Firma software'owa z Trójmiasta odkrywa w lutym 2026 r., że jej narzędzie do automatycznej oceny CV podlega przepisom AI Act jako system wysokiego ryzyka. Termin na spełnienie wymogów minął kilka miesięcy wcześniej. Konsekwencja? Brak możliwości legalnego wprowadzenia produktu na rynek UE – i zamknięta droga do klientów korporacyjnych wymagających certyfikacji.
AI Act – Rozporządzenie UE 2024/1689 – wszedł w życie 1 sierpnia 2024 roku i stosuje się etapami do 2027 roku. Dla polskich firm najważniejszy termin to sierpień 2026 roku: od tego momentu obowiązują wymogi dla systemów wysokiego ryzyka. Kary za naruszenia sięgają 35 milionów euro lub 7% globalnego obrotu rocznego.
Poniżej znajdą Państwo krok po kroku harmonogram stosowania AI Act, opis wymogów dla poszczególnych kategorii systemów AI, trzy scenariusze biznesowe oraz listę najczęstszych błędów popełnianych przez polskie firmy na etapie wdrożenia.
Jak wygląda harmonogram stosowania AI Act?
AI Act nie wchodzi w życie jednorazowo. Rozporządzenie przewiduje cztery główne etapy, a każdy z nich oznacza inne obowiązki dla konkretnej grupy podmiotów. Dla polskiej firmy technologicznej lub korporacji wdrażającej narzędzia AI kluczowe jest ustalenie, który termin dotyczy jej bezpośrednio.
Etap pierwszy to 2 lutego 2025 roku: zakaz systemów AI niedopuszczalnego ryzyka. Od tego dnia nielegalne jest stosowanie systemów do manipulacji podprogowej, masowego scoringu społecznego czy rozpoznawania emocji w miejscu pracy (z wyjątkami). Urząd Ochrony Danych Osobowych (UODO), jako jeden z organów nadzorczych w Polsce, ma kompetencje do weryfikacji naruszeń RODO nakładających się z przepisami AI Act.
Etap drugi to sierpień 2025 roku: obowiązki dotyczące modeli AI ogólnego przeznaczenia (GPAI). Dostawcy dużych modeli językowych i innych modeli GPAI muszą dostarczać dokumentację techniczną, przestrzegać prawa autorskiego i zapewnić przejrzystość wobec dalszych użytkowników. To szczególnie istotne dla firm korzystających z API dostawców zewnętrznych – stają się one „użytkownikami" w rozumieniu AI Act i mają własne obowiązki.
Etap trzeci to sierpień 2026 roku: pełne wymogi dla systemów wysokiego ryzyka. To moment, który dotyczy największej liczby polskich firm. Systemy wymienione w Załączniku III do AI Act – w tym narzędzia HR, scoring kredytowy, systemy biometryczne – muszą przejść ocenę zgodności i być zarejestrowane w unijnej bazie danych. Powiązanie z DORA (Rozporządzenie UE 2022/2554) jest tu istotne: instytucje finansowe muszą jednocześnie spełniać wymogi zarządzania ryzykiem ICT, co wpływa na architekturę dokumentacji.
Etap czwarty to sierpień 2027 roku: obowiązki dla systemów wbudowanych w produkty regulowane (np. maszyny, urządzenia medyczne). Producenci mają dodatkowy rok na dostosowanie istniejących systemów, które zostały wprowadzone na rynek przed sierpniem 2026 r.
Które systemy AI podlegają najsurowszym wymogom?
AI Act stosuje podejście oparte na ryzyku. Cztery kategorie – ryzyko niedopuszczalne, wysokie, ograniczone i minimalne – determinują zakres obowiązków. Dla polskich firm najczęstszym wyzwaniem jest prawidłowa klasyfikacja własnych systemów. W praktyce – wiele firm o tym zapomina – to dostawca lub użytkownik musi samodzielnie ustalić kategorię, zanim organ nadzorczy to zakwestionuje.
