Blog

Sztuczna inteligencja nie będzie regulowana w Unii Europejskiej jednolicie dla każdego zastosowania. AI Act opiera się na podejściu opartym na ryzyku. Oznacza to, że zakres obowiązków prawnych zależy przede wszystkim od tego, do czego system AI jest przeznaczony, w jakim kontekście ma być używany oraz jakie skutki może wywoływać dla ludzi, zdrowia, bezpieczeństwa, praw podstawowych lub interesu publicznego. W ocenie obowiązków regulacyjnych i klasyfikacji systemów AI pomocna może być kancelaria prawna Warszawa, szczególnie gdy firma wdraża lub wykorzystuje rozwiązania sztucznej inteligencji w swojej działalności.

‍

Dlatego klasyfikacja ryzyka z AI Act jest jednym z pierwszych etapów wdrożenia zgodności z nowymi przepisami. Firma, która korzysta z narzędzi AI, tworzy je, wdraża u klientów albo integruje z własnymi produktami, powinna ustalić, do której kategorii ryzyka należy dany system. Dopiero później można prawidłowo ocenić, jakie obowiązki wynikają z AI Act.

‍

Dlaczego klasyfikacja systemu AI ma znaczenie

‍

AI Act nie zakłada, że każdy system sztucznej inteligencji jest tak samo niebezpieczny. Inaczej należy oceniać prosty chatbot informacyjny o usługach firmy, inaczej system wspierający rekrutację, a jeszcze inaczej system wykorzystywany w wyrobach medycznych.

‍

W praktyce AI Act kategorie ryzyka pełnią funkcję mapy regulacyjnej. Pozwalają ustalić, czy dany system AI:

• jest zakazany,
• jest systemem wysokiego ryzyka,
• podlega szczególnym obowiązkom przejrzystości,
• nie jest objęty istotnymi obowiązkami AI Act, choć nadal może podlegać innym przepisom, na przykład RODO, prawu pracy, przepisom konsumenckim lub zasadom odpowiedzialności cywilnej.

‍

To istotne, ponieważ błędna kwalifikacja systemu AI może prowadzić do nieprawidłowego wdrożenia AI Act compliance. W wielu organizacjach najważniejszym problemem nie będzie samo korzystanie z AI, lecz brak wiedzy, czy wykorzystywane narzędzie powinno zostać potraktowane jako system wysokiego ryzyka.

‍

AI Act kategorie ryzyka - podstawowy podział

‍

W uproszczeniu AI Act przewiduje cztery główne poziomy ryzyka.

‍

Pierwsza kategoria to ryzyko niedopuszczalne. Obejmuje praktyki zakazane, czyli takie zastosowania AI, które ustawodawca unijny uznał za sprzeczne z wartościami Unii, prawami podstawowymi lub bezpieczeństwem osób. Chodzi m.in. o określone formy manipulacji, wykorzystywanie podatności osób, niektóre formy scoringu społecznego, zakazane przypadki kategoryzacji biometrycznej czy niektóre zastosowania zdalnej identyfikacji biometrycznej w czasie rzeczywistym.

‍

Druga kategoria to systemy AI wysokiego ryzyka. Nie są one co do zasady zakazane, ale podlegają rozbudowanym obowiązkom regulacyjnym. To najważniejsza kategoria z perspektywy przedsiębiorców, administracji publicznej i dostawców technologii.

‍

Trzecia kategoria obejmuje systemy, które powodują ryzyko związane z przejrzystością. W takich przypadkach AI Act może wymagać poinformowania użytkownika, że ma kontakt z systemem AI albo że dana treść została wygenerowana lub zmanipulowana przez AI.

‍

Czwarta kategoria to systemy minimalnego ryzyka. AI Act nie nakłada na nie rozbudowanych obowiązków, choć w praktyce nadal mogą być objęte innymi przepisami, standardami kontraktowymi, wymogami bezpieczeństwa, ochroną danych lub wewnętrznymi zasadami governance.

‍

Systemy AI wysokiego ryzyka - kiedy występują

‍

Systemy AI wysokiego ryzyka są centralnym elementem AI Act. Ich klasyfikacja wynika przede wszystkim z art. 6 AI Act oraz załączników I i III.

‍

Pierwsza grupa obejmuje systemy AI, które są produktem lub elementem bezpieczeństwa produktu objętego określonym unijnym prawodawstwem harmonizacyjnym. Może to dotyczyć m.in. maszyn, wyrobów medycznych, zabawek, wind, urządzeń radiowych, środków transportu lub innych produktów wymienionych w odpowiednich przepisach sektorowych. Nie każdy produkt z komponentem AI będzie automatycznie systemem wysokiego ryzyka. Istotne jest m.in. to, czy system AI pełni funkcję bezpieczeństwa oraz czy produkt wymaga oceny zgodności z udziałem strony trzeciej.

‍

Druga grupa obejmuje samodzielne systemy AI wskazane w załączniku III AI Act. Są to zastosowania uznane za szczególnie wrażliwe z punktu widzenia praw podstawowych, bezpieczeństwa lub sytuacji życiowej osób fizycznych. Przykładowo mogą dotyczyć biometrii, infrastruktury krytycznej, edukacji, zatrudnienia, dostępu do podstawowych usług, egzekwowania prawa, migracji, kontroli granicznej, wymiaru sprawiedliwości oraz procesów demokratycznych.

‍

Ważne jest, że samo użycie AI w obszarze wymienionym w załączniku III nie zawsze oznacza automatycznie system wysokiego ryzyka. 

‍

Przeznaczenie systemu AI jako punkt wyjścia

‍

Dla klasyfikacji systemu AI kluczowe jest jego przeznaczenie. Należy ustalić, do czego system jest przeznaczony przez dostawcę, w jakim kontekście ma działać, jakie decyzje lub rekomendacje ma wspierać oraz jakie kategorie użytkowników lub osób mogą być dotknięte jego działaniem.

‍

Nie wystarczy nazwać narzędzia „asystentem”, „chatbotem” albo „systemem analitycznym”. Ten sam model lub podobna technologia może mieć różną kwalifikację prawną w zależności od zastosowania. Chatbot odpowiadający na ogólne pytania klientów może generować głównie obowiązki przejrzystości. System oceniający kandydatów do pracy, nadający im ranking lub rekomendujący odrzucenie aplikacji może już wchodzić w kategorię systemów wysokiego ryzyka.

‍

Dlatego w ramach AI Act compliance trzeba dokumentować nie tylko samą technologię, ale również jej funkcję biznesową, kontekst użycia, grupę użytkowników, dane wejściowe, rodzaj wyniku oraz wpływ wyniku na decyzje człowieka.

‍

Przykłady obszarów wysokiego ryzyka

‍

W praktyce systemy AI wysokiego ryzyka mogą wystąpić m.in. w następujących popularnych obszarach:

• Biometria - np. zdalna identyfikacja biometryczna, kategoryzacja biometryczna lub rozpoznawanie emocji, o ile dane zastosowanie nie jest zakazane i mieści się w zakresie systemów wysokiego ryzyka.
• Infrastruktura krytyczna - np. systemy wpływające na zarządzanie ruchem drogowym, dostawy wody, gazu, energii elektrycznej, ogrzewania lub funkcjonowanie krytycznej infrastruktury cyfrowej.
• Edukacja i szkolenie zawodowe - np. systemy oceniające wyniki nauczania, przydzielające osoby do instytucji edukacyjnych albo wpływające na dostęp do określonego poziomu kształcenia.
• Zatrudnienie i zarządzanie pracownikami - np. narzędzia do selekcji kandydatów, oceny CV, rankingowania aplikacji, podejmowania decyzji o awansie, monitorowania pracy lub oceny wydajności.
• Podstawowe usługi prywatne i publiczne - np. systemy oceny zdolności kredytowej osób fizycznych, oceny prawa do świadczeń publicznych lub ryzyka w ubezpieczeniach zdrowotnych i na życie.
• Egzekwowanie prawa, migracja i wymiar sprawiedliwości - np. systemy wspierające ocenę ryzyka, analizę dowodów, rozpatrywanie wniosków wizowych lub azylowych, a także narzędzia wspierające organy sądowe.

‍

‍

Czy człowiek w procesie wyłącza wysokie ryzyko

‍

Nie. Sam fakt, że człowiek zatwierdza decyzję albo ma możliwość nadzoru, nie oznacza, że system przestaje być systemem wysokiego ryzyka. Nadzór człowieka jest jednym z wymogów zgodności dla systemów wysokiego ryzyka, ale nie jest prostym sposobem na uniknięcie kwalifikacji.

‍

Jeżeli przeznaczenie systemu obejmuje przypadek użycia wymieniony w załączniku III, a system wpływa na decyzję dotyczącą osoby, to udział człowieka nie zmienia automatycznie klasyfikacji. Inaczej mówiąc, regulacje AI ryzyko oceniają przez funkcję i wpływ systemu, a nie wyłącznie przez formalne pozostawienie człowieka „w pętli”.

‍

Mechanizm wyłączenia z wysokiego ryzyka

‍

AI Act przewiduje tzw. mechanizm filtrujący dla niektórych systemów z załącznika III. System może nie zostać uznany za wysokiego ryzyka, jeżeli spełnia warunki wskazane w AI Act, np. wykonuje wąskie zadanie proceduralne, poprawia wynik wcześniej zakończonej czynności człowieka, wykrywa wzorce decyzyjne bez zastępowania oceny człowieka albo wykonuje zadanie przygotowawcze.

‍

Ten mechanizm trzeba jednak stosować ostrożnie. Nie będzie on dostępny, jeżeli system dokonuje profilowania w rozumieniu przepisów o ochronie danych osobowych. Nie powinien być też traktowany jako sposób formalnego obchodzenia przepisów przez rozbicie jednego systemu na kilka modułów.

‍

Systemy objęte obowiązkami przejrzystości

‍

Niektóre systemy AI nie będą systemami wysokiego ryzyka, ale nadal będą podlegały obowiązkom przejrzystości. Dotyczy to m.in. sytuacji, w których użytkownik wchodzi w interakcję z systemem AI, a także określonych przypadków generowania treści syntetycznych, deepfake’ów lub treści tekstowych publikowanych w celu informowania opinii publicznej o sprawach interesu publicznego.

‍

W takich przypadkach przedsiębiorca powinien ustalić, czy musi poinformować użytkownika o korzystaniu z AI, oznaczyć treść jako wygenerowaną przez AI albo zapewnić inne środki transparentności.

‍

Jak przeprowadzić klasyfikację ryzyka AI Act w firmie

‍

Prawidłowa klasyfikacja ryzyka AI Act powinna obejmować kilka etapów.

‍

Po pierwsze, trzeba ustalić, czy dane rozwiązanie w ogóle jest systemem AI w rozumieniu AI Act. Nie każde oprogramowanie i nie każda automatyzacja będą systemem AI.

‍

Po drugie, należy ustalić rolę organizacji. Inne obowiązki mogą dotyczyć dostawcy, inne importera, dystrybutora, podmiotu stosującego, producenta produktu etc.

‍

Po trzecie, trzeba opisać przeznaczenie systemu. W praktyce należy przeanalizować dokumentację techniczną, instrukcje używania, materiały sprzedażowe, komunikację marketingową, funkcje narzędzia i realny kontekst wdrożenia.

‍

Po czwarte, należy sprawdzić, czy system nie wchodzi w zakres praktyk zakazanych. Ten etap powinien poprzedzać analizę wysokiego ryzyka.

‍

Po piąte, trzeba ocenić, czy system jest objęty art. 6 AI Act i załącznikiem I albo III. Jeżeli tak, należy ustalić, czy możliwy jest mechanizm wyłączenia z klasyfikacji wysokiego ryzyka.

‍

Po szóste, należy sprawdzić, czy system podlega obowiązkom przejrzystości, nawet jeżeli nie jest systemem wysokiego ryzyka.

‍

Po siódme, wynik analizy powinien zostać udokumentowany. W AI Act compliance dokumentacja procesu decyzyjnego jest równie ważna jak sama konkluzja. Przy projektach obejmujących wdrożenie, integrację lub komercjalizację systemów AI znaczenie może mieć również obsługa prawna projektów AI.

‍

Co oznacza klasyfikacja dla dostawców i podmiotów stosujących

‍

Dla dostawców klasyfikacja wpływa na projektowanie systemu, dokumentację techniczną, zarządzanie ryzykiem, jakość danych, nadzór człowieka, dokładność, cyberbezpieczeństwo, rejestrowanie zdarzeń, ocenę zgodności i obowiązki po wprowadzeniu systemu na rynek.

‍

Dla podmiotów stosujących klasyfikacja ma znaczenie przy wyborze narzędzia, negocjowaniu umowy, ocenie dostawcy, kontroli instrukcji używania, wdrożeniu nadzoru człowieka, prowadzeniu rejestrów, informowaniu osób i organizacji procesu korzystania z AI.

‍

W praktyce nie wystarczy zapytać dostawcy, czy jego system jest zgodny z AI Act. Firma powinna rozumieć, do czego sama używa systemu, ponieważ zmiana sposobu użycia może zmienić kwalifikację prawną. System kupiony jako narzędzie ogólne może stać się systemem wysokiego ryzyka, jeżeli zostanie wdrożony do zastosowania wskazanego w AI Act.

‍

Podsumowanie

‍

AI Act nie reguluje sztucznej inteligencji według jednej, prostej zasady. Kluczowe znaczenie ma klasyfikacja ryzyka systemu AI. To od niej zależy, czy dane rozwiązanie jest zakazane, czy stanowi system wysokiego ryzyka, czy podlega obowiązkom przejrzystości, czy też pozostaje w kategorii minimalnego ryzyka.

‍

Dla przedsiębiorców oznacza to konieczność uporządkowania portfela narzędzi AI. Pierwszym krokiem nie powinno być tworzenie ogólnej polityki AI, lecz identyfikacja konkretnych systemów, opisanie ich przeznaczenia i przeprowadzenie kwalifikacji prawnej. Dopiero na tej podstawie można ustalić wymogi AI Act, obowiązki dostawców i podmiotów stosujących oraz zakres realnego AI Act compliance.

‍

Klasyfikacja ryzyka z AI Act nie jest formalnością. Jest punktem wyjścia do całego procesu zgodności z regulacjami dotyczącymi sztucznej inteligencji.

‍

AI Act wprowadza jeden z najbardziej dotkliwych systemów sankcji w unijnym prawie technologicznym. Kary AI Act mogą być nakładane nie tylko na dostawców systemów sztucznej inteligencji, ale również na inne podmioty uczestniczące w obrocie lub wykorzystywaniu AI, jeżeli naruszają obowiązki wynikające z rozporządzenia. W analizie obowiązków i ryzyk regulacyjnych pomocna może być kancelaria prawna Warszawa, szczególnie gdy firma wdraża lub wykorzystuje systemy sztucznej inteligencji w swojej działalności.

‍

Najwyższe AI Act sankcje dotyczą zakazanych praktyk AI. Chodzi między innymi o wybrane formy manipulacji, niedozwolonego scoringu społecznego, niektóre zastosowania biometrii oraz systemy rozpoznawania emocji w miejscach pracy lub instytucjach edukacyjnych, poza przewidzianymi wyjątkami. Za takie naruszenie AI Act kary mogą wynieść do 35 mln EUR albo do 7% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego - w zależności od tego, która wartość jest wyższa.

‍

Niższy, ale nadal bardzo istotny próg sankcji dotyczy naruszenia obowiązków operatorów systemów AI. AI Act przepisy kary przewidują w takich przypadkach do 15 mln EUR albo do 3% całkowitego rocznego światowego obrotu. Ten poziom może mieć znaczenie między innymi przy naruszeniu obowiązków dostawców, importerów, dystrybutorów, podmiotów stosujących, jednostek notyfikowanych oraz obowiązków przejrzystości.

‍

Przy ocenie tych obowiązków wsparciem może być prawnik AI, zwłaszcza gdy firma chce ustalić swoją rolę prawną wobec systemu AI oraz zakres odpowiedzialności wynikającej z rozporządzenia.

‍

Osobna kategoria dotyczy przekazania organom lub jednostkom notyfikowanym informacji nieprawidłowych, niekompletnych albo wprowadzających w błąd. W takim przypadku kara może wynieść do 7,5 mln EUR albo do 1% całkowitego rocznego światowego obrotu.

‍

W praktyce AI Act compliance kary nie powinny być oceniane wyłącznie przez pryzmat maksymalnych kwot. Organ, ustalając wysokość sankcji, powinien brać pod uwagę konkretne okoliczności sprawy, w tym charakter, wagę i czas trwania naruszenia, liczbę osób dotkniętych skutkami działania systemu AI, rozmiar szkody, stopień winy, współpracę z organem oraz działania podjęte w celu ograniczenia negatywnych skutków.

‍

W przypadku MŚP, w tym startupów, AI Act przewiduje łagodniejszy mechanizm ustalania maksymalnych kar. Nie oznacza to zwolnienia z odpowiedzialności. MŚP nadal mogą podlegać sankcjom za naruszenie AI Act, jednak maksymalna kara pieniężna jest ustalana według niższej z dwóch wartości: kwoty wskazanej w rozporządzeniu albo odpowiedniego procentu rocznego światowego obrotu.

‍

Przykładowo, przy naruszeniu zakazanych praktyk AI standardowy próg wynosi do 35 mln EUR albo do 7% rocznego światowego obrotu. Dla MŚP zastosowanie ma niższa z tych wartości. Analogicznie działa to przy karach do 15 mln EUR albo 3% obrotu oraz do 7,5 mln EUR albo 1% obrotu.

‍

W praktyce oznacza to, że AI Act compliance kary mogą być dla MŚP mniej dotkliwe niż dla dużych przedsiębiorstw, ale nadal mogą stanowić istotne ryzyko finansowe. Dlatego także mniejsze firmy powinny przeprowadzić podstawową klasyfikację używanych systemów AI, ustalić swoją rolę prawną oraz wdrożyć proporcjonalne procedury zgodności.

‍

Podsumowanie - Jak ograniczyć ryzyko kar za naruszenie AI Act

Dla firm oznacza to jedno: wdrożenie AI Act compliance nie jest wyłącznie formalnością. Kluczowe znaczenie ma ustalenie, czy dane rozwiązanie spełnia definicję systemu AI, jaka jest jego rola w organizacji, do jakiej kategorii ryzyka należy oraz jakie obowiązki spoczywają na firmie jako dostawcy, importerze, dystrybutorze lub podmiocie stosującym.

‍

Im wcześniej przedsiębiorca przeprowadzi klasyfikację systemów AI i uporządkuje dokumentację, procedury nadzoru, przejrzystości oraz zarządzania ryzykiem, tym mniejsze ryzyko naruszenia AI Act i odpowiedzialności finansowej. Przy bardziej złożonych wdrożeniach znaczenie może mieć również obsługa prawna projektów AI, obejmująca analizę ryzyk, dokumentacji i obowiązków związanych z wykorzystaniem sztucznej inteligencji.

‍

AI Act to unijne rozporządzenie, które wprowadza nowe zasady dotyczące projektowania, wdrażania i wykorzystywania systemów sztucznej inteligencji. Dla przedsiębiorców oznacza to konieczność uporządkowania sposobu korzystania z AI w organizacji. AI Act dla firm nie powinien być traktowany wyłącznie jako obowiązek prawny, ale także jako element zarządzania ryzykiem technologicznym. W analizie obowiązków związanych z AI Act pomocna może być kancelaria prawna Warszawa, szczególnie gdy firma wdraża lub wykorzystuje systemy sztucznej inteligencji w swojej działalności.

‍

Audyt narzędzi AI używanych w firmie

‍

Pierwszym krokiem powinien być audyt narzędzi AI używanych w firmie. Należy ustalić, czy dane rozwiązanie jest systemem AI w rozumieniu AI Act, kto jest jego dostawcą, kto go stosuje oraz w jakim celu jest wykorzystywany. Dopiero na tej podstawie można ocenić, jakie wymagania AI Act mają zastosowanie do konkretnego przypadku. W takiej analizie wsparciem może być także prawnik AI, jeżeli firma potrzebuje oceny prawnej konkretnego narzędzia lub procesu opartego na sztucznej inteligencji.

‍

Klasyfikacja ryzyka systemów AI

‍

Drugim etapem jest klasyfikacja ryzyka. Przepisy AI Act przewidują różne poziomy obowiązków w zależności od rodzaju systemu AI. Największe znaczenie mają systemy zakazane, systemy wysokiego ryzyka, systemy objęte obowiązkami przejrzystości oraz modele ogólnego zastosowania. W praktyce firma powinna sprawdzić, czy AI jest używana w obszarach takich jak rekrutacja, ocena pracowników, edukacja, usługi finansowe, infrastruktura krytyczna, biometria lub dostęp do usług publicznych.

‍

Dokumentacja i procedury wymagane przez AI Act

‍

Trzecim krokiem jest przygotowanie dokumentacji. Wdrożenie AI Act wymaga opisania celu użycia systemu, zasad nadzoru człowieka, źródeł danych, ryzyk, środków kontroli oraz procedur reagowania na błędy i incydenty. W przypadku systemów wysokiego ryzyka obowiązki będą znacznie szersze i mogą obejmować między innymi system zarządzania ryzykiem, dokumentację techniczną, rejestrowanie zdarzeń, nadzór człowieka oraz ocenę zgodności.

‍

AI Act compliance w relacjach z dostawcami

‍

Czwartym elementem jest AI Act compliance w relacjach z dostawcami. Firma powinna zweryfikować umowy z podmiotami dostarczającymi narzędzia AI, w tym zakres odpowiedzialności, instrukcje używania systemu, dostęp do dokumentacji, zasady aktualizacji oraz obowiązki informacyjne. Sam fakt zakupu narzędzia AI od zewnętrznego dostawcy nie zwalnia firmy z obowiązków, jeżeli wykorzystuje ona system we własnej działalności. Przy bardziej złożonych wdrożeniach znaczenie może mieć również obsługa prawna projektów AI, obejmująca analizę ryzyk, dokumentacji i relacji z dostawcami technologii.

‍

Szkolenia pracowników z zasad korzystania z AI

‍

Ostatnim etapem jest przeszkolenie pracowników. AI Act wymaga rozwijania kompetencji w zakresie AI, dlatego osoby korzystające z systemów AI powinny rozumieć ich ograniczenia, ryzyka oraz zasady prawidłowego użycia. Dotyczy to nie tylko działów IT, ale także HR, marketingu, sprzedaży, compliance, prawnego i zarządu.

