Firma technologiczna z Mazowsza wdraża system rekrutacyjny oparty na algorytmie. Dział prawny milczy – nikt nie sprawdził, czy nowe narzędzie podlega AI Act. Tymczasem rozporządzenie weszło w życie 1 sierpnia 2024 r. i kolejne obowiązki aktywują się automatycznie – niezależnie od tego, czy Państwa firma jest na nie gotowa.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689, znane jako AI Act, wprowadza czterostopniową klasyfikację systemów AI według poziomu ryzyka. Obowiązki dla dostawców i podmiotów wdrażających systemy wysokiego ryzyka wchodzą w życie stopniowo – od lutego 2025 r. do sierpnia 2027 r. Naruszenie przepisów grozi karami do 35 milionów euro lub 7% globalnego obrotu rocznego.
Ten przewodnik prowadzi przez każdy etap harmonogramu: od zakazu systemów niedopuszczalnego ryzyka, przez obowiązki dotyczące systemów wysokiego ryzyka, aż po wymogi dla modeli ogólnego przeznaczenia. Opisujemy trzy scenariusze biznesowe – producenta, firmę IT i inwestora zagranicznego – oraz najczęstsze błędy popełniane przez polskie przedsiębiorstwa na każdym etapie.
Jak wygląda harmonogram wdrożenia AI Act krok po kroku?
AI Act nie wchodzi w życie jednego dnia. Rozporządzenie stosuje system fazowy, w którym każdy kolejny etap nakłada nowe obowiązki na określone kategorie podmiotów. Dostawcy i wdrażający systemy AI muszą śledzić cztery kluczowe daty. Pominięcie choćby jednej z nich może oznaczać naruszenie prawa bez jakiegokolwiek ostrzeżenia ze strony regulatora.
Pierwszy etap – zakaz systemów niedopuszczalnego ryzyka – obowiązuje od 2 lutego 2025 r. Zakazane są m.in. systemy oceniające obywateli na podstawie zachowania społecznego (social scoring), narzędzia do manipulacji podprogowej oraz – z wyjątkami – biometryczna identyfikacja w czasie rzeczywistym w przestrzeni publicznej. Dla polskich firm oznacza to natychmiastowy audyt portfolio produktów i wyłączenie niezgodnych rozwiązań.
Drugi etap dotyczy kodeksów praktyk dla modeli AI ogólnego przeznaczenia (GPAI). Pierwsze wersje kodeksów miały być gotowe do 2 maja 2025 r. Modele GPAI o mocy obliczeniowej przekraczającej 1025 FLOP są klasyfikowane jako systemy systemowego ryzyka – ich dostawcy mają dodatkowe obowiązki w zakresie oceny ryzyka i incydentów.
Trzeci etap – sierpień 2026 r. – aktywuje pełne obowiązki dla systemów wysokiego ryzyka wymienionych w Załączniku III rozporządzenia. Należą do nich systemy AI stosowane w rekrutacji pracowników, ocenie zdolności kredytowej, edukacji, infrastrukturze krytycznej i wymiarze sprawiedliwości. Właśnie te kategorie dotykają największą liczbę polskich przedsiębiorstw.
Czwarty etap – sierpień 2027 r. – obejmuje systemy wysokiego ryzyka z Załącznika II, czyli produkty regulowane przepisami sektorowymi (wyroby medyczne, maszyny, pojazdy). Krajowe organy nadzoru rynku – w Polsce Urząd Ochrony Danych Osobowych (UODO) pełni rolę organu nadzorczego w zakresie ochrony danych, a KNF w sektorze finansowym – będą egzekwować przepisy we współpracy z nowo powoływanymi organami ds. AI.
Które systemy AI są wysokiego ryzyka i czy Twoja firma nimi dysponuje?
Klasyfikacja systemu AI jako wysokiego ryzyka uruchamia rozbudowany zestaw obowiązków: dokumentację techniczną, system zarządzania ryzykiem, rejestrację w unijnej bazie danych, nadzór człowieka nad decyzjami oraz ocenę zgodności przed wprowadzeniem na rynek. Błędna klasyfikacja – w obie strony – ma poważne konsekwencje. Niedoszacowanie ryzyka grozi karą. Przeszacowanie generuje zbędne koszty compliance.
Załącznik III AI Act wymienia osiem obszarów wysokiego ryzyka. Polskie firmy najczęściej spotykają się z trzema z nich.
- Rekrutacja i zarządzanie pracownikami – systemy do selekcji CV, oceny kandydatów, monitorowania wydajności
- Dostęp do usług finansowych – scoring kredytowy, ocena wiarygodności ubezpieczeniowej, systemy AML
- Edukacja i szkolenia zawodowe – narzędzia do oceny uczniów i studentów, systemy adaptacyjnego nauczania
Firma produkcyjna z Dolnego Śląska wdrożyła latem 2024 r. system predykcyjnego utrzymania ruchu. Wstępna analiza wykazała, że nie kwalifikuje się jako wysokie ryzyko – nie wpływa bezpośrednio na prawa pracownicze ani bezpieczeństwo osób. To przykład poprawnej klasyfikacji, która oszczędza kilkadziesiąt tysięcy złotych na zbędnej dokumentacji.
