Wprowadzenie: Sztuczna inteligencja jest już codziennością w e-commerce
Niewielu sprzedawców internetowych zdaje sobie sprawę, że Akt o sztucznej inteligencji (Rozporządzenie AI) wywołał pierwsze obowiązki już od lutego 2025 r. Kto nadal uważa, że AI dotyczy wyłącznie dużych platform lub firm technologicznych, ryzykuje kary administracyjne i pozwy konkurencji – często nawet wtedy, gdy sam nie eksploatuje własnego systemu AI.
Sztuczna inteligencja po cichu, ale radykalnie zmieniła handel internetowy. Rekomendacje produktów, dynamiczne ustalanie cen, chatboty w obsłudze klienta, zapobieganie oszustwom, reklama spersonalizowana czy generowanie treści – systemy AI sterują dziś niemal każdym kluczowym procesem w sklepie internetowym. Wielu sprzedawców postrzega te funkcje jako zwykłe „narzędzia”, nie dostrzegając, że stały się one częścią ściśle regulowanych ram prawnych.
Na mocy rozporządzenia (UE) 2024/1689 w sprawie sztucznej inteligencji (AI Act) UE po raz pierwszy wprowadziła wiążący, horyzontalny reżim prawny dotyczący wykorzystania AI. Obejmuje on nie tylko twórców systemów, lecz także podmioty je stosujące – tzw. „deployers”, czyli użytkowników systemów AI. Sklepy internetowe wchodzą więc w zakres stosowania przepisów nawet wtedy, gdy korzystają wyłącznie z zewnętrznego oprogramowania lub rozwiązań SaaS.
Skutek jest jasny: handel internetowy otrzymuje nową warstwę compliance. Obok ochrony danych osobowych, prawa konkurencji i ochrony konsumentów pojawiają się autonomiczne, obowiązujące w całej UE obowiązki dotyczące AI.
Rozporządzenie AI obowiązuje od 1 sierpnia 2024 r., jednak jego przepisy wchodzą w życie stopniowo – a dla sprzedawców już od początku 2025 r. pojawiły się konkretne zadania.
Ramy prawne: Co reguluje Rozporządzenie AI?
Rozporządzenie AI opiera się na ocenie ryzykowności. Decydujące nie są zastosowane technologie, lecz ryzyko związane z ich wykorzystaniem. Rozporządzenie wyróżnia cztery poziomy:
- Zakazane praktyki AI (Art. 5): Systemy, które manipulują ludźmi, wykorzystują ich słabości lub istotnie zniekształcają zachowanie, są zabronione.
- Systemy wysokiego ryzyka (Art. 6 w zw. z załącznikiem III): Należą do nich m.in. aplikacje do oceny zdolności kredytowej, modele scoringowe czy systemy biometrycznej identyfikacji. Obowiązują tu rygorystyczne wymogi: zarządzanie ryzykiem, dokumentacja techniczna, jakość danych, przejrzystość, ocena zgodności i stały nadzór.
- Obowiązki transparentności (Art. 50): Nawet systemy o niższym ryzyku muszą ujawniać, kiedy użytkownik ma do czynienia z AI lub gdy treści powstały w sposób zautomatyzowany.
- Modele bazowe / AI ogólnego przeznaczenia (Art. 53 i nast.): Duże generatory tekstu i obrazu podlegają dodatkowym obowiązkom dokumentacyjnym i informacyjnym – istotne dla sklepów, które integrują takie usługi.
Harmonogram wdrażania pokazuje pilność tematu:
- luty 2025 r.: obowiązek szkolenia pracowników pracujących z systemami AI,
- sierpień 2025 r.: zakaz określonych praktyk niedopuszczalnych,
- sierpień 2026 r.: obowiązki transparentności, np. oznaczanie treści generowanych przez AI,
- sierpień 2027 r.: pełne stosowanie reżimu dla systemów wysokiego ryzyka.
