Firma technologiczna z Mazowsza wdraża narzędzie do automatycznej oceny CV kandydatów. Dział prawny pyta: czy to system wysokiego ryzyka? Kiedy trzeba przeprowadzić ocenę zgodności? Co grozi za pominięcie tego kroku? Pytania brzmią technicznie, ale konsekwencje są jak najbardziej biznesowe – kary sięgają 35 milionów euro lub 7% globalnego obrotu rocznego.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689, znane jako AI Act, weszło w życie 1 sierpnia 2024 roku. Stosowanie jego przepisów przebiega etapami – od zakazu systemów niedopuszczalnych (luty 2025) przez obowiązki dla systemów wysokiego ryzyka (sierpień 2026) aż po pełne stosowanie rozporządzenia w sierpniu 2027 roku. Polskie firmy mają ograniczone okno czasowe na ocenę swoich systemów i wdrożenie wymaganych procedur.

Poniższy przewodnik prowadzi przez kolejne etapy harmonogramu AI Act – od klasyfikacji systemu, przez ocenę zgodności, po obowiązki dokumentacyjne i scenariusze branżowe. Każdy etap ma konkretny termin. Jego pominięcie zamyka drogę do legalnego wdrożenia i otwiera ryzyko odpowiedzialności regulacyjnej.

Czym jest AI Act i kogo dotyczy w Polsce?

AI Act obejmuje każdego, kto wprowadza do obrotu, oddaje do użytku lub używa systemów sztucznej inteligencji na terytorium Unii Europejskiej – niezależnie od miejsca siedziby producenta. Polskie firmy są objęte rozporządzeniem zarówno jako dostawcy własnych rozwiązań AI, jak i jako wdrożeniowcy systemów zakupionych od podmiotów trzecich. Rozróżnienie to ma znaczenie praktyczne, bo zakres obowiązków różni się w zależności od roli.

Rozporządzenie (UE) 2024/1689 wprowadza czterostopniową klasyfikację ryzyka. Systemy niedopuszczalne (np. scoring społeczny, manipulacja podprogowa) są zakazane od 2 lutego 2025 roku. Systemy wysokiego ryzyka – w obszarach rekrutacji, kredytowania, biometrii, infrastruktury krytycznej i edukacji – podlegają najsurowszym wymogom. Systemy ogólnego przeznaczenia (GPAI) mają osobne obowiązki przejrzystości. Systemy niskiego ryzyka objęte są jedynie dobrowolnymi kodeksami postępowania.

W Polsce nadzór sprawuje organ wyznaczony na podstawie art. 70 AI Act – na razie trwają prace legislacyjne nad jego wskazaniem. Urząd Ochrony Danych Osobowych (UODO) pozostaje właściwy w zakresie, w jakim systemy AI przetwarzają dane osobowe, co oznacza równoległe stosowanie RODO i AI Act. Dla sektora finansowego dodatkową warstwę tworzy DORA, stosowane od 17 stycznia 2025 roku przez podmioty nadzorowane przez KNF.

Firmy z branży IT i produkcyjnej często błędnie zakładają, że skoro kupują gotowe rozwiązanie, obowiązki spoczywają wyłącznie na dostawcy. To nieprawda. Wdrożeniowiec systemu wysokiego ryzyka odpowiada za jego właściwe stosowanie, szkolenie personelu i monitorowanie po wdrożeniu.

Jak wygląda harmonogram wdrożenia AI Act krok po kroku?

AI Act stosuje się stopniowo przez trzy lata od wejścia w życie. Każdy etap niesie konkretne obowiązki. Pominięcie wcześniejszego etapu nie zwalnia z odpowiedzialności za etap późniejszy – przeciwnie, brak dokumentacji z wcześniejszych faz będzie pierwszym dowodem naruszenia podczas kontroli.

Etap 1 – zakaz systemów niedopuszczalnych (2 lutego 2025 r.): Od tej daty zakazane jest stosowanie systemów AI wymienionych w art. 5 rozporządzenia. Dotyczy to m.in. systemów oceny społecznej obywateli przez władze publiczne, manipulacji behawioralnej wykorzystującej słabości użytkownika oraz – z pewnymi wyjątkami – identyfikacji biometrycznej w czasie rzeczywistym w przestrzeni publicznej. Firmy korzystające z podobnych narzędzi powinny były zakończyć ich stosowanie przed tą datą.