Inaczej wygląda sytuacja spółki fintech z Trójmiasta, która jesienią 2024 r. rozszerzyła swój system scoringowy o moduł AI. Scoring kredytowy wprost figuruje w Załączniku III – firma musiała uruchomić procedurę oceny zgodności i zarejestrować system w unijnej bazie danych przed 2 sierpnia 2026 r. Brak rejestracji to naruszenie rozporządzenia niezależnie od merytorycznej jakości systemu.
Warto pamiętać, że AI Act współdziała z RODO (Rozporządzenie UE 2016/679). Systemy przetwarzające dane osobowe podlegają obu reżimom równocześnie. Ocena skutków dla ochrony danych (DPIA) wymagana przez RODO nie zastępuje oceny zgodności z AI Act – to dwa odrębne dokumenty, choć mogą być prowadzone równolegle. UODO jest organem właściwym dla obu regulacji w zakresie przetwarzania danych osobowych.
Jakie konkretne kroki musi podjąć polska firma przed sierpniem 2026 r.?
Sierpień 2026 r. to data graniczna dla większości polskich przedsiębiorstw korzystających z systemów AI. Do tego momentu dostawcy i podmioty wdrażające systemy wysokiego ryzyka muszą wdrożyć pełną strukturę compliance. Poniżej przedstawiamy praktyczną listę działań z orientacyjnym harmonogramem.
- Audyt inwentaryzacyjny – identyfikacja wszystkich systemów AI używanych lub dostarczanych przez firmę (termin: natychmiast, nie później niż Q3 2025)
- Klasyfikacja ryzyka – przypisanie każdego systemu do kategorii: niedopuszczalne, wysokie, ograniczone, minimalne (termin: Q3–Q4 2025)
- Dokumentacja techniczna – opracowanie dokumentacji zgodnej z Załącznikiem IV AI Act dla systemów wysokiego ryzyka (termin: Q1–Q2 2026)
- System zarządzania ryzykiem – wdrożenie ciągłego procesu identyfikacji, oceny i mitygacji ryzyka (termin: Q2 2026)
- Rejestracja w bazie EU – zgłoszenie systemu wysokiego ryzyka do unijnej bazy danych przed wdrożeniem (termin: przed sierpniem 2026)
Trzy scenariusze biznesowe pokazują, jak różnie wygląda to w praktyce.
Producent przemysłowy używający AI do kontroli jakości na linii produkcyjnej prawdopodobnie nie kwalifikuje się do Załącznika III – chyba że system wpływa na bezpieczeństwo produktów objętych dyrektywami sektorowymi. Koszt audytu klasyfikacyjnego: 15 000–30 000 PLN. Oszczędność na pominięciu pełnej procedury oceny zgodności: 80 000–150 000 PLN.
Firma IT dostarczająca system AI jako usługę (SaaS) jest dostawcą w rozumieniu AI Act – nawet jeśli system jest wdrażany przez klientów. Odpowiedzialność za dokumentację techniczną i deklarację zgodności spoczywa na dostawcy. Umowy z klientami muszą precyzować podział obowiązków między dostawcą a podmiotem wdrażającym.
Zagraniczny inwestor wchodzący na rynek polski z systemem AI zatwierdzonym w innej jurysdykcji UE musi sprawdzić, czy ocena zgodności przeprowadzona za granicą spełnia wymogi AI Act. Rozporządzenie stosuje się do systemów AI wprowadzanych na rynek UE – nie ma znaczenia, gdzie siedzibę ma dostawca.
Dla podmiotów działających w sektorze finansowym dochodzi dodatkowa warstwa: DORA (Rozporządzenie UE 2022/2554), obowiązująca od 17 stycznia 2025 r., nakłada wymogi zarządzania ryzykiem ICT nadzorowane przez KNF. System AI używany przez bank lub zakład ubezpieczeń musi być zgodny jednocześnie z AI Act, DORA i RODO.
Jeśli w toku wdrożenia pojawi się spór z kontrahentem – np. dostawcą systemu AI kwestionującym zakres swoich obowiązków – warto znać dostępne ścieżki rozwiązywania sporów. Więcej o procedurach przed polskimi sądami i trybunałami arbitrażowymi można znaleźć w sekcji sporów sądowych i arbitrażu KORDECKI & Partners.
Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny. Błędna klasyfikacja systemu AI może mieć nieodwracalne konsekwencje – zarówno finansowe (kary do 35 milionów euro), jak i reputacyjne. Im później firma przystępuje do audytu, tym mniej czasu pozostaje na korektę.
Jeśli Państwa spółka korzysta z systemów AI w rekrutacji, scoringu lub infrastrukturze krytycznej i nie przeprowadziła jeszcze klasyfikacji ryzyka – przeprowadzimy audyt inwentaryzacyjny, przygotujemy dokumentację techniczną i wdrożymy system zarządzania ryzykiem zgodny z AI Act: info@kordeckipartners.com.