W praktyce to właśnie w e-commerce najszybciej odczuwalne są pierwsze obowiązki – w szczególności w zakresie szkoleń i relacji umownych. Odkładanie działań na później nie wchodzi w grę.
Dlaczego szczególnie e-commerce jest objęty regulacją
Wielu sprzedawców uważa, że korzysta jedynie ze „standardowego oprogramowania”. W rzeczywistości AI w e-commerce jest głęboko zakorzeniona w kluczowych procesach handlowych – i to właśnie tam sięga Rozporządzenie AI.
Chatboty i komunikacja z klientem
Wiele sklepów używa chatbotów opartych na AI do automatycznego obsługiwania zapytań klientów. Zgodnie z art. 50 ust. 1 Rozporządzenia AI użytkownicy będą najpóźniej od sierpnia 2026 r. musieli być informowani, że komunikują się z systemem AI.
Przykład: Chatbot odpowiada na pytania o dostawę, a klient nie wie, że rozmawia z AI. Od 2026 r. może to stanowić naruszenie Rozporządzenia o AI – a jednocześnie potencjalne wprowadzenie w błąd w rozumieniu § 5 niemieckiej ustawy o zwalczaniu nieuczciwej konkurencji (UWG), ponieważ powstaje wrażenie obsługi przez człowieka.
To, jak dokładnie ma wyglądać oznaczenie, pozostaje jeszcze otwarte. Możliwe są np. wizualne etykiety („asystent AI”), informacje w oknie czatu lub automatyczne zdania wprowadzające. Kluczowe będą tutaj akty wykonawcze Komisji (art. 96 Rozporządzenia AI) oraz wytyczne organów nadzorczych.
Sprzedawcy powinni już teraz dokonać przeglądu stosowanych chatbotów. Wczesne oznaczanie i dokumentowanie ogranicza późniejszą presję czasową.
Rekomendacje produktów i reklama spersonalizowana
Systemy rekomendacyjne i reklama spersonalizowana to podstawowe funkcje wielu sklepów internetowych. Analizują zachowania zakupowe i wyświetlają odpowiednie propozycje. Dopuszczalna pozostaje jawna, oparta na zainteresowaniach personalizacja (np. w oparciu o wcześniejsze zakupy).
Problem pojawia się wtedy, gdy algorytmy są nastawione na ukierunkowane wywieranie wpływu. Zgodnie z art. 5 ust. 1 lit. a Rozporządzenia AI zabronione jest stosowanie systemów AI wykorzystujących podprogowe, celowo manipulacyjne lub wprowadzające w błąd techniki w celu istotnej zmiany zachowania osoby.
Ścisły związek z Aktem o usługach cyfrowych (DSA) jest oczywisty: tzw. „dark patterns” są tam już zakazane na platformach internetowych. Obecnie temat ten wysuwa się na pierwszy plan również w odniesieniu do sklepów internetowych jako potencjalnie zakazana manipulacyjna praktyka AI w rozumieniu art. 5 Rozporządzenia AI.
Przykład: System rozpoznaje na podstawie wzorców zachowań skłonność do hazardu i wyświetla użytkownikowi oferty gier, albo algorytm tworzy sztuczne poczucie presji („zostało tylko 5 sztuk”), ponieważ zidentyfikował wysoką gotowość do zakupu.
Byłyby to klasyczne przykłady zakazanych manipulacyjnych praktyk AI. Natomiast przejrzysta, oparta na zainteresowaniach rekomendacja produktów w oparciu o wcześniejsze zakupy lub zastosowane filtry pozostaje dozwolona.
W handlu online granica między personalizacją a manipulacją jest płynna. Błędne oceny i ryzyko roszczeń konkurencji są bardzo realne. W praktyce niezbędne jest więc przeanalizowanie systemów pod kątem mechanizmów presji i wprowadzania w błąd, zapewnienie jasnej informacji dla użytkowników oraz stworzenie wewnętrznego katalogu „czerwonych flag” dla ryzykownych rozwiązań.
