Firma produkcyjna z Mazowsza wdraża system do automatycznej oceny kandydatów na linię montażową. Dział HR jest zadowolony – rekrutacja skróciła się o połowę. Tymczasem dział prawny nie ma pojęcia, że od 2 lutego 2025 roku ten system jest objęty zakazem lub wymogiem oceny zgodności jako system wysokiego ryzyka w rozumieniu AI Act. Okno na przygotowanie się zamknęło się szybciej, niż firma zdążyła zauważyć.
AI Act – Rozporządzenie (UE) 2024/1689 – wszedł w życie 1 sierpnia 2024 roku i wprowadza stopniowy harmonogram obowiązków dla firm wdrażających i stosujących systemy sztucznej inteligencji. Dla polskich przedsiębiorców najważniejsze daty to: 2 lutego 2025 roku (zakaz systemów niedopuszczalnego ryzyka), 2 sierpnia 2025 roku (obowiązki dla modeli ogólnego przeznaczenia GPAI) oraz 2 sierpnia 2026 roku (pełne stosowanie przepisów, w tym wymogi dla systemów wysokiego ryzyka). Kary za naruszenia sięgają 35 milionów EUR lub 7% globalnego obrotu.
Ten przewodnik prowadzi przez każdy etap harmonogramu krok po kroku. Omawia, które systemy AI trafiają do której kategorii ryzyka, jakie dokumenty i procedury firma musi przygotować przed każdą z kluczowych dat oraz jakie błędy najczęściej popełniają polskie przedsiębiorstwa. Na końcu znajdą Państwo trzy scenariusze biznesowe – dla producenta, firmy IT i zagranicznego inwestora – oraz FAQ z odpowiedziami na pytania, które najczęściej trafiają do naszej kancelarii.
Jakie systemy AI obejmuje AI Act i jak przebiega klasyfikacja ryzyka?
AI Act dzieli systemy AI na cztery kategorie ryzyka: niedopuszczalne, wysokie, ograniczone i minimalne. Klasyfikacja decyduje o tym, jakie obowiązki spoczywają na firmie – i czy w ogóle wolno jej dany system stosować. Dla polskich firm korzystających z narzędzi opartych na sztucznej inteligencji to punkt wyjścia całego procesu wdrożenia.
Systemy niedopuszczalnego ryzyka są zakazane od 2 lutego 2025 roku. Zakaz obejmuje między innymi systemy scoringu społecznego, manipulację podprogową oraz – co istotne dla pracodawców – pewne formy biometrycznej kategoryzacji pracowników w przestrzeni publicznej. Naruszenie zakazu grozi karą do 35 milionów EUR lub 7% globalnego rocznego obrotu, w zależności od tego, która kwota jest wyższa.
Systemy wysokiego ryzyka to kategoria, która dotyczy największej liczby polskich firm. Rozporządzenie wymienia je w Załączniku III. Należą do nich systemy AI stosowane w rekrutacji i zarządzaniu pracownikami, ocenie zdolności kredytowej, edukacji, infrastrukturze krytycznej oraz wymiarze sprawiedliwości. Przed wprowadzeniem takiego systemu na rynek lub do użytku firma musi przeprowadzić ocenę zgodności, prowadzić rejestr zdarzeń i wdrożyć system zarządzania ryzykiem. Pełne wymogi dla tej kategorii wejdą w życie 2 sierpnia 2026 roku – ale przygotowania należy zacząć teraz.
Systemy ograniczonego ryzyka (np. chatboty) wymagają jedynie obowiązku informacyjnego – użytkownik musi wiedzieć, że rozmawia z maszyną. Systemy minimalnego ryzyka (np. filtry spamu) nie podlegają żadnym szczególnym obowiązkom. W praktyce – wiele firm o tym zapomina – klasyfikacja nie jest jednorazowa. Zmiana funkcjonalności systemu może przenieść go do wyższej kategorii ryzyka.
Jak wygląda harmonogram AI Act krok po kroku?
Harmonogram AI Act to pięć kluczowych dat rozłożonych na trzy lata. Każda z nich uruchamia inny zestaw obowiązków. Polskie firmy, które nie śledziły kolejnych etapów, mogą być już w zwłoce – pierwsze zakazy obowiązują od ponad roku.
1 sierpnia 2024 roku – AI Act wszedł w życie. Od tego dnia biegną terminy dla wszystkich podmiotów. Firmy powinny były przeprowadzić wstępny audyt systemów AI i przypisać je do kategorii ryzyka. Wiele polskich przedsiębiorstw tego nie zrobiło – to pierwszy z typowych błędów.
