Firma technologiczna z Warszawy wdrożyła narzędzie do automatycznej oceny CV kandydatów. System działa od miesięcy. Nikt nie sprawdził, czy podlega AI Act jako system wysokiego ryzyka. Termin na dostosowanie systemów HR minął 2 sierpnia 2026 roku – a kary sięgają 3% globalnego obrotu lub 15 000 000 EUR.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 – AI Act – weszło w życie 1 sierpnia 2024 roku i wprowadza phazowany harmonogram obowiązków dla dostawców i użytkowników systemów sztucznej inteligencji. Pierwsze zakazy stosowania zakazanych praktyk AI obowiązują od 2 lutego 2025 roku. Systemy wysokiego ryzyka w obszarach HR, kredytowania i biometrii muszą spełnić wymagania do 2 sierpnia 2026 roku. Dostawcy modeli ogólnego przeznaczenia (GPAI) podlegają obowiązkom od 2 sierpnia 2025 roku.
Ten przewodnik prowadzi przez harmonogram krok po kroku. Omawia klasyfikację ryzyka, konkretne terminy, koszty wdrożenia i trzy scenariusze biznesowe: producenta, firmę IT oraz zagranicznego inwestora. Na końcu – lista kontrolna i odpowiedzi na pytania, które najczęściej zadają klienci.
Jak działa klasyfikacja ryzyka w AI Act i kogo dotyczy w Polsce?
AI Act dzieli systemy AI na cztery kategorie. Kategoria pierwsza to systemy zakazane – m.in. social scoring przez organy publiczne i manipulacja podprogowa. Kategoria druga obejmuje systemy wysokiego ryzyka – tu skupia się większość obowiązków compliance. Kategoria trzecia to systemy z ograniczonym ryzykiem, wymagające jedynie przejrzystości. Kategoria czwarta – systemy minimalne – nie podlegają szczególnym wymogom.
Polskie firmy najczęściej pytają o kategorię drugą. Załącznik III do AI Act wymienia konkretne sektory: rekrutacja i zarządzanie pracownikami, ocena zdolności kredytowej, biometria, infrastruktura krytyczna, edukacja, wymiar sprawiedliwości, migracja. Jeśli Państwa firma używa systemu AI w którymkolwiek z tych obszarów – jesteś dostawcą lub operatorem systemu wysokiego ryzyka. Urząd Ochrony Danych Osobowych (UODO) będzie jednym z organów nadzorczych w Polsce, obok wyznaczonego krajowego organu rynku AI.
Rozróżnienie między „dostawcą" a „operatorem" (ang. deployer) ma praktyczne znaczenie. Dostawca tworzy lub wprowadza system na rynek. Operator wdraża system w określonym kontekście. Obydwaj mają odrębne obowiązki – operator odpowiada m.in. za ocenę wpływu na prawa podstawowe i nadzór ludzki. W praktyce – wiele polskich firm jest jednocześnie operatorem cudzego systemu i dostawcą własnych rozwiązań.
RODO (Rozporządzenie UE 2016/679) pozostaje w pełni stosowane równolegle. AI Act nie zastępuje RODO – uzupełnia je. Systemy przetwarzające dane osobowe muszą spełniać wymogi obu aktów. UODO już sygnalizował, że będzie koordynować nadzór z przyszłym organem AI.
Jakie terminy obowiązują w harmonogramie AI Act?
Harmonogram AI Act to nie jeden termin, lecz sześć etapów rozłożonych na trzy lata. Znajomość każdego z nich pozwala zaplanować budżet i zasoby. Pominięcie któregokolwiek etapu grozi odpowiedzialnością, której nie można cofnąć.
Etap pierwszy: 1 sierpnia 2024 r. – wejście w życie rozporządzenia. Firmy powinny były rozpocząć inwentaryzację systemów AI. Etap drugi: 2 lutego 2025 r. – zakaz zakazanych praktyk AI. Od tego dnia stosowanie social scoringu, manipulacji emocjonalnej i biometrii kategoryzującej w przestrzeni publicznej jest nielegalne. Etap trzeci: 2 maja 2025 r. – Komisja Europejska wydaje wytyczne dotyczące klasyfikacji systemów AI. Etap czwarty: 2 sierpnia 2025 r. – obowiązki dla dostawców modeli GPAI (modele ogólnego przeznaczenia, np. duże modele językowe). Etap piąty: 2 sierpnia 2026 r. – pełne obowiązki dla systemów wysokiego ryzyka z Załącznika III. Etap szósty: 2 sierpnia 2027 r. – obowiązki dla systemów wysokiego ryzyka z Załącznika II (produkty objęte dyrektywami sektorowymi).
