Od 2 sierpnia 2026 r. dostawcy systemów AI objętych obowiązkami przejrzystości muszą spełnić konkretne wymogi wynikające z AI Act. Rozporządzenie (UE) 2024/1689 weszło w życie 1 sierpnia 2024 r. – ale terminy wdrożenia rozkładają się na kolejne lata. Dla wielu polskich firm technologicznych okno na przygotowanie się jest węższe, niż się wydaje.
AI Act – Rozporządzenie (UE) 2024/1689 – nakłada na dostawców systemów sztucznej inteligencji obowiązki przejrzystości, które obejmują m.in. oznaczanie treści generowanych przez AI, informowanie użytkowników o interakcji z systemem AI oraz dokumentowanie modeli. Przepisy dotyczące przejrzystości stosuje się od 2 sierpnia 2026 roku. Naruszenie obowiązków może skutkować karą do 15 mln EUR lub 3% globalnego obrotu rocznego.
Ten alert wyjaśnia, co się zmieniło, kogo dotyczą nowe przepisy i jakie kroki należy podjąć teraz – zanim regulacja zacznie być egzekwowana. Poniżej omawiamy zakres obowiązków, progi odpowiedzialności oraz listę działań do wdrożenia.
Co zmienia AI Act dla dostawców systemów AI?
AI Act wprowadza czterostopniową klasyfikację ryzyka systemów AI. Systemy wysokiego ryzyka – takie jak te używane w rekrutacji, scoringu kredytowym czy biometrii – podlegają najsurowszym wymogom. Obowiązki przejrzystości dotyczą jednak szerszej grupy: wszystkich systemów wchodzących w bezpośrednią interakcję z ludźmi.
Regulacja wyprzedza rynek. Wiele polskich firm technologicznych wdrożyło chatboty, asystentów głosowych i systemy rekomendacji, nie klasyfikując ich formalnie jako systemy AI w rozumieniu rozporządzenia. To błąd, który teraz może zamknąć drogę do bezproblemowego wejścia na rynki UE.
Konkretnie – art. 50 AI Act nakłada na dostawców systemów AI wchodzących w interakcję z użytkownikami obowiązek informowania tych użytkowników, że rozmawiają z maszyną. Dotyczy to chatbotów, voicebotów i systemów generujących treści. Wyjątek istnieje tylko wtedy, gdy kontekst użycia jest oczywisty dla przeciętnego użytkownika.
Równolegle – dostawcy modeli AI ogólnego przeznaczenia (GPAI) o dużej skali obliczeniowej muszą spełnić dodatkowe wymogi dokumentacyjne wobec Komisji Europejskiej. Próg mocy obliczeniowej to 1025 operacji zmiennoprzecinkowych (FLOP). Dla większości polskich firm ten próg nie ma zastosowania – ale obowiązki przejrzystości wobec użytkowników dotyczą wszystkich.
Warto też pamiętać, że AI Act nie działa w próżni. Systemy AI przetwarzające dane osobowe podlegają jednocześnie RODO – Rozporządzeniu (UE) 2016/679. Naruszenie obowiązków informacyjnych może więc generować podwójną odpowiedzialność: z AI Act i z RODO. Nadzór sprawuje PUODO oraz krajowy organ nadzoru AI, który Polska ma wyznaczyć do 2 sierpnia 2025 r.
Kogo dotyczą obowiązki i jakie są terminy?
Obowiązki przejrzystości z AI Act obejmują trzy kategorie podmiotów: dostawców systemów AI (tworzących lub wprowadzających system do obrotu), operatorów (wdrażających system w swojej działalności) oraz importerów i dystrybutorów. Każda kategoria ma inny zakres odpowiedzialności – ale dostawca odpowiada zawsze jako pierwszy.
Polskie firmy SaaS, software house'y i startupy AI są dostawcami w rozumieniu AI Act, jeśli wprowadzają system do obrotu pod własną nazwą lub znakiem towarowym. Rebranding cudzego modelu nie zwalnia z odpowiedzialności – wręcz przeciwnie, przenosi ją na podmiot rebrandujący. To istotna pułapka dla firm korzystających z API zewnętrznych modeli i oferujących je dalej jako własne rozwiązanie.
Terminy są następujące:
- 2 lutego 2025 r. – zakaz stosowania systemów AI niedopuszczalnego ryzyka (np. social scoring)
- 2 sierpnia 2025 r. – obowiązki dla dostawców modeli GPAI i wyznaczenie krajowego organu nadzoru
- 2 sierpnia 2026 r. – obowiązki przejrzystości i wymogi dla systemów AI ogólnego zastosowania
- 2 sierpnia 2027 r. – pełne stosowanie wymogów dla systemów wysokiego ryzyka w istniejących produktach
Dla firm działających w sektorze finansowym dochodzi jeszcze DORA – Rozporządzenie (UE) 2022/2554, które od 17 stycznia 2025 r. nakłada wymogi zarządzania ryzykiem ICT. Systemy AI używane przez instytucje finansowe muszą spełniać jednocześnie wymogi AI Act i DORA. Nadzór w Polsce sprawuje KNF. Brak zgodności z DORA może skutkować karami administracyjnymi nakładanymi przez KNF niezależnie od sankcji z AI Act.
Firmy z branży IP – tworzące systemy generujące treści – muszą dodatkowo zadbać o oznaczanie materiałów syntetycznych. Obowiązek watermarkingu treści generowanych przez AI dotyczy obrazów, dźwięku i wideo. Naruszenie tego obowiązku to nie tylko ryzyko kary, ale też potencjalne roszczenia z tytułu naruszenia praw autorskich lub ochrony wizerunku.