‍

AI Act compliance jako element zarządzania ryzykiem

‍

Przygotowanie firmy na AI Act powinno obejmować audyt, klasyfikację ryzyka, dokumentację, procedury, umowy z dostawcami oraz szkolenia. Im wcześniej organizacja rozpocznie AI Act compliance, tym łatwiej ograniczy ryzyko regulacyjne, kontraktowe i reputacyjne związane z wykorzystaniem sztucznej inteligencji.

‍

Więcej na ten temat znajdziecie w tym artykule: AI Act compliance checklista dla firm.

‍

AI Act a rola dostawcy systemu AI

‍

AI Act to unijne rozporządzenie, które wprowadza horyzontalne zasady dotyczące sztucznej inteligencji. Z perspektywy przedsiębiorców jednym z kluczowych zagadnień jest ustalenie, czy dana firma występuje jako dostawca systemu AI podlegającym pod to rozporządzenie. W ocenie obowiązków regulacyjnych pomocna może być kancelaria prawna Warszawa, zwłaszcza gdy projekt AI wymaga analizy prawnej, technicznej i organizacyjnej.

‍

Nie chodzi wyłącznie o podmiot, który samodzielnie programuje system od podstaw. Dostawcą może być również podmiot, który zleca opracowanie systemu AI, a następnie wprowadza go do obrotu lub oddaje do użytku pod własną nazwą lub znakiem towarowym. W praktyce oznacza to, że obowiązki dostawców AI mogą dotyczyć nie tylko firm technologicznych, ale także przedsiębiorców wdrażających rozwiązania AI jako element własnego produktu lub usługi.

‍

Dla firm kluczowe jest więc nie samo pytanie, czy używają sztucznej inteligencji, lecz pytanie, jaką pełnią rolę w łańcuchu wartości AI. Inne obowiązki będzie miał dostawca systemu AI wysokiego ryzyka, inne importer, dystrybutor, podmiot stosujący, a jeszcze inne dostawca modelu AI ogólnego przeznaczenia.

‍

Dlaczego status dostawcy ma znaczenie

‍

Status dostawcy ma zasadnicze znaczenie dla AI Act compliance. To dostawca odpowiada za wiele obowiązków, które muszą zostać spełnione jeszcze przed wprowadzeniem systemu AI na rynek albo przed oddaniem go do użytku.

‍

W przypadku systemów AI wysokiego ryzyka ciężar regulacyjny spoczywa przede wszystkim na dostawcy. To on powinien zapewnić zgodność systemu z wymaganiami AI Act, przygotować dokumentację techniczną, przeprowadzić odpowiednią procedurę oceny zgodności, zapewnić system zarządzania ryzykiem, wdrożyć system zarządzania jakością oraz prowadzić monitorowanie po wprowadzeniu systemu na rynek.

‍

Regulacje AI dostawcy traktują jako podmiot odpowiedzialny za projekt, przeznaczenie i warunki działania systemu. Z tego powodu nie wystarczy ograniczyć się do oceny własnej i deklaracji, że narzędzie jest „bezpieczne” albo „zgodne z prawem”. AI Act wymaga wykazania zgodności w sposób udokumentowany.

‍

Pierwszy krok - czy rozwiązanie jest systemem AI

‍

Przed analizą obowiązków należy ustalić, czy dane rozwiązanie spełnia definicję systemu AI. AI Act nie obejmuje każdego oprogramowania. System AI według tego rozporządzenia to system maszynowy zaprojektowany do działania z różnym poziomem autonomii, który może wykazywać zdolność adaptacji po wdrożeniu i który, dla wyraźnych lub dorozumianych celów, wnioskuje na podstawie otrzymanych danych wejściowych, jak generować wyniki, takie jak predykcje, treści, zalecenia lub decyzje mogące wpływać na środowisko fizyczne lub wirtualne.

‍

W praktyce analiza powinna obejmować między innymi:

• sposób działania systemu;
• poziom autonomii;
• rodzaj danych wejściowych;
• rodzaj generowanych wyników;
• przeznaczenie systemu;
• wpływ wyników systemu na użytkowników, klientów, pracowników lub inne osoby fizyczne.

‍

Nie każde narzędzie automatyzujące proces biznesowy będzie systemem AI. Jednocześnie wiele systemów wykorzystujących uczenie maszynowe, modele predykcyjne, systemy rekomendacyjne lub generatywną AI będzie wymagało dalszej analizy pod kątem AI Act.

‍

Drugi krok - klasyfikacja ryzyka

‍

AI Act opiera się na podejściu opartym na ryzyku. Oznacza to, że zakres obowiązków zależy przede wszystkim od kategorii systemu AI.

‍

Z perspektywy dostawcy najważniejsze kategorie to:

• systemy AI objęte zakazanymi praktykami;
• systemy AI wysokiego ryzyka;
• systemy AI podlegające obowiązkowi przejrzystości (art. 50 AI Act);
• modele AI ogólnego przeznaczenia.

‍

Największe znaczenie praktyczne mają systemy AI wysokiego ryzyka. To właśnie w ich przypadku wymogi AI Act są najbardziej rozbudowane i wymagają realnego wdrożenia procesów compliance, technicznych zabezpieczeń oraz dokumentacji.

‍

Więcej o tym znajdziesz w tym artykule:  AI Act - klasyfikacja ryzyka systemów AI

‍

Obowiązki dostawcy systemu AI wysokiego ryzyka

Dostawca systemu AI wysokiego ryzyka musi zapewnić, aby system spełniał wymagania określone w AI Act. Nie jest to pojedynczy obowiązek, ale cały pakiet wymogów obejmujących cykl życia systemu.

‍

Do najważniejszych obowiązków dostawcy należą:

System zarządzania ryzykiem

‍

Dostawca powinien ustanowić, wdrożyć, dokumentować i utrzymywać system zarządzania ryzykiem. Taki system powinien obejmować identyfikację, analizę, ocenę i ograniczanie ryzyk związanych z systemem AI.

‍

W praktyce oznacza to konieczność odpowiedzi na pytania:

• jakie szkody może wywołać system;
• kto może być dotknięty jego działaniem;
• jakie błędy są racjonalnie przewidywalne;
• jakie środki ograniczające ryzyko zostały wdrożone;
• jak ryzyka będą monitorowane po wdrożeniu.

‍

System zarządzania ryzykiem nie powinien być dokumentem tworzonym wyłącznie na potrzeby audytu. Powinien być częścią rzeczywistego procesu projektowania, testowania i utrzymywania systemu AI.

‍

Jakość danych i zarządzanie danymi

‍

Jeżeli system AI wysokiego ryzyka jest trenowany, walidowany lub testowany z wykorzystaniem danych, dostawca musi zadbać o odpowiednie praktyki zarządzania danymi. Obejmuje to między innymi adekwatność, reprezentatywność, kompletność i odpowiednią jakość danych.

‍

Ten obowiązek ma szczególne znaczenie w systemach stosowanych w rekrutacji, edukacji, kredytowaniu, ubezpieczeniach, ochronie zdrowia lub dostępie do usług publicznych. Wadliwe dane mogą prowadzić do dyskryminacji, błędnych decyzji lub naruszenia praw podstawowych.

‍

Dokumentacja techniczna

‍

Dostawca powinien sporządzić dokumentację techniczną przed wprowadzeniem systemu do obrotu lub oddaniem go do użytku. Dokumentacja ma wykazywać, że system spełnia wymogi AI Act i przepisy dotyczące systemów wysokiego ryzyka.

‍

Dokumentacja techniczna powinna opisywać między innymi:

• ogólne cechy systemu;
• jego przeznaczenie;
• architekturę i sposób działania;
• dane wykorzystywane w procesie trenowania, walidacji i testowania;
• mechanizmy nadzoru człowieka;
• środki zarządzania ryzykiem;
• cyberbezpieczeństwo;
• testy i walidację;
• monitorowanie po wprowadzeniu do obrotu.

‍

Brak dokumentacji technicznej może być jednym z najpoważniejszych problemów w razie kontroli organu nadzoru lub sporu z klientem. Na tym etapie przydatny może być także prawnik AI, jeżeli firma potrzebuje oceny obowiązków związanych z wdrożeniem lub rozwojem systemu sztucznej inteligencji.

‍

Rejestrowanie zdarzeń

‍

System AI wysokiego ryzyka powinien umożliwiać automatyczne rejestrowanie zdarzeń, czyli logowanie działania systemu. Celem jest zapewnienie identyfikowalności działania systemu, ułatwienie nadzoru i umożliwienie analizy incydentów.

‍

Logi mogą mieć kluczowe znaczenie, gdy trzeba ustalić, dlaczego system wygenerował określoną rekomendację, decyzję lub wynik. Z perspektywy dostawcy jest to także element ochrony dowodowej.

‍

Przejrzystość i instrukcje używania

‍

Dostawca musi przygotować instrukcje używania systemu. Powinny być one jasne, kompletne i zrozumiałe dla podmiotu stosującego system AI.

‍

Instrukcje powinny obejmować między innymi:

• przeznaczenie systemu;
• warunki prawidłowego używania;
• ograniczenia systemu;
• przewidywalne ryzyka;
• wymagania dotyczące danych wejściowych;
• informacje o wynikach działania systemu;
• środki nadzoru człowieka;
• parametry dokładności, odporności i cyberbezpieczeństwa.

‍

To szczególnie ważne, ponieważ błędne opisanie przeznaczenia systemu może prowadzić do błędnej klasyfikacji ryzyka. Jeżeli materiały sprzedażowe, instrukcje lub dokumentacja sugerują zastosowanie w obszarze wysokiego ryzyka, system może zostać zakwalifikowany jako system wysokiego ryzyka.

‍

Nadzór człowieka

‍

Dostawca powinien zaprojektować system AI wysokiego ryzyka w taki sposób, aby możliwy był skuteczny nadzór człowieka. Nie chodzi o pozorną obecność człowieka w procesie, ale o realną możliwość zrozumienia, monitorowania i - w razie potrzeby - przerwania lub zakwestionowania działania systemu.

‍

Nadzór człowieka powinien być adekwatny do ryzyka, przeznaczenia systemu i potencjalnego wpływu na osoby fizyczne.

‍

Dokładność, odporność i cyberbezpieczeństwo

‍

Wymogi AI Act obejmują również zapewnienie odpowiedniego poziomu dokładności, odporności i cyberbezpieczeństwa. Dostawca powinien określić parametry działania systemu oraz monitorować, czy system utrzymuje wymagany poziom jakości w czasie.

‍

W praktyce oznacza to konieczność testowania systemu nie tylko przed wdrożeniem, ale także po jego aktualizacjach, zmianach danych, zmianach środowiska operacyjnego lub zmianach sposobu używania systemu.

‍

System zarządzania jakością

‍

Dostawca systemu AI wysokiego ryzyka powinien wdrożyć system zarządzania jakością. Taki system powinien obejmować procedury, zasady i odpowiedzialności wewnętrzne dotyczące zgodności z AI Act.

‍

System zarządzania jakością powinien regulować między innymi:

• strategię zgodności z AI Act;
• projektowanie i rozwój systemu;
• testowanie i walidację;
• zarządzanie danymi;
• zarządzanie ryzykiem;
• kontrolę zmian;
• dokumentację;
• monitorowanie po wprowadzeniu na rynek;
• zgłaszanie incydentów;
• komunikację z organami nadzoru.

‍

Dla wielu firm będzie to jeden z najważniejszych elementów AI Act compliance.

‍

Ocena zgodności i oznakowanie CE

‍

Przed wprowadzeniem systemu AI wysokiego ryzyka do obrotu lub oddaniem go do użytku dostawca musi przeprowadzić właściwą procedurę oceny zgodności. W zależności od rodzaju systemu może to być ocena wewnętrzna albo procedura z udziałem jednostki notyfikowanej.

‍

Po pozytywnej ocenie zgodności dostawca powinien sporządzić deklarację zgodności UE i - tam, gdzie ma to zastosowanie - umieścić oznakowanie CE.

‍

Rejestracja w unijnej bazie danych

‍

Niektóre systemy AI wysokiego ryzyka wymagają rejestracji przed ich wprowadzeniem do obrotu lub oddaniem do użytku. Dotyczy to przede wszystkim systemów wysokiego ryzyka wskazanych w załączniku III AI Act, z zastrzeżeniem wyjątków, w tym systemów z załącznika III pkt 2, które podlegają rejestracji na poziomie krajowym.

‍

Rejestracja ma zwiększać przejrzystość i identyfikowalność systemów AI wysokiego ryzyka oraz ułatwiać nadzór nad ich zgodnością z AI Act. W określonych przypadkach informacje w bazie danych UE są publicznie dostępne, natomiast część rejestracji, zwłaszcza w obszarach ścigania przestępstw, migracji, azylu i kontroli granic, trafia do bezpiecznej, niepublicznej sekcji bazy.

‍

Monitorowanie po wprowadzeniu na rynek

‍

Obowiązki dostawcy nie kończą się w chwili sprzedaży lub wdrożenia systemu. Dostawca powinien prowadzić monitorowanie po wprowadzeniu systemu na rynek. Celem jest zbieranie informacji o działaniu systemu w rzeczywistych warunkach i reagowanie na nowe ryzyka.

‍

Monitorowanie po wprowadzeniu na rynek powinno obejmować między innymi analizę skarg, błędów, incydentów, zmian parametrów działania oraz informacji od podmiotów stosujących system.

‍

Zgłaszanie poważnych incydentów

‍

Dostawcy systemów AI wysokiego ryzyka mają obowiązki związane ze zgłaszaniem poważnych incydentów właściwym organom nadzoru rynku. Poważny incydent może obejmować między innymi śmierć osoby, poważną szkodę dla zdrowia, poważne i nieodwracalne zakłócenie infrastruktury krytycznej, naruszenie obowiązków prawa UE chroniących prawa podstawowe albo poważną szkodę dla mienia lub środowiska.

‍

Ten obowiązek wymaga posiadania procedury wewnętrznej. Firma powinna wiedzieć, kto identyfikuje incydent, kto ocenia jego kwalifikację, kto kontaktuje się z organem oraz jakie dane należy zabezpieczyć.

‍

Obowiązki dostawców z art. 50 AI Act

‍

Odrębne znaczenie mają obowiązki dostawców wynikające z art. 50 AI Act. Nie dotyczą one wyłącznie systemów AI wysokiego ryzyka, ale są odrębną kategorią AI Act. Są to obowiązki przejrzystości, które mogą obejmować także systemy niższego ryzyka, w szczególności chatboty, wirtualnych asystentów oraz systemy generujące treści syntetyczne.

‍

Po pierwsze, dostawcy systemów AI przeznaczonych do bezpośredniej interakcji z osobami fizycznymi muszą zapewnić, aby system był zaprojektowany i opracowany w taki sposób, że dana osoba zostanie poinformowana, iż wchodzi w interakcję z systemem AI. Obowiązek ten nie będzie miał zastosowania, jeżeli z okoliczności i kontekstu użycia jest to oczywiste dla osoby fizycznej należycie poinformowanej, uważnej i rozsądnej.

‍

Po drugie, dostawcy systemów AI, w tym systemów AI ogólnego przeznaczenia, które generują syntetyczne treści audio, obrazy, wideo lub tekst, muszą zapewnić, aby wyniki działania systemu były oznaczone w formacie nadającym się do odczytu maszynowego oraz wykrywalne jako sztucznie wygenerowane lub zmanipulowane.

‍

Trzeba odróżnić obowiązki dostawców od obowiązków podmiotów stosujących. Dostawca ma przede wszystkim zaprojektować system i jego funkcjonalności tak, aby umożliwić przejrzystość i wykrywalność treści. Podmiot stosujący może mieć natomiast własne obowiązki ujawniania, na przykład przy publikacji deepfake'ów lub tekstów wygenerowanych przez AI w celu informowania społeczeństwa o sprawach leżących w interesie publicznym.

‍

Obowiązki dostawców AI wynikające z art. 50 AI Act powinny być traktowane jako osobna część wdrożenia AI Act, obok klasyfikacji ryzyka, obowiązków dla systemów wysokiego ryzyka i obowiązków dotyczących modeli AI ogólnego przeznaczenia.

‍

Dostawcy modeli AI ogólnego przeznaczenia

‍

Odrębną kategorię stanowią dostawcy modeli AI ogólnego przeznaczenia, czyli modeli, które mogą być wykorzystywane w wielu różnych zastosowaniach. Obowiązki takich dostawców różnią się od obowiązków dostawców klasycznych systemów AI.

‍

W zależności od rodzaju modelu dostawca może być zobowiązany między innymi do:

• sporządzenia i aktualizowania dokumentacji technicznej modelu;
• udostępniania informacji dostawcom systemów AI, którzy integrują model w swoich rozwiązaniach;
• wdrożenia polityki zgodności z prawem autorskim UE;
• publikowania odpowiedniego streszczenia treści wykorzystanych do trenowania modelu.

‍

Jeżeli model AI ogólnego przeznaczenia zostanie uznany za model stwarzający ryzyko systemowe, obowiązki są dalej idące. Mogą obejmować ocenę modelu, ograniczanie ryzyk systemowych, dokumentowanie poważnych incydentów i zgłaszanie ich do właściwych organów.

‍

Kiedy dystrybutor, importer lub użytkownik może stać się dostawcą

‍

AI Act przewiduje sytuacje, w których inny podmiot może zostać potraktowany jak dostawca systemu AI wysokiego ryzyka. Może to dotyczyć między innymi dystrybutora, importera, podmiotu stosującego lub innej osoby trzeciej.

‍

Taki skutek może powstać w szczególności, gdy podmiot:

• umieszcza własną nazwę lub znak towarowy na systemie AI wysokiego ryzyka;
• dokonuje istotnej zmiany systemu AI wysokiego ryzyka;
• zmienia przeznaczenie systemu w taki sposób, że system staje się systemem wysokiego ryzyka.

‍

To istotne dla firm, które kupują gotowe rozwiązania AI, a następnie oferują je klientom pod własną marką albo modyfikują ich funkcje. W takim scenariuszu firma może przejąć część obowiązków typowych dla dostawcy.

‍

AI Act compliance jako proces, a nie jednorazowy dokument

‍

AI Act compliance nie powinien być traktowany jako jednorazowe przygotowanie polityki AI. W przypadku dostawców systemów AI zgodność wymaga procesu obejmującego projektowanie, rozwój, testowanie, wdrożenie, monitorowanie, aktualizacje i reagowanie na incydenty.

‍

W praktyce wdrożenie powinno obejmować co najmniej:

• mapowanie systemów AI;
• ustalenie roli firmy w łańcuchu wartości AI;
• klasyfikację ryzyka;
• analizę przeznaczenia systemu;
• analizę danych;
• ocenę obowiązków technicznych;
• przygotowanie dokumentacji;
• wdrożenie procedur zarządzania ryzykiem;
• wdrożenie procedur nadzoru człowieka;
• przygotowanie procesu obsługi incydentów;
• aktualizację umów z klientami, dostawcami i integratorami.

‍

Dobrze przygotowana firma powinna być w stanie wykazać, dlaczego zakwalifikowała system do określonej kategorii ryzyka i jakie środki wdrożyła, aby spełnić wymogi AI Act. Przy projektach obejmujących wdrożenie, rozwój lub komercjalizację systemów AI istotna może być również obsługa prawna projektów AI.

‍

Najczęstsze błędy dostawców systemów AI

‍

W praktyce największe ryzyka prawne wynikają zwykle nie z samego używania AI, lecz z braku uporządkowanego procesu zgodności.

‍

Do najczęstszych błędów należą:

• brak ustalenia, czy rozwiązanie spełnia definicję systemu AI;
• brak określenia przeznaczenia systemu;
• zbyt ogólne materiały marketingowe sugerujące szerokie zastosowania, także w obszarach wysokiego ryzyka;
• brak dokumentacji technicznej;
• brak procedury zarządzania ryzykiem;
• brak testów jakości danych;
• pozorny nadzór człowieka;
• brak procedury zgłaszania incydentów;
• nieuwzględnienie AI Act w umowach z klientami i partnerami technologicznymi;
• traktowanie zgodności z AI Act wyłącznie jako zadania działu prawnego.

‍

Tymczasem przepisy AI Act projektują regulację łączącą prawo, technologię, zarządzanie ryzykiem, cyberbezpieczeństwo, dokumentację i odpowiedzialność organizacyjną.

‍

Podsumowanie

‍

Obowiązki dostawców AI należą do najważniejszych elementów AI Act. Dostawca nie odpowiada wyłącznie za stworzenie technologii, ale także za jej zgodność regulacyjną, dokumentację, bezpieczeństwo, przejrzystość, zarządzanie ryzykiem i monitorowanie po wdrożeniu.

‍

Dla przedsiębiorców oznacza to konieczność przejścia od podejścia „budujemy narzędzie AI” do podejścia „budujemy system AI zgodny z prawem, bezpieczny i możliwy do audytu”. Im wcześniej firma ustali swoją rolę, kategorię ryzyka systemu i właściwe wymogi AI Act, tym łatwiej ograniczy ryzyka prawne, kontraktowe i reputacyjne.

‍

Jak przygotować firmę do zgodności z AI Act

‍

AI Act to unijne rozporządzenie, które wprowadza jednolite zasady projektowania, wprowadzania do obrotu, oddawania do użytku i wykorzystywania systemów sztucznej inteligencji w Unii Europejskiej. Dla przedsiębiorców oznacza to konieczność sprawdzenia, czy wykorzystywane lub tworzone narzędzia AI podlegają pod nowe obowiązki regulacyjne. W ocenie obowiązków regulacyjnych i ryzyk związanych ze sztuczną inteligencją pomocny może być prawnik AI.

‍

W praktyce zgodność z przepisami AI Act nie zaczyna się od pisania polityk wewnętrznych. Pierwszym krokiem powinno być ustalenie, jakie systemy AI firma faktycznie posiada, do czego są używane, kto nimi zarządza oraz czy i jak wpływają one na osoby fizyczne, klientów, pracowników, kandydatów, kontrahentów lub użytkowników końcowych.

‍

Poniżej przedstawiamy praktyczną checklistę dla firm, które chcą uporządkować AI Act compliance i przygotować organizację do nowych obowiązków.

‍

1. Ustal, czy firma korzysta z systemów AI

‍

Pierwszym etapem jest inwentaryzacja narzędzi. Nie chodzi wyłącznie o własne modele AI budowane przez dział technologiczny. W wielu firmach sztuczna inteligencja jest już obecna w narzędziach HR, systemach CRM, rozwiązaniach marketingowych, chatbotach, systemach analitycznych, narzędziach cyberbezpieczeństwa, oprogramowaniu do scoringu, systemach monitoringu lub aplikacjach wspierających obsługę klienta.

