Firma technologiczna z Mazowsza wdraża narzędzie do automatycznej oceny CV. Dział HR uznaje to za usprawnienie rekrutacji. Tymczasem unijny AI Act klasyfikuje taki system jako wysokiego ryzyka – co oznacza obowiązki dokumentacyjne, audyt i rejestrację przed uruchomieniem produkcyjnym. Ignorowanie tego faktu nie jest opcją: sankcje sięgają do 35 milionów EUR lub 7% globalnego obrotu.
AI Act – Rozporządzenie (UE) 2024/1689 – wszedł w życie 1 sierpnia 2024 roku i wprowadza czterostopniowy harmonogram wdrożenia rozłożony na lata 2024–2027. Polskie firmy stosujące lub rozwijające systemy AI muszą dostosować działalność do kolejnych progów czasowych pod rygorem kar administracyjnych. Pierwsze obowiązki – zakaz stosowania systemów AI niedopuszczalnego ryzyka – stały się skuteczne już 2 lutego 2025 roku.
Poniższy przewodnik omawia każdy etap harmonogramu, wskazuje, które firmy są dotknięte w pierwszej kolejności, i pokazuje, jak uniknąć najczęstszych błędów przy wdrożeniu. Obejmuje trzy scenariusze biznesowe: producenta przemysłowego, firmę IT i zagranicznego inwestora wchodzącego na rynek polski.
Jakie etapy harmonogramu AI Act obowiązują polskie firmy?
AI Act nie wchodzi w życie jednego dnia. Rozporządzenie stosuje się stopniowo – w czterech głównych fazach. Każda faza dotyczy innej kategorii ryzyka i innego kręgu podmiotów. Zrozumienie tej struktury to punkt wyjścia dla każdego działu prawnego i compliance.
Faza pierwsza objęła zakazy bezwzględne. Od 2 lutego 2025 roku zakazane jest stosowanie systemów AI sklasyfikowanych jako niedopuszczalne ryzyko. Chodzi m.in. o systemy oceny społecznej (social scoring), manipulację podprogową i zdalne rozpoznawanie biometryczne w przestrzeni publicznej w czasie rzeczywistym – z wyjątkami dla organów ścigania. Naruszenie tego zakazu grozi karą do 35 milionów EUR lub 7% globalnego obrotu rocznego.
Faza druga – sierpień 2025 roku – obejmuje obowiązki dotyczące modeli AI ogólnego przeznaczenia (GPAI). Dotyczy to dostawców modeli językowych, systemów generatywnych i innych modeli fundacyjnych udostępnianych na rynku UE. Obowiązki obejmują dokumentację techniczną, polityki przestrzegania prawa autorskiego i przejrzystość wobec dalszych użytkowników.
Faza trzecia – sierpień 2026 roku – to moment, w którym pełne obowiązki dla systemów wysokiego ryzyka (Załącznik III AI Act) stają się wymagalne. Systemy stosowane w rekrutacji, kredytowaniu, edukacji, infrastrukturze krytycznej i wymiarze sprawiedliwości muszą spełniać wymogi zarządzania ryzykiem, danych treningowych, przejrzystości, nadzoru ludzkiego i rejestracji w unijnej bazie danych. Termin 2 sierpnia 2026 roku – zapamiętaj go.
Faza czwarta – sierpień 2027 roku – obejmuje systemy wbudowane w produkty regulowane innymi przepisami unijnymi (np. wyroby medyczne, pojazdy). Te systemy mają najdłuższy okres przejściowy, ale nie oznacza to braku działań przygotowawczych już teraz.
Kto jest objęty AI Act – i jak sklasyfikować własny system?
AI Act obowiązuje dostawców, operatorów, importerów i dystrybutorów systemów AI oferowanych lub stosowanych na terytorium UE. Polska firma kupująca gotowy system AI od zewnętrznego dostawcy i wdrażająca go w swoich procesach jest operatorem – i ponosi własne obowiązki niezależnie od obowiązków dostawcy.
