Wyobraź sobie, że Twoja firma właśnie wdrożyła system AI do rekrutacji pracowników. Narzędzie działa sprawnie, oszczędza czas i redukuje koszty. Tymczasem od 2 sierpnia 2026 r. brak odpowiedniej dokumentacji przejrzystości może oznaczać grzywnę sięgającą 15 milionów euro lub 3% globalnego obrotu. Przepisy już obowiązują – pytanie, czy Twoja organizacja jest gotowa.

Rozporządzenie (UE) 2024/1689, czyli AI Act, nakłada na dostawców systemów sztucznej inteligencji rozbudowany zestaw obowiązków przejrzystości. Obowiązki te weszły w życie 1 sierpnia 2024 roku, choć ich pełne stosowanie jest rozłożone fazowo do 2027 roku. Dla systemów wysokiego ryzyka kluczową datą jest 2 sierpnia 2026 roku – od tego momentu każdy dostawca musi dysponować kompletną dokumentacją techniczną, systemem zarządzania ryzykiem i mechanizmem nadzoru ludzkiego.

Ten artykuł analizuje strukturę obowiązków przejrzystości w AI Act: od wymagań dokumentacyjnych, przez zasady nadzoru ludzkiego, aż po konsekwencje prawne i transgraniczne aspekty wdrożenia. Omówimy też powiązania z RODO, DORA i krajowymi regulacjami dotyczącymi ochrony danych.

Czym są obowiązki przejrzystości w AI Act i kogo dotyczą?

AI Act wprowadza trójwarstwową architekturę obowiązków przejrzystości. Pierwsza warstwa dotyczy wszystkich systemów AI wchodzących w kontakt z ludźmi. Druga – systemów wysokiego ryzyka wymienionych w załącznikach I i III rozporządzenia. Trzecia – modeli ogólnego przeznaczenia (GPAI) o wyjątkowym ryzyku systemowym. Każda warstwa oznacza inne wymagania i inne terminy.

Dostawcą w rozumieniu AI Act jest podmiot, który opracowuje system AI lub zleca jego opracowanie z zamiarem wprowadzenia go do obrotu lub oddania do użytku pod własną nazwą albo znakiem towarowym. To rozróżnienie ma fundamentalne znaczenie: dostawca ponosi pełną odpowiedzialność regulacyjną, nawet jeśli korzysta z modelu bazowego innego producenta. Dystrybutor lub importer może stać się dostawcą, jeśli wprowadza istotne modyfikacje systemu.

Kancelaria IP Warszawa obserwuje w praktyce sytuację, w której polskie spółki technologiczne nieświadomie przyjmują status dostawcy. Dzieje się tak, gdy budują własne aplikacje na bazie modeli takich jak GPT-4 czy Gemini i udostępniają je klientom. W takim przypadku obowiązki dokumentacyjne spoczywają na polskiej spółce – nie na producencie modelu bazowego.

Instytucje nadzorcze w Polsce dopiero się kształtują. Urząd Ochrony Danych Osobowych (UODO) jest wyznaczony jako jeden z organów właściwych w sprawach AI Act, a Komisja Nadzoru Finansowego (KNF) zachowuje kompetencje sektorowe wobec podmiotów finansowych. Krajowy system nadzoru jest uzupełnieniem unijnego – Europejski Urząd ds. AI (AIEU) koordynuje stosowanie przepisów na poziomie ponadnarodowym.

Jakie konkretne obowiązki dokumentacyjne nakłada AI Act na dostawców systemów wysokiego ryzyka?

Systemy wysokiego ryzyka to kategoria, która w praktyce obejmuje szeroki krąg zastosowań. Zalicza się do nich systemy AI używane w rekrutacji, ocenie zdolności kredytowej, zarządzaniu infrastrukturą krytyczną, edukacji, wymiarze sprawiedliwości i biometrii. Dostawca takiego systemu musi spełnić wymagania z art. 9–15 AI Act przed wprowadzeniem go do obrotu.