2 lutego 2025 roku – zakaz stosowania systemów niedopuszczalnego ryzyka. Jeśli Państwa firma korzysta z systemu biometrycznej kategoryzacji pracowników lub narzędzia do oceny emocji w miejscu pracy, należało go wyłączyć lub zmodyfikować przed tą datą. Urząd Ochrony Danych Osobowych (UODO) jest jednym z organów, które mogą prowadzić kontrole w tym obszarze – RODO (Rozporządzenie UE 2016/679) i AI Act nakładają się tu na siebie.
2 sierpnia 2025 roku – obowiązki dla dostawców modeli ogólnego przeznaczenia (GPAI). Firmy tworzące lub fine-tunujące duże modele językowe muszą prowadzić dokumentację techniczną, stosować politykę praw autorskich i – jeśli model ma systemowe ryzyko – przeprowadzić ocenę tego ryzyka. Dla polskich firm IT i startupów AI to jeden z najbliższych terminów.
2 sierpnia 2026 roku – pełne stosowanie rozporządzenia. Systemy wysokiego ryzyka muszą spełniać wszystkie wymogi: ocena zgodności, rejestr zdarzeń, instrukcje dla użytkowników, zgłoszenie do bazy danych UE. Od tej daty Komisja Europejska i krajowe organy nadzoru mogą nakładać pełne kary.
2 sierpnia 2027 roku – systemy wysokiego ryzyka wprowadzone na rynek przed 2 sierpnia 2026 roku, które nie były wcześniej objęte regulacją, muszą osiągnąć zgodność. To dotyczy tzw. legacy systems – starszych wdrożeń, które działały przed wejściem w życie rozporządzenia.
Warto tu wspomnieć o DORA (Rozporządzenie UE 2022/2554), która obowiązuje od 17 stycznia 2025 roku. Firmy z sektora finansowego muszą jednocześnie zarządzać wymogami AI Act i DORA w zakresie systemów ICT. Nakładanie się tych regulacji tworzy dodatkową warstwę złożoności – i dodatkowe ryzyko przeoczenia obowiązku.
Dla polskich firm korzystających z narzędzi AI do transferu danych osobowych do krajów trzecich – na przykład przy współpracy z dostawcami chmury spoza UE – pojawia się dodatkowy wymiar: zgodność z RODO i mechanizmami transferu danych. Szczegółowe omówienie mechanizmów prawnych dla konkretnych jurysdykcji znajdą Państwo w naszym artykule o transferze danych z Polski do ZEA.
Jakie dokumenty i procedury musi przygotować polska firma?
Dokumentacja AI Act nie jest opcjonalna. Dla systemów wysokiego ryzyka rozporządzenie wymaga konkretnych dokumentów – ich brak w trakcie kontroli oznacza naruszenie, nawet jeśli system sam w sobie działa poprawnie. Poniżej przedstawiamy minimalny zestaw dla operatora systemu wysokiego ryzyka działającego na rynku polskim.
Pierwszym krokiem jest rejestr systemów AI. Firma musi wiedzieć, które systemy stosuje, skąd pochodzą i do której kategorii ryzyka należą. To brzmi banalnie – w praktyce wiele organizacji nie ma tej wiedzy nawet na poziomie działu IT, nie mówiąc o zarządzie.
Kolejnym elementem jest ocena zgodności dla systemów wysokiego ryzyka. W większości przypadków może ją przeprowadzić sam dostawca lub operator (self-assessment), ale musi ona opierać się na udokumentowanej metodologii. Dla systemów wymienionych w Załączniku I (np. urządzenia medyczne) wymagana jest ocena przez jednostkę notyfikowaną.
Obowiązkowe jest również:
- Prowadzenie rejestru zdarzeń (logowanie decyzji systemu AI przez minimalny okres wskazany w rozporządzeniu).
- Opracowanie instrukcji użytkowania dla operatorów systemu.
- Wdrożenie systemu zarządzania ryzykiem – ciągłego, nie jednorazowego.
- Zgłoszenie systemu do unijnej bazy danych systemów AI wysokiego ryzyka (po uruchomieniu bazy przez Komisję Europejską).
- Zapewnienie nadzoru ludzkiego (human oversight) – systemy muszą umożliwiać interwencję człowieka.
Dla firm zatrudniających powyżej 50 pracowników dochodzi jeszcze jeden wymiar: ustawa o sygnalistach z 14 czerwca 2024 roku, obowiązująca od 25 września 2024 roku, wymaga kanałów zgłoszeń wewnętrznych. Jeśli system AI przetwarza zgłoszenia pracownicze, może on sam podlegać klasyfikacji jako system wysokiego ryzyka w obszarze zarządzania pracownikami.