Klasyfikacja ryzyka to pierwszy krok analizy compliance. Rozporządzenie wyróżnia cztery poziomy: niedopuszczalne, wysokie, ograniczone i minimalne. Poziom determinuje zakres obowiązków. Systemy wysokiego ryzyka wymienione w Załączniku III to m.in.:
- systemy rekrutacyjne i oceny pracowników (HR)
- systemy scoringowe w kredytach konsumenckich i ubezpieczeniach
- systemy zarządzania infrastrukturą krytyczną (energetyka, woda, transport)
- systemy stosowane w edukacji i szkoleniu zawodowym
- systemy biometrycznej identyfikacji i kategoryzacji osób
W praktyce – wiele firm o tym zapomina – operator musi przeprowadzić klasyfikację przed uruchomieniem, nie po. Błąd polega na przyjęciu, że narzędzie kupione od renomowanego dostawcy automatycznie spełnia wymogi. Tak nie jest: operator odpowiada za wdrożenie procedur nadzoru ludzkiego, rejestrację systemu i ocenę skutków dla praw podstawowych, jeśli jest podmiotem publicznym lub działa w obszarze usług publicznych.
Dla firm objętych DORA – Rozporządzeniem (UE) 2022/2554, które stosuje się od 17 stycznia 2025 roku – systemy AI używane do zarządzania ryzykiem ICT mogą jednocześnie podlegać AI Act i DORA. Warto przeprowadzić mapowanie obowiązków łącznie, unikając podwójnej dokumentacji. Podobnie systemy AI przetwarzające dane osobowe podlegają równolegle RODO – Rozporządzeniu (UE) 2016/679, a organ nadzorczy PUODO może działać niezależnie od krajowego organu nadzoru AI.
Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie klasyfikacji ryzyka jako odrębnego projektu – przed jakimkolwiek wdrożeniem – a nie jako zadanie poboczne dla działu IT.
Jakie konkretne kroki powinien podjąć operator systemu AI wysokiego ryzyka?
Operator systemu wysokiego ryzyka ma obowiązek działać w sześciu obszarach przed datą 2 sierpnia 2026 roku. Pominięcie któregokolwiek z nich naraża firmę na karę do 15 milionów EUR lub 3% globalnego obrotu – oraz ryzyko zakazu stosowania systemu.
Krok 1 – inwentaryzacja systemów AI. Sporządź rejestr wszystkich narzędzi AI stosowanych w firmie. Uwzględnij systemy kupione, subskrybowane (SaaS) i rozwijane wewnętrznie. Dla każdego systemu ustal: kto jest dostawcą, jakie dane przetwarza, w jakim procesie biznesowym działa.
Krok 2 – klasyfikacja ryzyka. Dla każdego systemu z rejestru przeprowadź analizę Załącznika III AI Act. Jeśli system mieści się w jednej z kategorii wysokiego ryzyka – uruchamia się pełna ścieżka compliance. Dokumentuj uzasadnienie klasyfikacji.
Krok 3 – ocena zgodności dostawcy. Sprawdź, czy dostawca (jeśli to zewnętrzny podmiot) wywiązuje się ze swoich obowiązków jako provider: dokumentacja techniczna, CE marking (jeśli dotyczy), rejestracja w EU AI Database. Umowa z dostawcą powinna zawierać klauzule compliance – to obszar, w którym ochrona tajemnicy przedsiębiorstwa i prawa IP są równie istotne jak regulacje techniczne. Więcej o ochronie tajemnicy przedsiębiorstwa w Polsce omawia ten przewodnik.
Krok 4 – wdrożenie systemu zarządzania ryzykiem. AI Act wymaga ciągłego (nie jednorazowego) systemu zarządzania ryzykiem dla każdego systemu wysokiego ryzyka. System obejmuje identyfikację zagrożeń, środki mitygacji i przeglądy po wdrożeniu.