Dla większości polskich firm technologicznych i finansowych termin 2 sierpnia 2026 roku jest datą graniczną. Do tego dnia należy zakończyć ocenę zgodności, wdrożyć system zarządzania ryzykiem, przygotować dokumentację techniczną i ustanowić nadzór ludzki. Firmy objęte DORA (Rozporządzenie UE 2022/2554) – a więc instytucje finansowe i ich kluczowi dostawcy ICT – muszą integrować wymagania AI Act z już działającymi procedurami zarządzania ryzykiem ICT. DORA obowiązuje od 17 stycznia 2025 roku.
Warto też pamiętać o rejestrze systemów wysokiego ryzyka. Operatorzy będą zobowiązani do rejestracji systemów w unijnej bazie danych. Termin rejestracji pokrywa się z terminem pełnego wdrożenia – 2 sierpnia 2026 roku.
Uważamy, że bezpieczniejszym rozwiązaniem jest przyjęcie wewnętrznego harmonogramu z 6-miesięcznym wyprzedzeniem. Oznacza to zakończenie klasyfikacji do końca 2025 roku i wdrożenie procedur do lutego 2026 roku.
Jakie są praktyczne kroki wdrożenia – krok po kroku?
Wdrożenie AI Act to projekt, nie jednorazowa czynność. Dobrze przeprowadzony zajmuje od 4 do 12 miesięcy, zależnie od liczby systemów i dojrzałości organizacji. Poniżej sześć kroków, które stosujemy w praktyce.
Krok 1 – Inwentaryzacja systemów AI. Zidentyfikuj wszystkie narzędzia AI używane w firmie: kupione, licencjonowane, tworzone wewnętrznie. Nie pomijaj systemów „pomocniczych" – chatbotów HR, narzędzi scoringowych, systemów rekomendacyjnych. Czas: 2–4 tygodnie.
Krok 2 – Klasyfikacja ryzyka. Dla każdego systemu oceń, czy należy do kategorii zakazanej, wysokiego ryzyka, ograniczonego lub minimalnego. Korzystaj z wytycznych Komisji z maja 2025 roku. Czas: 2–6 tygodni.
Krok 3 – Ocena wpływu na prawa podstawowe (FRIA). Operatorzy systemów wysokiego ryzyka muszą przeprowadzić ocenę przed wdrożeniem. To odpowiednik DPIA z RODO – ale szerszy. Obejmuje wpływ na niedyskryminację, prywatność i dostęp do usług. Czas: 3–6 tygodni.
Krok 4 – Wdrożenie systemu zarządzania ryzykiem. AI Act wymaga udokumentowanego, ciągłego procesu identyfikacji i ograniczania ryzyk systemu AI. Dokumentacja techniczna musi być gotowa przed wprowadzeniem systemu do użytku. Czas: 4–8 tygodni.
Krok 5 – Ustanowienie nadzoru ludzkiego. Każdy system wysokiego ryzyka musi mieć przypisaną osobę odpowiedzialną za nadzór i możliwość interwencji. Nie wystarczy formalne wyznaczenie – potrzebne są procedury i szkolenia. Czas: 2–4 tygodnie.
Krok 6 – Rejestracja i dokumentacja. Zarejestruj system w unijnej bazie danych. Przechowuj dokumentację przez co najmniej 10 lat. Powiąż dokumentację AI Act z istniejącą dokumentacją RODO. Czas: 1–2 tygodnie.
- Przeprowadź inwentaryzację wszystkich systemów AI w firmie
- Sklasyfikuj każdy system według kategorii ryzyka AI Act
- Opracuj ocenę wpływu na prawa podstawowe (FRIA) dla systemów wysokiego ryzyka
- Wdróż system zarządzania ryzykiem i dokumentację techniczną
- Ustanów procedury nadzoru ludzkiego i przeszkol odpowiedzialnych pracowników
Firma z branży fintech z Trójmiasta, wiosna 2025 roku – zinwentaryzowała 14 systemów AI. Spośród nich 3 zakwalifikowała jako wysokiego ryzyka (scoring kredytowy). Wdrożenie procedur zajęło 7 miesięcy i kosztowało ok. 180 000 PLN, głównie ze względu na konieczność przebudowy dokumentacji technicznej i szkoleń. To znacznie mniej niż potencjalna kara – 3% globalnego obrotu.