‍

Firma powinna ustalić:

• jakie narzędzia AI są używane w organizacji;
• kto jest odpowiedzialny za wdrożenie lub rozwój danego narzędzia;
• kto ma dostęp do systemu;
• jakie dane są przetwarzane;
• jakie wyniki, w tym decyzje lub rekomendacje, generuje system;
• czy wynik działania systemu wpływa na ludzi.

To podstawowy etap - brak rejestru systemów AI uniemożliwia ocenę ryzyka i przypisanie obowiązków.

‍

2. Sprawdź, czy zastosowanie AI nie mieści się w wyłączeniu dla badań naukowych i rozwoju

‍

AI Act przewiduje szczególne wyłączenia dotyczące badań naukowych, testowania i rozwoju systemów AI oraz modeli AI. Nie oznacza to jednak, że każde użycie AI w dziale R&D automatycznie wypada poza AI Act.

‍

Wyłączenie może mieć znaczenie przede wszystkim wtedy, gdy system AI lub model AI został specjalnie opracowany i oddany do użytku wyłącznie w celu badań naukowych i rozwoju. AI Act nie obejmuje również działalności badawczej, testowej lub rozwojowej dotyczącej systemów AI lub modeli AI przed ich wprowadzeniem do obrotu albo oddaniem do użytku.

‍

3. Sprawdź, czy dane narzędzie jest systemem AI w rozumieniu AI Act

‍

Nie każde oprogramowanie automatyzujące proces biznesowy będzie systemem AI. AI Act obejmuje systemy maszynowe, które działają z różnym poziomem autonomii i wnioskują z otrzymanych danych wejściowych, jak generować wyniki, takie jak predykcje, treści, rekomendacje lub decyzje.

‍

W praktyce należy sprawdzić, czy narzędzie:

• działa na podstawie danych wejściowych;
• generuje predykcje, rekomendacje, treści lub decyzje;
• posiada pewien poziom autonomii;
• wpływa lub może wpływać na środowisko fizyczne albo cyfrowe;
• nie jest wyłącznie prostą automatyzacją opartą na sztywnych regułach określonych przez człowieka.

‍

Ten etap jest kluczowy, ponieważ AI Act wymagania dla firm dotyczą tylko tych rozwiązań, które mieszczą się w zakresie rozporządzenia.

‍

AI Act obejmuje również modele generalnego przeznaczenia, ale w tym artykule skupiamy się tylko na systemach AI. 

‍

4. Określ rolę firmy - dostawca, podmiot stosujący, importer, dystrybutor

‍

Obowiązki przedsiębiorców  w kontekście AI Act zależą od roli, jaką firma pełni wobec danego systemu AI. Ta sama firma może być dostawcą jednego systemu i podmiotem stosującym inny system.

‍

Firma może być w szczególności:

• dostawcą, jeżeli rozwija system AI albo zleca jego rozwój i wprowadza go do obrotu lub oddaje do użytku pod własną nazwą lub znakiem towarowym;
• podmiotem stosującym, jeżeli wykorzystuje system AI pod swoją kontrolą w działalności zawodowej;
• importerem, jeżeli wprowadza na rynek UE system AI od dostawcy spoza Unii;
• dystrybutorem, jeżeli udostępnia system AI na rynku UE;
• producentem produktu, jeżeli system AI jest elementem produktu objętego unijnymi przepisami harmonizacyjnymi.

‍

Błędne przypisanie roli jest jednym z najczęstszych ryzyk compliance. Szczególnej uwagi wymaga sytuacja, w której firma umieszcza własny znak towarowy na systemie AI wysokiego ryzyka, istotnie modyfikuje taki system albo zmienia jego przeznaczenie. W określonych przypadkach może to prowadzić do przejęcia obowiązków dostawcy.

‍

5. Ustal przeznaczenie systemu AI

‍

W AI Act bardzo duże znaczenie ma przeznaczenie systemu. Chodzi o użycie, dla którego system został przewidziany przez dostawcę, w tym kontekst i warunki używania wskazane w instrukcjach, dokumentacji technicznej, materiałach sprzedażowych, promocyjnych lub oświadczeniach.

‍

Firma powinna ustalić:

• do czego system został zaprojektowany;
• w jakich procesach ma być używany;
• jakie osoby będą z niego korzystać;
• jakie decyzje lub działania będzie wspierał;
• czy jego użycie może wykroczyć poza pierwotne przeznaczenie;
• czy możliwe jest racjonalnie przewidywalne niewłaściwe użycie.

‍

To ważne zwłaszcza przy systemach ogólnego zastosowania oraz narzędziach, które mogą być wykorzystywane w wielu działach firmy. Inne ryzyko ma chatbot do ogólnej obsługi klienta, inne system wspierający rekrutację, a jeszcze inne narzędzie oceniające zdolność kredytową osoby fizycznej.

‍

6. Sprawdź, czy system nie należy do praktyk zakazanych

‍

Najwyższy poziom ryzyka w AI Act obejmuje praktyki zakazane. Firma powinna sprawdzić, czy nie projektuje, nie kupuje ani nie wykorzystuje systemów AI, które mogą mieścić się w katalogu zakazów.

‍

W szczególności należy zweryfikować, czy system nie służy do:

• szkodliwej manipulacji lub stosowania technik podprogowych;
• wykorzystywania podatności osób ze względu na wiek, niepełnosprawność lub sytuację społeczno-ekonomiczną;
• niedopuszczalnego scoringu społecznego;
• oceny ryzyka popełnienia przestępstwa wyłącznie na podstawie profilowania lub cech osobowości;
• tworzenia lub rozszerzania baz rozpoznawania twarzy przez nieukierunkowane pozyskiwanie obrazów z internetu lub CCTV;
• rozpoznawania emocji w miejscu pracy lub instytucjach edukacyjnych, poza wyjątkami przewidzianymi w AI Act;
• biometrycznej kategoryzacji w celu wnioskowania o szczególnie chronionych cechach;
• zdalnej identyfikacji biometrycznej w czasie rzeczywistym w przestrzeni publicznej do celów ścigania, poza ściśle określonymi wyjątkami.

‍

Powyższe wyliczenie jest bardzo uproszczonym podejście do niedozwolonych praktyk AI. Niemniej jednak, etap ten powinien być wykonany przed wdrożeniem systemu. Jeżeli firma korzysta już z narzędzia, które może mieścić się w praktykach zakazanych, konieczna jest pilna analiza prawna i techniczna.

‍

7. Oceń, czy system jest systemem wysokiego ryzyka

‍

Systemy wysokiego ryzyka są centralnym elementem AI Act compliance. Ich użycie nie jest zakazane, ale wiąże się z rozbudowanymi obowiązkami prawnymi, technicznymi i organizacyjnymi.

‍

System może być wysokiego ryzyka zasadniczo w dwóch sytuacjach.

‍

Po pierwsze, jeżeli jest produktem albo elementem bezpieczeństwa produktu objętego określonym unijnym prawodawstwem harmonizacyjnym i produkt wymaga oceny zgodności z udziałem strony trzeciej.

‍

Po drugie, jeżeli mieści się w jednym z przypadków wskazanych w załączniku III AI Act. Dotyczy to m.in. wybranych zastosowań w obszarach takich jak:

• biometria;
• infrastruktura krytyczna;
• edukacja i szkolenia zawodowe;
• zatrudnienie, zarządzanie pracownikami i dostęp do samozatrudnienia;
• dostęp do podstawowych usług prywatnych oraz usług i świadczeń publicznych;
• ściganie przestępstw;
• migracja, azyl i kontrola granic;
• wymiar sprawiedliwości i procesy demokratyczne.

‍

Przykładowo, podwyższone ryzyko może dotyczyć systemów AI używanych do selekcji kandydatów do pracy, oceny wyników nauczania, scoringu kredytowego osób fizycznych, ustalania ceny w ubezpieczeniach na życie i zdrowie, priorytetyzacji zgłoszeń alarmowych albo wspierania decyzji w obszarze wymiaru sprawiedliwości.

‍

Pamiętaj - tzw. human in the loop nie wyłącza kwalifikacji systemu AI jako systemu wysokiego ryzyka.

‍

8. Sprawdź, czy możliwe jest wyłączenie z klasyfikacji wysokiego ryzyka

‍

AI Act przewiduje mechanizm, który w określonych przypadkach pozwala uznać, że system mieszczący się formalnie w załączniku III nie jest systemem wysokiego ryzyka, jeżeli nie stwarza znaczącego ryzyka szkody dla zdrowia, bezpieczeństwa lub praw podstawowych.

‍

Może to dotyczyć systemów, które wykonują jedynie wąskie zadanie proceduralne, poprawiają wynik wcześniej zakończonej czynności człowieka, wykrywają wzorce decyzyjne lub odstępstwa od wcześniejszych wzorców bez zastępowania oceny człowieka, albo wykonują zadanie przygotowawcze do właściwej oceny.

‍

Nie jest to jednak automatyczne zwolnienie. Wymaga udokumentowanej samooceny. Co istotne, system wykonujący profilowanie co do zasady nie korzysta z tego mechanizmu i nadal może być traktowany jako wysokiego ryzyka.

‍

9. Przygotuj dokumentację zgodności

‍

Zgodność z przepisami AI Act wymaga dokumentacji. Dla firm oznacza to konieczność stworzenia uporządkowanego zestawu dokumentów, który pozwoli wykazać, że system został oceniony, sklasyfikowany i wdrożony zgodnie z właściwymi wymaganiami.

‍

W praktyce dokumentacja powinna obejmować co najmniej:

• rejestr systemów AI używanych w firmie;
• opis przeznaczenia każdego systemu;
• wskazanie roli firmy;
• klasyfikację ryzyka;
• ocenę, czy system podlega zakazom;
• ocenę, czy system jest wysokiego ryzyka;
• opis danych wejściowych i wyników generowanych przez system;
• opis kontroli ludzkiej;
• zasady nadzoru nad systemem;
• procedurę reagowania na błędy, incydenty i skargi;
• zasady korzystania z generatywnej AI przez pracowników;
• instrukcje dla użytkowników wewnętrznych;
• dowody szkoleń z kompetencji w zakresie AI.

‍

Dla systemów wysokiego ryzyka dokumentacja będzie znacznie bardziej rozbudowana i powinna być powiązana z zarządzaniem ryzykiem, jakością, danymi, cyberbezpieczeństwem, monitorowaniem działania systemu i obowiązkami po wprowadzeniu systemu do obrotu lub oddaniu go do użytku. Przy bardziej złożonych wdrożeniach przydatna może być także obsługa prawna projektów AI, obejmująca analizę prawną, techniczną i organizacyjną projektu.

‍

10. Wprowadź zasady kompetencji w zakresie AI

‍

AI Act nakłada obowiązek podejmowania środków zapewniających odpowiedni poziom kompetencji w zakresie AI. W praktyce firma powinna zadbać, aby osoby korzystające z systemów AI rozumiały ich możliwości, ograniczenia, ryzyka i zasady bezpiecznego używania. Jest to tzw. AI Literacy.

‍

Szkolenia powinny być dostosowane do ról. Innej wiedzy potrzebuje zarząd, innej dział HR, innej dział marketingu, innej dział IT, a jeszcze innej osoby odpowiedzialne za compliance, ochronę danych i cyberbezpieczeństwo.

‍

Minimalny program szkoleniowy powinien obejmować:

• czym jest system AI w rozumieniu AI Act;
• jakie są kategorie ryzyka;
• czego firma nie może robić z AI;
• kiedy system może być wysokiego ryzyka;
• jak korzystać z generatywnej AI;
• jak chronić dane osobowe, tajemnice przedsiębiorstwa i informacje poufne;
• kiedy wynik AI wymaga weryfikacji przez człowieka;
• jak zgłaszać błędy, incydenty i nieprawidłowości.

‍

11. Ustal zasady przejrzystości wobec ludzi

‍

Niektóre systemy AI wymagają spełnienia obowiązków informacyjnych. Dotyczy to m.in. systemów wchodzących w interakcję z człowiekiem, systemów generujących treści syntetyczne, systemów rozpoznawania emocji, kategoryzacji biometrycznej oraz deepfake'ów.

‍

Firma powinna sprawdzić:

• czy użytkownik wie, że rozmawia z systemem AI;
• czy treści generowane lub manipulowane przez AI są właściwie oznaczane;
• czy osoby fizyczne otrzymują wymagane informacje;
• czy oznaczenia są zrozumiałe, widoczne i dostosowane do kanału komunikacji;
• czy obowiązki przejrzystości są uwzględnione w procesach marketingowych, sprzedażowych i obsługi klienta.

‍

W praktyce dotyczy to np. chatbotów, voicebotów, generatorów grafiki, systemów tworzących teksty publikowane w imieniu firmy, narzędzi do automatycznego generowania materiałów reklamowych oraz systemów wykorzystywanych do tworzenia realistycznych obrazów, nagrań audio lub wideo.

‍

12. Połącz AI Act z RODO, cyberbezpieczeństwem i prawem pracy

‍

AI Act nie zastępuje RODO, przepisów konsumenckich, prawa pracy, regulacji sektorowych ani zasad odpowiedzialności za produkt. Firma powinna traktować AI Act compliance jako część szerszego systemu zgodności.

‍

W praktyce należy sprawdzić:

• czy system przetwarza dane osobowe;
• jaka jest podstawa prawna przetwarzania;
• czy konieczna jest ocena skutków dla ochrony danych;
• czy występuje zautomatyzowane podejmowanie decyzji;
• czy system wpływa na pracowników lub kandydatów;
• czy system spełnia wymagania cyberbezpieczeństwa;
• czy dostawca zapewnia odpowiednie gwarancje umowne;
• czy firma ma prawo korzystać z danych używanych w systemie;
• czy wyniki AI mogą naruszać prawa autorskie lub tajemnice przedsiębiorstwa.

‍

Dobrze przygotowane wdrożenie AI Act w firmie powinno łączyć analizę prawną, techniczną, organizacyjną i biznesową.

‍

13. Zweryfikuj umowy z dostawcami AI

‍

Wiele firm nie buduje własnych systemów AI, lecz korzysta z rozwiązań zewnętrznych. Nie zwalnia to jednak organizacji z obowiązku oceny ryzyka i właściwego korzystania z systemu.

‍

Umowy z dostawcami powinny regulować w szczególności:

• opis systemu i jego przeznaczenia;
• rolę dostawcy i rolę klienta;
• zakres dokumentacji przekazywanej firmie;
• zasady aktualizacji systemu;
• odpowiedzialność za istotne zmiany;
• zasady monitorowania działania systemu;
• obowiązki dotyczące bezpieczeństwa;
• obowiązki dotyczące danych osobowych;
• wsparcie w razie incydentu;
• zasady audytu;
• ograniczenia w używaniu danych firmy do trenowania modeli;
• procedurę zakończenia współpracy.

‍

W przypadku systemów wysokiego ryzyka umowa powinna być znacznie bardziej szczegółowa. Sama deklaracja dostawcy, że system jest zgodny z AI Act, nie wystarczy.

‍

14. Przygotuj procedurę reagowania na incydenty

‍

Firmy korzystające z AI powinny mieć procedurę wykrywania, oceny i obsługi nieprawidłowości. Szczególne znaczenie ma to w przypadku systemów wysokiego ryzyka, gdzie AI Act przewiduje obowiązki związane z poważnymi incydentami.

‍

Procedura powinna określać:

• kto przyjmuje zgłoszenia;
• jak klasyfikowane są błędy i incydenty;
• kiedy sprawa trafia do działu prawnego, compliance, IT, bezpieczeństwa lub zarządu;
• jak zabezpiecza się logi i dowody;
• kiedy należy powiadomić dostawcę;
• kiedy konieczne jest zgłoszenie do organu;
• jak dokumentowane są działania naprawcze;
• jak aktualizowana jest ocena ryzyka.

‍

Dla firmy istotne jest nie tylko to, czy system działa, ale również czy można wykazać, że jego działanie jest monitorowane i kontrolowane.

‍

15. Stwórz wewnętrzną politykę korzystania z AI

‍

Każda firma korzystająca z AI powinna posiadać wewnętrzne zasady używania takich narzędzi. Polityka nie powinna być ogólnym dokumentem deklaracyjnym. Powinna realnie odpowiadać na to, jak pracownicy korzystają z AI w codziennej pracy.

‍

Polityka AI powinna określać:

• jakie narzędzia są dopuszczone;
• jakie narzędzia są zakazane;
• jakich danych nie wolno wprowadzać do systemów AI;
• kiedy wymagany jest przegląd wyniku przez człowieka;
• kto odpowiada za wdrożenie nowego narzędzia AI;
• jak zgłaszać nowe przypadki użycia AI;
• jak oceniać ryzyko;
• jakie zasady obowiązują przy tworzeniu treści;
• jakie zasady obowiązują przy korzystaniu z AI w HR, sprzedaży, marketingu, finansach i obsłudze klienta.

‍

To jeden z najważniejszych dokumentów operacyjnych w ramach AI Act compliance.

‍

16. Monitoruj zmiany systemów AI

‍

System AI może zmieniać się w czasie. Zmiana modelu, danych, funkcji, sposobu użycia lub przeznaczenia może wpływać na klasyfikację ryzyka i zakres obowiązków.

‍

Firma powinna monitorować:

• aktualizacje systemu;
• zmiany dostawcy;
• nowe funkcjonalności;
• zmianę działu korzystającego z systemu;
• zmianę kategorii danych;
• rozszerzenie użycia na nowe kraje lub grupy użytkowników;
• zmianę wpływu systemu na decyzje dotyczące osób fizycznych.

‍

Realizacja i wdrożenie AI Act w firmie powinna traktować jako proces ciągły, a nie jednorazowy projekt dokumentacyjny.

‍

17. Checklista AI Act dla zarządu

‍

Zarząd powinien uzyskać odpowiedzi na następujące pytania:

1. Czy wiemy, z jakich systemów AI korzysta firma?
2. Czy mamy rejestr systemów AI?
3. Czy każdy system ma właściciela biznesowego?
4. Czy ustaliliśmy rolę firmy wobec każdego systemu?
5. Czy sprawdziliśmy, które systemy mogą być zakazane?
6. Czy oceniliśmy, które systemy mogą być wysokiego ryzyka?
7. Czy mamy procedurę zatwierdzania nowych narzędzi AI?
8. Czy mamy politykę korzystania z generatywnej AI?
9. Czy pracownicy wiedzą, jakich danych nie wolno wpisywać do narzędzi AI?
10. Czy mamy procedurę reagowania na incydenty?
11. Czy umowy z dostawcami AI zabezpieczają interes firmy?
12. Czy AI Act jest powiązany z RODO, cyberbezpieczeństwem i compliance?
13. Czy osoby korzystające z AI zostały przeszkolone?
14. Czy monitorujemy zmiany w systemach AI?
15. Czy możemy wykazać AI Act zgodność z przepisami w razie kontroli?

Podsumowanie

‍

Wymagania dla firm w kontekście AI Act będą zależeć od tego, jakie systemy AI są używane, w jakim celu, przez kogo i z jakim wpływem na ludzi. Nie każda firma będzie miała systemy wysokiego ryzyka, ale każda organizacja korzystająca zawodowo z AI powinna przeprowadzić co najmniej podstawową inwentaryzację, klasyfikację i ocenę ryzyka.

‍

AI Act compliance wymaga połączenia prawa, technologii, zarządzania ryzykiem, ochrony danych, cyberbezpieczeństwa i odpowiedzialności biznesowej. Największym błędem jest traktowanie AI Act wyłącznie jako kolejnej polityki do podpisu. Prawidłowe wdrożenie AI Act w firmie powinno prowadzić do realnej kontroli nad tym, gdzie, jak i po co organizacja korzysta ze sztucznej inteligencji.

‍

Dla przedsiębiorców kluczowe jest jedno w kontekście AI Act: obowiązki przedsiębiorców należy analizować nie abstrakcyjnie, lecz przez konkretne przypadki użycia AI w organizacji.

‍

W branży technologicznej marka często powstaje szybciej niż sama świadomość, że warto ją chronić, dlatego odpowiednia obsługa prawna IT powinna być brana pod uwagę już od samego początku. Startup wybiera nazwę aplikacji, software house projektuje logo, spółka uruchamia nową platformę, a zespół produktowy zaczyna komunikację pod chwytliwym hasłem. Na początku najważniejsze wydają się sprzedaż, rozwój produktu i pozyskanie klientów. Dopiero później pojawia się pytanie: czy ktoś inny może używać podobnej nazwy? Czy nasza marka rzeczywiście należy do nas? I co zrobić, gdy konkurencja zaczyna korzystać z oznaczenia łudząco podobnego do naszego?

‍

Właśnie tutaj spotykają się dwa światy: branding w IT oraz znaki towarowe w IT. Pierwszy odpowiada za rozpoznawalność, zaufanie i pozycjonowanie firmy na rynku. Drugi daje narzędzia prawne, które pomagają tę rozpoznawalność chronić.

Dlaczego branding technologiczny wymaga wsparcia prawnego?

Branding technologiczny to nie tylko estetyczne logo, kolorystyka strony internetowej czy nazwa produktu. W sektorze IT marka bardzo często staje się jednym z kluczowych aktywów firmy. Klienci kojarzą ją z jakością kodu, bezpieczeństwem danych, stabilnością systemu, UX, wsparciem technicznym i wiarygodnością całego zespołu.

‍

Problem polega na tym, że sama obecność marki na rynku nie zawsze wystarcza do skutecznej ochrony. Firma może mieć domenę, profile w mediach społecznościowych, materiały marketingowe i bazę klientów, ale nadal nie mieć zarejestrowanego znaku towarowego. To oznacza, że w razie sporu trzeba będzie wykazywać, od kiedy oznaczenie było używane, na jakim terytorium, dla jakich usług oraz czy odbiorcy rzeczywiście kojarzą je z konkretną firmą.

‍

Z tego powodu proces tworzenia marki w IT powinien uwzględniać nie tylko strategię marketingową, ale również analizę prawną. Dobra nazwa powinna być atrakcyjna dla klientów, możliwa do komunikowania na rynku i jednocześnie możliwa do ochrony jako znak towarowy.

Czym są znaki towarowe w IT?

