Art. 4 AI Act jest najkrótszym i jednocześnie jednym z najbardziej powszechnie obowiązujących przepisów rozporządzenia. Dotyczy każdej firmy korzystającej z AI w działalności zawodowej — niezależnie od poziomu ryzyka systemu, niezależnie od branży i niezależnie od rozmiaru. Obowiązuje już od 2 lutego 2025 r., a mimo to z naszego doświadczenia jest najczęściej pomijanym obszarem polityki AI Act.

Pełny kontekst aktu w AI Act 2024/1689 — przewodnik dla firm, harmonogram w Harmonogram stosowania AI Act.

Czym są „kompetencje w zakresie AI" w AI Act?

Kompetencje w zakresie AI (AI literacy) to wiedza, umiejętności i zrozumienie umożliwiające osobom zajmującym się działaniem i wykorzystaniem systemów AI dostarczanie informowanych decyzji o ich wdrażaniu, monitorowanie ich i reagowanie na ryzyka.

Z art. 4 wynika obowiązek krótko sformułowany:

„Dostawcy i podmioty stosujące systemy AI podejmują środki w celu zapewnienia, w możliwie największym stopniu, odpowiedniego poziomu kompetencji w zakresie AI wśród swojego personelu i innych osób zajmujących się działaniem i wykorzystaniem systemów AI w ich imieniu, z uwzględnieniem ich wiedzy technicznej, doświadczenia, wykształcenia i wyszkolenia oraz kontekstu, w którym systemy AI mają być wykorzystywane, a także biorąc pod uwagę osoby lub grupy osób, wobec których systemy AI mają być wykorzystywane."

Z motywu 20 rozporządzenia 2024/1689 wynika, że celem jest zapewnienie, by operatorzy i osoby objęte systemami AI miały odpowiednią świadomość możliwości i ograniczeń AI, w tym ryzyk i potencjalnych szkód.

Kogo obejmuje obowiązek z art. 4?

Obowiązek dotyczy obu głównych ról AI Act: dostawców (providerów) i podmiotów stosujących (deployerów). Definicje obu ról rozłożyliśmy w Role w AI Act — provider, deployer, importer, dystrybutor.

Tym samym art. 4 dotyczy:

  • każdej firmy rozwijającej własne systemy AI lub zlecającej ich rozwój i wprowadzającej je do obrotu (provider);
  • każdej firmy korzystającej z systemu AI w działalności zawodowej (deployer) — w tym także korzystającej z gotowych modeli GPAI (np. ChatGPT, Claude, Gemini) w pracy operacyjnej.

W obu rolach obowiązek dotyczy nie tylko własnego personelu, ale także innych osób zajmujących się działaniem i wykorzystaniem systemów AI w imieniu firmy — czyli np. zewnętrznych konsultantów, podwykonawców, freelancerów wykonujących pracę z użyciem AI.

Co należy zapewnić w praktyce?

Z art. 4 wynika, że poziom kompetencji ma być odpowiedni — co oznacza obowiązek proporcjonalności. Trzy czynniki wpływające na zakres:

  • Wiedza techniczna, doświadczenie, wykształcenie i wyszkolenie — pracownicy z bagażem ML/data science potrzebują innego poziomu szkolenia niż osoby na stanowiskach administracyjnych. Polityka musi to różnicować.
  • Kontekst wykorzystywania — inny zakres wiedzy potrzebny do obsługi systemu wysokiego ryzyka, inny do korzystania z chatbota wsparcia klienta.
  • Osoby lub grupy, wobec których systemy AI są stosowane — gdy system dotyka grup wrażliwych (dzieci, osoby starsze, osoby z niepełnosprawnościami), poziom uważności wymaga pogłębienia.

Z naszego doświadczenia pełna polityka kompetencji w zakresie AI obejmuje:

  • mapę ról i poziomów kompetencji (np. „każdy pracownik", „użytkownik high-risk AI", „nadzorujący człowiek z art. 14", „developer modelu");
  • program szkoleń per poziom — z minimalnym zestawem tematów (czym jest system AI, czym GPAI, jakie ryzyka, jak korzystać bezpiecznie, kiedy zgłaszać incydenty);
  • ścieżkę dla nowych pracowników i zewnętrznych konsultantów (onboarding AI Act);
  • ścieżkę aktualizacji wiedzy przy istotnych zmianach systemu lub polityki firmy;
  • dokumentację udziału w szkoleniach (lista uczestników, daty, materiały);
  • szczególne dodatkowe kompetencje dla osób sprawujących nadzór ze strony człowieka z art. 14 — wymóg art. 26 ust. 2 (kompetencje, przeszkolenie, uprawnienia, wsparcie).

