AI Act a GDPR. Co zmieni się dla e-commerce w Polsce?

Sztuczna inteligencja od kilku lat napędza sprzedaż w e-commerce. Odpowiada za rekomendacje produktów, dynamiczne ceny, analizę zachowań użytkowników, a coraz częściej również za komunikację z klientem. Do tej pory głównym punktem odniesienia dla firm był RODO. Teraz do gry wchodzi kolejna regulacja – AI Act.

Dla przedsiębiorców w Polsce oznacza to nie tyle rewolucję, co rozszerzenie odpowiedzialności. GDPR nadal chroni dane osobowe. AI Act koncentruje się na systemach sztucznej inteligencji, ich bezpieczeństwie oraz wpływie na użytkowników. W praktyce obie regulacje będą stosowane równolegle.

GDPR już obowiązuje. Co dokłada AI Act?

GDPR reguluje przetwarzanie danych osobowych. Jeśli sklep internetowy analizuje historię zakupów, lokalizację, preferencje czy zachowania użytkownika, musi posiadać podstawę prawną przetwarzania danych, spełniać obowiązki informacyjne i respektować prawa osoby, której dane dotyczą.

AI Act nie zastępuje tych zasad. Dodaje jednak nową warstwę kontroli.

Nowa regulacja:

• klasyfikuje systemy AI według poziomu ryzyka,

• wprowadza obowiązki dokumentacyjne dla systemów wysokiego ryzyka,

• wymaga transparentności wobec użytkowników,

• nakłada obowiązek nadzoru człowieka w określonych przypadkach.

W e-commerce kluczowe staje się pytanie nie tylko o to, czy dane są przetwarzane legalnie, lecz także o to, czy sam system AI został zaprojektowany i wdrożony w sposób bezpieczny.

Personalizacja i dynamiczne ceny pod większą lupą

Jednym z najbardziej wrażliwych obszarów w e-commerce jest personalizacja ofert i cen.

Jeśli algorytm ustala cenę w oparciu o analizę konkretnego użytkownika, możemy mieć do czynienia z profilowaniem w rozumieniu GDPR. W określonych sytuacjach może to zostać uznane za zautomatyzowane podejmowanie decyzji, o którym mowa w art. 22 RODO.

AI Act wprowadza dodatkowy wymóg przejrzystości działania systemu. Przedsiębiorca powinien wiedzieć, w jaki sposób algorytm podejmuje decyzję, jakie dane wykorzystuje i czy nie prowadzi to do dyskryminacji określonych grup użytkowników.

W praktyce oznacza to:

• konieczność lepszej dokumentacji modeli rekomendacyjnych,

• analizę ryzyka związanego z automatycznym ustalaniem warunków oferty,

• przegląd komunikatów kierowanych do klientów.

Chatboty i generatywna AI

Wiele sklepów internetowych korzysta dziś z chatbotów opartych na modelach językowych. Z perspektywy GDPR istotne jest, czy rozmowy są zapisywane i czy zawierają dane osobowe. AI Act wprowadza obowiązek informowania użytkownika, że ma do czynienia z systemem sztucznej inteligencji. Oznacza to konieczność jasnego komunikatu, że rozmowa nie odbywa się z człowiekiem. Jeżeli chatbot wpływa na decyzje zakupowe w sposób istotny, przedsiębiorca powinien również zapewnić możliwość kontaktu z realnym konsultantem.

Scoring i płatności odroczone

Szczególne znaczenie ma obszar scoringu, na przykład przy zakupach z odroczoną płatnością. Jeżeli system AI ocenia wiarygodność klienta i podejmuje decyzję o przyznaniu usługi, może zostać uznany za system wysokiego ryzyka w rozumieniu AI Act.

W takim przypadku obowiązki będą znacznie szersze i mogą obejmować:

• ocenę zgodności przed wdrożeniem,

• system zarządzania ryzykiem,

• monitoring działania modelu,

• szczegółową dokumentację.

Równolegle obowiązują przepisy GDPR dotyczące zautomatyzowanego podejmowania decyzji i prawa do uzyskania informacji o logice działania systemu.

Co powinien zrobić e-commerce w Polsce już teraz?

Lata 2025–2027 to okres przejściowy, ale nie czas bezczynności. Firmy działające w Polsce powinny:

1. Zidentyfikować wszystkie systemy AI używane w organizacji.

2. Sprawdzić, czy wchodzą one w obszar profilowania lub automatycznych decyzji.

3. Ocenić, czy którykolwiek system może zostać zakwalifikowany jako wysokiego ryzyka.

4. Zaktualizować politykę prywatności i komunikaty informacyjne.

5. Uporządkować dokumentację dotyczącą działania algorytmów.

Warto pamiętać, że maksymalne kary administracyjne przewidziane w AI Act mogą sięgać 7 procent globalnego obrotu, a w GDPR do 4 procent. Organy nadzorcze będą mogły działać niezależnie w ramach swoich kompetencji.

Nowy standard odpowiedzialności

AI w e-commerce pozostanie jednym z najważniejszych narzędzi wzrostu. Regulacje nie zatrzymają jej rozwoju. Zmienią jednak sposób, w jaki firmy projektują i wdrażają systemy oparte na danych. Połączenie AI Act i GDPR tworzy nowy standard odpowiedzialności cyfrowej. Przedsiębiorcy, którzy potraktują go jako element strategii, a nie wyłącznie wymóg formalny, mogą nie tylko uniknąć ryzyka prawnego, lecz także zbudować silniejszą pozycję na rynku opartą na zaufaniu klientów.