Znaki towarowe w IT to oznaczenia, które pozwalają odróżniać produkty lub usługi jednej firmy technologicznej od produktów lub usług innych podmiotów. Może to być między innymi nazwa software house’u, logo aplikacji, nazwa systemu SaaS, oznaczenie platformy e-commerce, nazwa narzędzia AI, hasło reklamowe albo charakterystyczny element identyfikacji wizualnej.

‍

W praktyce znak towarowy ma pomóc klientowi odpowiedzieć na proste pytanie: od kogo pochodzi dana usługa lub produkt? Jeżeli użytkownik widzi nazwę aplikacji i od razu kojarzy ją z konkretnym dostawcą, mamy do czynienia z funkcją odróżniającą marki.

‍

Nie każde oznaczenie będzie jednak dobrym kandydatem do rejestracji. Zbyt opisowe nazwy, takie jak proste określenia funkcji programu, mogą być problematyczne. Jeżeli firma tworzy aplikację do fakturowania i chce zarejestrować nazwę, która jedynie opisuje „szybkie faktury online”, urząd może uznać, że takie oznaczenie nie odróżnia jednego przedsiębiorcy od innych. Dlatego już na etapie wyboru nazwy warto sprawdzić, czy marka ma dostatecznie indywidualny charakter.

Jak zarejestrować znak towarowy dla firmy IT?

W pierwszej kolejności warto ustalić, co dokładnie ma być chronione. Inaczej wygląda ochrona nazwy spółki, inaczej logo, a jeszcze inaczej nazwy konkretnego produktu cyfrowego. W wielu przypadkach zasadne jest zgłoszenie kilku oznaczeń, na przykład nazwy firmy oraz nazwy flagowego rozwiązania.

‍

Następnie należy określić zakres towarów i usług. W branży IT może chodzić między innymi o oprogramowanie, usługi programistyczne, hosting, cyberbezpieczeństwo, doradztwo technologiczne, rozwiązania chmurowe, aplikacje mobilne, platformy internetowe albo usługi wdrożeniowe. Ten etap jest bardzo ważny, ponieważ ochrona znaku towarowego nie działa abstrakcyjnie „na wszystko”. Jest związana z konkretnymi kategoriami działalności.

‍

Kolejnym krokiem jest badanie dostępności oznaczenia. Warto sprawdzić, czy identyczne albo podobne znaki nie zostały już zgłoszone lub zarejestrowane przez inne podmioty. W branży technologicznej ryzyko kolizji jest realne, szczególnie gdy nazwy są krótkie, anglojęzyczne albo oparte na popularnych słowach związanych z automatyzacją, chmurą, danymi, AI lub bezpieczeństwem.

‍

Dopiero po takiej analizie można przygotować zgłoszenie. W zależności od strategii biznesowej firma może rozważyć ochronę w Polsce, w Unii Europejskiej albo na wybranych rynkach zagranicznych. Dla firm IT, które od początku działają online i kierują usługi do klientów z różnych państw, zakres terytorialny ochrony ma szczególne znaczenie. W prawidłowym i bezpiecznym przejściu przez te procedury doradzić może doświadczona kancelaria prawna w Warszawie.

Prawo znaków towarowych w IT a codzienna działalność firmy

Prawo znaków towarowych w IT nie jest tematem zarezerwowanym wyłącznie dla dużych spółek technologicznych. Dotyczy również startupów, software house’ów, agencji UX/UI, firm wdrożeniowych, twórców aplikacji, dostawców SaaS i freelancerów budujących własne produkty.

‍

W codziennej działalności znak towarowy może mieć znaczenie przy sprzedaży licencji, rozmowach z inwestorem, wejściu na nowy rynek, podpisywaniu umów partnerskich, tworzeniu sieci resellerów albo przygotowaniu firmy do transakcji M&A. Inwestor lub nabywca może zapytać, czy marka jest rzeczywiście zabezpieczona. Brak rejestracji nie zawsze przekreśla rozmowy, ale może obniżać komfort prawny i biznesowy.

‍

Ochrona prawna znaków towarowych pomaga również w reagowaniu na naruszenie znaków towarowych. Jeżeli konkurent używa podobnej nazwy aplikacji, rejestruje podobną domenę albo prowadzi kampanię reklamową wykorzystującą oznaczenie zbliżone do naszej marki, zarejestrowany znak towarowy daje mocniejszą podstawę do działania.

Rejestracja marki w technologii a strategia rozwoju

Rejestracja marki w technologii powinna być powiązana z planem rozwoju firmy. Inne potrzeby będzie miał lokalny software house świadczący usługi głównie w Polsce, a inne spółka SaaS sprzedająca subskrypcje klientom z całej Unii Europejskiej. Jeszcze inaczej należy podejść do marki aplikacji, która ma być skalowana globalnie.

‍

Warto zadać sobie kilka pytań: gdzie firma faktycznie sprzedaje swoje usługi? Gdzie planuje ekspansję? Czy marka będzie używana tylko jako nazwa przedsiębiorstwa, czy również jako nazwa produktu? Czy spółka przewiduje model franczyzowy, partnerski lub licencyjny? Czy możliwe jest pozyskanie inwestora, który będzie oczekiwał uporządkowanej własności intelektualnej?

‍

Odpowiedzi na te pytania pomagają dobrać właściwą strategię ochrony. Zgłoszenie znaku wyłącznie w Polsce może być wystarczające dla części firm. Dla innych bardziej uzasadniona będzie ochrona unijna albo międzynarodowa. Najważniejsze, aby decyzja nie była przypadkowa.

Umowy licencyjne na znaki towarowe w sektorze IT

W branży technologicznej marka często jest wykorzystywana przez więcej niż jeden podmiot. Może pojawić się partner wdrożeniowy, reseller, dystrybutor, spółka zależna, franczyzobiorca albo integrator systemu. W takich sytuacjach ważne są umowy licencyjne na znaki towarowe.

‍

Umowa powinna jasno określać, kto może używać marki, w jakim zakresie, na jakim terytorium, przez jaki czas i w jakich materiałach. Dobrze przygotowana licencja wskazuje również standardy używania logo, zasady akceptacji materiałów marketingowych oraz konsekwencje naruszenia warunków współpracy.

‍

To szczególnie istotne w IT, gdzie jedna marka może pojawiać się na stronie internetowej, w panelu użytkownika, dokumentacji technicznej, marketplace, prezentacjach sprzedażowych, materiałach dla inwestorów i repozytoriach. Brak jasnych zasad może prowadzić do chaosu komunikacyjnego, a w skrajnych przypadkach do osłabienia marki.

Ochrona znaków towarowych i brandingu w sektorze IT

Ochrona znaków towarowych i brandingu w sektorze IT nie kończy się na samym zgłoszeniu. Po rejestracji warto monitorować rynek i reagować na oznaczenia podobne do własnej marki. Dotyczy to zarówno rejestrów znaków towarowych, jak i domen internetowych, reklam w wyszukiwarkach, marketplace’ów, sklepów z aplikacjami oraz mediów społecznościowych.

‍

Wizerunek marki technologicznej może ucierpieć nie tylko wtedy, gdy ktoś kopiuje nazwę. Ryzykiem jest również używanie oznaczenia w sposób, który wywołuje wrażenie powiązania biznesowego, partnerstwa albo oficjalnej autoryzacji. Dla klientów różnice między dostawcami bywają nieczytelne, szczególnie gdy usługi są podobne, a komunikacja opiera się na tych samych technologiach i hasłach.

‍

Dlatego ochrona marki powinna obejmować zarówno działania prawne, jak i organizacyjne. Warto mieć wewnętrzne zasady używania logo, kontrolować dostęp do plików źródłowych identyfikacji wizualnej, pilnować spójności komunikacji oraz dokumentować używanie znaku na rynku. Takie działania mogą mieć znaczenie dowodowe w razie sporu.

Najczęstsze błędy firm IT

Jednym z najczęstszych błędów jest odkładanie ochrony marki na później. Firma zakłada, że rejestracja będzie potrzebna dopiero wtedy, gdy produkt osiągnie dużą skalę. Tymczasem im bardziej rozpoznawalna staje się marka, tym bardziej bolesny może być spór o jej używanie.

‍

Drugim błędem jest wybór nazwy zbyt opisowej. Taka nazwa może wydawać się korzystna marketingowo, bo od razu mówi klientowi, czym zajmuje się produkt. Z prawnego punktu widzenia może być jednak trudniejsza do ochrony.

‍

Trzecim błędem jest brak sprawdzenia podobnych oznaczeń. W IT wiele firm korzysta z podobnych skojarzeń: cloud, data, smart, cyber, code, dev, flow, AI, bot, tech. To zwiększa ryzyko, że wybrana nazwa będzie zbliżona do oznaczenia używanego już przez inny podmiot.

‍

Czwartym błędem jest brak kontroli nad tym, jak partnerzy używają marki. Jeżeli logo jest modyfikowane, stosowane w nieaktualnych wersjach albo zestawiane z nieautoryzowanymi komunikatami, może to osłabiać spójność marki i wprowadzać klientów w błąd.

Podsumowanie - Strategia ochrony marki w IT

Branding w IT i znaki towarowe w IT powinny być traktowane jako element jednej strategii. Marka technologiczna ma budować zaufanie, wyróżniać firmę na rynku i wspierać sprzedaż. Znak towarowy ma natomiast pomagać w ochronie tej wartości przed nieuprawnionym wykorzystaniem przez inne podmioty.

‍

Dobrze zaprojektowana marka powinna być nie tylko atrakcyjna wizualnie i komunikacyjnie, ale również możliwa do ochrony prawnej. Dlatego firmy technologiczne powinny myśleć o znakach towarowych już na etapie tworzenia nazwy, projektowania logo i planowania ekspansji.

‍

W sektorze IT przewagę konkurencyjną buduje się nie tylko kodem, funkcjonalnościami i zespołem. Coraz częściej buduje się ją również rozpoznawalną, bezpieczną i prawnie uporządkowaną marką.

‍

ChatGPT coraz częściej pojawia się w codziennej pracy firm: pomaga pisać e-maile, przygotowywać oferty, streszczać dokumenty czy tworzyć treści marketingowe. Nic dziwnego, że przedsiębiorcy pytają, czy korzystanie z takiego narzędzia jest zgodne z przepisami o ochronie danych osobowych. W takich sytuacjach z pomocą przychodzi sprawdzony prawnik AI.

‍

Odpowiedź nie jest zero-jedynkowa. Samo używanie ChatGPT w firmie nie musi naruszać RODO. Ryzyko pojawia się wtedy, gdy pracownicy wpisują do narzędzia dane klientów, pracowników, kandydatów do pracy lub kontrahentów bez jasnych zasad, podstawy prawnej i odpowiednich zabezpieczeń.

ChatGPT a RODO - gdzie leży problem?

Najważniejsze pytanie brzmi: czy do ChatGPT trafiają dane osobowe? Jeżeli pracownik wpisuje wyłącznie ogólne polecenie, np. „przygotuj szkic regulaminu sklepu internetowego”, ryzyko jest ograniczone. Inaczej wygląda sytuacja, gdy do narzędzia trafia treść reklamacji klienta, umowa z kontrahentem, CV kandydata albo korespondencja z pracownikiem. W takich kwestiach kompleksowo doradzić może kancelaria prawna w Warszawie.

‍

Wtedy może dojść do przetwarzania danych osobowych. A skoro pojawia się przetwarzanie danych przez AI, firma powinna ocenić, czy ma do tego podstawę prawną, czy dane są odpowiednio zabezpieczone i czy osoba, której dane dotyczą, została prawidłowo poinformowana.

Sztuczna inteligencja RODO - o czym musi pamiętać firma?

Hasło sztuczna inteligencja RODO warto rozumieć praktycznie. Firma nie powinna zakładać, że skoro narzędzie jest powszechnie dostępne, można wprowadzać do niego dowolne informacje. RODO wymaga m.in. minimalizacji danych, przejrzystości, ograniczenia celu oraz zapewnienia bezpieczeństwa.

‍

W praktyce oznacza to, że do ChatGPT nie należy wpisywać danych osobowych, jeżeli nie jest to konieczne. Zamiast podawać imię, nazwisko, adres e-mail, numer sprawy czy szczegóły konkretnej umowy, lepiej posługiwać się neutralnymi oznaczeniami, np. „Klient A”, „Pracownik B” albo „Kontrahent C”.

‍

To prosta zasada, ale w wielu przypadkach znacząco ogranicza ryzyko.

Bezpieczeństwo danych w ChatGPT - czy dane są bezpieczne?

Bezpieczeństwo danych w ChatGPT zależy od tego, z jakiej wersji narzędzia korzysta firma, jakie ma ustawienia, jakie dane są wprowadzane i czy przedsiębiorca zawarł odpowiednie umowy z dostawcą. Inaczej należy oceniać prywatne konto pracownika, a inaczej rozwiązanie firmowe z kontrolą administracyjną i dodatkowymi zabezpieczeniami.

‍

Najbardziej ryzykowny scenariusz to sytuacja, w której pracownicy używają prywatnych kont do zadań służbowych i wklejają do narzędzia dokumenty firmowe albo dane klientów. W takim przypadku pracodawca może nie mieć realnej kontroli nad tym, co dzieje się z danymi.

Ochrona danych osobowych AI - jakie zasady wdrożyć?

Ochrona danych osobowych AI powinna zacząć się od prostych, wewnętrznych reguł. Firma powinna jasno wskazać, do czego można używać ChatGPT, jakich danych nie wolno wpisywać i kto odpowiada za ocenę bardziej ryzykownych zastosowań.

‍

Warto wdrożyć zwłaszcza następujące zasady:

• nie wpisywać danych osobowych, jeżeli nie jest to konieczne,
• anonimizować lub pseudonimizować informacje przed użyciem narzędzia,
• nie korzystać z prywatnych kont pracowników do celów służbowych,
• sprawdzić warunki korzystania z narzędzia i politykę prywatności,
• przeszkolić pracowników,
• uregulować korzystanie z AI w wewnętrznej procedurze,
• przeprowadzić analizę ryzyka RODO,
• w razie potrzeby wykonać ocenę skutków dla ochrony danych.

Czy potrzebna jest zgoda klienta?

Nie zawsze. Zgoda na przetwarzanie nie jest jedyną podstawą prawną. W zależności od sytuacji podstawą może być np. wykonanie umowy, obowiązek prawny albo prawnie uzasadniony interes administratora danych.

‍

Nie oznacza to jednak pełnej dowolności. Jeżeli firma chce wykorzystywać ChatGPT do pracy na danych klienta, musi ocenić, czy jest to niezbędne, proporcjonalne i bezpieczne. W wielu przypadkach lepszym rozwiązaniem będzie korzystanie z danych zanonimizowanych.

ChatGPT w HR i danych pracowników

Szczególnej ostrożności wymagają dane pracowników oraz kandydatów do pracy. Wprowadzanie do ChatGPT CV, ocen okresowych, informacji o wynagrodzeniu, nieobecnościach, konfliktach w zespole czy stanie zdrowia może wiązać się z wysokim ryzykiem prawnym.

‍

Pracodawca powinien unikać używania AI do analizy danych kadrowych bez wcześniejszej oceny zgodności z RODO. W tym obszarze znaczenie mają nie tylko przepisy o ochronie danych, ale także zasady prawa pracy i obowiązek poszanowania prywatności pracownika.

Czy ChatGPT Enterprise rozwiązuje problem RODO?

Wersje biznesowe lub Enterprise mogą oferować lepsze zabezpieczenia niż zwykłe konto konsumenckie, np. większą kontrolę administracyjną, zarządzanie dostępem czy korzystniejsze zasady dotyczące danych firmowych. Nie oznacza to jednak, że samo wykupienie takiej usługi automatycznie zapewnia zgodność z RODO.

‍

Nadal trzeba sprawdzić dokumentację, ustalić role stron, ocenić podstawy prawne przetwarzania, zaktualizować procedury i przeszkolić pracowników.

Jak przygotować firmę do legalnego korzystania z ChatGPT?

Przed wdrożeniem ChatGPT w firmie warto odpowiedzieć na kilka pytań:

• kto może korzystać z narzędzia,
• do jakich celów można go używać,
• czy wolno wpisywać dane osobowe,
• jakie dane są zakazane,
• czy potrzebna jest umowa powierzenia przetwarzania,
• czy trzeba zaktualizować politykę prywatności,
• kto odpowiada za kontrolę korzystania z AI,
• jak firma reaguje na przypadkowe ujawnienie danych.

Dobrze przygotowana procedura nie musi być długa. Powinna być przede wszystkim zrozumiała dla pracowników i dopasowana do realnych procesów w firmie.

Podsumowanie - Bezpieczne wdrażanie sztucznej inteligencji w biznesie

Korzystanie z ChatGPT w firmie nie jest automatycznie niezgodne z RODO. Może jednak prowadzić do naruszeń, jeżeli firma pozwala pracownikom wpisywać dane osobowe do narzędzia bez żadnych zasad i kontroli.

‍

Najbezpieczniejsze podejście to ograniczanie danych, anonimizacja, korzystanie z firmowych kont, analiza ryzyka, szkolenie pracowników i jasna procedura używania AI. Dzięki temu generatywna AI może wspierać biznes, nie narażając firmy na niepotrzebne ryzyka prawne.

‍

Inspiracja kultową postacią a naruszenie praw własności intelektualnej

Kultowe postacie literackie, filmowe, komiksowe czy serialowe często stają się punktem wyjścia dla nowych projektów artystycznych: spektakli, filmów, performance’ów, kampanii reklamowych, sesji zdjęciowych czy wystaw. Samo inspirowanie się znanym motywem nie jest jednak równoznaczne z naruszeniem prawa. Problem pojawia się wtedy, gdy twórca nie korzysta już z ogólnego archetypu, lecz przejmuje konkretne, rozpoznawalne elementy cudzej postaci.

Granica między dopuszczalną inspiracją a naruszeniem bywa cienka. Czym innym jest stworzenie autorskiej opowieści o tragicznym błaznie, samotnym detektywie, zamaskowanym mścicielu czy mrocznym antybohaterze, a czym innym przedstawienie postaci, która mimo zmienionego imienia, kostiumu czy miejsca akcji nadal jest oczywistym odpowiednikiem znanego bohatera.

‍

Postać fikcyjna jako utwór

Prawo autorskie nie chroni samego pomysłu, lecz sposób jego wyrażenia. Nie można więc zmonopolizować ogólnej idei „szalonego klauna”, „młodego czarodzieja”, „genialnego detektywa” czy „superbohatera”. Jeżeli jednak postać została wyposażona w indywidualny i rozpoznawalny zestaw cech, może korzystać z ochrony prawnoautorskiej jako samodzielna kreacja.

Znaczenie mogą mieć m.in. imię, wygląd, kostium, charakterystyczne rekwizyty, biografia, relacje z innymi postaciami, świat przedstawiony, sposób zachowania czy utrwalony w kulturze wizerunek. Im bardziej spójna i rozpoznawalna jest dana postać, tym większe ryzyko, że jej wykorzystanie bez zgody uprawnionego zostanie uznane za naruszenie.

Nie wystarczy zatem prosta zmiana nazwy, koloru stroju czy kilku elementów fabuły. Jeżeli całościowe wrażenie nadal prowadzi odbiorcę do konkretnej chronionej postaci, ryzyko prawne pozostaje wysokie.

‍

Inspiracja czy opracowanie?

Kluczowe znaczenie ma rozróżnienie między utworem inspirowanym a opracowaniem. 

Opracowanie, takie jak adaptacja, przeróbka czy sceniczna wersja istniejącego utworu, wymaga co do zasady zgody uprawnionego. Dotyczy to sytuacji, w której nowy projekt przejmuje istotne elementy znanej postaci, jej historii lub świata przedstawionego.

Utwór inspirowany jest natomiast dopuszczalny wtedy, gdy cudzy utwór stanowi jedynie impuls twórczy, a rezultat ma własny, indywidualny charakter. Bezpieczniejszym kierunkiem jest więc odwołanie się do archetypu, nastroju lub ogólnego tematu, a nie do konkretnego bohatera.

W praktyce twórca powinien przesunąć punkt ciężkości z pytania: „jak zrobić własną wersję znanej postaci?” na pytanie: „jaką autorską historię chcemy opowiedzieć przy użyciu podobnego motywu?”.

‍

Znaki towarowe i renoma postaci

Przy znanych postaciach ryzyko nie ogranicza się do prawa autorskiego. Ich imiona, symbole, logotypy, charakterystyczne oznaczenia, a czasem także elementy graficzne, mogą być chronione jako znaki towarowe. Użycie nazwy znanej postaci w tytule, opisie wydarzenia, materiałach promocyjnych, biletach czy kampanii reklamowej może sugerować oficjalny, licencjonowany albo powiązany charakter projektu.

Dodatkowo, w przypadku projektów komercyjnych, należy uwzględnić ryzyko zarzutu nieuczciwej konkurencji, w szczególności pasożytniczego korzystania z renomy cudzej marki. 

Problem może powstać nawet wtedy, gdy nazwa postaci nie pada wprost, ale cała komunikacja, plakat, stylistyka, opis fabuły czy kampania w mediach społecznościowych są zaprojektowane tak, aby wywołać jednoznaczne skojarzenie z cudzym bohaterem.

‍

Jak ograniczyć ryzyko?

Najbezpieczniejsze podejście nie polega na „ukryciu” znanej postaci pod innym imieniem. Takie działanie może zostać łatwo zakwestionowane, jeżeli odbiorcy nadal rozpoznają pierwowzór. Bezpieczniej jest stworzyć nową postać opartą na szerszym archetypie lub połączeniu kilku niezależnych inspiracji.

W praktyce warto:

1. unikać używania nazw, pseudonimów, symboli i oznaczeń kojarzonych z konkretną postacią; 
2. stworzyć własny tytuł, fabułę, świat przedstawiony i relacje między bohaterami; 
3. opracować odrębny kod wizualny, w tym kostium, makijaż, kolorystykę i rekwizyty; 
4. nie kopiować charakterystycznych scen, konfliktów, punktów zwrotnych ani sposobu zachowania postaci; 
5. prowadzić komunikację marketingową przez temat, emocję i autorską koncepcję, a nie przez skojarzenie ze znanym bohaterem; 
6. dokumentować proces twórczy, w tym szkice, wersje scenariusza, projekty kostiumów i źródła inspiracji. 

Przykładowo, zamiast tworzyć nieoficjalną wersję konkretnego czarnego charakteru, można stworzyć autorską postać łączącą motywy błazna, trickstera, outsidera i tragicznego performera. Zamiast kopiować znanego detektywa, można opowiedzieć historię o obsesji poznania prawdy. Zamiast naśladować konkretnego superbohatera, można skupić się na ciężarze odpowiedzialności i cenie wyjątkowości.