Etap 2 – obowiązki dla modeli GPAI (2 sierpnia 2025 r.): Dostawcy modeli ogólnego przeznaczenia (np. dużych modeli językowych) muszą zapewnić dokumentację techniczną, politykę praw autorskich i przestrzeganie unijnych standardów. Modele o systemowym ryzyku (powyżej progu 10^25 FLOP) podlegają dodatkowej ocenie.

Etap 3 – systemy wysokiego ryzyka i pełne stosowanie (2 sierpnia 2026 r. i 2 sierpnia 2027 r.): Od sierpnia 2026 roku obowiązują wymogi dla systemów wysokiego ryzyka wymienionych w Załączniku III – w tym systemy rekrutacyjne, scoringowe i biometryczne. Pełne stosowanie rozporządzenia, w tym dla systemów z Załącznika I (produkty objęte harmonizacją sektorową), następuje 2 sierpnia 2027 roku.

  • Inwentaryzacja systemów AI używanych w firmie – do 30 kwietnia 2025 r.
  • Klasyfikacja ryzyka każdego systemu – do 30 czerwca 2025 r.
  • Ocena zgodności dla systemów wysokiego ryzyka – przed 2 sierpnia 2026 r.
  • Rejestracja w unijnej bazie danych (EU AI Database) – razem z oceną zgodności.
  • Wdrożenie systemu zarządzania ryzykiem i monitoringu po wdrożeniu – ciągłe.

W praktyce – wiele firm o tym zapomina – termin sierpień 2026 r. jest bliższy, niż wygląda. Ocena zgodności systemu wysokiego ryzyka wymaga od kilku do kilkunastu miesięcy pracy. Firma, która zacznie w lipcu 2026 roku, nie zdąży.

Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie inwentaryzacji i wstępnej klasyfikacji do końca pierwszego kwartału 2025 roku. To daje czas na właściwą dokumentację i ewentualne korekty systemu przed terminem regulacyjnym.

Konkretna sytuacja Państwa firmy może wymagać oceny, które systemy AI wchodzą w zakres obowiązków i w jakim terminie. Niepodjęcie działań przed sierpniem 2026 roku może nieodwracalnie narazić Państwa organizację na sankcje administracyjne. Aby otrzymać ocenę sytuacji, napisz do info@kordeckipartners.com.

Jakie błędy popełniają polskie firmy przy wdrożeniu AI Act?

Błędy przy wdrożeniu AI Act mają wspólny mianownik: zbyt późny start, błędna klasyfikacja systemu i lekceważenie obowiązków wdrożeniowca. Każdy z tych błędów może skutkować karą do 15 milionów euro lub 3% globalnego obrotu – albo, przy najpoważniejszych naruszeniach, do 35 milionów euro lub 7% obrotu.

Firma produkcyjna z Dolnego Śląska wdrożyła jesienią 2024 roku system AI do predykcji awarii maszyn. Dział prawny zakwalifikował go jako niskiego ryzyka. Po analizie okazało się, że system wpływał pośrednio na decyzje kadrowe – kiedy maszyna była przewidywana jako awaryjna, zmieniano grafik operatorów. To wystarczyło do zakwalifikowania jako system wysokiego ryzyka w obszarze zatrudnienia.

Najczęstsze błędy to:

  • Klasyfikacja systemu bez analizy rzeczywistego wpływu na decyzje dotyczące osób fizycznych.
  • Przyjęcie, że odpowiedzialność leży wyłącznie po stronie dostawcy oprogramowania.
  • Brak dokumentacji technicznej wymaganej przez AI Act – niemożliwej do odtworzenia po fakcie.
  • Pominięcie wymogu przejrzystości wobec użytkowników w systemach interakcji człowiek-AI.
  • Nieuwzględnienie AI Act w umowach z dostawcami i klauzulach SLA.

Osobna pułapka dotyczy styku AI Act z RODO. Systemy AI przetwarzające dane osobowe podlegają jednocześnie obydwu reżimom. Audyt RODO ujawniający luki w polskich firmach często pokazuje, że dokumentacja przetwarzania danych jest niekompletna – a ta sama dokumentacja jest punktem wyjścia dla oceny zgodności AI Act. Brak porządku w RODO automatycznie komplikuje wdrożenie AI Act.

