim i UE. Co wolno, czego lepiej nie robić i gdzie zaczyna się odpowiedzialność?
Firmy, twórcy, wydawcy, redakcje i instytucje kultury coraz częściej pytają, czy korzystanie z AI jest legalne. I niby jest, ale pod warunkiem, że wiadomo, jakie dane trafiają do systemu, po co są używane, kto kontroluje wynik i kto odpowiada za błąd. AI w prawie polskim i UE nie mieści się w jednym przepisie. Wchodzi naraz w AI Act, prawo autorskie, RODO, zasady eksploracji tekstów i danych oraz polską ustawę o systemach sztucznej inteligencji, która w maju 2026 r. nadal pozostaje projektem.
Największy błędem jest szukanie jednego magicznego paragrafu. Wiele osób trafia na art. 4 dyrektywy 2019/790 i uznaje, że sprawa załatwiona. Guzik prawda, papier przyjął, Internet powtórzył. Ten przepis dotyczy eksploracji tekstów i danych, czyli TDM oraz możliwości zastrzeżenia praw przez uprawnionych. To ważny temat dla autorów, portali, wydawnictw, muzeów i archiwów, ale tylko jeden kawałek większej układanki.
Prawo wobec AI działa warstwowo. Jedna warstwa dotyczy ryzyka systemów sztucznej inteligencji. Druga praw autorskich. Trzecia danych osobowych. Czwarta odpowiedzialności za szkody. Piąta krajowego nadzoru. Dopiero razem pokazują, gdzie kończy się wygoda narzędzia, a zaczyna obowiązek kontroli.
AI Act: unijny kręgosłup regulacji sztucznej inteligencji
AI Act wszedł w życie 1 sierpnia 2024 r. Większość przepisów ma być stosowana od 2 sierpnia 2026 r., ale część obowiązków ruszyła wcześniej. Zakazane praktyki AI oraz obowiązek rozwijania kompetencji w zakresie AI obowiązują od 2 lutego 2025 r.
Zasady zarządzania i obowiązki dotyczące modeli ogólnego przeznaczenia, czyli GPAI, zaczęły obowiązywać od 2 sierpnia 2025 r. Komisja Europejska wskazuje też, że po politycznym porozumieniu z 7 maja 2026 r. część zasad dla systemów wysokiego ryzyka ma dostać dłuższe okresy przejściowe: od 2 grudnia 2027 r. dla wybranych obszarów wysokiego ryzyka oraz od 2 sierpnia 2028 r. dla systemów zintegrowanych z produktami, takimi jak zabawki czy windy.
Zasada AI Act jest prosta: im większe ryzyko dla człowieka, tym większe obowiązki. Ustawodawca unijny nie zaczyna od pytania, czy ktoś używa popularnego chatbota. Liczy się zastosowanie. Korekta notatki służbowej, grafika reklamowa, system oceniający kandydatów do pracy, identyfikacja biometryczna i narzędzie używane w medycynie nie trafiają do jednej szuflady.
Firma, redakcja, muzeum, wydawnictwo albo urząd musi wiedzieć, z jakiego systemu korzysta, po co, na jakich danych i z jakim skutkiem dla ludzi.
Art. 4 AI Act i Art. 4 dyrektywy 2019/790. Ten sam numer, dwa różne światy
W dyskusji o AI łatwo potknąć się o numer przepisu. Art. 4 AI Act oraz art. 4 dyrektywy 2019/790 dotyczą różnych spraw.
Art. 4 AI Act mówi o kompetencjach w zakresie AI. Organizacje mają dbać, aby osoby korzystające z systemów AI posiadały odpowiedni poziom wiedzy, umiejętności i świadomości ryzyka. Komisja Europejska podkreśla, że znaczenie ma rola organizacji, kontekst użycia systemu, ryzyko oraz osoby, których system dotyczy. Samo wysłanie pracownikom linku do instrukcji narzędzia wygląda marnie, gdy AI wpływa na rekrutację, obsługę klienta, edukację albo publikację treści o sprawach publicznych.