Szczegółowe zasady audytu RODO i najczęstsze luki w polskich firmach omówiliśmy w osobnym materiale – integracja obu procesów pozwala zaoszczędzić znaczną część budżetu compliance.
Trzy scenariusze biznesowe – producent, IT, inwestor zagraniczny
Każda firma wchodzi w AI Act z innego punktu startowego. Poniżej trzy scenariusze, które najczęściej pojawiają się w naszej praktyce. Każdy ma inny profil ryzyka i inne priorytety czasowe.
Scenariusz A – Producent przemysłowy. Spółka produkcyjna z Małopolski używa systemu AI do wykrywania wad w procesie kontroli jakości. System nie należy do Załącznika III – nie jest systemem wysokiego ryzyka w rozumieniu AI Act (chyba że jest wbudowany w produkt objęty Załącznikiem II, np. maszynę CE). Główne obowiązki: przejrzystość wobec pracowników, że system AI uczestniczy w ocenie produktów. Termin: 2 sierpnia 2026 roku. Koszt wdrożenia: szacunkowo 20 000–50 000 PLN (dokumentacja, szkolenia, procedury).
Scenariusz B – Firma IT jako dostawca systemu AI. Spółka softwarehouse z Wrocławia dostarcza klientom system rekrutacyjny oparty na AI. To klasyczny dostawca systemu wysokiego ryzyka z Załącznika III. Obowiązki są rozległe: ocena zgodności, oznakowanie CE (w przyszłości znak AI), dokumentacja techniczna, rejestracja w unijnej bazie. Termin: 2 sierpnia 2026 roku. Koszt: 150 000–400 000 PLN, zależnie od złożoności systemu i liczby klientów. Ryzyko: odpowiedzialność dostawcy jest szersza niż operatora – błędy w dokumentacji technicznej mogą zamknąć dostęp do rynku UE.
Scenariusz C – Zagraniczny inwestor wchodzący na rynek polski. Dla inwestora z poza UE wchodzącego na rynek polski AI Act stosuje się do każdego systemu AI, którego wyniki są używane w UE – niezależnie od miejsca wytworzenia. Jeśli inwestor korzysta z własnych systemów scoringowych lub HR, musi wyznaczyć upoważnionego przedstawiciela w UE (art. 22 AI Act). To wymóg analogiczny do RODO. Termin: taki sam – 2 sierpnia 2026 roku. Dodatkowy koszt: wyznaczenie przedstawiciela, lokalizacja dokumentacji, ewentualne dostosowanie systemu do wymogów europejskich.
Pytanie, które zadają wszyscy trzej: czy AI Act wymaga osobnego stanowiska compliance? Nie zawsze. W mniejszych firmach wystarczy rozszerzenie obowiązków Inspektora Ochrony Danych lub zewnętrzny doradca. W firmach IT z wieloma systemami wysokiego ryzyka – dedykowany AI Officer staje się uzasadniony ekonomicznie.
Obowiązki podatkowe i cyfrowe często idą w parze. Planując harmonogram wdrożenia AI Act, warto zsynchronizować go z JPK_CIT – co przygotować przed terminem, szczególnie jeśli firma prowadzi projekty R&D korzystające z IP Box lub odliczenia na działalność B+R.
Jakie błędy najczęściej popełniają polskie firmy i jak ich uniknąć?
Regulacja wyprzedza rynek – i to właśnie powoduje, że większość firm popełnia te same błędy. Nie wynikają one ze złej woli, lecz z braku wiedzy o tym, co AI Act faktycznie wymaga. Poniżej cztery błędy, które widzimy najczęściej.
Błąd 1 – Brak inwentaryzacji systemów AI. Firmy nie wiedzą, ile systemów AI używają. Licencjonowane narzędzia SaaS, wtyczki do CRM, algorytmy scoringowe wbudowane w oprogramowanie bankowe – wszystkie mogą podlegać AI Act. Bez pełnej mapy nie można klasyfikować ryzyka. To błąd, który zamyka drogę do prawidłowego compliance.
Błąd 2 – Mylenie „systemu AI" z „algorytmem". AI Act definiuje system AI szeroko – jako maszynowy system, który generuje wyniki takie jak predykcje, rekomendacje lub decyzje wpływające na środowiska rzeczywiste lub wirtualne. Prosty algorytm decyzyjny oparty na regułach może nie być systemem AI. Ale zaawansowany model scoringowy – już tak. Granica nie jest oczywista i wymaga analizy.