‍

Kiedy potrzebna jest licencja?

Licencja będzie konieczna przede wszystkim wtedy, gdy projekt ma wykorzystywać konkretną, rozpoznawalną postać, jej nazwę, wygląd, świat przedstawiony albo charakterystyczne elementy fabularne. Dotyczy to zwłaszcza sytuacji, w których twórcy chcą komunikować projekt jako adaptację, sceniczną wersję, alternatywną historię, kontynuację albo interpretację znanego bohatera.

Licencja będzie również potrzebna, gdy planowana jest sprzedaż gadżetów, plakatów, programów kolekcjonerskich lub innych produktów wykorzystujących nazwę, wizerunek albo symbole związane z daną postacią.

Sama inspiracja motywem, archetypem lub ogólnym tematem nie wymaga licencji, o ile nowy projekt ma własną fabułę, estetykę, bohaterów i nie jest promowany jako produkcja powiązana z cudzym uniwersum.

‍

Podsumowanie

Tworzenie nowych utworów inspirowanych kultowymi postaciami jest możliwe, ale wymaga ostrożności. Im bardziej rozpoznawalna jest dana postać, tym większe ryzyko, że jej właściciel będzie reagował na próby wykorzystania jej renomy, wyglądu lub świata przedstawionego.

Bezpieczna inspiracja powinna prowadzić do powstania samodzielnego utworu, a nie do stworzenia nieoficjalnej adaptacji. Z prawnego i artystycznego punktu widzenia lepiej budować własną postać na bazie archetypu niż tworzyć „prawie tę samą” postać pod inną nazwą.

‍

TikTok żyje spontanicznością. Krótkie filmy, szybkie reakcje, duety, stitch, reposty, trendy i treści tworzone przez użytkowników są naturalnym językiem tej platformy. Dla większości marek to świetne środowisko do budowania zasięgu. Dla marek piwnych - zdecydowanie mniej oczywiste.

W polskim prawie reklama alkoholu jest zasadniczo zakazana, a reklama piwa jest dopuszczalna tylko w określonych granicach. To oznacza, że działania, które w innych branżach byłyby zwykłą aktywnością social mediową, w przypadku piwa mogą zostać potraktowane jako publiczne rozpowszechnianie reklamy albo promocji napoju alkoholowego.

Problem nie dotyczy wyłącznie klasycznych kampanii reklamowych. W praktyce ryzyko może pojawić się również przy bardzo „natywnych” działaniach na TikToku: polubieniu filmu użytkownika, odpowiedzi na komentarz, wykonaniu duetu, stitchu, repostu, wykupieniu praw do UGC albo promowaniu materiału użytkownika jako Spark Ad.

‍

TikTok nie znosi próżni, ale prawo alkoholowe nie lubi spontaniczności

‍

Podstawową pułapką jest to, że komunikacja na TikToku często opiera się na kontekstach, które w reklamie piwa są szczególnie wrażliwe.

Typowy film użytkownika może pokazywać produkt podczas wakacji, imprezy, odpoczynku po pracy, grilla, wyjścia ze znajomymi, jazdy rowerem, aktywności sportowej albo w otoczeniu osób wyglądających bardzo młodo. W wielu branżach byłby to po prostu atrakcyjny, autentyczny content. W przypadku piwa może to być materiał, którego marka nie powinna wzmacniać, komentować ani wykorzystywać komercyjnie.

Reklama piwa nie może być m.in. kierowana do małoletnich, przedstawiać małoletnich, łączyć spożywania alkoholu z aktywnością fizyczną lub prowadzeniem pojazdów, sugerować właściwości relaksacyjne, lecznicze lub stymulujące, zachęcać do nadmiernego spożycia, budować skojarzeń z sukcesem, atrakcyjnością seksualną, wypoczynkiem, nauką czy pracą.

A właśnie na takich skojarzeniach bardzo często opiera się atrakcyjność treści w mediach społecznościowych.

‍

Duet i Stitch: technicznie łatwe, prawnie ryzykowne

‍

Funkcje Duet i Stitch pozwalają marce „odpowiedzieć” na film użytkownika albo wykorzystać jego fragment we własnym materiale. Z perspektywy platformy to prosta interakcja. Z perspektywy prawa - może to być zupełnie nowy przekaz reklamowy marki.

Jeżeli profil marki piwnej wykonuje duet z filmem użytkownika, marka nie tylko reaguje na cudzy materiał. Ona go wzmacnia, autoryzuje i włącza do własnej komunikacji. W praktyce może więc przejąć odpowiedzialność za kontekst tego filmu.

Jeżeli w materiale użytkownika pojawia się odpoczynek, impreza, sport, prowadzenie pojazdu, nadmierne spożycie, osoby wyglądające na niepełnoletnie albo osoby bardzo młode, duet lub stitch może wygenerować poważne ryzyko regulacyjne.

Dochodzi do tego kwestia zgody. To, że użytkownik technicznie umożliwił duety lub stitch na TikToku, nie oznacza automatycznie, że wyraził zgodę na komercyjne wykorzystanie swojego wizerunku w reklamie piwa. Zgoda „platformowa” nie zawsze będzie wystarczająca z perspektywy prawa autorskiego, dóbr osobistych i prawa do wizerunku.

Wniosek praktyczny: marka piwna nie powinna traktować Duet/Stitch jak neutralnej funkcji społecznościowej. To potencjalnie pełnoprawna komunikacja reklamowa.

‍

Repost UGC: nie taki niewinny, jak wygląda

Natywny repost wykonany przez profil marki także może być problematyczny. Z perspektywy odbiorcy marka nie tylko „pokazuje, że ktoś o niej mówi”. Marka wzmacnia konkretną treść i rozpowszechnia ją w ramach własnej obecności na platformie.

Samo ograniczenie widoczności repostu do obserwatorów profilu nie rozwiązuje problemu. Obserwatorzy TikToka nie są zamkniętą, imiennie oznaczoną grupą odbiorców. To nadal szeroki, zmienny i trudny do zweryfikowania krąg osób.

Największy problem praktyczny polega na tym, że przy zwykłym reposte marka zwykle nie ma pełnej kontroli nad materiałem. Nie może swobodnie dodać wymaganych ostrzeżeń, zmienić kontekstu, usunąć ryzykownych scen ani upewnić się, że wszystkie osoby występujące w filmie spełniają standardy wiekowe.

Dlatego repost organicznego UGC przez markę piwną warto traktować jako działanie wysokiego ryzyka.

‍

Wykup praw do filmu użytkownika: możliwe, ale nie „na skróty”

‍

Bezpieczniejszym rozwiązaniem od natywnego repostu może być wykupienie praw albo uzyskanie licencji do filmu użytkownika, pobranie materiału, jego edycja i publikacja jako materiału marki.

Ale również tutaj pojawia się kilka warunków.

Po pierwsze, marka powinna mieć zgodę na wykorzystanie materiału, wizerunku oraz ewentualnych innych elementów, takich jak muzyka, wypowiedzi, znaki towarowe czy elementy graficzne.

Po drugie, materiał opublikowany na profilu marki powinien spełniać wymogi właściwe dla reklamy piwa, w tym wymogi dotyczące ostrzeżeń.

Po trzecie, jeżeli użytkownik otrzymał wynagrodzenie, barter, zapas produktu albo inną korzyść, jego własny post może przestać być neutralnym, prywatnym UGC. Wtedy pojawia się kwestia prawidłowego oznaczenia współpracy reklamowej. Z perspektywy UOKiK znaczenie ma nie tylko to, co publikuje marka, ale również to, czy konsument rozumie komercyjny charakter treści twórcy.

Innymi słowy: jeżeli marka płaci za materiał, a oryginalny film zostaje na profilu użytkownika, trzeba bardzo ostrożnie ocenić, czy nie powstaje ryzyko kryptoreklamy.

‍

Spark Ads: format atrakcyjny marketingowo, ale szczególnie trudny prawnie

‍

Spark Ads pozwalają promować organiczne treści użytkowników jako reklamy. Dla marketerów to atrakcyjne, bo materiał wygląda bardziej autentycznie niż klasyczna reklama. Dla marek piwnych właśnie ta „autentyczność” może być problemem.

Jeżeli marka finansuje promocję posta użytkownika, taki materiał może być oceniany jak reklama zlecona przez markę. A skoro tak, powinien spełniać wymogi reklamy piwa.

W praktyce wiele organicznych filmów użytkowników nie zawiera wymaganych ostrzeżeń, nie jest przygotowanych z myślą o ograniczeniach alkoholowych i często pokazuje produkt w kontekście wypoczynku, imprezy, sukcesu, atrakcyjności albo zabawy.

Dlatego boostowanie organicznych postów użytkowników w pierwotnej formie jest szczególnie ryzykowne. Bezpieczniejszym modelem może być przygotowanie materiału od początku jako zgodnego z prawem formatu reklamowego, z udziałem twórcy, odpowiednimi zgodami, oznaczeniami i ostrzeżeniami.

‍

Piwo 0,0% też wymaga ostrożności

‍

Częstym błędem jest założenie, że komunikacja dotycząca piwa bezalkoholowego automatycznie wychodzi poza reżim ograniczeń alkoholowych. To nie zawsze będzie bezpieczne założenie.

Jeżeli produkt 0,0% korzysta z tego samego brandingu, nazwy, opakowania lub identyfikacji co piwo alkoholowe, może pojawić się ryzyko reklamy pośredniej. Próba promowania marki alkoholowej pod pretekstem komunikacji wersji bezalkoholowej powinna być oceniana szczególnie ostrożnie.

‍

Praktyczna checklista dla marek piwnych na TikToku

‍

Przed wykorzystaniem UGC warto odpowiedzieć na kilka pytań:

1. Czy materiał pokazuje osoby 25+ i wyglądające odpowiednio dojrzale? 
2. Czy film nie kojarzy produktu z odpoczynkiem, wakacjami, imprezą, sportem, sukcesem, seksualnością, nauką, pracą albo prowadzeniem pojazdów? 
3. Czy marka ma zgodę na komercyjne wykorzystanie materiału i wizerunku? 
4. Czy materiał zawiera wymagane ostrzeżenia? 
5. Czy współpraca z twórcą jest prawidłowo oznaczona? 
6. Czy treść nie zachęca do nadmiernego spożycia? 
7. Czy komentarze pod materiałem są moderowane? 
8. Czy format jest zgodny nie tylko z prawem polskim, ale też z regulaminem i politykami reklamowymi platformy? 

‍

Wniosek

‍

TikTok premiuje szybkość, spontaniczność i natywność. Polskie prawo reklamy alkoholu wymaga kontroli, dokumentacji i ostrożności. Dlatego marka piwna nie powinna traktować Duet, Stitch, repostu, Spark Ads czy UGC buyoutu jako zwykłych narzędzi social media. Każde z tych działań może zostać ocenione jako element reklamy lub promocji piwa. Najbezpieczniejsza strategia to nie rezygnacja z TikToka, lecz przejście z modelu spontanicznego UGC do modelu kontrolowanej autentyczności: zgody, weryfikacja treści, jasne oznaczenia, wymagane ostrzeżenia i wcześniejsza ocena prawna. W branży piwnej „viral” nie zawsze jest sukcesem. Czasem jest dowodem w sprawie.

‍

Rynek nieruchomości od dawna przestał być wyłącznie światem deweloperów, pośredników i klasycznych usług administracyjnych. Dziś coraz większą rolę odgrywają rozwiązania technologiczne: platformy najmu, narzędzia do zarządzania budynkami, systemy smart home, analityka danych, automatyzacja procesów inwestycyjnych czy tokenizacja aktywów. Wraz z tym rozwojem rośnie jednak znaczenie prawa. Regulacje PropTech nie są już pobocznym tematem dla działu compliance, ale jednym z głównych czynników wpływających na to, czy projekt da się bezpiecznie wdrożyć, sfinansować i skalować.

‍

W praktyce oznacza to, że model biznesowy PropTech nie może dziś powstawać wyłącznie wokół produktu i potrzeb użytkownika. Musi być projektowany równolegle z analizą ryzyk regulacyjnych. Dotyczy to danych osobowych, cyberbezpieczeństwa, relacji z konsumentem, zasad świadczenia usług cyfrowych, a w niektórych przypadkach także prawa finansowego i budowlanego. Innymi słowy: technologia w nieruchomościach rozwija się dziś już nie obok prawa, ale w jego ścisłym cieniu.

‍

Sprawdź także : Obsługa prawna startupów

‍

Dlaczego PropTech jest dziś tak silnie związany z regulacjami?

Najważniejsza zmiana polega na tym, że firmy z tego sektora coraz rzadziej dostarczają wyłącznie „narzędzie”. Coraz częściej wchodzą głęboko w procesy związane z korzystaniem z nieruchomości, zarządzaniem budynkami, bezpieczeństwem użytkowników, analizą zachowań najemców, finansowaniem projektów czy obsługą inwestorów. To automatycznie oznacza wejście w obszary silnie regulowane.

‍

Na poziomie praktycznym startup PropTech może jednocześnie podlegać regułom dotyczącym danych osobowych, wymogom cyberbezpieczeństwa, przepisom konsumenckim, zasadom dotyczącym usług elektronicznych oraz regulacjom dotyczącym rynku nieruchomości. Gdy do tego dochodzą tokeny, smart kontrakty albo model inwestycyjny, sytuacja jeszcze bardziej się komplikuje. Właśnie dlatego przepisy dla startupów technologicznych w branży nieruchomości trzeba dziś czytać szerzej niż tylko jako ogólne zasady prowadzenia biznesu cyfrowego.

‍

PropTech prawo UE: harmonizacja pomaga, ale podnosi poprzeczkę

Na poziomie unijnym widać wyraźny trend: PropTech prawo UE zmierza w stronę większej harmonizacji. Dla wielu firm to dobra wiadomość, bo prowadzenie działalności w kilku państwach członkowskich ma być w założeniu prostsze. Jednocześnie jednak jednolity rynek cyfrowy nie oznacza deregulacji. Wręcz przeciwnie - oznacza coraz bardziej szczegółowe standardy dotyczące bezpieczeństwa, odpowiedzialności i organizacji usług.

‍

W tym kontekście duże znaczenie mają dyrektywy cyfrowe UE, których celem jest uporządkowanie zasad świadczenia usług online, dostępności cyfrowej i bezpieczeństwa infrastruktury. Dla startupów tworzących platformy najmu, narzędzia do zarządzania budynkami czy aplikacje dla wspólnot mieszkaniowych oznacza to konieczność myślenia o prawie już na etapie interfejsu i funkcji produktu. Nie chodzi wyłącznie o regulamin strony, ale także o sposób prezentowania treści, dostępność usług dla osób z niepełnosprawnościami i zgodność techniczną całego rozwiązania.

‍

Sprawdź także: Obsługa prawna IT

‍

W tym sensie coraz większą rolę odgrywają również dyrektywy unijne dla technologii nieruchomości. Nawet jeśli nie są one pisane wyłącznie z myślą o PropTech, to właśnie ten sektor szczególnie odczuwa ich skutki. W praktyce oznacza to, że ekspansja zagraniczna może być łatwiejsza formalnie, ale bardziej wymagająca organizacyjnie. To właśnie tutaj pojawiają się pierwsze poważne bariery prawne PropTech w UE: nie tylko w postaci samych przepisów, ale również kosztu ich wdrożenia.

‍

Startupy PropTech w Polsce: dużo szans, ale też dużo rozproszenia

Jeżeli spojrzeć na startupy PropTech w Polsce, widać wyraźnie, że największym problemem nie jest brak regulacji, ale ich rozproszenie. Z jednej strony mamy klasyczne prawo nieruchomości, z drugiej przepisy cywilne i administracyjne, z trzeciej coraz bardziej rozbudowane regulacje cyfrowe. Do tego dochodzą szczególne obowiązki związane z danymi, cyberbezpieczeństwem, finansowaniem czy relacją z konsumentem. To powoduje, że prawne aspekty PropTech w Polsce wymagają od founderów i zarządów znacznie większej czujności niż w przypadku wielu innych startupów SaaS. 

‍

Polski rynek ma przy tym swoją specyfikę. Nadal bardzo silnie opiera się na tradycyjnym podejściu do własności i obrotu nieruchomościami, przez co niektóre innowacje rozwijają się wolniej niż mogłoby to wynikać z samych możliwości technologicznych. Problem nie zawsze polega więc na tym, że dany pomysł jest niedojrzały biznesowo. Często polega na tym, że system prawny nie został zaprojektowany z myślą o takiej formie korzystania z przestrzeni, danych czy infrastruktury.

‍

RODO w PropTech: centralny punkt całego modelu

W branży nieruchomości technologia niemal zawsze wiąże się z informacją o człowieku. Dane o tym, kto korzysta z budynku, kiedy wchodzi do lokalu, jak używa urządzeń, ile zużywa energii, jak porusza się po obiekcie albo jakie ma preferencje mieszkaniowe, bardzo szybko mogą stać się danymi osobowymi. Dlatego RODO w PropTech nie jest dodatkiem do produktu, lecz jednym z jego rdzeni. To właśnie tutaj najlepiej widać wpływ RODO na startupy PropTech. Rozporządzenie wpływa nie tylko na dokumentację, ale na samą architekturę usługi. Jeżeli startup wdraża system dostępu do budynku, platformę dla najemców, rozwiązanie oparte na monitoringu albo moduł analityczny dla zarządcy nieruchomości, musi odpowiedzieć sobie na kilka podstawowych pytań: jakie dane są zbierane, czy rzeczywiście są niezbędne, jak długo będą przechowywane, kto ma do nich dostęp i jak użytkownik ma zostać o tym wszystkim poinformowany.

‍

W praktyce szczególne znaczenie ma zasada rozliczalności. Nie wystarczy działać zgodnie z prawem - trzeba jeszcze umieć to wykazać. To oznacza konieczność budowania procesów, polityk i zabezpieczeń w sposób uporządkowany. Gdy produkt opiera się na monitoringu, analizie zachowań albo automatycznych decyzjach, bardzo często konieczna będzie także ocena skutków dla ochrony danych. Właśnie dlatego zgodność modeli biznesowych PropTech z RODO powinna być analizowana nie na końcu, ale na samym początku projektowania usługi.

‍

Dyrektywa NIS2: cyberbezpieczeństwo przestaje być „technicznym dodatkiem”

Jeżeli RODO ustawiło standard ochrony danych osobowych, to Dyrektywa NIS2 ustawia dziś standard bezpieczeństwa cyfrowego. Dla PropTech ma to ogromne znaczenie, bo wiele produktów z tego sektora działa w obszarach krytycznych z punktu widzenia klientów: zarządzanie budynkiem, kontrola dostępu, systemy monitoringu, obsługa infrastruktury technicznej, analiza danych eksploatacyjnych czy integracja z sieciami energetycznymi.

‍

Najważniejsza zmiana polega na tym, że bezpieczeństwo przestaje być wyłącznie sprawą działu IT. Staje się zagadnieniem zarządczym i kontraktowym. Nawet jeśli startup sam nie będzie podmiotem objętym regulacją wprost, może zostać objęty jej skutkami pośrednio, bo jego klient będzie oczekiwał odpowiedniego poziomu zabezpieczeń w całym łańcuchu dostaw. To właśnie dlatego Dyrektywa NIS2 staje się dla wielu spółek wymogiem rynkowym jeszcze zanim stanie się wymogiem formalnym.

‍

W praktyce oznacza to konieczność porządkowania procedur incydentowych, polityk bezpieczeństwa, zasad zarządzania dostępem i relacji z dostawcami technologii. Dla wielu młodych spółek będzie to kosztowne, ale z perspektywy rynku nieuniknione. Startup, który nie potrafi pokazać, jak zarządza ryzykiem cybernetycznym, będzie coraz trudniejszym partnerem dla dużych klientów instytucjonalnych.

‍

Czytaj więcej: NIS2/UKSC — nowe obowiązki w zakresie cyberbezpieczeństwa

Prawo nieruchomości i prawo budowlane a innowacje: gdzie kończy się software, a zaczyna sektor regulowany

Wielu founderów zbyt długo patrzy na swój produkt wyłącznie jak na aplikację. Tymczasem w PropTech bardzo szybko okazuje się, że nie wystarczy znać reguł rynku cyfrowego. Trzeba też rozumieć prawo nieruchomości oraz to, jak działa proces inwestycyjny, eksploatacyjny i administracyjny po stronie nieruchomości.

‍

Nowoczesne produkty dotyczące smart building, automatyki obiektowej, zarządzania inwestycją, obiegu dokumentacji czy modelowania danych budowlanych coraz częściej wchodzą w strefę, w której technologia styka się z formalnym procesem budowlanym. To już nie tylko kwestia usprawnienia pracy projektanta czy zarządcy. To coraz częściej element większego łańcucha zgodności.

‍

Przepisy budowlane dla innowacji PropTech mają z tego punktu widzenia rosnące znaczenie. Szczególnie widoczne jest to w kontekście BIM, który stopniowo przestaje być wyłącznie opcjonalnym standardem branżowym, a zaczyna wpływać na realne wymagania w większych inwestycjach i zamówieniach publicznych. Dla startupów oznacza to konkretną konsekwencję: jeżeli produkt nie daje się wpiąć w cyfrowy obieg danych inwestycyjnych, może po prostu przegrać konkurencję rynkową.

‍

Jakie są konsekwencje nieprzestrzegania regulacji unijnych przez startupy PropTech?

Naruszenie przepisów unijnych w sektorze PropTech rzadko kończy się wyłącznie na karze administracyjnej. Skutki mogą objąć także relacje z klientami, możliwość udziału w przetargach, finansowanie oraz dalsze skalowanie działalności.

‍

Pierwszym poziomem ryzyka są oczywiście sankcje finansowe. Dotyczy to w szczególności naruszeń związanych z RODO oraz obowiązkami wynikającymi z Dyrektywy NIS2. Jednak dla wielu spółek jeszcze bardziej dotkliwe mogą okazać się skutki pośrednie: utrata zaufania kontrahentów, negatywny wynik badania due diligence, problemy z zamknięciem rundy inwestycyjnej albo wyłączenie z postępowań zakupowych i przetargowych.