Art. 4 dyrektywy 2019/790 prowadzi w stronę prawa autorskiego i eksploracji tekstów i danych. Ten przepis ma ogromne znaczenie dla twórców, wydawców, portali, fotografów, muzeów i archiwów, bo dotyczy używania chronionych treści do automatycznej analizy oraz możliwości zastrzegania praw.
AI a prawo autorskie
Modele generatywne potrzebują ogromnych zbiorów danych. W tych zbiorach mogą znaleźć się książki, artykuły, opisy produktów, fotografie, nagrania, transkrypcje, recenzje, materiały muzealne, bazy danych i treści publikowane na stronach internetowych. Spór nie kręci się więc wyłącznie wokół technologii. Dotyczy pracy twórców, wartości tekstu, kontroli nad obiegiem kultury i pieniędzy.
Dyrektywa DSM z 2019 r. wprowadziła dwa wyjątki dotyczące eksploracji tekstów i danych. Art. 3 dotyczy organizacji badawczych i instytucji dziedzictwa kulturowego prowadzących badania naukowe. Art. 4 obejmuje szerszy wyjątek TDM, ale pozwala uprawnionym zastrzec prawa. Przy treściach publicznie dostępnych online zastrzeżenie powinno mieć formę nadającą się do odczytu maszynowego.
W prostych słowach: publiczna dostępność treści w Internecie nie oznacza zgody na każde użycie. Strona może być otwarta dla czytelnika, a prawo autorskie nadal działa. Indeksowanie przez wyszukiwarkę, trenowanie modelu, kopiowanie baz i generowanie podobnych wyników nie są jednym i tym samym procesem prawnym. Kto wrzuca wszystkie te czynności do jednego worka… robi sobie fałszywy porządek w głowie kosztem rzeczywistości.
Czym jest eksploracja tekstów i danych?
Eksploracja tekstów i danych, czyli TDM, oznacza automatyczną analizę treści cyfrowych w celu wykrywania wzorców, tendencji, korelacji albo innych informacji. System może analizować duże zbiory tekstów, obrazów lub danych, aby znaleźć powtarzalne struktury. W kontekście AI temat nabiera temperatury, bo TDM bywa łączone z pozyskiwaniem materiałów do rozwoju modeli.
Polska nowelizacja prawa autorskiego z 26 lipca 2024 r. wprowadziła przepisy dotyczące eksploracji tekstów i danych. Ustawa definiuje TDM jako analizę tekstów i danych w postaci cyfrowej przy zastosowaniu zautomatyzowanej techniki, służącą wygenerowaniu informacji, w tym wzorców, tendencji i korelacji. Przepisy pozwalają na zwielokrotnianie rozpowszechnionych utworów w celu TDM, chyba że uprawniony zastrzegł inaczej. Przy treściach udostępnionych publicznie w Internecie znaczenie ma maszynowo odczytywalna forma zastrzeżenia.
Dla twórców i wydawców oznacza to konieczność myślenia o prawach autorskich także technicznie. Sam zapis w regulaminie strony może mieć znaczenie komunikacyjne, ale przy treściach online coraz większą wagę zyskują rozwiązania, które systemy potrafią odczytać automatycznie.
TDM opt-out. Co może zrobić twórca, wydawca albo portal?
TDM opt-out oznacza zastrzeżenie praw wobec eksploracji tekstów i danych. Uprawniony komunikuje, że nie zgadza się na korzystanie z moich treści w tym trybie. W prawie unijnym i polskim liczy się sposób wyrażenia takiego zastrzeżenia.
Komisja Europejska łączy obowiązki dostawców modeli ogólnego przeznaczenia z polityką zgodności z unijnym prawem autorskim, w tym z respektowaniem zastrzeżeń dokonywanych w ramach TDM opt-out. AI Act odwołuje się w tym zakresie do art. 4 ust. 3 dyrektywy 2019/790.