Dla firm z sektora finansowego dochodzi trzecia warstwa: DORA. Rozporządzenie (UE) 2022/2554, stosowane od 17 stycznia 2025 roku, wymaga zarządzania ryzykiem ICT i zgłaszania incydentów do KNF. Systemy AI używane przez banki, towarzystwa ubezpieczeniowe i domy maklerskie muszą być zgodne z DORA, AI Act i RODO jednocześnie. Nakładanie się tych reżimów to jeden z najtrudniejszych problemów compliance w 2025 roku.

Trzy scenariusze branżowe – jak wdrożyć AI Act w praktyce?

Abstrahując od ogólnych zasad, harmonogram AI Act wygląda inaczej dla firmy produkcyjnej, inaczej dla spółki IT, a jeszcze inaczej dla zagranicznego inwestora wchodzącego na rynek polski. Każdy scenariusz ma inne punkty krytyczne i inne terminy działania.

Scenariusz 1 – firma produkcyjna: Przedsiębiorstwo z branży automotive z Wielkopolski używa systemu AI do kontroli jakości na linii produkcyjnej. System analizuje obrazy i odrzuca wadliwe elementy. Klasyfikacja: niskie ryzyko (brak wpływu na prawa osób fizycznych). Obowiązki: dobrowolny kodeks postępowania, dokumentacja wewnętrzna. Termin krytyczny: nie ma obowiązkowej oceny zgodności. Jednak jeśli ten sam system wpływa na decyzje o zatrudnieniu operatorów – klasyfikacja zmienia się na wysokie ryzyko i termin to sierpień 2026 r.

Scenariusz 2 – spółka IT jako dostawca AI: Startup z Krakowa oferuje SaaS do automatycznej analizy umów dla kancelarii prawnych i działów prawnych korporacji. System klasyfikuje klauzule i sugeruje zmiany. Klasyfikacja: niskie ryzyko (wspomaga, nie zastępuje decyzji prawnika). Obowiązki: wymogi przejrzystości – użytkownik musi wiedzieć, że pracuje z AI. Termin: od 2 sierpnia 2026 r. obowiązuje rejestracja, jeśli system zostanie przekwalifikowany. Koszt oceny zgodności dla systemu niskiego ryzyka: kilka tysięcy złotych dokumentacji wewnętrznej. Dla systemu wysokiego ryzyka – kilkadziesiąt tysięcy złotych i kilka miesięcy pracy.

Scenariusz 3 – zagraniczny inwestor: Dla niemieckiego inwestora wchodzącego na rynek polski z platformą HR opartą na AI (automatyczna selekcja CV, scoring kandydatów) sytuacja jest jednoznaczna. System rekrutacyjny wymieniony jest wprost w Załączniku III AI Act jako system wysokiego ryzyka. Wymagana jest ocena zgodności przed wprowadzeniem do obrotu w UE, rejestracja w EU AI Database i wyznaczenie przedstawiciela w Unii, jeśli dostawca nie ma siedziby w UE. Termin: 2 sierpnia 2026 r. Kara za naruszenie: do 35 milionów euro lub 7% globalnego obrotu.

Warto przy okazji pamiętać, że zmiany w otoczeniu regulacyjnym nie ograniczają się do AI. Nowe definicje budynku i budowli, które weszły w życie od 2025 roku, mogą wpływać na klasyfikację infrastruktury technicznej – co jest szczególnie istotne dla firm inwestujących w centra danych. Szczegóły omawia artykuł o podatku od nieruchomości i nowych definicjach od 2025 roku.

Konkretna sytuacja Państwa firmy – niezależnie od branży – wymaga indywidualnej oceny klasyfikacji systemu AI. Błędna klasyfikacja to nieodwracalne ryzyko: dokumentacja sporządzona dla systemu niskiego ryzyka nie zastąpi oceny zgodności wymaganej dla systemu wysokiego ryzyka. Jeśli Państwa spółka wdraża lub planuje wdrożenie systemu AI w obszarze HR, finansów lub infrastruktury krytycznej – przeprowadzimy klasyfikację i ocenę zgodności: info@kordeckipartners.com.

Co przygotować przed terminem sierpień 2026 – praktyczna lista kontrolna?

