Firma technologiczna z Warszawy wdrożyła system rekrutacyjny oparty na algorytmach AI jesienią 2024 roku. Trzy miesiące później okazało się, że system kwalifikuje się jako wysokiego ryzyka w rozumieniu AI Act. Okno na swobodne wdrożenie zamknęło się szybciej, niż zarząd zakładał. Koszt dostosowania retrospektywnego – kilkakrotnie wyższy niż koszt zgodności planowanej z góry.
AI Act (Rozporządzenie UE 2024/1689) wszedł w życie 1 sierpnia 2024 roku i wprowadza stopniowany harmonogram obowiązków dla wszystkich podmiotów wdrażających lub używających systemów sztucznej inteligencji na rynku Unii Europejskiej. Pierwsze zakazy dotyczące systemów AI niedopuszczalnego ryzyka obowiązują od 2 lutego 2025 roku. Systemy wysokiego ryzyka muszą spełniać pełne wymagania rozporządzenia od 2 sierpnia 2026 roku. Polskie firmy, które nie zmapują swojego portfolio AI do końca pierwszego kwartału 2026 roku, ryzykują nieodwracalne opóźnienie w ścieżce compliance.
Ten przewodnik prowadzi przez harmonogram wdrożenia krok po kroku – od klasyfikacji systemów, przez obowiązki dostawców i użytkowników, po trzy scenariusze biznesowe i najczęstsze błędy. Każdy etap zawiera konkretny termin i listę działań, które można wdrożyć bez zwłoki.
Jak wygląda harmonogram AI Act i co już obowiązuje?
AI Act nie wszedł w życie jednego dnia. Rozporządzenie stosuje się etapami – każdy z nich dotyczy innej kategorii systemów i podmiotów. Znajomość tych dat to punkt startowy każdego programu compliance.
Od 2 lutego 2025 roku obowiązuje bezwzględny zakaz stosowania systemów AI niedopuszczalnego ryzyka. Dotyczy to m.in. systemów social scoringu przez organy publiczne, manipulacji podprogowej oraz – z pewnymi wyjątkami – zdalnej identyfikacji biometrycznej w przestrzeni publicznej. Firmy, które w tym momencie korzystały z takich narzędzi, powinny były je wyłączyć. Jeśli tego nie zrobiły – naruszenie jest aktywne.
Od 2 sierpnia 2025 roku obowiązują przepisy dotyczące modeli AI ogólnego przeznaczenia (GPAI), w tym modele z systemowym ryzykiem jak duże modele językowe. Dostawcy modeli GPAI – nawet spoza UE, jeśli ich modele są dostępne w Polsce – muszą spełniać obowiązki w zakresie dokumentacji technicznej, polityk praw autorskich i transparentności.
Pełne wymagania dla systemów wysokiego ryzyka z Załącznika III – rekrutacja, kredyt, edukacja, biometria – wchodzą w życie 2 sierpnia 2026 roku. To najważniejszy termin dla polskiego biznesu. Pozostałe systemy wysokiego ryzyka z Załącznika II (produkty objęte unijnym prawem sektorowym) podlegają dłuższemu vacatio legis do 2027 roku. Na mapie polskich firm największe ekspozycje dotyczą HR tech, fintech i systemów scoringowych.
Polskie organy nadzorcze – w tym Urząd Ochrony Danych Osobowych (UODO) i docelowo wyznaczony organ krajowy ds. AI – będą egzekwować przepisy. Kary mogą sięgać 35 mln EUR lub 7% globalnego obrotu za naruszenia dotyczące systemów zakazanych, oraz 15 mln EUR lub 3% obrotu za pozostałe naruszenia. To wartości nieporównywalne z kosztami wdrożenia.
Jak prawidłowo sklasyfikować systemy AI w Państwa firmie?
Klasyfikacja to fundament całego programu compliance. AI Act dzieli systemy na cztery kategorie: niedopuszczalne ryzyko, wysokie ryzyko, ograniczone ryzyko i minimalne ryzyko. Błędna klasyfikacja – w szczególności zaniżenie ryzyka – to najczęstszy błąd polskich firm w 2025 roku.
Systemy wysokiego ryzyka wymienione w Załączniku III obejmują osiem obszarów. Dla polskiego biznesu szczególnie istotne są: systemy oceny kandydatów do pracy i zarządzania personelem, systemy scoringu kredytowego i oceny zdolności kredytowej, systemy stosowane w edukacji do oceny uczniów oraz systemy biometrycznej identyfikacji i kategoryzacji. Każdy z tych obszarów wymaga oceny zgodności przed wdrożeniem lub – dla systemów już działających – przed sierpniem 2026 roku.
