Role w AI Act — provider, deployer, importer, dystrybutor (i kto je łączy)

Zanim firma rozpozna swoje obowiązki pod AI Act, musi poprawnie przypisać sobie rolę. Z naszego doświadczenia to najczęściej pomijany krok — wiele firm nazywa siebie „użytkownikiem AI", a rozporządzenie zna tylko pięć technicznych ról: dostawca, upoważniony przedstawiciel, importer, dystrybutor i podmiot stosujący. Jedna firma może łączyć kilka ról i mieć różny status w różnych systemach.

Pełny kontekst rozporządzenia znajdziesz w AI Act 2024/1689 — przewodnik dla firm.

Kim jest dostawca (provider) w AI Act?

Dostawca to osoba fizyczna lub prawna, organ publiczny, agencja lub inny podmiot, które rozwijają system AI lub model AI ogólnego przeznaczenia (lub zlecają jego rozwój) i wprowadzają go do obrotu lub oddają do użytku pod własną nazwą lub własnym znakiem towarowym, odpłatnie lub nieodpłatnie (art. 3 pkt 3).

Trzy kluczowe elementy:

• Rozwija lub zleca rozwój — sam rozwój nie wystarczy bez wprowadzenia do obrotu; zlecenie rozwoju zewnętrznemu zespołowi też kwalifikuje firmę jako providera.
• Wprowadza do obrotu lub oddaje do użytku — wprowadzenie do obrotu to udostępnienie po raz pierwszy na rynku UE (art. 3 pkt 9); oddanie do użytku to dostarczenie do pierwszego użycia bezpośrednio podmiotowi stosującemu lub do użytku własnego (art. 3 pkt 11).
• Pod własną nazwą lub znakiem towarowym — firma white-labelująca cudzy system pod swoją marką też staje się providerem (a w pewnych konfiguracjach również operatorem white-label podmiotu trzeciego).

Pełną listę obowiązków dostawcy systemu wysokiego ryzyka rozwijamy w Obowiązki dostawcy systemu AI wysokiego ryzyka.

Kim jest podmiot stosujący (deployer)?

Podmiot stosujący to osoba fizyczna lub prawna, organ publiczny, agencja lub inny podmiot, które wykorzystują system AI pod swoją kontrolą, z wyjątkiem sytuacji, gdy system AI jest wykorzystywany w ramach osobistej działalności pozazawodowej (art. 3 pkt 4).

Kluczowe konsekwencje:

• Każda firma korzystająca z systemu AI w działalności zawodowej jest deployerem.
• Osoba fizyczna używająca chatbota w prywatnej rozmowie nie jest deployerem.
• Sprawowanie „kontroli" nie wymaga własności systemu — wystarczy, że firma decyduje o jego użyciu (np. w trybie SaaS).

Obowiązki deployera systemu high-risk reguluje art. 26, a ocenę skutków dla praw podstawowych (FRIA) — art. 27. Praktyczne ujęcie w Obowiązki deployera i FRIA (art. 26-27).

Kim jest upoważniony przedstawiciel?

Upoważniony przedstawiciel to osoba fizyczna lub prawna z UE, która otrzymała pisemne pełnomocnictwo od dostawcy systemu AI lub modelu AI ogólnego przeznaczenia do spełniania w jego imieniu obowiązków z rozporządzenia (art. 3 pkt 5).

Z art. 22 ust. 1 wynika, że dostawcy z państw trzecich muszą ustanowić upoważnionego przedstawiciela w UE przed udostępnieniem swojego systemu AI wysokiego ryzyka na rynku Unii. Zakres pełnomocnictwa obejmuje m.in.: sprawdzenie deklaracji zgodności UE i dokumentacji technicznej, przechowywanie dokumentów do dyspozycji organów przez 10 lat od wprowadzenia systemu do obrotu, przekazywanie informacji organom na ich uzasadniony wniosek oraz współpraca z organami nadzoru rynku (art. 22 ust. 3).

Co istotne — z art. 22 ust. 4 wynika obowiązek wypowiedzenia pełnomocnictwa przez przedstawiciela, jeżeli uważa, że dostawca działa sprzecznie z obowiązkami z rozporządzenia. O wypowiedzeniu informuje się odpowiedni organ nadzoru rynku.

Kim jest importer?

Importer to osoba fizyczna lub prawna z UE, która wprowadza do obrotu system AI opatrzony nazwą lub znakiem towarowym osoby fizycznej lub prawnej mającej siedzibę w państwie trzecim (art. 3 pkt 6).

Z art. 23 wynika, że przed wprowadzeniem do obrotu systemu AI wysokiego ryzyka importer sprawdza, czy:

• dostawca przeprowadził odpowiednią procedurę oceny zgodności z art. 43;
• dostawca sporządził dokumentację techniczną z art. 11 i załącznika IV;
• system jest opatrzony oznakowaniem CE i dołączono deklarację zgodności UE oraz instrukcję obsługi;
• dostawca ustanowił upoważnionego przedstawiciela zgodnie z art. 22.