Jeśli Państwa firma oferuje rozwiązania AI klientom z innych krajów UE, warto rozważyć mediację jako narzędzie rozwiązywania sporów wynikających z różnic w implementacji AI Act przez poszczególne państwa członkowskie.
Konkretna sytuacja Państwa firmy wymaga oceny, czy oferowane systemy AI podlegają obowiązkom przejrzystości. Brak tej oceny przed 2 sierpnia 2026 r. może nieodwracalnie narazić Państwa na kary finansowe i utratę dostępu do rynków UE.
Jeśli Państwa firma dostarcza systemy AI wchodzące w interakcję z użytkownikami – przeprowadzimy klasyfikację ryzyka, audyt dokumentacji i wdrożenie procedur zgodności: info@kordeckipartners.com.
Co zrobić teraz? Lista działań dla dostawców AI
Czas do 2 sierpnia 2026 r. wydaje się długi. W praktyce – wiele firm o tym zapomina – wdrożenie procedur zgodności z AI Act wymaga od 3 do 6 miesięcy pracy operacyjnej. Zaczynając dziś, mają Państwo margines bezpieczeństwa. Zaczynając w maju 2026 r. – już nie.
Pierwszym krokiem jest klasyfikacja systemów AI w Państwa portfolio. Należy ustalić, które systemy wchodzą w interakcję z użytkownikami, które przetwarzają dane osobowe i które mogą być zakwalifikowane jako systemy wysokiego ryzyka. Bez tej mapy nie można ocenić zakresu obowiązków.
Audyt dokumentacji technicznej to krok drugi. AI Act wymaga prowadzenia szczegółowej dokumentacji systemu AI – w tym opisu jego przeznaczenia, danych treningowych i testowych oraz mechanizmów nadzoru ludzkiego. Brak dokumentacji to nie tylko ryzyko kary, ale też problem w relacjach z klientami B2B, którzy będą wymagać dowodów zgodności. Warto przy tej okazji sprawdzić, czy Państwa procedury ochrony danych są aktualne – audyt RODO ujawnia najczęstsze luki, które dotyczą też systemów AI.
Lista działań priorytetowych:
- Klasyfikacja wszystkich systemów AI według kategorii ryzyka AI Act
- Wdrożenie obowiązków informacyjnych wobec użytkowników (oznaczenie interakcji z AI)
- Przygotowanie dokumentacji technicznej wymaganej przez AI Act
- Weryfikacja zgodności z RODO w zakresie przetwarzania danych przez systemy AI
- Ocena, czy systemy AI podlegają jednocześnie wymogom DORA (sektor finansowy)
Startup z Trójmiasta, który wiosną 2025 r. wdrożył chatbota do obsługi klienta bez obowiązku informacyjnego, ryzykuje nie tylko karą administracyjną – ryzykuje utratą zaufania klientów B2B, którzy sami podlegają AI Act jako operatorzy. Podobna sytuacja spotkała firmę z Poznania oferującą system rekomendacji dla e-commerce: brak klasyfikacji ryzyka uniemożliwił jej wejście na rynek niemiecki w terminie przetargowym.
Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny zakresu obowiązków. Brak wdrożenia procedur przed sierpniem 2026 r. może nieodwracalnie zamknąć Państwu dostęp do przetargów publicznych i kontraktów z klientami korporacyjnymi wymagającymi certyfikacji AI Act.
Aby otrzymać ocenę zgodności Państwa systemów AI z obowiązkami przejrzystości – napisz do info@kordeckipartners.com.
Często zadawane pytania
P: Czy obowiązki przejrzystości AI Act dotyczą małych firm i startupów?
O: Tak. AI Act nie przewiduje wyłączenia dla mikroprzedsiębiorstw w zakresie obowiązków przejrzystości. Każdy dostawca systemu AI wchodzącego w interakcję z użytkownikami – niezależnie od wielkości firmy – musi spełnić wymogi informacyjne od 2 sierpnia 2026 roku. Małe firmy mogą jednak skorzystać z uproszczonych procedur dokumentacyjnych przewidzianych dla podmiotów poniżej określonych progów zatrudnienia i obrotu.
P: Ile kosztuje wdrożenie zgodności z AI Act dla dostawcy systemu AI?
O: Koszt zależy od złożoności systemu i obecnego stanu dokumentacji. Dla dostawcy prostego chatbota wdrożenie obowiązków przejrzystości to zwykle od kilku do kilkunastu tysięcy złotych – obejmując klasyfikację, dokumentację i procedury informacyjne. Systemy wysokiego ryzyka wymagają znacznie szerszego audytu i certyfikacji, co może kosztować wielokrotnie więcej. Warto zacząć od klasyfikacji ryzyka, która pozwala określić rzeczywisty zakres obowiązków.
P: Czy używanie cudzego modelu AI (np. przez API) zwalnia z obowiązków AI Act?
O: Nie. Firma, która integruje zewnętrzny model AI i oferuje go klientom pod własną marką lub jako własne rozwiązanie, staje się dostawcą w rozumieniu artykułu 3 AI Act. Odpowiedzialność za zgodność z obowiązkami przejrzystości spoczywa wtedy na niej, nie na twórcy bazowego modelu. Umowy z dostawcami API powinny precyzyjnie regulować podział obowiązków compliance – brak takich klauzul to typowa luka wykrywana podczas audytów.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji AI, własności intelektualnej i ochrony danych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.