Co warto zrobić?
| Działanie | Cel |
| Wprowadzić jasne zastrzeżenie praw w regulaminie | porządek komunikacyjny i dowodowy |
| Dodać maszynowo odczytywalne zastrzeżenia dla treści online | zgodność z logiką art. 4 dyrektywy DSM |
| Uporządkować licencje zdjęć, tekstów i baz danych | mniejsze ryzyko przy sporach |
| Monitorować masowe pobieranie treści | szybka reakcja na scraping |
| Dokumentować autorstwo i daty publikacji | mocniejsza pozycja przy egzekwowaniu praw |
Robots.txt może pomagać, ale nie należy się sztywno kierować wyłącznie tym. Potrzebny jest zestaw działań: regulamin, zastrzeżenie praw, rozwiązania techniczne, monitoring, dokumentowanie autorstwa i rozsądna polityka publikowania treści.
Instytucje kultury, muzea i archiwa. AI pomaga, ale wymaga porządku w prawach
Dla instytucji kultury AI ma dwa oblicza. Może wspierać opisy zbiorów, analizę metadanych, tłumaczenia robocze, dostępność cyfrową, edukację i komunikację. Równocześnie instytucje pracują na materiałach o różnym statusie prawnym: obiektach chronionych prawem autorskim, spuściznach, fotografiach, bazach danych, dokumentach archiwalnych, wizerunkach osób i materiałach zawierających dane osobowe.
Art. 3 dyrektywy DSM ma znaczenie dla organizacji badawczych i instytucji dziedzictwa kulturowego, ponieważ dotyczy eksploracji tekstów i danych do celów badań naukowych. Polska nowelizacja prawa autorskiego również wprowadziła rozwiązania dotyczące TDM oraz instytucji dziedzictwa kulturowego.
Co dokładnie robimy z materiałem? Analiza wewnętrzna, publikacja wygenerowanego opisu, przekazanie zbioru zewnętrznemu dostawcy AI i trenowanie modelu na zasobie instytucji oznaczają różne poziomy ryzyka.
Muzeum powinno sprawdzić:
| Kto ma prawa do materiału? | AI nie kasuje praw autorskich ani licencji |
| Czy materiał zawiera dane osobowe? | RODO działa także przy pracy z AI |
| Czy wynik będzie publikowany? | publikacja zwiększa ryzyko błędu i odpowiedzialności |
| Czy dostawca narzędzia używa danych do trenowania? | regulamin narzędzia ma znaczenie praktyczne |
| Kto zatwierdza opis merytorycznie? | błąd AI może zostać utrwalony w obiegu |
AI w instytucjach kultury może być dobrym asystentem, ale kiepskim kustoszem bez nadzoru. Przy dziedzictwie kulturowym błąd nie kończy się na literówce. Może utrwalić fałszywą atrybucję, błędny opis albo źródło, którego nikt nigdy nie widział.
RODO: dane osobowe nie znikają po wrzuceniu do AI
Jeżeli AI analizuje dane klientów, pracowników, kandydatów do pracy, uczestników wydarzeń, subskrybentów newslettera, pacjentów, uczniów albo odwiedzających instytucję, organizacja nadal potrzebuje podstawy prawnej, celu, minimalizacji danych, zabezpieczeń i kontroli nad przetwarzaniem.
Europejska Rada Ochrony Danych w opinii z grudnia 2024 r. wskazała, że modele AI trenowane na danych osobowych nie zawsze mogą być uznane za anonimowe. Ocena anonimowości wymaga indywidualnej analizy, w tym ryzyka wydobycia danych z modelu albo uzyskania danych podczas interakcji z systemem. EROD omawia także prawnie uzasadniony interes jako podstawę prawną, konsekwencje bezprawnego przetwarzania danych przy rozwoju modeli oraz użycie danych pierwszej i trzeciej strony.
Najwięcej ryzyka pojawia się przy trzech działaniach:
| Wrzucanie danych klientów lub pracowników do zewnętrznych narzędzi | brak kontroli nad dalszym przetwarzaniem |
| Automatyczna ocena ludzi | profilowanie, dyskryminacja, brak przejrzystości |
| Łączenie danych z różnych źródeł | utrata kontroli nad celem i zakresem przetwarzania |
Im bliżej człowieka, tym większa ostrożność. AI do streszczenia własnej notatki marketingowej rodzi inne ryzyko niż AI oceniająca kandydata do pracy, ucznia, pacjenta albo klienta banku.