‍

W praktyce brak zgodności może prowadzić do wykluczenia z publicznych postępowań, zwłaszcza tam, gdzie znaczenie mają wymogi dostępności cyfrowej, bezpieczeństwa infrastruktury albo standardy związane z BIM. W bardziej zaawansowanych modelach technologicznych ryzyko obejmuje również odpowiedzialność cywilną za wadliwe wdrożenia i błędy w automatyzacji, w tym także za smart kontrakty, jeżeli ich nieprawidłowe działanie doprowadzi do szkody po stronie użytkownika lub partnera biznesowego.

‍

Trzeba też pamiętać, że naruszenia mogą uderzać bezpośrednio w kadrę zarządzającą. W przypadku poważnych zaniedbań w obszarze cyberbezpieczeństwa rośnie znaczenie osobistej odpowiedzialności członków zarządu. To istotna zmiana, bo pokazuje, że compliance przestaje być wyłącznie zagadnieniem operacyjnym, a staje się elementem realnego ryzyka menedżerskiego.

‍

Z perspektywy rynkowej skutki bywają jeszcze dalej idące. W otoczeniu, w którym finansowanie PropTech coraz silniej wiąże się z kryteriami bezpieczeństwa, przejrzystości i ESG, brak zgodności regulacyjnej staje się dla inwestorów sygnałem ostrzegawczym. Fundusze venture capital i partnerzy strategiczni coraz częściej oczekują nie tylko atrakcyjnego produktu, ale również dowodu, że spółka rozumie swoje obowiązki prawne i potrafi nimi zarządzać. W tym sensie naruszenie przepisów może osłabić nie tylko bieżącą działalność, ale również wycenę i zdolność do dalszego wzrostu.

‍

Najkrócej mówiąc: nieprzestrzeganie prawa w PropTech oznacza dziś ryzyko finansowe, operacyjne, kontraktowe, reputacyjne i inwestycyjne jednocześnie. 

‍

Ochrona konsumentów w PropTech: użytkownik końcowy też jest elementem ryzyka prawnego

Wiele firm PropTech skupia się na kliencie B2B, ale nawet wtedy bardzo często końcowym użytkownikiem rozwiązania pozostaje osoba fizyczna: lokator, najemca, kupujący mieszkanie albo drobny inwestor. Dlatego ochrona konsumentów w PropTech staje się jednym z najważniejszych obszarów prawnych dla sektora.

‍

W praktyce chodzi o coś więcej niż obowiązek podania ceny i regulaminu. Znaczenie ma sposób prezentowania funkcji usługi, przejrzystość warunków, możliwość odstąpienia od umowy, czytelność komunikacji o ryzyku oraz uczciwe przedstawienie tego, co system faktycznie robi. To szczególnie ważne tam, gdzie platforma wpływa na decyzję konsumenta: sugeruje oferty, sortuje wyniki, ocenia zdolność najmu albo automatycznie wylicza koszty.

‍

Wraz z rozwojem modeli inwestycyjnych rośnie też znaczenie takich zagadnień jak legislacja crowdfundingu nieruchomości. Gdy produkt PropTech zaczyna łączyć technologię z inwestowaniem, relacja z użytkownikiem staje się jeszcze bardziej wrażliwa. Wtedy nie wystarczy atrakcyjna narracja marketingowa. Potrzebna jest bardzo precyzyjna komunikacja co do charakteru inwestycji, ryzyk, płynności i realnych uprawnień użytkownika.

‍

Regulacje blockchain w nieruchomościach: obietnica innowacji, ale pod ścisłym nadzorem

Jednym z najbardziej nośnych obszarów w PropTech pozostają dziś regulacje blockchain w nieruchomościach. Sam blockchain daje branży wiele obietnic: automatyzację procesów, większą przejrzystość transakcji, ograniczenie pośredników i łatwiejszy dostęp do inwestowania. Problem polega na tym, że technologia rozwija się szybciej niż klasyczna doktryna prawa prywatnego i finansowego.

‍

Dlatego właśnie tokenizacja nieruchomości nie może być traktowana wyłącznie jako chwytliwe hasło sprzedażowe. To rozwiązanie, które wymaga bardzo ostrożnej kwalifikacji prawnej. Trzeba ustalić, co dokładnie reprezentuje token, jakie prawa daje jego nabywcy, czy nie wchodzi w obszar instrumentów finansowych, jak wygląda obowiązek informacyjny i czy cały model nie wymaga dodatkowego nadzoru regulacyjnego.

‍

Podobnie wygląda sytuacja, gdy w grę wchodzą smart kontrakty w PropTech. Ich zaleta jest oczywista: mogą automatyzować wykonanie określonych obowiązków, przyspieszać rozliczenia i ograniczać błędy ludzkie. Ale z punktu widzenia prawa problemem bywa niezmienność kodu, trudność w aneksowaniu relacji oraz odpowiedzialność za błąd w samej logice wykonania. W praktyce startup musi więc myśleć nie tylko o tym, czy rozwiązanie „działa”, ale także o tym, jak zostanie ocenione w razie sporu.

‍

Certyfikacja, standardy i wejście na rynek

Wiele młodych spółek myśli o wejściu na rynek głównie przez pryzmat sprzedaży, finansowania i product-market fit. Tymczasem w PropTech ogromne znaczenie mają również kwestie formalne i techniczne. Certyfikacja technologii nieruchomościowych coraz częściej staje się nie tyle opcją, ile oczekiwaniem klientów i partnerów biznesowych. Dotyczy to zarówno urządzeń, jak i oprogramowania, chmury, bezpieczeństwa systemów oraz interoperacyjności.

‍

W tym obszarze kluczowe znaczenie mają również normy technologiczne UE. Nawet jeżeli przedsiębiorca nie styka się z nimi bezpośrednio na poziomie ustawy, to bardzo często spotka je w praktyce kontraktowej, przetargowej albo inwestorskiej. Im bardziej produkt wchodzi w obszar infrastruktury, dostępu, bezpieczeństwa lub danych, tym większe znaczenie będą miały standardy techniczne i procedury zgodności.

‍

Warto też pamiętać o narzędziach testowych. Dla niektórych modeli, zwłaszcza tych z pogranicza technologii nieruchomości i finansów, dobrym rozwiązaniem może być sandbox regulacyjny. Taki mechanizm pozwala sprawdzić, jak produkt funkcjonuje w kontrolowanym otoczeniu i gdzie pojawiają się największe ryzyka prawne jeszcze przed pełnym wejściem na rynek.

‍

Finansowanie PropTech w Unii Europejskiej i pytanie o dojrzałość spółki

W praktyce rynek coraz mocniej pokazuje, że finansowanie PropTech w Unii Europejskiej zależy nie tylko od atrakcyjności produktu. Inwestorzy i instytucje grantowe coraz częściej patrzą na to, czy spółka rozumie swoje obowiązki prawne, czy ma uporządkowaną strukturę danych, czy potrafi zarządzać bezpieczeństwem i czy nie buduje wzrostu na modelu obarczonym wysokim ryzykiem regulacyjnym.

‍

To ważna zmiana. Jeszcze kilka lat temu wiele funduszy było gotowych tolerować większy chaos organizacyjny, jeśli produkt rósł szybko. Dziś taka pobłażliwość jest coraz mniejsza, szczególnie w sektorach dotykających danych, infrastruktury i aktywów o dużej wartości. W PropTech dojrzałość regulacyjna staje się więc po prostu jednym z elementów wyceny.

‍

Na marginesie, ale bardzo praktycznie, pojawia się też temat: podatki dla startupów nieruchomościowych. W tej branży struktura przychodów, wykorzystanie grantów, rozliczanie wdrożeń, VAT czy koszty związane z pracami rozwojowymi mogą istotnie wpływać na opłacalność biznesu. To kolejny obszar, którego nie da się sensownie oddzielić od strategii spółki.

‍

Ochrona własności intelektualnej PropTech: często pomijana, a bardzo istotna

W młodych spółkach technologicznych uwaga founderów koncentruje się zwykle na sprzedaży i produkcie. Tymczasem ochrona własności intelektualnej PropTech bardzo często decyduje o tym, czy firma utrzyma przewagę przy skalowaniu. W praktyce chodzi nie tylko o kod źródłowy, ale także o architekturę systemu, modele analityczne, rozwiązania AI, bazy danych, know-how zespołu i oznaczenia identyfikujące produkt.

‍

W PropTech znaczenie tego obszaru jest szczególne, bo wiele rozwiązań stosunkowo łatwo skopiować funkcjonalnie. Jeżeli spółka nie zadba odpowiednio o kwestie IP, może się okazać, że wraz z pierwszym sukcesem rynkowym pojawi się też bardzo szybka konkurencja. Z prawnego punktu widzenia jest to więc nie tylko temat „korporacyjny”, ale realny element zabezpieczenia wartości firmy.

‍

Co z tego wynika dla zarządów i founderów?

Najważniejszy wniosek jest dość prosty: w branży nieruchomości technologia nie daje już przewagi sama z siebie. Przewagę daje dopiero połączenie technologii z dobrze ułożonym modelem prawnym i organizacyjnym. To właśnie dlatego model biznesowy PropTech trzeba dziś projektować równolegle z analizą regulacyjną, a nie dopiero wtedy, gdy firma zaczyna rozmawiać z pierwszym dużym klientem albo inwestorem.

‍

W praktyce oznacza to potrzebę uporządkowania kilku podstawowych obszarów: danych, cyberbezpieczeństwa, relacji z użytkownikiem, sposobu wdrażania produktu, struktury kontraktowej, kwestii IP i ewentualnych elementów finansowych. Bez tego nawet bardzo dobry produkt może napotkać ścianę na etapie skalowania.

‍

Nie oznacza to jednak, że prawo działa wyłącznie hamująco. Dobrze rozumiane regulacje PropTech mogą wzmacniać wiarygodność spółki, podnosić barierę wejścia dla słabszej konkurencji i budować zaufanie inwestorów. W dłuższej perspektywie właśnie to może być jedna z największych przewag na rynku.

‍

26 marca 2026 r. Parlament Europejski przyjął stanowisko w sprawie zmian do rozporządzenia zmieniających AI Act (tzw. Digital Omnibus on AI). Celem zmian jest uproszczenie stosowania przepisów oraz usunięcie problemów wdrożeniowych zidentyfikowanych na etapie implementacji.

‍

Zmiany dotyczą w szczególności relacji między AI Act a regulacjami sektorowymi, obowiązków dla systemów wysokiego ryzyka, zasad przetwarzania danych oraz mechanizmów nadzoru i egzekwowania prawa.

‍

Zmiany 

1. Odroczenie obowiązków dla systemów wysokiego ryzyka
   Zastosowanie przepisów dla systemów wysokiego ryzyka zostało przesunięte:

• do 2 grudnia 2027 r. – dla systemów wskazanych w AI Act,
• do 2 sierpnia 2028 r. – dla systemów objętych regulacjami sektorowymi.

2. Zmiana podejścia do AI literacy
   Obowiązek zapewnienia kompetencji AI został utrzymany, ale doprecyzowany – podmioty mają „wspierać” rozwój kompetencji, bez gwarancji konkretnego poziomu wiedzy.
3. Przetwarzanie danych w celu eliminacji biasu
   Rozszerzono podstawę prawną do przetwarzania szczególnych kategorii danych osobowych przez dostawców i użytkowników systemów AI – wyłącznie gdy jest to ściśle konieczne i z zachowaniem zabezpieczeń.
4. Ograniczenie nakładających się obowiązków regulacyjnych
   Wprowadzono mechanizmy mające zmniejszyć dublowanie obowiązków między AI Act a regulacjami sektorowymi, w tym przesunięcie ciężaru zgodności na przepisy sektorowe w przypadku AI w produktach.
5. Zakaz określonych zastosowań AI („nudifier apps”)
   Zakazano systemów generujących realistyczne treści intymne przedstawiające osoby bez ich zgody, z wyjątkiem systemów posiadających skuteczne zabezpieczenia.
6. Uproszczenia w obowiązkach dokumentacyjnych i rejestracyjnych

• uproszczenie rejestracji części systemów AI w bazie UE,
• większa elastyczność w zakresie monitoringu po wprowadzeniu na rynek.

7. Wzmocnienie roli AI Office
   AI Office otrzymuje szersze kompetencje nadzorcze i egzekucyjne, w tym możliwość nakładania sankcji i prowadzenia nadzoru nad systemami opartymi na modelach ogólnego przeznaczenia.

‍

Regulacja nie zmienia kierunku AI Act, lecz doprecyzowuje jego stosowanie i zmniejsza obciążenia administracyjne. Przepisy w większym stopniu integrują AI Act z istniejącymi regulacjami sektorowymi. Wprowadzono bardziej elastyczne podejście do obowiązków organizacyjnych (AI literacy, dokumentacja). Jednocześnie utrzymano kluczowe ograniczenia dotyczące ochrony praw podstawowych (np. zakazy określonych zastosowań AI).

‍

Wnioski dla biznesu

• Więcej czasu na wdrożenie
  Odroczenie obowiązków dla systemów wysokiego ryzyka oznacza realne wydłużenie okresu przygotowawczego dla organizacji rozwijających AI.
• Konieczność uporządkowania klasyfikacji systemów AI
  Zmiany potwierdzają znaczenie prawidłowej kwalifikacji systemu (np. jako wysokiego ryzyka lub nie), ponieważ od tego zależy zakres obowiązków.
• Relacje z regulacjami sektorowymi stają się kluczowe
  W przypadku AI w produktach lub usługach regulowanych, głównym punktem odniesienia pozostają przepisy sektorowe, a AI Act ma charakter uzupełniający.
• Dane osobowe w AI wymagają ścisłej kontroli celu
  Możliwość przetwarzania danych w celu eliminacji biasu istnieje, ale wyłącznie w zakresie „ściśle niezbędnym”, co wymaga precyzyjnego uzasadnienia operacji.
• Zakres dopuszczalnych zastosowań AI został doprecyzowany
  Niektóre zastosowania są jednoznacznie zakazane, co ogranicza możliwość komercjalizacji określonych funkcji.
• Nadzór i egzekwowanie będą bardziej scentralizowane
  Wzmocnienie AI Office oznacza bardziej jednolite podejście do kontroli i potencjalnie większą skuteczność egzekwowania przepisów.

Prezes UOKiK poinformował o postawieniu zarzutów spółce Meta Platforms Ireland Ltd., zarządzającej platformami Facebook i Instagram. Z komunikatu wynika, że problem dotyczy sytuacji, w których użytkownik-konsument potrzebuje szybkiego kontaktu z platformą, na przykład po przejęciu konta, przy sporze o płatność albo utracie dostępu do usługi. Według UOKiK użytkownicy są w praktyce kierowani głównie do formularzy elektronicznych, co może utrudniać skuteczną komunikację.

‍

UOKiK powołuje się na ustawę o prawach konsumenta i wskazuje, że przedsiębiorca zawierający z konsumentem umowę na odległość ma obowiązek najpóźniej w chwili związania konsumenta umową przekazać w sposób jasny i zrozumiały informację o skutecznych kanałach kontaktu, w tym o adresie e-mail i numerze telefonu.‍

‍
UOKiK twierdzi, że regulaminy Facebooka i Instagrama nie podają adresu e-mail ani numeru telefonu przeznaczonych do kontaktu z przedsiębiorcą. Zamiast tego użytkownicy mają być odsyłani do centrum pomocy i formularzy, które według urzędu nie obejmują wszystkich sytuacji, nie zawsze pozwalają na realny dialog, a czasem utrudniają też późniejsze wykazanie treści i momentu zgłoszenia. Organ zaznacza również, że nawet specjalne formularze dotyczące części spraw, w tym przejęcia konta, nie usuwają problemu braku jasno wskazanych i szybkich kanałów kontaktu. Jeśli zarzuty się potwierdzą, spółce grozi kara do 10 proc. rocznego obrotu.

‍

Wnioski dla biznesu‍

Z tego komunikatu płynie prosty wniosek dla firm działających w e-commerce i w modelach platformowych: samo centrum pomocy lub zestaw formularzy nie musi wystarczyć, jeżeli konsument nie otrzymuje jasno wskazanych i skutecznych kanałów kontaktu już na etapie zawierania umowy. Ryzyko dotyczy zwłaszcza podmiotów świadczących usługi masowe i cyfrowe dla polskich konsumentów. Sam UOKiK wskazuje, że przygląda się całemu sektorowi e-commerce właśnie pod kątem udostępniania adresów e-mail i numerów telefonu umożliwiających łatwy i szybki kontakt z przedsiębiorcą.

‍

Przewodnicząca KRRiT nałożyła karę 150 tys. zł na spółkę PRIME MMA w związku z treściami udostępnianymi w usłudze „PRIMESHOWMMA” w serwisie YouTube. Postępowanie wykazało, że nagrania konferencji poprzedzających galę zawierały liczne przejawy agresji werbalnej i fizycznej, wulgaryzmy, groźby, prowokacje oraz zachowania przedstawiane w kontekście aprobatywnym. Materiały były publicznie dostępne bez logowania i bez weryfikacji wieku. Jednocześnie nie zostały prawidłowo zakwalifikowane jako przeznaczone wyłącznie dla widzów powyżej 18. roku życia ani oznaczone symbolem informującym o występowaniu wulgaryzmów.

‍

Chodzi o zastosowanie obowiązków przewidzianych w ustawie o radiofonii i telewizji wobec dostawców audiowizualnych usług medialnych na żądanie. Tacy dostawcy muszą nie tylko odpowiednio oznaczać treści, ale także stosować skuteczne środki chroniące małoletnich przed dostępem do materiałów mogących negatywnie wpływać na ich rozwój. KRRiT wskazała przy tym, że ze względu na charakter i skalę naruszeń nie mogły one zostać uznane za nieznaczne.

‍

Dla biznesu wniosek jest prosty: przy publikacji treści wideo ryzyko prawne nie kończy się na samym opisie materiału czy oznaczeniu kategorii. Jeżeli materiał zawiera agresję, wulgaryzmy albo inne treści mogące negatywnie wpływać na małoletnich, konieczne są także realne zabezpieczenia dostępu. Z perspektywy spółek prowadzących kanały wideo, platformy eventowe lub formaty oparte na kontrowersyjnych wypowiedziach oznacza to potrzebę równoczesnego zadbania o kwalifikację treści, właściwe oznaczenia i techniczne ograniczenie dostępu

‍

Słaby punkt materiału źródłowego jest jeden, ale istotny: to komunikat prasowy UOKiK, a nie sama decyzja ani pełne uzasadnienie procesowe. Da się więc rzetelnie opisać zakres zarzutów i podstawę prawną wskazaną przez urząd, ale nie wolno przedstawiać naruszenia jako już przesądzonego.

Sąd Apelacyjny w Warszawie uznał, że współfinansowany przez pracodawcę “dostęp do programu komputerowego” (chodziło o program motywacyjny oparty na technologii blockchain) oferowanego pracownikom po cenie niższej niż rynkowa może być wyłączony z podstawy wymiaru składek ZUS. 

‍

Sąd odrzucił stanowisko ZUS, który twierdził, że licencja do oprogramowania nie mieści się w pojęciu artykułu, przedmiotu ani usługi. Według sądu trzeba oceniać nie samą nazwę świadczenia, lecz jego rzeczywistą funkcję: tu był to cyfrowy system benefitów i rabatów, a nie pieniężny ekwiwalent wynagrodzenia. Znaczenie miało też to, że świadczenie wynikało z regulaminu wynagradzania i było częściowo odpłatne po stronie pracownika. 

‍

Istotnych w tej spawie było kilka kwestii. Między innymi ważna była częściowa odpłatność pracownika. W tej sprawie pracownik partycypował w koszcie, a wyłączeniu ze składek podlegała tylko różnica między ceną nabycia usługi a odpłatnością ponoszoną przez pracownika. To nie był darmowy benefit finansowany w całości przez pracodawcę.

‍

Również świadczenie nie było ekwiwalentem pieniężnym. We wniosku spółka wskazała, że pracownik nie mógł zamienić prawa do zakupu usługi na gotówkę, a sąd podkreślił, że świadczenie nie stanowi ekwiwalentu w formie pieniężnej ani elementu wynagrodzenia za pracę. Dla praktyki biznesowej to jeden z kluczowych warunków bezpieczeństwa. 

‍

Wnioski

Po pierwsze, liczy się konstrukcja świadczenia, a nie jego nazwa. Sąd uznał, że dostęp do programu komputerowego może być potraktowany jako usługa cyfrowa, więc nie sama etykieta „licencja” czy „token” decyduje o oskładkowaniu, tylko rzeczywista funkcja benefitu.

‍

Po drugie, wyłączenie ze składek może dotyczyć także benefitów cyfrowych, ale tylko gdy spełniają warunki z § 2 ust. 1 pkt 26 rozporządzenia: wynikają z układu zbiorowego, regulaminu wynagradzania albo przepisów o wynagradzaniu oraz polegają na uprawnieniu do zakupu po cenach niższych niż detaliczne. Sąd wprost wskazał, że takie korzyści materialne nie wchodzą do podstawy wymiaru składek.

‍

Główny Inspektorat Farmaceutyczny analizuje sprawę utworu „Zakochałem się pod apteką”, w którym pada nazwa leku Solpadeine. Organ wskazał, że samo użycie nazwy produktu leczniczego w utworze muzycznym może zostać uznane za reklamę, jeżeli spełnia ustawowe przesłanki z Prawa farmaceutycznego. Z materiałów wynika również, że organ prowadzi stały monitoring mediów, w tym Internetu i mediów społecznościowych, pod kątem zgodności przekazów z przepisami o reklamie produktów leczniczych, a po stwierdzeniu możliwego naruszenia podejmuje z urzędu czynności nadzorcze. GIF przypomniał też wcześniejszą decyzję z 2011 r., w której zakwestionowano użycie nazwy leku Acard w scenariuszu sztuki teatralnej.

‍

Wnioski dla biznesu

Dla firm działających w sektorze regulowanym, zwłaszcza farmaceutycznym, materiał jest wyraźnym sygnałem, że ryzyko regulacyjne nie ogranicza się do klasycznych kampanii reklamowych. Organ może badać także przekazy pojawiające się w kulturze popularnej i w obiegu internetowym, jeżeli uzna, że mogą realizować ustawowe cechy reklamy produktu leczniczego. Z perspektywy zarządczej oznacza to potrzebę ostrożnej oceny każdego publicznego użycia nazwy produktu leczniczego, nawet poza standardowym formatem marketingowym. Jednocześnie, ponieważ postępowanie nadal trwa, sprawę należy traktować jako ważny sygnał nadzorczy, a nie jako ostatecznie ukształtowaną linię rozstrzygnięć w odniesieniu do utworów muzycznych

Stan faktyczny‍

Prezes UODO wydał nieprawomocną decyzję w sprawie firmy kurierskiej. UODO ustalił, że spółka korzystała z zewnętrznych przewoźników bez uprzedniego zawarcia z nimi umów powierzenia przetwarzania danych, mimo że byli oni podmiotami przetwarzającymi - bo uczestniczyli w załadunku i wyładunku przesyłek oraz wykonywali przewóz także własnymi środkami transportu, co dawało im dostęp do danych znajdujących się na etykietach. 