Ocena zgodności systemu wysokiego ryzyka to nie jednorazowy dokument – to proces, który wymaga zaangażowania działów prawnego, IT i HR jednocześnie. Firmy, które zaczną od listy kontrolnej, unikają najkosztowniejszego błędu: odkrycia w ostatniej chwili, że system wymaga przeprojektowania.

Firma usługowa z Trójmiasta, która wiosną 2025 roku przeprowadziła inwentaryzację systemów AI, odkryła, że używa siedmiu różnych narzędzi opartych na AI – z czego trzy wymagały szczegółowej analizy klasyfikacji ryzyka. Bez inwentaryzacji firma dowiedziałaby się o tym dopiero podczas kontroli regulatora.

Lista kontrolna – co przygotować przed sierpniem 2026 r.:

  • Rejestr systemów AI: pełna lista narzędzi AI używanych lub wprowadzanych do obrotu, z opisem funkcji i obszaru zastosowania.
  • Klasyfikacja ryzyka: udokumentowana analiza każdego systemu według kryteriów AI Act (Załączniki I i III).
  • Dokumentacja techniczna: dla systemów wysokiego ryzyka – zgodna z art. 11 i Załącznikiem IV AI Act.
  • System zarządzania ryzykiem: procedury identyfikacji, oceny i mitygacji ryzyk związanych z systemem AI.
  • Umowy z dostawcami: klauzule compliance AI Act w kontraktach z zewnętrznymi dostawcami systemów AI.

Znak towarowy i ochrona własności intelektualnej to dodatkowy wymiar – systemy AI generujące treści mogą naruszać prawa autorskie lub znaki towarowe osób trzecich. Kancelaria IP Warszawa powinna być włączona w analizę systemów generatywnych już na etapie klasyfikacji ryzyka, nie po wdrożeniu.

Harmonogram wdrożenia AI Act to nie projekt jednorazowy. Rozporządzenie wymaga ciągłego monitoringu po wdrożeniu, aktualizacji dokumentacji przy każdej istotnej zmianie systemu i raportowania poważnych incydentów do właściwego organu nadzoru. Firmy, które traktują compliance jako projekt z datą zakończenia, ponoszą największe ryzyko.

Często zadawane pytania

P: Kiedy dokładnie muszę przeprowadzić ocenę zgodności systemu wysokiego ryzyka?

O: Ocena zgodności musi zostać zakończona przed wprowadzeniem systemu do obrotu lub oddaniem go do użytku – nie później niż 2 sierpnia 2026 roku dla systemów wymienionych w Załączniku III rozporządzenia (UE) 2024/1689. W praktyce proces trwa od kilku do kilkunastu miesięcy, co oznacza, że firmy powinny rozpocząć prace najpóźniej w pierwszym kwartale 2025 roku. Dla systemów objętych harmonizacją sektorową (Załącznik I) pełny obowiązek stosowania nastąpi 2 sierpnia 2027 roku.

P: Czy firma, która kupuje gotowy system AI od dostawcy, jest zwolniona z obowiązków AI Act?

O: To jeden z najczęstszych błędów. Wdrożeniowiec (deployer) systemu wysokiego ryzyka odpowiada za właściwe stosowanie systemu, szkolenie personelu, monitorowanie po wdrożeniu i raportowanie incydentów – niezależnie od tego, kto jest dostawcą. Umowa z dostawcą może regulować podział obowiązków, ale nie zwalnia wdrożeniowcy z odpowiedzialności wobec regulatora. Artykuł 26 rozporządzenia (UE) 2024/1689 precyzuje zakres obowiązków wdrożeniowcy.

P: Ile kosztuje wdrożenie wymogów AI Act dla małej firmy technologicznej?

O: Koszty zależą od klasyfikacji systemu. Dla systemu niskiego ryzyka – głównie wymogi przejrzystości i dokumentacja wewnętrzna – nakład to kilka do kilkunastu tysięcy złotych obsługi prawnej i kilka dni pracy działu IT. Dla systemu wysokiego ryzyka koszty rosną znacząco: ocena zgodności, dokumentacja techniczna, system zarządzania ryzykiem i rejestracja w EU AI Database to łącznie wydatek rzędu kilkudziesięciu do ponad stu tysięcy złotych, zależnie od złożoności systemu. Brak zgodności kosztuje wielokrotnie więcej – kary sięgają 15 milionów euro lub 3% globalnego obrotu.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji AI, ochrony danych i prawa własności intelektualnej. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.