Polska ustawa o systemach AI. Krajowy nadzór jeszcze w budowie
Polska pracuje nad ustawą o systemach sztucznej inteligencji. Rada Ministrów przyjęła projekt 31 marca 2026 r., a dokument trafił do Sejmu jako projekt służący wykonaniu rozporządzenia UE 2024/1689, czyli AI Act. Projekt ma stworzyć krajowe ramy nadzoru nad rynkiem systemów AI oraz modelami AI ogólnego przeznaczenia.
Projekt przewiduje powołanie Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji. Ma ona pełnić rolę krajowego organu nadzoru rynku AI, prowadzić postępowania administracyjne, wydawać decyzje i nakładać sankcje. W projekcie pojawiają się też piaskownice regulacyjne, czyli kontrolowane środowiska testowania rozwiązań AI.
Prezes UODO zgłosił ważne uwagi. Urząd wskazał, że projekt nie precyzuje szczegółowo zasad współpracy między Prezesem UODO a Komisją Rozwoju i Bezpieczeństwa Sztucznej Inteligencji, zwłaszcza w sprawach ochrony danych osobowych oraz piaskownic regulacyjnych.
Ten punkt ma duże znaczenie praktyczne. AI zwykle łączy kilka obszarów naraz: dane osobowe, prawa konsumenta, bezpieczeństwo produktu, usługi cyfrowe, prawo pracy, edukację, ochronę zdrowia i administrację. Gdy kompetencje organów są niejasne, sprawy mogą odbijać się między instytucjami. Kto właściwie ma zareagować?
Treści generowane przez AI. Kiedy trzeba oznaczać?
AI Act wprowadza obowiązki transparentności. Dotyczą między innymi sytuacji, w których człowiek rozmawia z systemem AI, korzysta z systemów generujących treści syntetyczne albo ma kontakt z deepfake’ami. Komisja Europejska pracuje nad kodeksem praktyk dotyczącym znakowania i etykietowania treści generowanych przez AI. Kodeks ma wspierać zgodność z art. 50 AI Act.
W marcu 2026 r. Komisja opublikowała drugi projekt kodeksu praktyk dotyczącego znakowania treści AI. Dokument obejmuje między innymi oznaczanie deepfake’ów i publikacji tekstowych dotyczących spraw interesu publicznego w zakresie art. 50 ust. 4 AI Act.
Komisja wskazała również, że w projekcie usunięto taksonomię rozróżniającą treści „AI-generated” i „AI-assisted”. Granica między pomocą AI a wygenerowaniem treści nadal jest przedmiotem sporu, a prawnicy nie mają tu magicznej linijki z działu papierniczego.
Dla redakcji, portali, instytucji kultury i firm komunikacyjnych najważniejsze są trzy zasady:
| Odbiorca nie może być wprowadzany w błąd | sztuczna treść nie powinna udawać dokumentu, relacji ani autentycznej wypowiedzi |
| Sprawy publiczne wymagają szczególnej kontroli | polityka, zdrowie, prawo, bezpieczeństwo i finanse podnoszą ryzyko |
| Człowiek odpowiada za publikację | źródła, sens, kontekst i decyzja redakcyjna nie mogą wisieć w próżni |
Czy każdy tekst poprawiony z pomocą AI trzeba oznaczać? Nie każda korekta, burza mózgów albo techniczna pomoc wymaga komunikatu. Inaczej wygląda tekst automatycznie wygenerowany i opublikowany jako własny materiał, deepfake, syntetyczny głos, zmanipulowany obraz polityka, fałszywy cytat albo publikacja dotycząca zdrowia, prawa, pieniędzy czy bezpieczeństwa.
GPAI: duże modele pod specjalnym nadzorem
Modele ogólnego przeznaczenia, czyli GPAI, mogą być wykorzystywane w wielu zastosowaniach. Na nich działają popularne narzędzia generatywne, asystenci tekstowi, systemy tworzące obrazy, kod, streszczenia, tłumaczenia i analizy.