Jakie są najczęstsze błędy polskich firm przy wdrożeniu AI Act?
Praktyka pokazuje, że polskie przedsiębiorstwa popełniają kilka powtarzających się błędów. Każdy z nich może opóźnić wdrożenie lub narazić firmę na sankcje. Identyfikacja tych błędów wcześniej – a nie po kontroli organu nadzorczego – pozwala uniknąć kosztownych napraw.
Pierwszy i najczęstszy błąd to brak inwentaryzacji systemów AI. Wiele firm nie wie, ile systemów AI faktycznie używa. Algorytmy decyzyjne są wbudowane w oprogramowanie ERP, CRM, systemy HR – często bez wyraźnego oznaczenia jako „AI". Tymczasem AI Act definiuje system AI szeroko: każde oprogramowanie opracowane przy użyciu technik uczenia maszynowego lub podejść opartych na logice i wiedzy, które generuje wyniki wpływające na środowisko, w którym działa.
Drugi błąd to pomylenie ról dostawcy i podmiotu wdrażającego. Firma kupująca gotowy system AI od zewnętrznego dostawcy jest podmiotem wdrażającym – ma własne obowiązki, w tym monitorowanie systemu i zgłaszanie incydentów. Nie może przerzucić całej odpowiedzialności na dostawcę. Umowy SaaS zawarte przed wejściem AI Act w życie często nie regulują tego podziału.
Trzeci błąd dotyczy ochrony danych i znaku towarowego. Firmy wdrażające systemy generatywnego AI – np. do tworzenia treści marketingowych – zapominają, że model może odtwarzać chronione znaki towarowe lub dane osobowe. Kwestia ta łączy AI Act z RODO i prawem własności intelektualnej. Procedury rejestracji znaku towarowego w UPRP szczegółowo opisuje przewodnik po rejestracji znaku towarowego w UPRP.
Czwarty błąd to odkładanie dokumentacji na ostatnią chwilę. Dokumentacja techniczna wymagana przez Załącznik IV AI Act jest rozbudowana – obejmuje opis systemu, dane treningowe, metodologię testowania, wyniki oceny ryzyka i plany monitorowania po wdrożeniu. Firmy, które zaczną ją przygotowywać w czerwcu 2026 r., nie zdążą na sierpniowy termin.
Często zadawane pytania
P: Kiedy dokładnie AI Act zacznie obowiązywać moją firmę i jakie są koszty wdrożenia?
O: Zakaz systemów niedopuszczalnego ryzyka obowiązuje od 2 lutego 2025 roku. Pełne obowiązki dla systemów wysokiego ryzyka z Załącznika III wchodzą w życie 2 sierpnia 2026 roku. Koszt wdrożenia zależy od liczby i kategorii systemów AI. Dla małej firmy z jednym systemem wysokiego ryzyka szacujemy 40 000–80 000 PLN na audyt, dokumentację i procedury. Dla grupy kapitałowej z wieloma systemami koszty mogą przekroczyć 500 000 PLN.
P: Czy firma, która tylko używa gotowego systemu AI od zewnętrznego dostawcy, też musi spełniać wymogi AI Act?
O: Tak – podmiot wdrażający ma własne obowiązki niezależne od obowiązków dostawcy. Należą do nich: prowadzenie rejestru systemów AI wysokiego ryzyka, zapewnienie nadzoru ludzkiego, monitorowanie działania systemu i zgłaszanie poważnych incydentów do organu nadzorczego. Powszechne przekonanie, że odpowiedzialność spoczywa wyłącznie na dostawcy, jest błędne i może narazić firmę na karę do 15 milionów euro lub 3% globalnego obrotu.
P: Jak AI Act ma się do RODO – czy wystarczy jedna ocena skutków?
O: Nie wystarczy jedna ocena. Ocena skutków dla ochrony danych (DPIA) wymagana przez RODO i ocena zgodności z AI Act to odrębne dokumenty służące różnym celom. DPIA koncentruje się na prawach osób, których dane dotyczą. Ocena zgodności z AI Act obejmuje szerszy zakres: bezpieczeństwo systemu, dane treningowe, metodologię, nadzór człowieka. Oba dokumenty mogą być prowadzone równolegle przez ten sam zespół, ale nie mogą się wzajemnie zastępować.
Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny klasyfikacyjnej. Nieodwracalne skutki błędnej klasyfikacji – kary, zakaz wprowadzania systemu na rynek, odpowiedzialność cywilna – pojawiają się często dopiero po kontroli organu nadzorczego, gdy korekta jest już niemożliwa lub bardzo kosztowna.
Jeśli Państwa spółka wdraża systemy AI i nie ma pewności co do ich klasyfikacji według AI Act – przeanalizujemy portfolio systemów, przeprowadzimy klasyfikację ryzyka i przygotujemy kompletną dokumentację techniczną zgodnie z harmonogramem: info@kordeckipartners.com.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do wdrożeń AI Act, DORA i regulacji technologicznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Autor: Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.