System sankcji w AI Act jest skonstruowany trzystopniowo i — co istotne — łączy progi kwotowe z procentowymi od globalnego obrotu. Każdy operator powinien znać te liczby na pamięć. Ten artykuł rozkłada cały reżim na trzy artykuły (99, 100, 101) i mapuje je na konkretne grupy operatorów.
Pełny kontekst aktu w AI Act 2024/1689 — przewodnik dla firm.
Jakie są trzy poziomy kar w AI Act?
Z art. 99 wynikają trzy poziomy administracyjnych kar pieniężnych dla operatorów (providerzy, deployerzy, importerzy, dystrybutorzy, upoważnieni przedstawiciele) i jednostek notyfikowanych.
| Poziom | Co dotyczy | Maks. kara | Lub procent obrotu |
|---|---|---|---|
| 1 — najwyższy | Naruszenie zakazu z art. 5 (zakazane praktyki) | 35 000 000 EUR | 7% rocznego globalnego obrotu |
| 2 — średni | Naruszenie obowiązków: art. 16 (provider), art. 22 (upoważniony przedstawiciel), art. 23 (importer), art. 24 (dystrybutor), art. 26 (deployer), art. 31, 33 ust. 1, 3, 4, art. 34 (jednostki notyfikowane), art. 50 (transparentność) | 15 000 000 EUR | 3% rocznego globalnego obrotu |
| 3 — niższy | Dostarczenie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji jednostkom notyfikowanym lub organom | 7 500 000 EUR | 1% rocznego globalnego obrotu |
Wartością wymierzaną jest wyższa z dwóch — kwotowa lub procentowa (art. 99 ust. 3-5).
Jak działa ulga dla MŚP?
Z art. 99 ust. 6 wynika, że w przypadku MŚP, w tym przedsiębiorstw typu startup, wysokość kary pieniężnej nie przekracza wartości procentowej lub kwoty, w zależności od tego, która z tych kwot jest niższa.
Praktycznie: dla dużej korporacji kara to wyższa z dwóch wartości; dla MŚP — niższa. Z naszego doświadczenia ten wyjątek może istotnie wpływać na ostateczne kalkulacje ryzyka — szczególnie dla startupów rozwijających własne systemy AI.
Jakie czynniki organ uwzględnia przy ustalaniu wysokości kary?
Z art. 99 ust. 7 wynika lista czynników, jakie organ uwzględnia w każdej sprawie:
- charakter, wagę i czas trwania naruszenia oraz jego konsekwencje, z uwzględnieniem przeznaczenia systemu AI, liczby poszkodowanych osób i rozmiaru poniesionej szkody;
- czy inne organy nadzoru rynku nałożyły już kary za to samo naruszenie;
- czy inne organy nałożyły kary za naruszenia innych przepisów prawa Unii lub krajowego, gdy wynikają one z tego samego działania;
- wielkość operatora, jego roczny obrót i udział w rynku;
- wszelkie obciążające lub łagodzące czynniki, w tym osiągnięte korzyści finansowe lub uniknięte straty;
- stopień współpracy z właściwymi organami w celu usunięcia naruszenia;
- stopień odpowiedzialności operatora, z uwzględnieniem wdrożonych środków technicznych i organizacyjnych;
- sposób, w jaki właściwe organy dowiedziały się o naruszeniu, w szczególności czy operator zgłosił naruszenie;
- umyślny lub wynikający z zaniedbania charakter naruszenia;
- działania podjęte w celu złagodzenia szkody.
Kary muszą być skuteczne, proporcjonalne i odstraszające (art. 99 ust. 1). Państwa członkowskie uwzględniają interesy MŚP, w tym startupów, oraz ich sytuację ekonomiczną.
Co z karami dla GPAI?
Z art. 101 wynika odrębny reżim sankcji wobec dostawców modeli AI ogólnego przeznaczenia.
Komisja może nałożyć grzywny do 3% rocznego globalnego obrotu z poprzedniego roku lub 15 000 000 EUR, w zależności od tego, która kwota jest wyższa, w przypadku gdy stwierdzi, że dostawca GPAI:
- umyślnie lub w wyniku zaniedbania naruszył odpowiednie przepisy rozporządzenia;
- nie zastosował się do wniosku o dokumenty lub informacje lub przekazał nieprawidłowe, niekompletne lub wprowadzające w błąd informacje;
- nie zastosował się do żądania środka wymaganego na podstawie art. 93;
- nie udostępnił Komisji dostępu do modelu GPAI lub modelu GPAI z ryzykiem systemowym w celu przeprowadzenia oceny zgodnie z art. 92.
Sankcje z art. 101 stosuje się od 2 sierpnia 2026 r. (art. 113 lit. b zastrzega wyjątek dla art. 101 — odsuwając jego stosowanie poza ogólną datę 2 sierpnia 2025 r. dla rozdziału XII).
Kto w Polsce nadzoruje AI Act?