Komisja Europejska opublikowała General-Purpose AI Code of Practice, dobrowolny kodeks praktyk dla dostawców modeli GPAI. Kodeks obejmuje trzy obszary: transparentność, prawa autorskie oraz bezpieczeństwo i ochronę. Rozdziały dotyczące transparentności i praw autorskich mają pomagać dostawcom spełniać obowiązki z art. 53 AI Act, a część dotycząca bezpieczeństwa odnosi się do najbardziej zaawansowanych modeli z ryzykiem systemowym.
Dla twórców i wydawców szczególnie ważny jest rozdział o prawach autorskich. Dostawcy GPAI mają wdrażać politykę zgodności z unijnym prawem autorskim. W praktyce rośnie znaczenie dokumentowania danych treningowych, respektowania zastrzeżeń praw i przejrzystości wobec rynku kreatywnego.
Kto zarabia na cudzej pracy, kto traci kontrolę nad tekstem, kto może dochodzić praw, a kto zostaje z poczuciem, że jego książka, artykuł albo zdjęcie stały się paliwem dla modelu bez jasnej informacji i wynagrodzenia?
Odpowiedzialność za szkody. AI też może narobić realnych strat
AI bywa przedstawiana jako „narzędzie”. Problem zaczyna się wtedy, gdy wynik działania narzędzia powoduje szkodę. Błędna rekomendacja medyczna, dyskryminacyjny filtr rekrutacyjny, wadliwy system oceny ryzyka, fałszywe informacje w administracji, utrata danych, naruszenie praw autorskich, deepfake niszczący reputację – skutki są realne, nawet jeśli plik wygląda niewinnie.
Nowa dyrektywa UE 2024/2853 o odpowiedzialności za produkty wadliwe obejmuje produkty cyfrowe, w tym oprogramowanie. Komisja Europejska wskazuje, że dyrektywa weszła w życie 8 grudnia 2024 r., państwa członkowskie mają czas na transpozycję do 9 grudnia 2026 r., a nowe przepisy będą stosowane do produktów wprowadzonych do obrotu od 9 grudnia 2026 r.
Wniosek dla firm jest prosty: AI nie zwalnia z odpowiedzialności. Jeżeli organizacja wdraża system wpływający na ludzi, pieniądze, zdrowie, bezpieczeństwo, reputację albo prawa, musi mieć procedury kontroli, dokumentowania i reagowania na błędy.
Co powinna zrobić firma, wydawnictwo, muzeum albo portal?
Najlepsza strategia zaczyna się od krótkiej, konkretnej polityki AI. Nie od trzydziestostronicowego dokumentu, którego nikt nie czyta. Od zasad, które pracownicy rozumieją i potrafią stosować.
Minimalna polityka AI powinna obejmować:
| Narzędzia | z jakich systemów wolno korzystać |
| Dane | czego nie wolno wpisywać do narzędzi zewnętrznych |
| Treści | kto sprawdza fakty, cytaty, źródła i prawa autorskie |
| Publikacja | kiedy oznaczać użycie AI |
| Odpowiedzialność | kto zatwierdza wynik przed użyciem |
| Ryzyko | gdzie AI wymaga dodatkowej zgody lub konsultacji prawnej |
| Dokumentacja | jak zapisywać decyzje i źródła |
Firmy często boją się, że polityka AI zatrzyma innowacyjność. Dobra polityka robi jednak coś innego: pozwala korzystać z narzędzi bez chaosu, strachu i improwizacji. Swoboda bez zasad zwykle kończy się regulaminem pisanym już po zaistnieniu problemu.
Szybkie FAQ
Czy AI jest legalne w Polsce?
Tak, ale legalność zależy od zastosowania. Korekta tekstu, analiza danych klientów, rekrutacja, monitoring pracowników, generowanie deepfake’ów i trenowanie modelu na cudzych treściach wymagają osobnej oceny.
Czy wystarczy znać art. 4 dyrektywy 2019/790?
Nie. Art. 4 dotyczy zastrzegania praw przy eksploracji tekstów i danych. Przy AI trzeba sprawdzić także AI Act, RODO, polskie prawo autorskie, przepisy o bazach danych, odpowiedzialność cywilną i przepisy sektorowe.
Czy twórca może zakazać trenowania AI na swoich tekstach?
Może zastrzegać prawa w ramach mechanizmu TDM opt-out. Przy treściach dostępnych publicznie online znaczenie ma forma nadająca się do odczytu maszynowego.