Systemy wysokiego ryzyka według Załącznika III obejmują sześć dziedzin, które bezpośrednio dotyczą polskiego rynku:
- rekrutacja i zarządzanie zasobami ludzkimi (automatyczna selekcja CV, ocena pracowników)
- scoring kredytowy i ocena zdolności finansowej
- systemy biometryczne do identyfikacji osób
- infrastruktura krytyczna (energetyka, transport, wodociągi)
- edukacja i szkolenia zawodowe
- wymiar sprawiedliwości i procesy demokratyczne
Dla systemów wysokiego ryzyka AI Act wymaga: systemu zarządzania ryzykiem, dokumentacji technicznej, rejestrowania danych, przejrzystości wobec użytkowników, nadzoru ludzkiego oraz oceny zgodności przed wprowadzeniem na rynek. Rejestracja w unijnej bazie danych EU AI Database jest obowiązkowa – bez wpisu system nie może być legalnie oferowany w UE.
Systemy ograniczonego ryzyka – głównie chatboty i deepfake – podlegają jedynie obowiązkom informacyjnym. Użytkownik musi wiedzieć, że rozmawia z AI. To niższy próg, ale zaniedbanie go grozi karą do 15 milionów euro lub 3% obrotu.
Uważamy, że bezpieczniejszym rozwiązaniem jest klasyfikacja na poziomie wyższym niż wydaje się to konieczne. Reklasyfikacja w dół jest zawsze możliwa. Reklasyfikacja w górę po incydencie – kosztowna i nieodwracalna.
Warto też pamiętać o związku z RODO. Systemy AI przetwarzające dane osobowe muszą jednocześnie spełniać wymogi Rozporządzenia UE 2016/679. UODO może prowadzić postępowanie zarówno na podstawie RODO, jak i – po wyznaczeniu krajowego organu nadzorczego dla AI Act – na podstawie nowego rozporządzenia. Podwójna podstawa kontroli oznacza podwójne ryzyko.
Jeśli Państwa firma wdraża narzędzia AI w obszarze zatrudnienia, warto zapoznać się z praktyką prawa pracy KORDECKI & Partners, która obejmuje doradztwo w zakresie zgodności systemów HR z przepisami unijnymi.
Jakie błędy popełniają polskie firmy przy wdrożeniu AI Act?
Błąd pierwszy: założenie, że AI Act dotyczy tylko dostawców, nie użytkowników. To nieprawda. AI Act nakłada obowiązki na cztery kategorie podmiotów: dostawców, importerów, dystrybutorów i użytkowników (ang. deployers). Polska firma, która kupuje gotowy system AI od dostawcy zagranicznego i wdraża go w procesach HR, jest użytkownikiem w rozumieniu AI Act i ma własne, niezależne obowiązki.
Spółka logistyczna z Mazowsza wdrożyła wiosną 2025 r. system optymalizacji tras oparty na AI. Zakładała, że całość odpowiedzialności spoczywa na dostawcy oprogramowania. Po analizie okazało się, że system spełniał definicję infrastruktury krytycznej i wymagał własnej dokumentacji po stronie użytkownika.
Błąd drugi: odkładanie oceny zgodności na „po wdrożeniu". Ocena zgodności dla systemów wysokiego ryzyka musi nastąpić przed wprowadzeniem systemu do użytku. Korekta dokumentacji po fakcie jest możliwa, ale grozi luką czasową, w której system działa bez wymaganej podstawy prawnej.
Błąd trzeci: brak koordynacji między działem IT, prawnym i HR. AI Act wymaga dokumentacji technicznej, oceny ryzyka i procedur nadzoru ludzkiego – trzech elementów, które leżą w kompetencjach różnych działów. Firmy, które traktują wdrożenie jako projekt wyłącznie IT, zazwyczaj tworzą dokumentację technicznie poprawną, ale prawnie niewystarczającą.
Błąd czwarty: pomijanie obowiązków dotyczących modeli GPAI. Firma korzystająca z API dużego modelu językowego i oferująca na jego bazie własne usługi staje się dystrybutorem lub dostawcą zależnym – z obowiązkami dokumentacyjnymi obowiązującymi od sierpnia 2025 r. To termin, który już minął lub właśnie mija w momencie lektury tego przewodnika.
Błąd piąty: brak aktualizacji polityki ochrony danych. Rozporządzenie UE 2016/679 (RODO) i AI Act nakładają się w wielu obszarach. Dotychczasowe oceny skutków dla ochrony danych (DPIA) mogą wymagać uzupełnienia o analizę ryzyka wymaganą przez AI Act. Podwójne audytowanie jest kosztowne – ale podwójna odpowiedzialność jest kosztowniejsza.