Błąd 3 – Traktowanie AI Act jako projektu IT. Wdrożenie AI Act to projekt prawno-organizacyjny, nie tylko techniczny. Dokumentacja techniczna, ocena wpływu na prawa podstawowe, procedury nadzoru – to zadania dla prawników i compliance officerów, nie tylko dla deweloperów. Firmy, które delegują całość do działu IT, odkrywają po miesiącach, że brakuje im 60% wymaganej dokumentacji.
Błąd 4 – Ignorowanie łańcucha dostawców. Spółka z Poznania, jesień 2025 roku – kupiła licencję na system HR od dostawcy z USA. Dostawca zapewniał, że system jest „zgodny z AI Act". W praktyce dokumentacja techniczna nie spełniała wymogów europejskich, a operator – polska spółka – odpowiadał za brak nadzoru ludzkiego. Umowa z dostawcą nie przenosiła odpowiedzialności. Weryfikacja łańcucha dostawców jest nieodwracalnym wymogiem operatora.
Warto też pamiętać o połączeniu AI Act z ochroną własności intelektualnej. Systemy AI generujące treści, kod lub projekty graficzne rodzą pytania o znak towarowy, prawa autorskie i ochronę danych. Kancelaria IP Warszawa powinna być zaangażowana już na etapie klasyfikacji – nie dopiero gdy pojawi się spór.
Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny – szczególnie jeśli używacie systemów AI w obszarach HR, finansów lub biometrii. Błędy popełnione na etapie klasyfikacji są nieodwracalne: retroaktywne dostosowanie systemu po audycie regulatora jest wielokrotnie droższe niż wdrożenie z wyprzedzeniem.
Jeśli Państwa spółka korzysta z systemów AI w obszarach wysokiego ryzyka i nie przeprowadziła jeszcze inwentaryzacji ani klasyfikacji – przeprowadzimy audyt AI Act, ocenę wpływu na prawa podstawowe i przygotujemy harmonogram wdrożenia: info@kordeckipartners.com.
Często zadawane pytania
P: Od kiedy dokładnie obowiązują kary za naruszenie AI Act i jak są obliczane?
O: Kary za naruszenie AI Act obowiązują od 2 sierpnia 2025 roku w zakresie zakazanych praktyk AI. Dla systemów wysokiego ryzyka – od 2 sierpnia 2026 roku. Najwyższe sankcje wynoszą do 35 000 000 EUR lub 7% globalnego obrotu za naruszenie zakazów z artykułu 5. Za naruszenia dotyczące systemów wysokiego ryzyka – do 15 000 000 EUR lub 3% obrotu. Dla małych i średnich przedsiębiorstw stosuje się niższe progi kwotowe, jednak procent obrotu może być wyższy. Organem nakładającym kary będzie krajowy organ nadzoru AI wyznaczony przez Polskę.
P: Czy firma używająca gotowego narzędzia AI od zewnętrznego dostawcy (np. ChatGPT API, Microsoft Copilot) musi wdrażać AI Act?
O: Tak, ale zakres obowiązków zależy od roli. Firma używająca gotowego narzędzia jest operatorem (deployerem) w rozumieniu AI Act. Operator odpowiada za zapewnienie nadzoru ludzkiego, przeprowadzenie oceny wpływu na prawa podstawowe (jeśli system jest wysokiego ryzyka) i rejestrację systemu. Obowiązki dostawcy (dokumentacja techniczna, ocena zgodności) spoczywają na Microsoft, OpenAI lub innym podmiocie wprowadzającym system na rynek UE. Powszechnym błędem jest przekonanie, że używanie cudzego systemu zwalnia z jakichkolwiek obowiązków – tak nie jest.
P: Ile kosztuje wdrożenie AI Act compliance dla średniej firmy technologicznej?
O: Koszt zależy od liczby systemów AI i ich kategorii ryzyka. Dla firmy z 1–3 systemami wysokiego ryzyka i doświadczonym zespołem IT – realny budżet to 80 000–200 000 PLN. Obejmuje to audyt prawny, przygotowanie dokumentacji technicznej, przeprowadzenie oceny wpływu na prawa podstawowe, wdrożenie procedur nadzoru i szkolenia. Firmy bez doświadczenia w compliance lub z dużą liczbą systemów powinny planować 300 000–600 000 PLN. Koszt braku wdrożenia – do 3% globalnego obrotu – jest nieporównanie wyższy.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji AI, ochrony danych i własności intelektualnej. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.