Praktyczna metoda klasyfikacji przebiega w trzech krokach. Po pierwsze: inwentaryzacja – lista wszystkich systemów AI używanych lub dostarczanych przez firmę, w tym narzędzi zewnętrznych (SaaS, API). Po drugie: weryfikacja funkcji – czy system podejmuje lub wspiera decyzje o skutkach prawnych lub podobnie istotnych dla osób fizycznych? Po trzecie: weryfikacja sektorowa – czy system działa w jednym z ośmiu obszarów Załącznika III?
- Zebrać umowy z dostawcami AI i zidentyfikować rolę firmy (dostawca czy użytkownik)
- Sprawdzić, czy używane modele GPAI mają dokumentację techniczną wymaganą od sierpnia 2025 r.
- Ocenić systemy rekrutacyjne i HR pod kątem Załącznika III pkt 4
- Zweryfikować systemy scoringowe wobec Załącznika III pkt 5
- Udokumentować wyniki klasyfikacji w rejestrze systemów AI
W praktyce – wiele firm o tym zapomina – rola "użytkownika" (deployer) w rozumieniu AI Act niesie własne obowiązki. Użytkownik systemu wysokiego ryzyka musi m.in. zapewnić nadzór ludzki, monitorować działanie systemu i zgłaszać incydenty. Nie wystarczy powołać się na odpowiedzialność dostawcy. Szczegółową analizę klasyfikacji systemów wysokiego ryzyka znajdą Państwo w naszym opracowaniu: AI Act – klasyfikacja systemów wysokiego ryzyka.
Firma z sektora finansowego z Krakowa przeprowadziła taką inwentaryzację wiosną 2025 roku. Zidentyfikowała 14 systemów AI – z czego 3 okazały się systemami wysokiego ryzyka, których dostawca nie poinformował o kwalifikacji. Czas na renegocjację umów i wdrożenie nadzoru: 9 miesięcy przed deadline'em. Koszt działania w terminie był wielokrotnie niższy niż koszt ewentualnej kary.
Uważamy, że bezpieczniejszym rozwiązaniem jest klasyfikowanie na granicy kategorii zawsze w górę – tzn. przyjmowanie wyższego ryzyka, gdy interpretacja jest niejednoznaczna. AI Act przewiduje, że dostawcy modeli GPAI z systemowym ryzykiem podlegają dodatkowym obowiązkom, w tym ocenie ryzyka i incydentom bezpieczeństwa. Dla polskich firm używających takich modeli przez API – to oznacza konieczność weryfikacji kontraktowej z dostawcą.
Konkretna sytuacja Państwa firmy – liczba systemów AI, model biznesowy i rola w łańcuchu wartości – determinuje zakres obowiązków compliance. Błędna klasyfikacja zamyka drogę do bezpiecznego wdrożenia i naraża na nieodwracalne konsekwencje regulacyjne. Jeśli Państwa firma używa systemów AI w rekrutacji, scoringu lub biometrii i nie przeprowadziła jeszcze inwentaryzacji – skontaktuj się z nami: info@kordeckipartners.com.
Jakie obowiązki dotyczą polskich dostawców i użytkowników systemów wysokiego ryzyka?
AI Act rozróżnia dwie główne role: dostawcę (provider) i użytkownika (deployer). Obowiązki są różne – ale obie strony ponoszą odpowiedzialność. Polskie firmy często mylnie zakładają, że kupując system od zagranicznego dostawcy, przenoszą całą odpowiedzialność na sprzedawcę.
Dostawca systemu wysokiego ryzyka musi spełnić wymagania z Rozdziału III AI Act. Obejmują one: system zarządzania ryzykiem (dokumentowany przez cały cykl życia systemu), zarządzanie danymi treningowymi (jakość, reprezentatywność, brak dyskryminacji), dokumentację techniczną, rejestrowanie zdarzeń (logging), transparentność i informowanie użytkowników, nadzór ludzki oraz dokładność, solidność i cyberbezpieczeństwo. Każdy z tych elementów wymaga konkretnych procedur i dowodów dokumentacyjnych.
Użytkownik (deployer) ma węższy, ale istotny zakres obowiązków. Musi stosować system zgodnie z instrukcją dostawcy, zapewnić nadzór ludzki przez wykwalifikowane osoby, monitorować działanie systemu w środowisku rzeczywistym i – jeśli wykryje ryzyko – zgłosić to dostawcy lub właściwemu organowi. Użytkownicy systemów biometrycznych muszą prowadzić ocenę wpływu na prawa podstawowe.