Jakie są wymogi formalne?

AI Act nie określa, czy szkolenie ma trwać 30 minut, 2 godziny czy cały dzień. Nie wskazuje też, kto ma je prowadzić — wewnętrzny zespół czy zewnętrzny dostawca. Kluczowy jest wynik: pracownicy mają być w stanie świadomie korzystać z AI w kontekście ich pracy.

Z naszego doświadczenia format, który dobrze sprawdza się w polskich firmach, to:

  • Szkolenie podstawowe dla wszystkich pracowników (1-2 godziny) — czym jest system AI, jakie typy AI używa firma, podstawy bezpieczeństwa, polityka korzystania z GPAI w pracy.
  • Szkolenie pogłębione dla zespołów wdrażających lub stosujących high-risk AI (4-8 godzin) — wymogi rozporządzenia, FRIA (jeśli dotyczy), polityka nadzoru ze strony człowieka, zgłaszanie incydentów.
  • Szkolenie strategiczne dla zarządu i compliance (2-3 godziny) — odpowiedzialność, sankcje, ramy zarządzania ryzykiem AI.

Kiedy obowiązuje art. 4?

Z art. 113 lit. a wynika, że rozdział I AI Act — w tym art. 4 — stosuje się od 2 lutego 2025 r.

Tym samym obowiązek wszedł w życie wcześniej niż większość pozostałych obowiązków rozporządzenia. Dla firm, które jeszcze nie wdrożyły polityki kompetencji w zakresie AI, jest to dziś zaległość.

Jakie sankcje grożą za naruszenie art. 4?

Art. 4 nie jest expressis verbis wymieniony w art. 99 jako podstawa sankcji administracyjnych — w art. 99 ust. 4 wymienione są konkretne artykuły (m.in. art. 16 — obowiązki providera, art. 26 — deployera, art. 50 — transparentność). Oznacza to, że bezpośrednia kara administracyjna z AI Act za samo niewdrożenie polityki kompetencji nie jest oczywista.

W praktyce naruszenie art. 4 może jednak skutkować:

  • pośrednim ryzykiem przy ocenie naruszenia innych obowiązków — np. brak nadzoru przeszkolonego pracownika z art. 26 ust. 2 (kara z art. 99 ust. 4 do 15 mln EUR / 3% obrotu);
  • ryzykiem cywilnym — przy szkodzie wyrządzonej osobie fizycznej brak odpowiednich środków organizacyjnych może rzutować na odpowiedzialność deliktową;
  • ryzykiem reputacyjnym i regulacyjnym przy audytach krajowego organu nadzoru rynku.

Pełny reżim sankcji opisaliśmy w Kary i nadzór w AI Act (art. 99-101).

Jak udokumentować wdrożenie art. 4?

Z naszego doświadczenia minimum dokumentacyjne obejmuje:

  • politykę kompetencji w zakresie AI (dokument zarządczy);
  • mapę szkoleń per rola/poziom kompetencji;
  • listy obecności i materiały szkoleniowe;
  • testy weryfikujące zrozumienie po szkoleniach (opcjonalnie, ale wzmacnia argumentację „należytej staranności");
  • procedurę aktualizacji wiedzy przy zmianach systemów lub polityki firmy.

W przypadku audytu organu nadzoru rynku to ten zestaw dokumentów wykaże, że firma podjęła „środki w celu zapewnienia, w możliwie największym stopniu, odpowiedniego poziomu kompetencji" — jak wymaga tego art. 4.

Jak możemy Ci pomóc?

W Legal Geek prowadzimy szkolenia z AI Act dla zespołów polskich firm. W formule podstawowej (1,5–2 godziny dla wszystkich pracowników) omawiamy podstawy AI Act, polityki bezpiecznego korzystania z GPAI w pracy i mapę obowiązków firmy. W formule pogłębionej (4-8 godzin dla compliance, IT, HR) — szczegóły operacyjne, FRIA, nadzór człowieka, raportowanie incydentów. Przygotowujemy też politykę kompetencji w zakresie AI dopasowaną do struktury firmy, gotową do wdrożenia w HR. Chcę szkoleń AI Act!

Co dalej w cyklu?

Źródła