Jeśli Państwa firma wybiera formę prawną dla spółki wdrażającej systemy AI – na przykład dla celów wydzielenia odpowiedzialności – warto zapoznać się z naszą analizą sp. z o.o. versus S.A. jako macierzy decyzyjnej dla inwestorów w Polsce.
Trzy scenariusze biznesowe – producent, firma IT i zagraniczny inwestor
Przepisy AI Act brzmią podobnie dla wszystkich – ale w praktyce każda branża staje przed innymi wyzwaniami. Poniżej trzy scenariusze, które ilustrują konkretne obowiązki i pułapki.
Scenariusz 1 – Producent z Dolnego Śląska. Firma wdrożyła latem 2024 roku system AI do kontroli jakości na linii produkcyjnej. System analizuje obrazy i odrzuca wadliwe elementy. Klasyfikacja: system niskiego lub umiarkowanego ryzyka, jeśli nie wpływa bezpośrednio na bezpieczeństwo produktu. Jeśli jednak produkt jest składnikiem infrastruktury krytycznej lub urządzeniem medycznym – kategoria ryzyka rośnie. Firma powinna do końca 2025 roku przeprowadzić przegląd klasyfikacji i zaktualizować dokumentację techniczną dostawcy systemu.
Scenariusz 2 – Startup AI z Krakowa. Firma opracowuje model językowy do obsługi klientów banku. Od 2 sierpnia 2025 roku musi prowadzić dokumentację techniczną modelu GPAI, stosować politykę praw autorskich (tu krzyżuje się prawo własności intelektualnej – trademark i IP – z regulacją AI) i ujawniać informacje o danych treningowych. Jeśli model zostanie uznany za systemowy, dochodzi obowiązek oceny ryzyka systemowego i raportowania do Urzędu AI (European AI Office). Koszt zewnętrznego audytu zgodności dla modelu tej klasy to orientacyjnie od 30 000 do 80 000 PLN.
Scenariusz 3 – Zagraniczny inwestor wchodzący na rynek polski. Dla inwestora z Niemiec lub Francji, który wprowadza na rynek polski gotowy system AI do oceny zdolności kredytowej, AI Act stosuje się od momentu udostępnienia systemu użytkownikom w Polsce. System trafia automatycznie do kategorii wysokiego ryzyka (Załącznik III, pkt 5b). Inwestor musi wyznaczyć upoważnionego przedstawiciela w UE (jeśli siedziba jest poza UE), zarejestrować system w bazie danych i dostarczyć dokumentację w języku polskim. Szczegółowe omówienie mechanizmów transferu danych w kontekście francuskim znajdą Państwo w naszym artykule o transferze danych z Polski do Francji.
We wszystkich trzech scenariuszach wspólnym mianownikiem jest czas. Firma, która nie zaczęła przygotowań przed sierpniem 2026 roku, traci możliwość legalnego korzystania z systemu wysokiego ryzyka – a wyłączenie działającego narzędzia produkcyjnego lub finansowego w trybie nagłym to koszt nieporównywalnie wyższy niż koszt wcześniejszego wdrożenia procedur.
Konkretna sytuacja Państwa firmy wymaga oceny, które systemy AI są w użyciu i do której kategorii ryzyka należą. Brak tej oceny przed 2 sierpnia 2026 roku może nieodwracalnie zamknąć drogę do legalnego stosowania narzędzi, które dziś są kluczowe dla operacji.
Jeśli Państwa spółka wdraża systemy AI w obszarze HR, finansów lub infrastruktury i nie przeprowadziła jeszcze klasyfikacji ryzyka – przeprowadzimy audyt wstępny, przygotujemy rejestr systemów i opracujemy plan dokumentacyjny zgodny z harmonogramem AI Act: info@kordeckipartners.com.
Najczęstsze błędy polskich firm przy wdrożeniu AI Act
Błędy przy wdrożeniu AI Act mają jeden wspólny mianownik: firma zakłada, że skoro nie jest dostawcą systemu AI, to przepisy jej nie dotyczą. To nieprawda. AI Act obejmuje zarówno dostawców (providers), jak i operatorów (deployers) – czyli firmy, które systemy AI jedynie stosują w swojej działalności.
Pierwszy i najczęstszy błąd to brak klasyfikacji ryzyka. Firma kupuje lub subskrybuje narzędzie AI (np. system do analizy CV, scoring kredytowy, narzędzie do monitorowania wydajności pracowników) i nie sprawdza, czy dostawca zaklasyfikował je jako system wysokiego ryzyka. Tymczasem jako operator firma ponosi własną odpowiedzialność – niezależnie od klasyfikacji dokonanej przez dostawcę.