Importer w razie wątpliwości ma obowiązek wstrzymać wprowadzenie do obrotu, dopóki zgodność nie zostanie zapewniona, oraz zachować przez 10 lat kopię deklaracji zgodności i certyfikatu (jeśli wydany) na potrzeby organów.

Kim jest dystrybutor?

Dystrybutor to osoba fizyczna lub prawna w łańcuchu dostaw, inna niż dostawca lub importer, która udostępnia system AI na rynku UE (art. 3 pkt 7).

Dystrybutorzy mają lżejszy zakres obowiązków niż importerzy — z art. 24 wynika kontrola elementów widocznych: czy system ma oznakowanie CE, dołączoną deklarację zgodności UE i instrukcję obsługi, czy dostawca i importer (jeśli mają zastosowanie) wypełnili swoje obowiązki dotyczące umieszczenia danych identyfikacyjnych. Dystrybutor, który ma podstawy uważać, że system nie spełnia wymagań, nie udostępnia systemu na rynku do czasu zapewnienia zgodności i informuje dostawcę lub importera oraz organ nadzoru rynku.

Kiedy deployer staje się providerem?

Z art. 25 wynika, że dystrybutor, importer, podmiot stosujący lub inna osoba trzecia uznawane są za dostawcę systemu AI wysokiego ryzyka — z pełnym zakresem obowiązków providera — jeżeli:

• umieszczają na systemie AI wysokiego ryzyka, który już został wprowadzony do obrotu lub oddany do użytku, swoją nazwę lub znak towarowy (chyba że uzgodnienia kontraktowe stanowią inaczej);
• dokonują istotnej zmiany w systemie AI wysokiego ryzyka w sposób, który nadal sprawia, że system pozostaje systemem AI wysokiego ryzyka zgodnie z art. 6;
• zmieniają przeznaczenie systemu AI — w tym systemu AI ogólnego przeznaczenia, który nie został zaklasyfikowany jako high-risk i już został wprowadzony do obrotu — w taki sposób, że dany system AI staje się high-risk zgodnie z art. 6.

To jeden z przepisów najczęściej zaskakujących klientów. Z naszego doświadczenia firma wdrażająca model GPAI (np. duży model językowy) do scenariusza rekrutacyjnego (załącznik III pkt 4) zwykle zmienia przeznaczenie systemu i staje się dostawcą tego konkretnego systemu — z całą sekcją 2 rozdziału III do spełnienia. Praktyczne implikacje dla GPAI omawiamy w GPAI w AI Act (art. 51-56).

Tabela — pięć ról i ich główne obowiązki

Termin „operator" obejmuje wszystkie powyższe role — z art. 3 pkt 8 wynika, że operatorem jest dostawca, producent produktu, podmiot stosujący, upoważniony przedstawiciel, importer lub dystrybutor.

Czy jedna firma może łączyć role?

Tak — jest to wręcz typowe. Z naszego doświadczenia większość polskich firm w pewnych systemach jest deployerem (np. używając gotowego modelu GPAI), a w innych providerem (np. budując własny system rekrutacyjny). Polski startup eksportujący system AI do USA może być providerem dla rynku UE (siedziba), a jednocześnie potrzebować upoważnionego przedstawiciela w UE — jeżeli funkcjonalnie operuje z państwa trzeciego.

Każdy system w portfelu firmy wymaga osobnego przypisania roli — i decyzji, kto w organizacji za daną rolę odpowiada (zwykle CTO/Head of AI dla providera, COO/CTO dla deployera, dział zakupów dla importera/dystrybutora).

Jak możemy Ci pomóc?

W Legal Geek prowadzimy audyt ról w łańcuchu dostaw AI. Dla każdego systemu rozwijanego lub używanego w firmie ustalamy rolę zgodnie z art. 3, sprawdzamy ryzyko przekształcenia w providera z art. 25 i mapujemy wynikające z tego obowiązki. Audyt obejmuje też analizę kontraktów z dostawcami modeli GPAI pod kątem klauzul wsparcia compliance. Chcę pomocy z audytem ról!

Co dalej w cyklu?

• AI Act 2024/1689 — przewodnik dla firm — hub: AI Act dla firm
• Systemy AI wysokiego ryzyka (art. 6 + zał. III) — kiedy system jest high-risk
• Obowiązki dostawcy systemu AI wysokiego ryzyka — pełna lista obowiązków providera
• Obowiązki deployera i FRIA (art. 26-27) — obowiązki deployera + FRIA
• GPAI w AI Act (art. 51-56) — GPAI

Źródła

• Rozporządzenie (UE) 2024/1689 — art. 3, art. 22-26 (EUR-Lex)
• Komisja Europejska — strona AI Act