‍

UODO zakwestionował także wewnętrzny model nadawania upoważnień. Samo zaliczenie szkolenia i wygenerowanie przez system pliku z ogólną formułą nie zostało uznane za skuteczne upoważnienie do przetwarzania danych, ponieważ dokument nie zawierał istotnych elementów, w tym danych osoby upoważnionej i osoby udzielającej upoważnienia. 

‍

Prezes UODO nałożył dwie administracyjne kary pieniężne: 6 251 471 zł za brak umów powierzenia z przewoźnikami oraz 5 209 559 zł za brak właściwych środków organizacyjnych i prawidłowych upoważnień. Łącznie daje to ponad 11 mln zł. 

‍

Wnioski dla biznesu

• ‍Nie patrz na nazwę usługi, tylko na faktyczny dostęp do danych. Jeżeli zewnętrzna firma „tylko przewozi”, „tylko serwisuje”, „tylko skanuje”, „tylko archiwizuje” albo „tylko wspiera operacyjnie”, ale w praktyce ma dostęp do danych osobowych, to trzeba ocenić, czy nie działa jako podmiot przetwarzający. W tej sprawie UODO uznał, że sam udział w załadunku i rozładunku oraz faktyczne władztwo nad przesyłkami oznaczały przetwarzanie danych w imieniu administratora.‍
• Brak umowy powierzenia to nie jest drobny formalizm. UODO wprost powiązał brak takiej umowy nie tylko z naruszeniem art. 28 RODO, ale też z naruszeniem zasady zgodności z prawem i zasady rozliczalności. Innymi słowy: problemem nie jest tylko brak papieru, ale brak możliwości wykazania, że dane są przetwarzane legalnie i pod kontrolą firmy.‍
• Szkolenie pracownika nie zastępuje upoważnienia. W tej sprawie spółka opierała się na automatycznie generowanym pliku po zaliczeniu testu. UODO uznał, że taki plik nie jest upoważnieniem, skoro nie zawierał istotnych elementów, w tym danych pracownika i osoby udzielającej upoważnienia. Dla przedsiębiorcy wniosek jest prosty: trzeba umieć wykazać, kto konkretnie, komu konkretnie i w jakim zakresie dał dostęp do danych.‍
• Wewnętrzna polityka musi działać w praktyce. Sama polityka ochrony danych nie chroni firmy, jeśli nie została rzeczywiście wdrożona. UODO uznał za naruszenie także to, że spółka nie wyznaczyła osoby uprawnionej do udzielania upoważnień, mimo że przewidywała to jej własna polityka. 

Parlament zakończył prace nad nowelizacją ustawy o Państwowej Inspekcji Pracy, aktualnie akt czeka na podpis Prezydenta RP. Projekt ma wyposażyć Państwową Inspekcję Pracy oraz sądy pracy w skuteczniejsze narzędzia egzekwowania obowiązującego prawa pracy.

‍

Z istotniejszych kwestii: nowelizacja co do zasady nie przewiduje automatycznego rygoru natychmiastowej wykonalności decyzji inspektora pracy, uwzględnia możliwość prowadzenia kontroli zdalnych, szerszą wymianę informacji pomiędzy PIP, ZUS i KAS, a także wprowadzenie interpretacji indywidualnych wydawanych przez Głównego Inspektora Pracy na wniosek pracodawcy. 

‍

Istotny jest jednak wymiar finansowy. Reklasyfikacja może oznaczać konieczność zapłaty pełnych składek ZUS oraz podatku, natomiast w przypadku powództwa o ustalenie stosunku pracy może również prowadzić do obowiązku zapłaty zaległych składek i podatku za okres nawet kilku lat wstecz.

‍

Zachęcamy firmy do przeprowadzenia audytu form współpracy, zweryfikowania faktycznego sposobu wykonywania usług w relacjach B2B i przy umowach zlecenia, a także uporządkowania dokumentacji na wypadek kontroli PIP.

‍

Zapoznaj się z checklistę najważniejszych ryzyk prawnych, którą opracowaliśmy w kancelarii LAWMORE na podstawie doświadczeń z 2025 roku.

‍

To nie jest lista teoretyczna. Zebraliśmy w niej obszary, które w wielu firmach pozostawały poza uwagą albo były adresowane jedynie częściowo. W praktyce prowadziło to później do problemów prawnych związanych m.in. z compliance, RODO, wykorzystaniem AI oraz zatrudnieniem.

‍

W checkliście poruszamy m.in. takie kwestie jak:

• czy spółka uwzględniła w umowach z klientami wykorzystanie AI przez swoich pracowników i podwykonawców,
• czy spółka jest objęta wymogami dostępności WCAG wynikającymi z ustawy o zapewnianiu spełniania wymagań dostępności niektórych produktów i usług przez podmioty gospodarcze,
• czy spółka posiada procedurę określającą zasady korzystania ze służbowego konta poczty elektronicznej oraz czy pracownicy zostali z nią zapoznani,
• czy regulamin usług lub sklepu kierowany do konsumentów uwzględnia najnowsze decyzje UOKiK,
• czy premie wypłacane członkom zarządu mogą rodzić ryzyka podatkowe.

‍

Jeżeli chcesz poznać więcej ryzyk prawnych, pobierz pełną checklistę tutaj.

Przypominam, że 2 lutego 2026 r. ruszył nabór do edycji 2026 programu SME Fund.

‍

SME Fund to inicjatywa Komisji Europejskiej realizowana przez EUIPO (Urząd UE ds. Własności Intelektualnej), a wsparcie jest adresowane do MŚP mających siedzibę w Unii Europejskiej. Program obejmuje wsparcie dla działań związanych z ochroną i zarządzaniem IP, w tym: znaki towarowe, wzory przemysłowe, patenty, nowe odmiany roślin oraz usługę IP Scan.

‍

Bony

W edycji 2026 opisano 4 bony, między innymi:

• Bon 1 – IP Scan: zwrot 90% ceny usługi, maks. 1080 EUR.
• Bon 2 – znaki towarowe i wzory przemysłowe (nowe zgłoszenia): limit do 700 EUR. Zwroty: 75% opłat w procedurze krajowej w państwach UE; 75% opłat za zgłoszenia na obszarze UE (EUIPO) i na poziomie regionalnym (np. Beneluks); 50% opłat za zgłoszenia do WIPO.
• Bon 3 – zgłoszenia wynalazków: limit do 3500 EUR. Zwroty: 75% opłat zgłoszeniowych w procedurach krajowych w państwach UE (w niektórych państwach także za usługę wcześniejszego wyszukiwania); 75% opłat w procedurze patentu europejskiego w EPO; oraz 50% kosztów prawnych sporządzenia i wypełnienia wniosku patentowego do EPO.

‍

Co jest potrzebne?

Tylko (1) zaświadczenie VAT lub zaświadczenie o posiadaniu krajowego numeru rejestracji wydane przez właściwy organ krajowy (może być aktualny wydruk z KRS/CEIDG) oraz (2) wydruk z banku firmy zawierający następujące dane: nazwę firmy jako posiadacza rachunku, pełny numer IBAN z kodem kraju, kod BIC/SWIFT

‍

Jakie są wymogi?

Tylko poprawne uzupełnienie wniosku - wnioski nie są badane merytorycznie, a bon jest przyznawany automatycznie do wyczerpania puli finansowania.

‍

Vouchery przyznawane są mniej więcej w ciągu 15 dni roboczych od dnia złożenia wniosku. 

‍

Uzyskaj bon na ochronę marki lub patent pod tym linkiem.

Przyjęcie dyrektywy NIS2 oraz jej wdrożenie do polskiego systemu prawnego w drodze nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa to jedna z najistotniejszych zmian regulacyjnych ostatnich lat. 

‍

PODMIOTY, KTÓRE PODLEGAJĄ OBOWIĄZKOWI

Przedsiębiorstwa mają samodzielnie ustalić, czy spełniają kryteria NIS-2 i wpisać się do rejestru podmiotów kluczowych lub ważnych (o czym poniżej). 

‍

Zakres sektorów jest szeroki, więc liczba firm objętych regulacją wzrośnie. Kryterium sektorów może obejmować między innymi infrastrukturę cyfrową, transport, bankowość, badania naukowe i ochronę zdrowia.

‍

Takimi podmiotami są średnie i duże przedsiębiorstwa, w których pracuje co najmniej 50 pracowników lub obrót/bilans jest równy lub przewyższa 10 mln euro (przy czym w niektórych przypadkach przepisy mogą mieć zastosowanie również dla przedsiębiorstw mniejszych niż średnie). Należy również uwzględnić powiązania kapitałowe - mogą one wpłynąć na zaliczenie również mniejszych spółek.

‍

OCENA ORGANIZACJI

Na początku trzeba ocenić, czy organizacja będzie musiała stosować się do UKSC, czyli czy jest podmiotem kluczowym, lub ważnym w rozumieniu nowych przepisów. To pierwszy krok, który pokazuje zakres obowiązków danego podmiotu w zakresie cyberbezpieczeństwa. Wskazuje też, czy trzeba podjąć dodatkowe kroki związane z przepisami UKSC.

‍

Warto sprawdzić, czy obowiązują przepisy sektorowe, takie jak DORA, które mogą wpływać na obowiązki związane z cyberbezpieczeństwem.

‍

REJESTRACJA

W ramach nowelizacji z lutego 2026 r. do UKSC wprowadzone zostały przepisy ustanawiające wykaz podmiotów kluczowych i podmiotów ważnych. Jeśli organizacja dostanie taki status, musi zarejestrować się w wykazie. Rejestracja musi się odbyć w ciągu 6 miesięcy od uzyskania statusu.

‍

SYSTEM ZARZĄDZANIE BEZPIECZEŃSTWEM INFORMACJI

Kolejnym wymogiem dla ważnych i kluczowych firm jest stworzenie systemu zarządzania bezpieczeństwem informacji. Taki system obejmuje zabezpieczenia informatyczne, ale nie można zapominać o organizacji, czyli odpowiednich procedurach i dokumentach związanych z tym systemem.

‍

ISTNIEJĄCE PROCEDURY

Jeśli w organizacji są już odpowiednie procedury, należy je sprawdzić. Trzeba upewnić się, że są zgodne z wymaganiami UKSC. Jeśli to potrzebne, należy je dostosować do nowych standardów. Ważne jest też, aby nie zapominać o zasadach ochrony i przetwarzania danych osobowych, które są przyjęte w organizacji.

‍

NOWE PROCEDURY

Ze względu na nowe obowiązki wprowadzone przez UKSC, może być potrzebne opracowanie i wprowadzenie nowych procedur. Będą one dotyczyć szczególnie zarządzania incydentami, oceniania ryzyka, sprawdzania skuteczności środków bezpieczeństwa oraz kontroli dostępu.

‍

Kolejnym ważnym krokiem do wprowadzenia jest procedura dotycząca incydentów. Ma ona zawierać zasady raportowania, zarówno wewnętrznego, jak i zewnętrznego do odpowiedniego zespołu CSIRT. Należy uwzględnić czas reakcji oraz informacje, które trzeba przekazać w przypadku incydentu.

‍

ZARZĄD

Zarząd organizacji, a wyjątkowo również wspólnicy w spółkach osobowych, są bezpośrednio odpowiedzialni za wykonanie obowiązków wynikających z UKSC.

‍

Warto wprowadzić system, który określa obowiązki i uprawnienia osób zajmujących się cyberbezpieczeństwem w organizacji. System ten powinien także zawierać zasady raportowania do zarządu i dokumentowania działań.

‍

UMOWY

UKSC to nie tylko procedury wewnętrzne i działania w organizacjach. Aby dostosować się do przepisów, trzeba sprawdzić umowy z dostawcami oprogramowania. Należy upewnić się, że są zgodne z prawem i nakładają na dostawcę obowiązki, które zapewniają odpowiedni poziom cyberbezpieczeństwa (m.in. kwestie SLA, zgłaszania incydentów, zakresu sprawozdawczości dostawcy).

Rynek nieruchomości przechodzi cyfrową transformację, a innowacyjne rozwiązania technologiczne zmieniają sposób, w jaki kupujemy, sprzedajemy i zarządzamy budynkami. W związku z tym inwestycje w PropTech cieszą się ogromnym zainteresowaniem aniołów biznesu oraz funduszy Venture Capital. Jednak zanim dojdzie do zawarcia umowy, inwestor musi dokładnie sprawdzić, co tak naprawdę znajduje się w spółce. Kwestią absolutnie kluczową dla powodzenia transakcji jest to, jak wygląda i do kogo należy IP w startupie PropTech. Na co więc startup musi uważać, żeby nie odstraszyć inwestora?

‍

Co to jest IP w startupie PropTech i jakie rodzaje własności intelektualnej są najważniejsze dla inwestorów w PropTech?

Zależnie od modelu biznesowego, IP w startupie PropTech może potencjalnie obejmować:

• kody źródłowe oprogramowania stworzonego przez startup (np. platform SaaS, aplikacji mobilnych);
• interfejsy graficzne;
• dokumentacje projektowe;
• bazy danych;
• znaki towarowe.

‍

Oczywiście dla startupu istotne pozostają także kwestie takie jak: algorytmy programu komputerowego, architektura systemu czy modele AI (jeżeli takie są wykorzystywane/tworzone). Należy jednak pamiętać, że najprawdopodobniej będą one stanowiły wyłącznie cenne know-how startupu. Natomiast mogą być one chronione jako tajemnica przedsiębiorstwa poprzez rygorystyczne procedury i umowy o zachowaniu poufności. Pamiętajmy bowiem, że idee i zasady będące podstawę jakiegokolwiek elementu programu komputerowego (czyli np. konstrukcja logiczna programu w postaci jego algorytmu) nie podlegają ochronie prawnoautorskiej.

‍

Każdy doświadczony fundusz wie, że prawidłowo zarządzana własność intelektualna PropTech to często najważniejsze i najcenniejsze aktywo młodej spółki, stanowiące jej główną przewagę konkurencyjną.

‍

Zapoznaj się z naszymi usługami: Prawnik AI - nowoczesna obsługa prawna

‍

Jak zabezpieczyć własność intelektualną w startupie PropTech?

Własność intelektualna PropTech musi znajdować się bezpośrednio w spółce, a nie w rękach jej twórców. To jeden z najczęstszych problemów startupów, które pojawiają się w trakcie due dilligence. 

‍

Aby skutecznie zabezpieczyć IP, należy zwrócić uwagę na następujące kwestie:

• każda osoba tworząca kod - od programisty na B2B po zewnętrzny software house - musi podpisać ze spółką umowę, która skutecznie przenosi na nią autorskie prawa majątkowe do kodu (lub ewentualnie innego rodzaju utworu). W przypadku umów B2B przeniesienie to nie następuje automatycznie (jak przy umowie o pracę), lecz wymaga wyraźnego postanowienia w umowie, co ważne umowa taka musi być zawarta w formie pisemnej! 
• skoro algorytm nie jest chroniony prawem autorskim, należy zabezpieczyć go umowami NDA i odpowiednimi postanowieniami o zakazie konkurencji. Inwestor sprawdzi, czy kluczowa wiedza o systemie nie „wyjdzie” ze spółki np. wraz z odejściem głównego dewelopera;
• w przypadkach, gdy startup nie tworzy wszystkiego od podstaw - istotne  pozostaje dopilnowanie, aby wykorzystywane biblioteki (np. open source) były na licencjach pozwalających na komercyjne wykorzystanie i nie zagrażały bezpieczeństwu kodu.

‍

Na co zwracają uwagę inwestorzy podczas due diligence IP w PropTech?

Profesjonalne due diligence PropTech ma na celu zidentyfikowanie wszelkich ryzyk związanych z działalnością spółki, ze szczególnym uwzględnieniem technologii. Inwestorzy oraz ich doradcy prawni weryfikują m.in.:

• łańcuch praw autorskich, tj. czy spółka posiada komplet poprawnie skonstruowanych oraz zawartych w odpowiedniej formie - umów przenoszących prawa z twórców na spółkę;
• czy kod źródłowy wykorzystuje komponenty open-source na tzw. "wirusowych" licencjach, które mogłyby wymusić na spółce udostępnienie jej własnego, komercyjnego kodu za darmo;
• czy bazy danych są pozyskiwane i wykorzystywane zgodnie z prawem (w tym z RODO);
• czy kluczowa dla spółki własność intelektualna PropTech nie narusza praw osób trzecich.

‍

Przeczytaj również: Trendy w proptech 2026

‍

Wobec tego, należy pamiętać, że dla inwestora technologia jest warta tyle, ile dokumenty, które ją zabezpieczają. Jeśli Twoja własność intelektualna jest w pełni zabezpieczona i jest w spółce, budujesz wizerunek profesjonalnego partnera i znacznie przyspieszasz proces zamknięcia rundy.

‍

Warto zadbać o to, aby inwestycje w PropTech, o które się ubiegasz, nie utknęły na etapie badania prawnego. 

‍

Prawnicy LAWMORE, Aleksandra Maciejewicz i Bartłomiej Serafinowicz, poprowadzą bezpłatny webinar dotyczący prawnych granic AI w rekrutacji. W wydarzeniu weźmie udział również Paulina Świątkiewicz - HR Business Partner w Just Join IT. 

• Porozmawiamy o tym, jak rozpoznać CV wygenerowane przez AI i co wolno sprawdzać, żeby jednocześnie nie naruszyć przepisów prawa lub dóbr osobistych kandydata.
• Odpowiemy sobie na pytanie, czy musisz powiedzieć kandydatowi, że korzystasz z AI na potrzeby rekrutacji.
• Zastanowimy się, dlaczego nie warto wrzucać CV do ChataGPT.
• Wskażemy kilka zasad, jakie można wdrożyć, aby bezpiecznie korzystać z AI w rekrutacji.

‍

Webinar skierowany jest do działów HR, rekruterów, specjalistów compliance i managerów. Odbędzie się w ramach współpracy kancelarii z rocketjobs.pl i justjoin.it i będzie miało miejsce 31 marca w godzinach 13:00 - 14:00. 

‍

Zachęcamy do zapisów na wydarzenie. Link znajduje się tutaj: Webinar: Czy Twój kandydat naprawdę istnieje? O prawnych granicach AI w rekrutacji | justjoin.it & rocketjobs.pl

Wchodząc w proptech 2026, już widzimy, że standardem rynkowym stała się pełna automatyzacja pierwszej linii kontaktu. Analizując najważniejsze trendy w proptech, widzimy, że inteligentni asystenci natychmiastowo rozwiązują zgłoszenia, usprawniając całość kontaktu np. z wynajmującym. Kolejnym filarem, który napędzają innowacje proptech, jest zautomatyzowana kontrola dokumentacji oraz sztuczna inteligencja w zarządzaniu przestrzenią.

‍

Zaawansowane technologie nieruchomości mogą już analizować np. postanowienia w umowach. Obserwując, jak dynamicznie rozwija się proptech w Polsce, staje się jasne, że cyfrowa transformacja zarządzania nieruchomościami oparta na precyzji i technologii to obecnie jedyny klucz do budowania rentownego i zrównoważonego portfela aktywów.

‍

Jakie są najważniejsze trendy w proptech?

Kluczowe trendy w proptech w 2026 roku skupiają się na hiper-automatyzacji i raportowaniu ESG. Innowacje cyfrowe w nieruchomościach 2026 to przede wszystkim platformy integrujące dane o zużyciu energii, śladzie węglowym i komforcie użytkowników w czasie rzeczywistym, ale również agenci AI. Agenci tacy będą mogli pełnić rolę cyfrowych członków zespołu, umożliwiając tym samym specjalistom z branży nieruchomości skupienie się na podejmowaniu strategicznych decyzji i zapewnianiu klientom lepszych doświadczeń. 

‍

Sztuczna inteligencja w zarządzaniu nieruchomościami

Standardem rynkowym stała się pełna automatyzacja pierwszej linii kontaktu, gdzie inteligentni asystenci natychmiastowo rozwiązują zgłoszenia najemców, zapewniając dostępność bez względu na porę dnia. 

‍

Kolejnym filarem proptechowej rewolucji jest zautomatyzowana kontrola dokumentacji. Zaawansowane narzędzia AI mogą pomóc w analizie postanowień w umowach, minimalizując ryzyko operacyjne. Takie podejście staje się kluczem do budowania rentownego i zrównoważonego wzrostu portfela. 

‍

Automatyzacja budynków przyszłości 2026

W sektorze deweloperskim automatyzacja budynków właściwie przestała być opcją, a stała się standardem. Inteligentne rozwiązania mieszkaniowe 2026 oferują mieszkańcom pełną kontrolę nad ekosystemem domowym, od bezpieczeństwa po efektywność energetyczną. Cyfrowa transformacja zarządzania nieruchomościami umożliwia z kolei zdalne administrowanie tysiącami jednostek z jednego centrum dowodzenia.

‍

Smart Buildings i IoT

Zastanawiając się, jakie znaczenie będzie miał Internet Rzeczy (IoT) w proptech w 2026, należy spojrzeć na sieć sensorów. Sensory IoT dostarczają dane w czasie rzeczywistym, dzięki czemu systemy klasy smart buildings autonomicznie optymalizują zużycie energii, reagując na obecność użytkowników oraz dynamiczne zmiany warunków pogodowych. Dane te przetwarza analityka predykcyjna oparta na Big Data, dostarczając precyzyjnych informacji o tym, jak najlepiej zoptymalizować każdy metr kwadratowy.

‍

Cyfrowe bliźniaki budynków (digital twins)

Dopełnieniem wizji są cyfrowe bliźniaki budynków, czyli wirtualne repliki budynków oraz ich systemów. Właściciele nieruchomości, ale też firmy, które zajmują się nieruchomościami komercyjnymi, korzystają z cyfrowych bliźniaków w celu wsparcia marketingu nieruchomości czy zarządzania energią. Z kolei, np. detaliczni sprzedawcy wdrażają je po to, żeby np. testować układ sklepów, optymalizować zasoby czy analizować zachowania klientów. Nie są to już tylko statyczne modele wizualne, ale dynamiczne repliki zasilane danymi z sensorów IoT. 