Drugi błąd to mylenie AI Act z RODO. Wiele firm myśli, że skoro mają wdrożone RODO (Rozporządzenie UE 2016/679) i współpracują z UODO, to temat AI jest pokryty. AI Act to odrębna regulacja – nakładają się jedynie w obszarze systemów przetwarzających dane biometryczne lub profilujących osoby fizyczne.
Trzeci błąd to ignorowanie obowiązków GPAI przez firmy IT. Startup, który fine-tunuje otwarty model językowy na danych klientów, staje się dostawcą modelu GPAI. Od 2 sierpnia 2025 roku musi spełniać obowiązki dokumentacyjne – nawet jeśli model jest używany tylko wewnętrznie.
Czwarty błąd to brak nadzoru ludzkiego. Firmy wdrażają systemy AI z założeniem pełnej automatyzacji. AI Act wymaga, aby systemy wysokiego ryzyka umożliwiały skuteczną interwencję człowieka. Jeśli architektura systemu tego nie przewiduje, zmiana po fakcie jest kosztowna – zarówno technicznie, jak i czasowo.
Piąty błąd dotyczy umów z dostawcami. Operator musi otrzymać od dostawcy określone informacje i dokumenty (instrukcje, dokumentację techniczną, dzienniki zdarzeń). Wiele umów z dostawcami oprogramowania AI, zawartych przed sierpniem 2024 roku, tych klauzul nie zawiera. Renegocjacja lub zmiana dostawcy przed sierpniem 2026 roku to zadanie, które należy zaplanować z wyprzedzeniem co najmniej 12 miesięcy.
Często zadawane pytania
P: Czy polska firma używająca ChatGPT lub podobnych narzędzi musi cokolwiek robić w związku z AI Act?
O: Zależy od sposobu użycia. Jeśli firma stosuje ChatGPT wyłącznie do wewnętrznych celów biurowych (redagowanie e-maili, streszczenia), jest operatorem systemu minimalnego ryzyka i nie ma szczególnych obowiązków. Jeśli jednak integruje model w procesach decyzyjnych wpływających na pracowników, klientów lub ocenę kredytową – może pojawić się kategoria wysokiego ryzyka. Artykuł 28 AI Act precyzuje obowiązki operatorów. Pierwsze kontrole organów nadzoru planowane są na drugą połowę 2026 roku.
P: Ile kosztuje dostosowanie firmy do AI Act i ile czasu to zajmuje?
O: Dla małej firmy stosującej jeden lub dwa systemy AI niskiego ryzyka – koszt przeglądu i dokumentacji to orientacyjnie od 5 000 do 15 000 PLN, a czas realizacji to 4 do 8 tygodni. Dla średniego przedsiębiorstwa z kilkoma systemami wysokiego ryzyka – od 40 000 do 150 000 PLN i 3 do 6 miesięcy. Firmy, które zaczną przygotowania po lutym 2026 roku, prawdopodobnie nie zdążą przed terminem sierpniowym bez zewnętrznego wsparcia. Każdy miesiąc zwłoki zwiększa koszt i zmniejsza margines bezpieczeństwa.
P: Czy AI Act dotyczy firm, które tylko kupują gotowe systemy AI, a nie tworzą własnych?
O: Tak – to częste nieporozumienie. AI Act rozróżnia dostawcę (producenta systemu) i operatora (użytkownika systemu w działalności zawodowej). Operator ma własne obowiązki: zapewnienie nadzoru ludzkiego, monitorowanie działania systemu, zgłaszanie incydentów i przechowywanie dokumentacji. Artykuł 26 rozporządzenia wymienia te obowiązki wprost. Kupno gotowego systemu nie zwalnia firmy z odpowiedzialności za sposób jego stosowania.
Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny – zwłaszcza jeśli systemy AI są zintegrowane z procesami kadrowo-płacowymi, finansowymi lub obsługą klientów. Brak dokumentacji przed sierpniem 2026 roku może nieodwracalnie narazić spółkę na sankcje, które nie podlegają mitigacji po fakcie.
Jeśli Państwa firma stosuje systemy AI w obszarach wysokiego ryzyka i potrzebuje planu wdrożenia zgodnego z harmonogramem AI Act – przeprowadzimy klasyfikację systemów, przygotujemy dokumentację techniczną i wdrożymy procedury nadzoru: info@kordeckipartners.com.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji AI, ochrony danych i prawa nowych technologii. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.