Krok 5 – nadzór ludzki (human oversight). Wyznacz osoby odpowiedzialne za nadzór nad każdym systemem wysokiego ryzyka. Udokumentuj ich kompetencje i zakres uprawnień do interwencji lub wyłączenia systemu.
Krok 6 – rejestracja w EU AI Database. Systemy wysokiego ryzyka wymienione w Załączniku III muszą być zarejestrowane w unijnej bazie danych przed uruchomieniem. Rejestracja jest obowiązkiem operatora, chyba że dostawca działa jako operator we własnym imieniu.
Trzy scenariusze biznesowe – producent, firma IT i inwestor zagraniczny
Harmonogram AI Act wygląda inaczej z perspektywy każdego z trzech typowych klientów kancelarii. Poniżej przedstawiamy praktyczne ujęcie każdego przypadku.
Scenariusz A – producent przemysłowy z Dolnego Śląska. Firma wdrożyła system predykcyjnego utrzymania ruchu (predictive maintenance) oparty na ML. System nie przetwarza danych osobowych i nie mieści się w Załączniku III – jest klasyfikowany jako minimalne ryzyko. Obowiązki są ograniczone: dobrowolny kodeks postępowania i podstawowa dokumentacja. Jeśli jednak ten sam producent planuje wdrożyć system zarządzania dostępem oparty na biometrii – wchodzi w kategorię wysokiego ryzyka i musi działać zgodnie z krokami 1–6 opisanymi wyżej przed sierpniem 2026 roku.
Scenariusz B – firma IT z Krakowa rozwijająca własny model GPAI. Dostawca modelu językowego udostępnianego innym firmom (B2B SaaS) jest objęty obowiązkami GPAI od sierpnia 2025 roku. Musi przygotować dokumentację techniczną, politykę przestrzegania prawa autorskiego (w tym zasad fair use i licencjonowania danych treningowych) oraz informacje dla dalszych użytkowników o możliwościach i ograniczeniach modelu. Firmy rozwijające IP w Polsce powinny zapoznać się z zagadnieniami ochrony IP w regionie – omawia je ten artykuł.
Scenariusz C – zagraniczny inwestor wchodzący na rynek polski. Spółka z siedzibą poza UE, która udostępnia system AI polskim użytkownikom lub stosuje go w polskich procesach, podlega AI Act w takim samym zakresie jak podmiot unijny. Musi wyznaczyć upoważnionego przedstawiciela w UE. Dla firm z rynków wschodnich – Ukrainy, krajów WNP – wejście na rynek polski przez polską spółkę zależną wymaga analizy umów podatkowych. Więcej na ten temat: przewodnik po umowach o unikaniu podwójnego opodatkowania.
Jakie błędy popełniają firmy przy wdrożeniu AI Act?
Złożoność AI Act sprawia, że firmy wpadają w przewidywalne pułapki. Poniżej cztery najczęstsze błędy, które obserwujemy w praktyce.
Błąd 1 – traktowanie AI Act jako problemu IT. Compliance AI Act to projekt interdyscyplinarny: prawny, techniczny i operacyjny. Delegowanie go wyłącznie do działu IT bez zaangażowania prawników i zarządu prowadzi do luk w dokumentacji i braku procedur nadzoru ludzkiego. Zarząd odpowiada za zapewnienie zgodności – podobnie jak w przypadku RODO, gdzie PUODO nakładał kary na podmioty, które delegowały compliance bez nadzoru.
Błąd 2 – pomijanie systemów SaaS. Firmy często klasyfikują jako "system AI firmy" tylko rozwiązania rozwijane wewnętrznie. Tymczasem subskrybowane narzędzia HR, CRM z funkcjami predykcyjnymi czy chatboty obsługi klienta – jeśli spełniają definicję systemu AI z art. 3 AI Act – podlegają tym samym obowiązkom operatora.