Czy robots.txt wystarczy?
Może być jednym z elementów kontroli, ale samotnie wygląda słabo. Warto połączyć regulamin, maszynowo odczytywalne zastrzeżenia, politykę praw autorskich i monitoring pobierania treści.
Czy tekst napisany z pomocą AI ma prawa autorskie?
Prawo autorskie chroni twórczość człowieka. Jeżeli człowiek realnie decyduje o koncepcji, selekcji, układzie, redakcji i ostatecznej formie, ocena będzie inna niż przy automatycznym wygenerowaniu tekstu jednym poleceniem. Granica często ma charakter dowodowy: liczy się realny wkład, a nie sama deklaracja.
Czy firma może wrzucać dane klientów do AI?
Tylko po sprawdzeniu podstawy prawnej, celu, regulaminu narzędzia, zabezpieczeń, umowy powierzenia lub innej podstawy przetwarzania. Dane klientów nie powinny trafiać do przypadkowych narzędzi, bo „tak szybciej”.
Czy AI może oceniać kandydatów do pracy?
Może wejść w obszar wysokiego ryzyka oraz profilowania. Organizacja musi sprawdzić AI Act, RODO, podstawę prawną, przejrzystość procesu, ryzyko dyskryminacji i możliwość ludzkiej kontroli.
Czy treści AI trzeba oznaczać?
Część treści tak, szczególnie deepfake’i i wybrane publikacje dotyczące spraw interesu publicznego. Przy zwykłej pomocy redakcyjnej sytuacja zależy od zakresu użycia AI i kontroli człowieka.
Czy muzeum może używać AI do opisu zbiorów?
Może, ale powinno sprawdzić prawa do materiałów, dane osobowe, jakość metadanych, zasady publikacji i kontrolę merytoryczną. Przy zbiorach historycznych błąd AI może utrwalić fałszywy opis na lata.
Czy pracowników trzeba szkolić z AI?
Tak. AI Act wprowadza obowiązek kompetencji w zakresie AI. Zakres szkolenia powinien zależeć od roli pracowników, rodzaju systemu i ryzyka użycia AI.
AI w prawie polskim i UE: porządek zamiast paniki
Prawo nie blokuje sensownego korzystania z AI. Wymaga jednak porządku: wiedzy o danych, kontroli człowieka, szacunku dla praw autorskich, ochrony danych osobowych, przejrzystości i odpowiedzialności za skutki.
AI może pomagać, ale nie może przejąć odpowiedzialności. Odpowiada człowiek, organizacja, redakcja, instytucja albo firma, która decyduje o użyciu narzędzia i publikuje wynik.
Dla twórców, wydawców, redakcji i instytucji kultury stawką jest zaufanie do treści. Jasność, kto mówi. Ochrona pracy autorów. Uczciwe korzystanie z dorobku kultury. Odporność na cyfrową bylejakość podaną tonem człowieka, który właśnie odkrył generator pewności siebie.
AI może przyspieszyć pracę, pomóc w analizie i zdjąć z ludzi część technicznego ciężaru. Bez zasad produkuje chaos: prawny, komunikacyjny i wizerunkowy. Można korzystać z AI, pod warunkiem że wiadomo po co, na czym, z jakim ryzykiem i kto bierze odpowiedzialność za wynik.
Jeżeli tworzysz treści, prowadzisz portal, wydawnictwo, muzeum, fundację albo instytucję kultury, zacznij od prostego audytu. Sprawdź, gdzie AI już weszło do codziennej pracy, jakie dane trafiają do narzędzi, kto kontroluje wyniki i jakie zasady widzą pracownicy.
Prawo dogania technologię i będzie się zmieniać. Organizacje, które uporządkują AI wcześniej, zyskają spokój, wiarygodność i przewagę. Reszta będzie pisała polityki po pierwszym kryzysie. Zwykle wtedy, gdy mleko dawno stoi na podłodze, a wszyscy udają, że to instalacja artystyczna.
Fot. główna: broszura zaniesiona do Parlamentu UE, Strasburg, 2023 (Wikimedia Commons, Ekō)