Zapobieganie oszustwom i scoring
Wiele sklepów wykorzystuje AI do zapobiegania oszustwom, np. do oceny zdolności kredytowej albo wykrywania nietypowych wzorców płatności. Zgodnie z załącznikiem III pkt 5 Rozporządzenia o AI systemy te zaliczają się do kategorii wysokiego ryzyka.
Przykład: Sklep automatycznie oblicza ryzyko niewypłacalności i automatycznie wyklucza określone grupy klientów z zakupu z odroczoną płatnością. Wówczas zastosowanie znajdzie reżim wysokiego ryzyka, a wraz z nim szerokie obowiązki compliance: zarządzanie ryzykiem (art. 9), jakość danych (art. 10), dokumentacja techniczna (art. 11) oraz ciągły monitoring.
Szczególnie wrażliwy jest punkt styku z RODO. Trybunał Sprawiedliwości UE w wyroku z 7.12.2023 r., C-634/21 – SCHUFA, potwierdził, że zautomatyzowany scoring może stanowić zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach w rozumieniu art. 22 RODO (art. 22 GDPR). Rozporządzenie AI i RODO stosują się więc równolegle – wraz z szerokimi obowiązkami w zakresie przejrzystości i praw osób, których dane dotyczą.
Dla e-commerce oznacza to: zapobieganie oszustwom nie może pozostawać „czarną dziurą”. Sprzedawcy muszą w sposób zrozumiały udokumentować, według jakich kryteriów zapadają decyzje, jak przetwarzane są dane i kto ponosi odpowiedzialność. Tylko podmioty rozumiejące i dokumentujące logikę swoich systemów scoringowych opartych na AI są w stanie kontrolować ryzyko odpowiedzialności.
Treści generowane przez AI
Coraz częściej sprzedawcy zlecają automatyczne tworzenie opisów produktów, zdjęć czy treści reklamowych. Zgodnie z art. 50 ust. 2 Rozporządzenia AI takie treści będą musiały w przyszłości być wyraźnie oznaczane jako wygenerowane przez AI, aby zapewnić przejrzystość wobec konsumentów.
Przykład: Sklep internetowy publikuje automatycznie wygenerowane opinie o produktach bez oznaczenia ich jako teksty AI. Od sierpnia 2026 r. będzie to nie tylko naruszenie art. 50 ust. 2 Rozporządzenia AI, lecz także potencjalne wprowadzenie w błąd w rozumieniu § 5 UWG, ponieważ klientom sugerowane są autentyczne opinie użytkowników.
W centrum zainteresowania znajdą się również prawa autorskie i dobra osobiste: jeżeli obrazy tworzone przez AI opierają się na materiałach chronionych prawem autorskim lub realistycznie przedstawiają konkretne osoby, może dojść do naruszenia praw osób trzecich. Sprzedawcy powinni dokumentować, jakich narzędzi używają, na jakich danych oparte są modele oraz jak wygląda dalsza obróbka.
Dla sklepów internetowych wskazane jest wprowadzenie wewnętrznej procedury oznaczania i weryfikowania treści generowanych przez AI. Obejmuje to kontrolę wyrywkową wygenerowanych tekstów i obrazów oraz jasne postanowienia umowne z agencjami i dostawcami usług dotyczące dopuszczalnego wykorzystania generatywnej AI. W ten sposób można uniknąć sytuacji, w której automatyzacja niepostrzeżenie prowadzi do wprowadzania w błąd lub naruszeń praw autorskich.
Ryzyka dla sprzedawców: Nie tylko kary administracyjne
Art. 99 i nast. Rozporządzenia AI przewidują kary pieniężne sięgające 35 mln euro lub 7% światowego rocznego obrotu. Dla wielu podmiotów e-commerce takie kwoty są egzystencjalnym zagrożeniem.