Dla firm z sektora finansowego nakładają się tu obowiązki z DORA (Rozporządzenie UE 2022/2554), które obowiązuje od 17 stycznia 2025 roku. DORA wymaga zarządzania ryzykiem ICT, w tym systemami AI używanymi w operacjach finansowych, zgłaszania incydentów do KNF oraz testowania odporności. Firma finansowa używająca systemu scoringowego opartego na AI musi spełnić jednocześnie AI Act i DORA – to podwójny reżim compliance, który wymaga koordynacji.
RODO (Rozporządzenie UE 2016/679) nakłada trzecią warstwę obowiązków. Systemy AI przetwarzające dane osobowe – a dotyczy to praktycznie każdego systemu HR lub scoringowego – muszą spełniać zasady minimalizacji danych, przejrzystości i prawa do wyjaśnienia decyzji. UODO może egzekwować RODO niezależnie od naruszeń AI Act. Podmioty zatrudniające pracowników zagranicznych i używające AI w procesie rekrutacji powinny uwzględnić również wymogi opisane w przewodniku zatrudniania cudzoziemców w Polsce.
Trzy scenariusze biznesowe – co konkretnie zrobić przed sierpniem 2026 roku?
Harmonogram compliance wygląda inaczej w zależności od profilu firmy. Poniżej trzy scenariusze – producent, firma IT i inwestor zagraniczny – z konkretnymi działaniami i terminami.
Scenariusz 1: Firma produkcyjna z Mazowsza. Przedsiębiorstwo używa systemu AI do planowania produkcji i optymalizacji łańcucha dostaw. Używa też systemu HR do wstępnej selekcji CV. Pierwszy system – planowanie produkcji – prawdopodobnie kwalifikuje się jako minimalne lub ograniczone ryzyko. Drugi – selekcja CV – to typowy system wysokiego ryzyka z Załącznika III pkt 4. Do końca drugiego kwartału 2025 roku firma powinna zakończyć inwentaryzację. Do końca 2025 roku – renegocjować umowę z dostawcą HR AI i uzyskać dokumentację techniczną. Do marca 2026 roku – wdrożyć procedury nadzoru ludzkiego i rejestr decyzji wspomaganych przez AI. Do sierpnia 2026 roku – przeprowadzić pełny audyt zgodności.
Scenariusz 2: Firma IT dostarczająca rozwiązania SaaS. Startup technologiczny z Krakowa dostarcza klientom korporacyjnym narzędzie do analizy sentymentu w komunikacji wewnętrznej. Jeśli narzędzie jest używane do oceny pracowników – to system wysokiego ryzyka. Firma jest dostawcą, więc musi spełnić pełny zakres obowiązków z Rozdziału III AI Act. Kluczowy termin to sierpień 2026 roku, ale dokumentacja techniczna i system zarządzania ryzykiem powinny być gotowe do marca 2026 roku. Firma powinna też sprawdzić, czy używane przez nią modele bazowe (np. duże modele językowe przez API) mają dokumentację GPAI wymaganą od sierpnia 2025 roku. Strategie ochrony IP dla firm technologicznych wchodzących na nowe rynki opisujemy w artykule IP protection strategy for tech companies in Poland.
Scenariusz 3: Inwestor zagraniczny wchodzący na rynek polski. Firma z Niemiec planuje wdrożenie w Polsce systemu AI do oceny zdolności kredytowej dla polskich klientów. System kwalifikuje się jako wysokiego ryzyka (Załącznik III pkt 5). AI Act stosuje się do systemów "wprowadzanych do obrotu lub oddawanych do użytku" w UE – niezależnie od miejsca siedziby dostawcy. Inwestor musi wyznaczyć upoważnionego przedstawiciela w UE, zarejestrować system w unijnej bazie danych AI przed wdrożeniem oraz spełnić wymagania dokumentacyjne. Termin rejestracji w bazie EU AI: sierpień 2026 roku. Polskie przepisy RODO i nadzór KNF nakładają się na obowiązki AI Act.
We wszystkich trzech scenariuszach – niezależnie od roli i sektora – okno na tanie wdrożenie compliance zamyka się w pierwszym kwartale 2026 roku. Firmy, które zaczną po tym terminie, będą działać pod presją czasu i z ograniczonymi możliwościami korekty.
Konkretny plan działania dla Państwa firmy zależy od roli w łańcuchu AI, sektora i liczby systemów. Opóźnienie w mapowaniu portfolio AI to decyzja, której konsekwencje są nieodwracalne – brak zgodności w sierpniu 2026 roku oznacza grożące kary i konieczność wstrzymania operacji. Jeśli Państwa spółka wdraża systemy AI w HR, finansach lub biometrii i potrzebuje oceny zakresu obowiązków – przeprowadzimy analizę i opracujemy roadmap compliance: info@kordeckipartners.com.
Najczęstsze błędy i jak ich uniknąć?