Ochrona własności intelektualnej wbudowanej w systemy AI to osobny, często pomijany temat. Szczegółową analizę znajdą Państwo w artykule ochrona oprogramowania i prawa autorskie w polskim prawie.
Konkretna sytuacja Państwa firmy może wymagać innej kolejności działań niż standardowy harmonogram. Opóźnienie w klasyfikacji systemów zamyka drogę do legalnego wdrożenia przed kolejnym terminem regulacyjnym – a każdy taki termin jest nieodwracalny.
Jeśli Państwa spółka wdraża systemy AI w obszarze HR, finansów lub infrastruktury i nie przeprowadziła jeszcze oceny klasyfikacyjnej – przeprowadzimy audyt zgodności z AI Act i przygotujemy dokumentację techniczno-prawną: info@kordeckipartners.com.
Trzy scenariusze biznesowe: producent, IT, inwestor zagraniczny
Scenariusze poniżej ilustrują, jak AI Act stosuje się w trzech typowych sytuacjach polskich firm. Każdy scenariusz wskazuje kategorię ryzyka, kluczowy termin i szacunkowy zakres prac wdrożeniowych.
Scenariusz 1 – firma produkcyjna. Producent maszyn przemysłowych z Dolnego Śląska integruje system AI do predykcyjnego utrzymania ruchu. System analizuje dane z czujników i automatycznie wyłącza linie produkcyjne. Klasyfikacja: infrastruktura krytyczna lub system wbudowany w produkt regulowany (dyrektywa maszynowa). Kluczowy termin: sierpień 2026 r. dla systemów nowych, sierpień 2027 r. dla systemów istniejących. Zakres prac: dokumentacja techniczna, system zarządzania ryzykiem, rejestracja w EU AI Database, procedury nadzoru ludzkiego. Koszt wdrożenia zgodności: orientacyjnie 80–150 tys. PLN przy wsparciu zewnętrznym.
Scenariusz 2 – firma IT. Startup z Krakowa tworzy narzędzie do analizy sentymentu w rozmowach rekrutacyjnych. Klasyfikacja: system wysokiego ryzyka (zarządzanie zasobami ludzkimi, Załącznik III). Dodatkowe nakładanie się z RODO – przetwarzanie danych biometrycznych głosu. Kluczowy termin: sierpień 2026 r. Zakres prac: ocena zgodności, rejestracja, dokumentacja techniczna, zaktualizowana polityka prywatności, DPIA. Firma musi też ustalić, czy jej model bazowy kwalifikuje się jako GPAI – jeśli tak, obowiązki dokumentacyjne obowiązują już od sierpnia 2025 r.
Scenariusz 3 – inwestor zagraniczny. Dla niemieckiego inwestora wchodzącego na rynek polski z platformą scoringu kredytowego AI Act stosuje się tak samo jak do polskich podmiotów – rozporządzenie obowiązuje każdą firmę oferującą systemy AI na rynku UE, niezależnie od siedziby. Dodatkowe wyzwanie: scoring kredytowy to system wysokiego ryzyka nakładający się z wymogami DORA dla instytucji finansowych. Inwestor musi skoordynować dokumentację AI Act z programem zgodności DORA obowiązującym od 17 stycznia 2025 r.
Znak towarowy i ochrona własności intelektualnej wbudowanej w systemy AI to osobny, ale powiązany obszar. Kancelaria IP Warszawa – KORDECKI & Partners – doradza w zakresie ochrony algorytmów, modeli i baz danych treningowych jako przedmiotów prawa autorskiego lub tajemnicy przedsiębiorstwa.
Co przygotować przed sierpniem 2026 roku?
Harmonogram wdrożeń AI Act wymaga działań podzielonych na trzy fazy. Pierwsza faza – do końca I kwartału 2026 r. – to inwentaryzacja i klasyfikacja. Druga faza – II kwartał 2026 r. – to dokumentacja i ocena zgodności. Trzecia faza – do 1 sierpnia 2026 r. – to rejestracja i uruchomienie procedur operacyjnych.
Lista kontrolna dla fazy pierwszej:
- Zebranie inwentarza wszystkich systemów AI stosowanych lub oferowanych przez firmę
- Klasyfikacja każdego systemu według kategorii ryzyka AI Act
- Identyfikacja roli firmy: dostawca, importer, dystrybutor czy użytkownik
- Weryfikacja, czy systemy korzystają z modeli GPAI – jeśli tak, obowiązki od sierpnia 2025 r.