W praktyce szczególne znaczenie ma połączenie z prawem konkurencji: naruszenia obowiązków transparencji mogą jednocześnie stanowić czyny nieuczciwej konkurencji i być podstawą roszczeń konkurentów. Powstaje więc podwójna presja – ze strony organów oraz konkurentów rynkowych.
Rekomendacje praktyczne dla e-commerce
Dla sklepów internetowych wniosek jest jednoznaczny: strategia „poczekamy i zobaczymy” nie działa. Wdrażanie Rozporządzenia AI I to nie temat przyszłości, lecz bieżące zadanie compliance.
Pięć kroków, które należy podjąć już teraz:
- Inwentaryzacja: Jakie systemy zawierają komponenty AI – świadomie lub jako część zewnętrznych narzędzi?
- Prawidłowa integracja: Przegląd umów z dostawcami SaaS i usług – kto ponosi odpowiedzialność w razie naruszeń?
- Struktury compliance: Wyznaczenie osób odpowiedzialnych, przyjęcie polityk wewnętrznych, wdrożenie dokumentacji.
- Szkolenie pracowników: Wyraźnie wymagane od lutego 2025 r. – kluczowe dla budowania świadomości i ograniczania ryzyka odpowiedzialności.
- Zapewnienie przejrzystości: Klienci muszą jasno widzieć, gdzie wykorzystywana jest AI.
Te działania warto uzupełnić wewnętrzną matrycą ryzyka, w której każde narzędzie AI jest oceniane pod kątem poziomu ryzyka, źródła danych i odpowiedzialności. Ułatwia to ustalanie priorytetów dla działań compliance.
Nie tylko Rozporządzenie AI: inne zagadnienia prawne związane z AI
Wykorzystanie sztucznej inteligencji nie jest wyłącznie zagadnieniem technicznym. Dotyka wielu dziedzin prawa, które łącznie tworzą ramy dla tzw. „AI compliance”.
Ochrona danych osobowych – skąd pochodzą dane?
Systemy AI działają wyłącznie dzięki danym treningowym i eksploatacyjnym. Sprzedawcy muszą ustalić w szczególności:
- czy dane są pozyskiwane w sposób zgodny z prawem (art. 6 RODO),
- czy można je wykorzystywać do danego celu, czy też mamy do czynienia z nowym celem przetwarzania,
- czy osoby, których dane dotyczą, muszą zostać poinformowane, że ich dane są wprowadzane do systemu AI.
Przy korzystaniu z zewnętrznych narzędzi AI należy zweryfikować, czy przetwarzanie danych jest przejrzyste i zgodne z RODO. W przeciwnym razie grożą kary i szkody wizerunkowe.
Prawa autorskie i dobra osobiste – co trafia do AI?
Wiele modeli AI jest trenowanych na tekstach, obrazach lub muzyce chronionych prawem autorskim. Powstają m.in. następujące pytania:
- czy model może być trenowany na tych danych (prawo autorskie, licencje),
- czy wygenerowane treści mogą być wykorzystywane komercyjnie.
Istotne są także dobra osobiste: jeśli wykorzystywane są prawdziwe wizerunki, głosy czy nazwiska, może dojść do naruszenia prawa do wizerunku czy głosu.
Sprzedawcy powinni zatem żądać dowodów pochodzenia danych – zwłaszcza od zewnętrznych dostawców generatywnych narzędzi AI.
Zabezpieczenie umowne – co faktycznie dostarcza dostawca usług?
Podmioty nabywające oprogramowanie lub usługi marketingowe oparte na AI powinny w umowach jednoznacznie uregulować:
- skąd pochodzą dane treningowe lub wejściowe,
- kto ponosi odpowiedzialność, jeśli okaże się, że wykorzystano dane osobowe lub materiały chronione prawem autorskim w sposób bezprawny,
- jakie obowiązki informacyjne i compliance w zakresie Rozporządzenia AI przejmuje dostawca.