Z art. 70 wynika, że każde państwo członkowskie ustanawia lub wyznacza co najmniej jeden krajowy organ notyfikujący i co najmniej jeden krajowy organ nadzoru rynku jako właściwe organy do celów rozporządzenia. Polska na dzień pisania tego artykułu (6 maja 2026 r.) finalizuje ustawę wdrażającą, która wskazuje konkretne organy. Z naszego doświadczenia model najczęściej przyjmowany w UE łączy:
- organ nadzoru rynku dla większości systemów AI (zwykle ulokowany w resorcie cyfryzacji lub w urzędzie rynku);
- sektorowe organy nadzoru rynku dla high-risk w produktach z załącznika I (np. urząd ds. wyrobów medycznych dla MDR; urząd transportu dla motoryzacji; UODO dla przepływu danych osobowych);
- organ ochrony danych (UODO) — jako organ nadzoru rynku dla systemów AI wykorzystywanych przez organy ścigania i organy migracyjne (gdy naruszają RODO/dyrektywę 2016/680).
Warto monitorować polską ustawę wdrażającą AI Act, gdy zostanie uchwalona — wtedy zaktualizujemy ten artykuł.
Co państwa członkowskie muszą zrobić same?
Z art. 99 ust. 1 wynika, że to państwa członkowskie ustanawiają przepisy dotyczące kar i innych środków egzekwowania prawa. Z art. 99 ust. 2 wynika obowiązek niezwłocznego powiadamiania Komisji o tych przepisach, nie później niż do dnia rozpoczęcia stosowania, oraz o ich zmianach. Z art. 99 ust. 8 wynika, że każde państwo członkowskie ustanawia przepisy dotyczące zakresu, w jakim na organy i podmioty publiczne można nakładać kary administracyjne.
W Polsce to oznacza, że szczegóły wymierzania kar (organ wymierzający, procedura, środki odwoławcze) ureguluje ustawa wdrażająca. Z art. 99 ust. 11 wynika, że państwa członkowskie corocznie składają Komisji sprawozdanie z nałożonych kar.
Jakie są zabezpieczenia proceduralne?
Z art. 99 ust. 10 wynika, że wykonywanie uprawnień przy nakładaniu kar podlega odpowiednim zabezpieczeniom proceduralnym zgodnie z prawem Unii i prawem krajowym, obejmującym prawo do skutecznych środków zaskarżenia i rzetelnego postępowania sądowego.
Z art. 99 ust. 9 wynika, że w zależności od systemu prawnego państw członkowskich przepisy o karach administracyjnych można stosować w taki sposób, że kary są nakładane przez właściwe sądy krajowe lub inne odpowiednie organy.
Jak ocenić ryzyko sankcji w organizacji?
Z naszego doświadczenia praktyczna ocena ryzyka pod art. 99 powinna obejmować:
- inwentaryzację systemów AI i przypisanie ról (provider/deployer/importer/dystrybutor) — bo każda rola ma swoje obowiązki podlegające art. 99 ust. 4;
- audyt zakazów z art. 5 — pod kątem najwyższego progu kary (35 mln EUR / 7%);
- mapę obowiązków transparentności z art. 50 — dotyczy szerokiego kręgu, kara z art. 99 ust. 4 lit. g;
- analizę informacji przekazanych organom i jednostkom notyfikowanym — pod kątem trzeciego progu (7,5 mln / 1%) z art. 99 ust. 5;
- przy GPAI — analizę pod kątem art. 101 (kara nakładana przez Komisję, do 15 mln / 3%);
- ocenę „wzorca świadomości" — czy operator może wykazać, że podjął odpowiednie środki techniczne i organizacyjne (czynnik łagodzący z art. 99 ust. 7 lit. g).
Jak możemy Ci pomóc?
W Legal Geek prowadzimy audyt ryzyka sankcji pod AI Act. Inwentaryzujemy systemy, mapujemy ich klasyfikację i obowiązki na trzy progi z art. 99 oraz art. 101 (dla GPAI), oceniamy istniejące dokumentacje pod kątem wystarczalności jako czynnika łagodzącego i przygotowujemy plan zamknięcia luk. Audyt obejmuje też procedurę odpowiedzi na wnioski organów (art. 21, art. 23) i protokół zgłoszenia poważnego incydentu. Chcę audytu ryzyka sankcji!
Co dalej w cyklu?
- AI Act 2024/1689 — przewodnik dla firm — hub: AI Act dla firm
- Zakazane praktyki AI (art. 5) — co podlega 35 mln / 7%
- Obowiązki dostawcy systemu AI wysokiego ryzyka — co podlega 15 mln / 3% dla providera
- Obowiązki deployera i FRIA (art. 26-27) — co podlega 15 mln / 3% dla deployera
- GPAI w AI Act (art. 51-56) — kary z art. 101
Źródła
- Rozporządzenie (UE) 2024/1689 — art. 99-101 (EUR-Lex)
- Rozporządzenie (UE) 2024/1689 — art. 70 (krajowe organy nadzoru)
- Komisja Europejska — AI Act