Błąd 3 – odkładanie klasyfikacji na "po wdrożeniu". Klasyfikacja ryzyka musi poprzedzać uruchomienie systemu w środowisku produkcyjnym. Firma, która uruchomi system wysokiego ryzyka bez rejestracji i dokumentacji przed sierpniem 2026 roku, narazi się na karę i nakaz wstrzymania działania systemu – co może oznaczać przerwanie kluczowego procesu biznesowego.
Błąd 4 – ignorowanie łańcucha dostaw AI. Jeśli Twoja firma jest operatorem i korzysta z systemu AI dostarczonego przez zewnętrznego dostawcę, musisz zweryfikować jego zgodność. Umowy z dostawcami powinny zawierać klauzule dotyczące dokumentacji technicznej, powiadomień o zmianach systemu i podziału obowiązków compliance. Brak takich klauzul to nieodwracalna luka kontraktowa, która ujawni się przy pierwszej kontroli.
Konkretna sytuacja Państwa firmy – liczba wdrożonych systemów AI, ich klasyfikacja i aktualny stan dokumentacji – wymaga indywidualnej oceny. Pominięcie etapu klasyfikacji przed sierpniem 2026 roku zamyka drogę do zgodnego uruchomienia systemu i naraża na odpowiedzialność osobistą członków zarządu odpowiedzialnych za compliance.
Jeśli Państwa spółka stosuje systemy AI w rekrutacji, kredytowaniu lub zarządzaniu infrastrukturą i nie przeprowadziła jeszcze klasyfikacji ryzyka – przeprowadzimy audyt compliance, mapowanie obowiązków i przygotujemy dokumentację wymaganą przez AI Act: info@kordeckipartners.com.
Często zadawane pytania
P: Czy mała firma (poniżej 50 pracowników) jest zwolniona z AI Act?
O: AI Act nie przewiduje ogólnego zwolnienia dla MŚP – ale wprowadza ułatwienia proceduralne. Małe i mikroprzedsiębiorstwa mogą korzystać z uproszczonej dokumentacji technicznej oraz z piaskownic regulacyjnych (regulatory sandboxes) tworzonych przez krajowe organy nadzoru. Obowiązki zależą od kategorii ryzyka systemu, nie od wielkości firmy. Mała firma stosująca system rekrutacyjny klasyfikowany jako wysokie ryzyko podlega pełnym obowiązkom operatora.
P: Ile kosztuje wdrożenie compliance AI Act i jak długo trwa?
O: Koszty i czas zależą od liczby systemów AI i ich klasyfikacji. Dla firmy stosującej jeden lub dwa systemy wysokiego ryzyka, projekt compliance – inwentaryzacja, klasyfikacja, dokumentacja, procedury nadzoru – zajmuje od 6 do 12 tygodni przy zaangażowaniu zewnętrznego doradcy. Koszty prawne i doradcze wahają się od kilkunastu do kilkudziesięciu tysięcy złotych, w zależności od złożoności systemów i stanu istniejącej dokumentacji. Dla dostawców modeli GPAI zakres jest szerszy i kosztowniejszy.
P: Czy AI Act zastępuje RODO przy przetwarzaniu danych osobowych przez systemy AI?
O: Nie. AI Act i RODO stosują się równolegle i niezależnie. System AI przetwarzający dane osobowe podlega obu rozporządzeniom jednocześnie. PUODO pozostaje właściwym organem w zakresie ochrony danych osobowych. Krajowy organ nadzoru AI (jego powołanie jest w toku w Polsce) będzie właściwy w zakresie AI Act. Ocena skutków dla praw podstawowych wymagana przez AI Act dla operatorów publicznych częściowo pokrywa się z oceną skutków dla ochrony danych (DPIA) z artykułu 35 RODO – ale jej nie zastępuje.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa technologii, AI Act, DORA i ochrony własności intelektualnej. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.