Umowy powinny także określać, w jaki sposób wolno korzystać z wygenerowanych treści oraz czy podlegają one obowiązkom oznaczania.
Polityki wewnętrzne – jak pracownicy mogą używać AI?
Korzystanie z AI musi zostać uregulowane wewnętrznie. Przedsiębiorstwa powinny wprowadzić wiążącą politykę AI, która określi m.in.:
- jakie narzędzia są dozwolone,
- jakie dane (np. dane klientów, umowy) nie mogą być wprowadzane do publicznych usług AI,
- jak postępować z treściami generowanymi przez AI (np. propozycje tekstów, tłumaczenia, obrazy).
Pracownicy nie mogą samodzielnie eksperymentować z wrażliwymi danymi. Może to naruszać przepisy o ochronie danych lub obowiązki poufności. Szkolenia i reguły dostępu powinny zapewnić zgodne z prawem korzystanie z AI.
Prawo konkurencji i wprowadzanie w błąd
Jeżeli treści generowane przez AI lub chatboty sprawiają wrażenie komunikacji z człowiekiem, grozi naruszenie § 5 UWG (wprowadzanie w błąd).
Również nieoznaczone opinie o produktach generowane przez AI czy treści reklamowe mogą być uznane za czyny nieuczciwej konkurencji.
Przed publikacją warto sprawdzić, czy dana treść nie stwarza fałszywego wrażenia ludzkiego autorstwa lub autentyczności.
Odpowiedzialność i przypisanie winy
Kto odpowiada, jeśli system AI generuje błędne lub bezprawne wyniki?
Rozporządzenie AI wymaga, aby zawsze wskazana była odpowiedzialna osoba fizyczna lub prawna. Dla przedsiębiorstw oznacza to konieczność jasnego określenia odpowiedzialności, pisemnej dokumentacji oraz stałej kontroli stosowanych systemów.
Podsumowanie: Wczesne przygotowanie to konieczność
Rozporządzenie AI jest kamieniem milowym europejskiego prawa cyfrowego. Dla e-commerce oznacza on istotne rozszerzenie obowiązków regulacyjnych – również dla podmiotów, które korzystają wyłącznie z zewnętrznych narzędzi SaaS. W praktyce szczególne znaczenie mają obowiązki oznaczania chatbotów i treści generowanych przez AI, rozróżnienie między dopuszczalną personalizacją a manipulacją oraz kwalifikacja scoringu jako systemu wysokiego ryzyka.
Choć nadal brakuje szczegółowych wytycznych Komisji i organów nadzorczych, sprzedawcy powinni już teraz rozpocząć działania organizacyjne – inwentaryzację, szkolenia, dokumentację, przegląd umów – aby zdążyć z wdrożeniem obowiązków w przewidzianych terminach.
AI compliance sięga daleko poza samo Rozporządzenie AI. Obejmuje ochronę danych osobowych, prawo autorskie i umowne, prawo pracy, prawo konkurencji oraz odpowiedzialność cywilną. Przedsiębiorstwa powinny zawczasu wypracować jasne klauzule umowne, polityki wewnętrzne i procesy kontrolne, aby zapewnić, że wykorzystanie SI jest zabezpieczone od strony prawnej, technicznej i organizacyjnej.
Jako kancelaria wyspecjalizowana w prawie e-commerce, umów i zwalczaniu nieuczciwej konkurencji wspieramy Państwa w identyfikacji i zarządzaniu ryzykami prawnymi związanymi z wykorzystaniem AI w handlu internetowym – od przeglądu umów i analiz ryzyka po opracowanie szytych na miarę struktur compliance. Nasze doradztwo łączy precyzję prawną ze zrozumieniem biznesu – tak, aby AI tworzyła w Państwa firmie przede wszystkim szanse, a nie ryzyka.