- Ocena nakładania się z RODO, DORA i przepisami sektorowymi
Faza dokumentacyjna obejmuje: system zarządzania ryzykiem (art. 9 AI Act), dokumentację techniczną (art. 11), rejestrowanie danych (art. 12), instrukcje dla użytkowników (art. 13) oraz procedury nadzoru ludzkiego (art. 14). Każdy z tych elementów wymaga współpracy między działem prawnym, IT i operacyjnym.
Rejestracja w EU AI Database musi nastąpić przed pierwszym udostępnieniem systemu na rynku lub oddaniem go do użytku. Brak rejestracji to naruszenie autonomiczne – niezależne od innych wymogów zgodności.
Startup technologiczny z Poznania przeprowadził latem 2025 r. pełny audyt AI Act w ciągu sześciu tygodni, korzystając ze wsparcia zewnętrznego. Koszt audytu wyniósł około 40 tys. PLN. Alternatywą była kara do 30 milionów euro za brak oceny zgodności systemu wysokiego ryzyka.
Konkretna sytuacja Państwa firmy wymaga oceny uwzględniającej specyfikę branży i rolę w łańcuchu wartości AI. Opóźnienie w przygotowaniu dokumentacji zamyka drogę do legalnego działania po sierpniu 2026 r. – a przywrócenie zgodności retroaktywnie jest nieodwracalnie trudniejsze niż przygotowanie z wyprzedzeniem.
Jeśli Państwa spółka nie przeprowadziła jeszcze inwentaryzacji systemów AI i zbliża się termin sierpień 2026 r. – przeprowadzimy klasyfikację, przygotujemy dokumentację i zarejestrujemy system w EU AI Database: info@kordeckipartners.com.
Często zadawane pytania
P: Od kiedy dokładnie obowiązują wymogi AI Act dla systemów wysokiego ryzyka i czy jest możliwe uniknięcie ich stosowania przez zmianę klasyfikacji systemu?
O: Pełne wymogi dla systemów wysokiego ryzyka obowiązują od 2 sierpnia 2026 roku. Zmiana klasyfikacji systemu jest możliwa, ale musi być oparta na rzeczywistej modyfikacji funkcjonalności lub zastosowania – nie na samej zmianie dokumentacji. Organ nadzorczy bada faktyczny sposób działania systemu, a nie jego opis. Reklasyfikacja przeprowadzona wyłącznie w celu uniknięcia obowiązków może zostać uznana za naruszenie i skutkować wyższą karą niż gdyby firma pozostała przy klasyfikacji wysokiego ryzyka.
P: Czy polska firma korzystająca wyłącznie z gotowych narzędzi AI (np. ChatGPT, Copilot) ma jakiekolwiek obowiązki na podstawie AI Act?
O: Tak. Firma korzystająca z gotowych narzędzi AI jest „użytkownikiem" w rozumieniu artykułu 3 punkt 4 AI Act i ma własne obowiązki. Obejmują one między innymi: stosowanie systemu zgodnie z instrukcją dostawcy, zapewnienie nadzoru ludzkiego, informowanie pracowników o stosowaniu AI w decyzjach ich dotyczących oraz – w przypadku systemów wysokiego ryzyka – prowadzenie własnych rejestrów. Błędne przekonanie, że cała odpowiedzialność spoczywa na dostawcy, jest jednym z najczęstszych i najkosztowniejszych nieporozumień.
P: Ile kosztuje wdrożenie zgodności z AI Act i od czego zależy wysokość kosztów?
O: Koszty wdrożenia zgodności zależą od liczby systemów, ich kategorii ryzyka i złożoności dokumentacji technicznej. Dla pojedynczego systemu wysokiego ryzyka orientacyjny koszt to 40–150 tys. PLN przy wsparciu zewnętrznym (audyt, dokumentacja, rejestracja). Firmy z portfelem kilkunastu systemów powinny liczyć się z kosztami rzędu 300–600 tys. PLN. Koszty wewnętrzne (czas prawników i specjalistów IT) są zazwyczaj porównywalne lub wyższe niż koszty zewnętrzne. Wdrożenie w ramach szerszego programu zgodności (RODO + DORA + AI Act) pozwala na synergię i redukcję kosztów o około 20–30%.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji AI, prawa technologicznego i ochrony własności intelektualnej. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.