‍

Podsumowując, w 2026 roku technologia przestała być opcjonalnym usprawnieniem, stając się fundamentem operacyjnym nowoczesnych aktywów. Wdrożone innowacje cyfrowe w nieruchomościach sprawiły, że sektor jest dziś bardziej transparentny, ale też duża część procesów została znacznie usprawniona. Kluczowe znaczenie mają również ekologiczne technologie budowlane, które w połączeniu z analityką danych pozwalają realnie realizować strategię dekarbonizacji. W efekcie inteligentne rozwiązania mieszkaniowe oraz biurowe nie tylko mogą podnieść komfort użytkowników, ale przede wszystkim zagwarantować płynność i sprawność obrotu w cyfrowej gospodarce.

‍

Prawne i operacyjne aspekty zawierania umów między spółką kapitałową a członkami jej zarządu

Analiza regulacji prawa spółek handlowych prowadzi do wniosku, że jednym z kluczowych celów ustawodawcy jest ochrona majątku spółki przed ryzykiem nadużyć wynikających z konfliktu interesów po stronie osób nią zarządzających. Szczególne znaczenie w tym kontekście ma instytucja tzw. szczególnej reprezentacji, uregulowana m.in. w art. 210, art. 300(68) oraz art. 379 Kodeksu spółek handlowych. Przepisy te stanowią odpowiedź na sytuacje, w których dochodzi do zetknięcia interesu spółki z interesem osobistym członka jej organu.

‍

Ustawodawca trafnie identyfikuje strukturalne zagrożenie polegające na tym, że ta sama osoba fizyczna mogłaby jednocześnie występować jako reprezentant spółki oraz jako jej kontrahent. Taki układ rodzi realne ryzyko kształtowania treści czynności prawnych w sposób sprzeczny z interesem spółki - czy to poprzez zawieranie umów o wynagrodzenie na nierynkowych warunkach, czy też poprzez transfery majątkowe nieuzasadnione ekonomicznie. Szczególna reprezentacja pełni zatem funkcję nie tylko ochronną, lecz także prewencyjną, ograniczając możliwość instrumentalnego wykorzystania pozycji zarządczej.

‍

Z tego względu omawiane regulacje mają charakter bezwzględnie obowiązujący i nie mogą zostać zmodyfikowane wolą wspólników lub akcjonariuszy. Zachowanie przewidzianego w ustawie trybu reprezentacji stanowi warunek skuteczności czynności prawnej, a jego naruszenie prowadzi do jej bezwzględnej nieważności. Konsekwencje te podkreślają, że szczególna reprezentacja nie jest jedynie technicznym wymogiem formalnym, lecz istotnym elementem systemu ochrony interesów spółki i bezpieczeństwa obrotu.

‍

‍Reprezentacja w spółce z ograniczoną odpowiedzialnością

‍Spółka z ograniczoną odpowiedzialnością, jako najpowszechniejsza forma prowadzenia działalności gospodarczej w Polsce, stanowi główne pole zastosowania rygorów reprezentacyjnych. Zgodnie z brzmieniem art. 210 § 1 k.s.h., w umowie między spółką a członkiem zarządu oraz w sporze z nim spółkę reprezentuje rada nadzorcza lub pełnomocnik powołany uchwałą zgromadzenia wspólników.

‍

Ustawodawca wprowadził alternatywę uprawnień reprezentacyjnych, nie wskazując przy tym hierarchii ważności między radą nadzorczą a pełnomocnikiem. Wybór podmiotu działającego za spółkę należy do suwerennej decyzji wspólników, choć w praktyce jest on zdeterminowany strukturą organizacyjną danej spółki.

‍

W sytuacjach, gdy w spółce funkcjonuje rada nadzorcza, to ona z mocy prawa przejmuje kompetencje do zawierania umów z zarządem. Rada nadzorcza działa jako organ kolegialny, co implikuje konieczność zachowania odpowiednich procedur wewnętrznych, takich jak podjęcie uchwały o wyrażeniu zgody na zawarcie umowy oraz wyznaczenie członków uprawnionych do jej podpisania. W doktrynie przyjmuje się, że umowa powinna być podpisana przez wszystkich członków rady, chyba że uchwała rady lub regulamin tego organu upoważnia konkretnego członka (np. przewodniczącego) do dokonania tej czynności.

‍

Z kolei w spółkach mniejszych, gdzie rada nadzorcza zazwyczaj nie występuje, jedynym dopuszczalnym sposobem reprezentacji jest ustanowienie pełnomocnika korporacyjnego. Pełnomocnik ten różni się od pełnomocnika handlowego czy prokurenta zarówno podstawą umocowania, jak i zakresem dopuszczalnych działań. Jest on powoływany ad hoc lub do określonego rodzaju spraw bezpośrednio przez właścicieli spółki (wspólników), co ma gwarantować obiektywizm i ochronę interesów kapitałowych.

‍

‍

Proceduralne wymogi powołania pełnomocnika

‍Proces ustanawiania pełnomocnika do umów z członkami zarządu obwarowany jest szeregiem rygorów, których niedopełnienie niweczy skuteczność umocowania:

‍

Forma uchwały: Powołanie pełnomocnika musi nastąpić w drodze uchwały zgromadzenia wspólników. Nie jest dopuszczalne udzielenie takiego pełnomocnictwa przez zarząd, co jest logiczne, biorąc pod uwagę cel przepisu.  

1. Tryb zgromadzenia: Uchwała powinna zostać podjęta na zgromadzeniu zwołanym formalnie lub odbytym w trybie art. 240 k.s.h. (bez formalnego zwołania, przy obecności całego kapitału). Sąd Najwyższy wskazuje, że nie jest możliwe podjęcie tej uchwały w trybie pisemnym (obiegowym), co wynika z konieczności zapewnienia transparentności i możliwości dyskusji nad kandydaturą pełnomocnika.  
2. Tajność głosowania: Ponieważ powołanie pełnomocnika jest sprawą osobową, głosowanie nad uchwałą musi być tajne (art. 247 § 2 k.s.h.), chyba że w spółce jednoosobowej wymóg ten ulega naturalnej modyfikacji.  
3. Treść i zakres umocowania: Pełnomocnictwo nie może mieć charakteru ogólnego do wszystkich spraw spółki. Musi być to pełnomocnictwo szczególne (do konkretnej umowy) lub rodzajowe (do określonej kategorii czynności, np. "do zawierania i aneksowania umów o pracę z członkami zarządu"). Sąd Najwyższy dopuścił udzielanie pełnomocnictw rodzajowych na czas nieokreślony, co znacznie ułatwia bieżące zarządzanie kadrami w dużych organizacjach.  

‍

Niezmiernie istotnym aspektem jest tożsamość pełnomocnika. Choć k.s.h. nie formułuje wprost zakazów, doktryna i orzecznictwo wypracowały pewne ograniczenia. Pełnomocnikiem nie może być osoba, z którą umowa ma zostać zawarta. Kontrowersje wzbudza możliwość powołania innego członka zarządu na pełnomocnika do zawarcia umowy z jego kolegą z organu. Choć w przeszłości Sąd Najwyższy dopuszczał taką konstrukcję, obecnie dominuje pogląd, że z uwagi na cel ochronny art. 210 k.s.h., pełnomocnikiem powinna być osoba spoza zarządu, aby uniknąć zarzutu wzajemności (tzw. "ja podpiszę tobie, ty podpiszesz mi").

‍

Specyfika reprezentacji w spółce akcyjnej oraz prostej spółce akcyjnej

‍W przypadku spółki akcyjnej (S.A.) oraz prostej spółki akcyjnej (PSA), ustawodawca przyjął analogiczne założenia, choć osadzone w nieco innej strukturze organów. W spółce akcyjnej kluczowe znaczenie ma art. 379 § 1 k.s.h., który niemal dosłownie powtarza rygory znane ze spółki z o.o., wskazując na radę nadzorczą lub pełnomocnika walnego zgromadzenia jako jedyne podmioty uprawnione do działania za spółkę w relacjach z zarządem.  

‍

Różnica pojawia się w kontekście obligatoryjności rady nadzorczej w S.A., co sprawia, że powołanie pełnomocnika przez walne zgromadzenie jest w tej strukturze wykorzystywane rzadziej, głównie w sytuacjach konfliktowych między organami lub gdy rada nadzorcza z jakichś przyczyn nie może działać. Warto odnotować, że w S.A. spójnik "albo" użyty w art. 379 k.s.h. sugeruje alternatywę rozłączną, co w teorii mogłoby oznaczać konieczność wyboru jednej drogi reprezentacji dla danej czynności, choć praktyka orzecznicza dopuszcza elastyczność w tym zakresie.  

‍

W Prostej Spółce Akcyjnej, będącej nowoczesną formą spółki kapitałowej, zasady reprezentacji przy umowach z zarządem (lub radą dyrektorów w systemie monistycznym) są uregulowane w art. 300(68) k.s.h. Konstrukcja ta zachowuje rygoryzm ochrony interesów spółki, dostosowując go do specyfiki PSA, gdzie funkcje zarządzające i nadzorcze mogą być skupione w jednym organie (rada dyrektorów). W PSA, jeśli powołano radę dyrektorów, to w umowach z dyrektorami wykonawczymi spółkę reprezentują zazwyczaj dyrektorzy niewykonawczy lub pełnomocnik powołany uchwałą akcjonariuszy, co stanowi interesującą adaptację mechanizmów kontrolnych do elastycznego modelu zarządzania.  

‍

Spółki jednoosobowe

‍Szczególnym wyzwaniem dla praktyki gospodarczej są sytuacje, w których jedyny wspólnik (posiadający 100% udziałów) jest zarazem jedynym członkiem zarządu. W takim układzie personalnym niemożliwe jest zastosowanie klasycznego modelu pełnomocnika, gdyż wspólnik jako zgromadzenie musiałby powołać pełnomocnika do zawarcia umowy z samym sobą jako zarządcą, co prowadziłoby do iluzoryczności kontroli.  

‍

Ustawodawca rozwiązał ten dylemat w art. 210 § 2 k.s.h. (oraz odpowiednio art. 379 § 2 k.s.h. dla S.A.), wprowadzając wymóg formy aktu notarialnego dla każdej czynności prawnej między takim wspólnikiem a reprezentowaną przez niego spółką. W tym przypadku notariusz pełni funkcję strażnika legalności i autentyczności daty czynności, co ma zapobiegać działaniom na szkodę wierzycieli lub Skarbu Państwa (np. poprzez antydatowanie umów generujących koszty podatkowe).

‍

Kluczowe aspekty tego trybu to:

• Obowiązek powiadomienia sądu: Notariusz ma ustawowy obowiązek przesłania wypisu aktu notarialnego do sądu rejestrowego (KRS) za pośrednictwem systemu teleinformatycznego.  
• Szeroki zakres przedmiotowy: Wymóg formy aktu notarialnego dotyczy wszystkich umów (o pracę, najmu, sprzedaży, pożyczki), a także czynności jednostronnych, w tym rezygnacji z funkcji członka zarządu.  
• Wyjątek S24: Jedynym odstępstwem od formy notarialnej jest wykorzystanie wzorca umowy udostępnionego w systemie teleinformatycznym (S24), pod warunkiem, że dana czynność jest technicznie możliwa do przeprowadzenia w tym systemie.  

‍

Niezachowanie formy aktu notarialnego w opisanej konfiguracji skutkuje bezwzględną nieważnością czynności, co często wychodzi na jaw dopiero po latach, np. podczas kontroli ZUS lub w procesie upadłościowym, niosąc za sobą katastrofalne skutki finansowe dla wspólnika.

‍

Rodzaje umów

‍Częstym błędem jest mniemanie, że art. 210 k.s.h. dotyczy wyłącznie umów o pracę lub kontraktów menedżerskich bezpośrednio związanych z pełnieniem funkcji zarządczych. Wykładnia systemowa i funkcjonalna, potwierdzona licznymi orzeczeniami Sądu Najwyższego, wskazuje na znacznie szerszy zakres zastosowania tych przepisów.

‍

Należy zwrócić uwagę na problem umów zawieranych z podmiotami powiązanymi z członkiem zarządu. Choć litera prawa mówi o umowie "między spółką a członkiem zarządu", orzecznictwo rozciąga ten wymóg na sytuacje, w których stroną umowy jest osoba trzecia działająca w porozumieniu lub na rachunek członka zarządu (np. małżonek członka zarządu w ustroju wspólności majątkowej), jeśli czynność ta de facto dotyczy interesów majątkowych zarządcy.

‍

Status prokurenta a reprezentacja w umowach z zarządem

‍Jedną z najbardziej podstępnych pułapek prawnych w obrocie gospodarczym jest próba reprezentowania spółki przez prokurenta przy zawieraniu umów z członkami zarządu. Na pierwszy rzut oka wydaje się to rozwiązaniem logicznym - prokurent jest pełnomocnikiem handlowym o bardzo szerokim zakresie uprawnień, wpisanym do KRS, uprawnionym do reprezentowania spółki w czynnościach sądowych i pozasądowych.  

‍

Jednakże orzecznictwo i doktryna są w tym zakresie nieubłagane: prokurent nie może reprezentować spółki w umowie z członkiem zarządu. Wynika to z faktu, że prokura jest udzielana przez zarząd (organ, którego członkiem jest kontrahent), co stwarza bezpośredni stosunek podległości i zależności. Dopuszczenie prokurenta do takiej reprezentacji stanowiłoby rażące obejście art. 210 k.s.h., gdyż członek zarządu mógłby wywierać presję na prokurenta w celu uzyskania korzystnych dla siebie warunków umowy. Umowa podpisana przez prokurenta z członkiem zarządu jest bezwzględnie nieważna, co bywa boleśnie weryfikowane przez sądy pracy i ZUS.

‍

Ryzyka ubezpieczeniowe i podatkowe związane z wadliwą reprezentacją‍

Dla wielu przedsiębiorców kwestia reprezentacji przy podpisywaniu umów o pracę wydaje się czysto teoretycznym problemem prawnym, dopóki nie spotkają się z kontrolą organów państwowych. Skutki wadliwej reprezentacji przenoszą się bowiem bezpośrednio na grunt prawa ubezpieczeń społecznych oraz prawa podatkowego, generując ryzyka o skali często przekraczającej kapitał zakładowy spółki.

‍

Zakwestionowanie tytułu ubezpieczenia przez ZUS

‍Zakład Ubezpieczeń Społecznych rutynowo kontroluje umowy o pracę zawierane z członkami zarządu. W przypadku stwierdzenia, że umowa została podpisana np. przez innego członka zarządu zamiast pełnomocnika powołanego uchwałą wspólników, ZUS wydaje decyzję o niepodleganiu ubezpieczeniom społecznym z tytułu tej umowy.  Konsekwencje takiej decyzji są wielopłaszczyznowe:

• Brak prawa do świadczeń: Członek zarządu traci prawo do zasiłku chorobowego, macierzyńskiego czy świadczenia rehabilitacyjnego. Jeśli świadczenia te zostały już wypłacone, ZUS nakazuje ich zwrot jako nienależnie pobranych.  
• Korekta składek: Spółka musi dokonać korekt deklaracji rozliczeniowych za lata wstecz, co wiąże się ze skomplikowanymi procedurami księgowymi i potencjalnymi sankcjami karnoskarbowymi.
• Problem z emeryturą: Okres pracy na podstawie nieważnej umowy nie zalicza się do stażu ubezpieczeniowego, co wpływa na przyszłą wysokość świadczeń emerytalnych.

‍

Warto zauważyć, że Sąd Najwyższy dopuszcza niekiedy uznanie, że stosunek pracy nawiązał się w sposób dorozumiany poprzez faktyczne dopuszczenie do pracy i wypłacanie wynagrodzenia, jednakże wymaga to wykazania, że ta "dorozumiana akceptacja" pochodziła od organu uprawnionego do reprezentacji (rady nadzorczej lub pełnomocnika wspólników), co w praktyce jest niezwykle trudne do udowodnienia.  

‍

Konsekwencje w podatku dochodowym (CIT)‍

Z punktu widzenia urzędu skarbowego, nieważność umowy o pracę lub kontraktu menedżerskiego oznacza, że wypłacone na ich podstawie wynagrodzenia nie mogą stanowić kosztu uzyskania przychodu dla spółki. W trakcie kontroli skarbowej organ może wyłączyć te kwoty z kosztów, co prowadzi do zaniżenia dochodu i powstania zaległości w podatku CIT. Do kwoty głównej doliczane są odsetki za zwłokę, które przy wieloletnich zaniedbaniach mogą osiągać znaczne wartości. Ponadto, brak ważnej umowy może być interpretowany jako ukryta dywidenda lub nieodpłatne świadczenie, co generuje dodatkowe ryzyka podatkowe po stronie zarówno spółki, jak i samego członka zarządu.

‍

Dla zapewnienia pełnego bezpieczeństwa prawnego, proces zawierania umowy z członkiem zarządu w typowej spółce z o.o. powinien przebiegać według następującego schematu, eliminującego punkty zapalne zidentyfikowane w orzecznictwie.

‍

Procedura krok po kroku

Krok 1: Przygotowanie dokumentacji zgromadzenia

‍Przed podjęciem uchwały należy przygotować projekt umowy (o pracę, B2B, najmu), który będzie stanowił załącznik do uchwały o powołaniu pełnomocnika. Pozwala to uniknąć zarzutu, że pełnomocnik otrzymał "czek in blanco" i działał bez realnych wytycznych od wspólników.  

‍

Krok 2: Zwołanie i przebieg zgromadzenia wspólników

‍Zgromadzenie musi odbyć się fizycznie (lub z wykorzystaniem środków komunikacji elektronicznej, jeśli umowa spółki na to pozwala). Należy zadbać o:

• Listę obecności: Potwierdzającą kworum niezbędne do podjęcia uchwały.
• Tajność głosowania: Przygotowanie kart do głosowania, co jest kluczowe w sprawach osobowych (powołanie pełnomocnika jest taką sprawą).  
• Precyzyjną treść uchwały: Wskazującą imię i nazwisko pełnomocnika, jego PESEL (dla celów identyfikacyjnych), oraz dokładny zakres umocowania (np. "zawarcie umowy najmu lokalu przy ul. Krochmalnej w Warszawie z Panem Janem Kowalskim - Prezesem Zarządu").  

‍

Krok 3: Podpisanie dokumentów‍

Umowę podpisują dwie osoby: wyznaczony pełnomocnik (w imieniu spółki) oraz członek zarządu (w imieniu własnym). Ważne jest, aby daty na uchwale o powołaniu pełnomocnika i na samej umowie były logicznie skorelowane - umowa nie może mieć daty wcześniejszej niż uchwała o umocowaniu pełnomocnika.  

‍

Krok 4: Archiwizacja i zgłoszenia

‍Uchwałę o powołaniu pełnomocnika należy przechowywać w księdze protokołów spółki. Nie ma obowiązku zgłaszania takiego pełnomocnika do KRS (chyba że jest to PSA i dany pełnomocnik pełni funkcję o charakterze stałym, co jest rzadkością). W przypadku spółki jednoosobowej, akt notarialny jest automatycznie przesyłany do sądu przez notariusza.  

‍

Analiza specyficznych przypadków

‍W obrocie prawnym występują sytuacje, które wykraczają poza standardowy model art. 210 k.s.h.

‍

Spółka w organizacji

‍Okres między podpisaniem umowy spółki (zawiązaniem) a jej wpisem do KRS jest okresem funkcjonowania tzw. spółki w organizacji. W tym czasie spółka może już zaciągać zobowiązania i zatrudniać pracowników. Reprezentacja spółki w organizacji w relacjach z członkiem zarządu odbywa się poprzez pełnomocnika powołanego jednomyślną uchwałą wszystkich wspólników. Jest to wymóg surowszy niż przy spółce już zarejestrowanej, gdzie wystarcza zwykła lub bezwzględna większość głosów.  

‍

Były członek zarządu

‍Niezwykle ważnym rozróżnieniem jest status osoby w momencie dokonywania czynności. Jeśli spółka zawiera umowę z osobą, która została już skutecznie odwołana z zarządu (mandat wygasł), art. 210 k.s.h. nie znajduje zastosowania. W takiej sytuacji spółkę reprezentuje aktualny zarząd na zasadach ogólnych. Problemy pojawiają się jednak przy odwołaniach z datą przyszłą - jeśli w dniu podpisania umowy o rozwiązaniu stosunku pracy osoba ta formalnie wciąż jest członkiem zarządu, rygory art. 210 k.s.h. muszą zostać zachowane.  

‍

Spór z członkiem zarządu

‍Przepisy art. 210 i 379 k.s.h. dotyczą nie tylko umów, ale również wszelkich sporów. Oznacza to, że jeśli spółka chce pozwać członka zarządu (np. o odszkodowanie za działanie na szkodę spółki) lub członek zarządu pozywa spółkę, zarząd nie może reprezentować spółki w tym procesie. Spółkę w sądzie musi reprezentować albo rada nadzorcza, albo pełnomocnik powołany przez wspólników. Wyjątkiem jest proces o uchylenie uchwały wspólników, w którym - pod pewnymi warunkami - spółkę mogą reprezentować pozostali członkowie zarządu (art. 253 k.s.h.).  

‍

‍System S24‍

Wprowadzenie systemu S24 oraz postępująca cyfryzacja postępowań rejestrowych wymusiły na ustawodawcy dostosowanie przepisów o szczególnej reprezentacji do realiów cyfrowych. Obecnie możliwe jest podjęcie uchwały o powołaniu pełnomocnika w trybie S24, przy wykorzystaniu wzorca udostępnionego w systemie.  

‍

Należy jednak pamiętać o ograniczeniach:

• Sztywność wzorców: System S24 oferuje gotowe szablony, które nie zawsze pozwalają na precyzyjne określenie skomplikowanych warunków umownych.
• Weryfikacja tożsamości: Konieczność posiadania kwalifikowanego podpisu elektronicznego lub profilu zaufanego przez wszystkich wspólników biorących udział w głosowaniu.
• Ryzyko techniczne: Błędy w systemie teleinformatycznym nie zwalniają z odpowiedzialności za zachowanie rygorów ustawowych.

‍

W przyszłości można spodziewać się dalszej integracji systemów notarialnych z KRS, co może doprowadzić do automatyzacji weryfikacji umów z członkami zarządu przez sądy rejestrowe, jeszcze bardziej ograniczając pole do błędów, ale i wymuszając na firmach jeszcze większą dyscyplinę korporacyjną.

‍