Obserwując pierwsze miesiące stosowania AI Act, można wskazać kilka powtarzających się błędów polskich firm. Każdy z nich podnosi koszt compliance i skraca czas na korektę.
Błąd 1: Brak inwentaryzacji systemów zewnętrznych. Firmy inwentaryzują własne systemy AI, pomijając narzędzia SaaS, wtyczki i modele dostępne przez API. Tymczasem AI Act stosuje się do każdego systemu AI używanego w kontekście zawodowym – niezależnie od tego, kto go wytworzył. Użytkownik systemu wysokiego ryzyka ponosi obowiązki compliance nawet jeśli jest tylko klientem zagranicznego dostawcy.
Błąd 2: Mylenie roli dostawcy z rolą użytkownika. Firma, która modyfikuje gotowy model AI do własnych celów lub integruje go w swoim produkcie, może stać się dostawcą w rozumieniu AI Act. To zmienia zakres obowiązków z węższego (użytkownik) na pełny (dostawca). Prawnicy AI Act mówią o tym jako o "przejęciu roli dostawcy" – zjawisko szczególnie istotne dla firm IT dostosowujących modele GPAI.
Błąd 3: Odkładanie oceny wpływu na prawa podstawowe. Użytkownicy systemów wysokiego ryzyka w sektorze publicznym i niektórych sektorach prywatnych muszą przeprowadzić ocenę wpływu na prawa podstawowe przed wdrożeniem. Wielu użytkowników traktuje ten obowiązek jako formalność. W rzeczywistości – to dokument, który organ nadzorczy może zażądać w każdej chwili.
Błąd 4: Ignorowanie interakcji z RODO i DORA. AI Act nie funkcjonuje w próżni. System AI przetwarzający dane osobowe musi spełniać jednocześnie RODO. System AI w instytucji finansowej – DORA. Brak koordynacji między tymi reżimami to najczęstsze źródło luk w programach compliance.
Firma z sektora ubezpieczeniowego z Wrocławia wdrożyła latem 2025 roku nowy system oceny ryzyka oparty na AI. Dokumentacja techniczna dostawcy była niekompletna. Audyt wewnętrzny przeprowadzony 6 miesięcy przed deadline'em AI Act ujawnił brak logowania decyzji i nieudokumentowany system zarządzania ryzykiem. Czas na korektę: 6 miesięcy, koszt: znaczący, ale możliwy do absorpcji. Gdyby audyt nastąpił po sierpniu 2026 roku – konsekwencje byłyby nieporównywalne.
Często zadawane pytania
P: Czy mała firma zatrudniająca 20 osób musi spełniać wymagania AI Act?
O: Tak – AI Act stosuje się do wszystkich podmiotów używających lub dostarczających systemy AI na rynku UE, niezależnie od wielkości. Małe i średnie przedsiębiorstwa objęte są jednak pewnymi ułatwieniami w zakresie dokumentacji. Rozporządzenie przewiduje dla MŚP uproszczone formaty dokumentacji technicznej oraz dostęp do zasobów regulacyjnych przez piaskownice regulacyjne (regulatory sandboxes). Kluczowe jest jednak prawidłowe sklasyfikowanie systemów AI – obowiązek ten dotyczy każdego podmiotu.
P: Ile kosztuje wdrożenie compliance z AI Act i kiedy zacząć, żeby zdążyć na sierpień 2026 roku?
O: Koszt wdrożenia zależy od liczby systemów AI, roli firmy (dostawca czy użytkownik) i stopnia złożoności portfolio. Dla użytkownika jednego systemu wysokiego ryzyka – realny zakres prac to kilka tygodni prawnych i technicznych, co przy stawkach rynkowych daje kilkanaście do kilkudziesięciu tysięcy złotych. Dla dostawcy z kilkoma systemami – wielokrotność tej kwoty. Prace należy rozpocząć najpóźniej w pierwszym kwartale 2026 roku, aby mieć bufor na korektę. Firmy, które zaczną po maju 2026 roku, ryzykują brak zgodności w terminie.
P: Czy AI Act wymaga rejestracji systemów AI – i gdzie?
O: Tak – dostawcy systemów wysokiego ryzyka wymienionych w Załączniku III muszą zarejestrować swoje systemy w unijnej bazie danych EU AI Database przed wprowadzeniem ich do obrotu lub oddaniem do użytku. Termin rejestracji to sierpień 2026 roku dla systemów z Załącznika III. Użytkownicy systemów wysokiego ryzyka stosowanych przez organy publiczne mają własny obowiązek rejestracji. Baza danych jest publiczna – co oznacza, że brak rejestracji jest widoczny dla organów nadzorczych i kontrahentów.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji AI, ochrony danych i prawa technologicznego. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.