Dokumentacja techniczna – to fundament całego systemu. Musi obejmować ogólny opis systemu, szczegółowe informacje o danych treningowych, architekturze modelu, parametrach wydajności oraz znanych ograniczeniach. Przepisy wymagają, by dokumentacja była aktualizowana przez cały cykl życia systemu. Minimalna objętość wymagań opisana w załączniku IV rozporządzenia obejmuje ponad 20 kategorii informacji.

System zarządzania ryzykiem musi być wdrożony jako ciągły, iteracyjny proces. Nie wystarczy jednorazowa ocena ryzyka. Dostawca jest zobowiązany do identyfikacji i analizy ryzyk znanych i rozsądnie przewidywalnych, przyjęcia środków zarządzania ryzykiem oraz testowania systemu przed jego wprowadzeniem i po każdej istotnej zmianie. Termin wdrożenia pełnego systemu zarządzania ryzykiem dla systemów wysokiego ryzyka to 2 sierpnia 2026 r.

Rejestr UE systemów AI to kolejny element, który często umyka uwadze. Dostawcy systemów wysokiego ryzyka muszą dokonać rejestracji w unijnej bazie danych, zanim system trafi do użytkowników. Rejestr jest publicznie dostępny, co oznacza, że informacje o systemie – w tym jego zastosowanie i producent – będą widoczne dla konkurencji, klientów i organów nadzoru.

W praktyce widzimy, że firmy z sektora IT i fintech mają szczególnie trudne zadanie. Ich systemy często balansują na granicy definicji systemu wysokiego ryzyka. Precyzyjna kwalifikacja wymaga analizy prawnej, a błędna ocena – że system nie jest wysokiego ryzyka, gdy faktycznie nim jest – to poważne naruszenie, za które grozi kara do 15 milionów euro lub 3% rocznego globalnego obrotu.

Spółka z branży HR-tech z Mazowsza, działająca od wiosny 2024 r., odkryła pod koniec roku, że jej narzędzie do selekcji CV kwalifikuje się jako system wysokiego ryzyka. Retroaktywne dostosowanie dokumentacji kosztowało firmę kilkanaście tygodni pracy i znaczące nakłady finansowe. Gdyby analiza prawna przeprowadzona była przed wdrożeniem, koszt byłby ułamkowy.

Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie kwalifikacji prawnej systemu na etapie projektowania – nie po jego uruchomieniu. Koszt błędnej kwalifikacji wielokrotnie przewyższa koszt prewencyjnej analizy.

Jak AI Act wiąże się z RODO, DORA i ochroną znaku towarowego?

AI Act nie działa w izolacji. Rozporządzenie (UE) 2024/1689 tworzy nową warstwę regulacyjną, która nakłada się na istniejące ramy prawne. Dla dostawców AI trzy obszary powiązań mają znaczenie krytyczne: ochrona danych osobowych na gruncie RODO, zarządzanie ryzykiem ICT na gruncie DORA oraz ochrona własności intelektualnej w kontekście znaku towarowego.

RODO i AI Act tworzą system naczyń połączonych. Systemy AI trenowane na danych osobowych podlegają równolegle przepisom RODO i AI Act. Ocena skutków dla ochrony danych (DPIA) wymagana na gruncie RODO często pokrywa się zakresowo z oceną ryzyka AI Act – ale nie jest z nią tożsama. Dostawca musi przeprowadzić oba procesy odrębnie. UODO jako organ nadzoru RODO może badać zgodność systemu AI z przepisami o ochronie danych niezależnie od postępowania prowadzonego przez organ właściwy dla AI Act.

DORA – Rozporządzenie (UE) 2022/2554 – obowiązuje od 17 stycznia 2025 r. Nakłada na podmioty finansowe obowiązek zarządzania ryzykiem ICT, w tym ryzykiem związanym z systemami AI. Instytucja finansowa wdrażająca system AI wysokiego ryzyka musi spełnić wymagania zarówno DORA (zarządzanie ryzykiem ICT, raportowanie incydentów do KNF), jak i AI Act (dokumentacja techniczna, nadzór ludzki). Nakładanie się tych obowiązków tworzy złożone środowisko compliance, szczególnie dla banków i ubezpieczycieli.

Kwestia znaku towarowego i ochrony własności intelektualnej pojawia się w kontekście GPAI – modeli ogólnego przeznaczenia. Modele trenowane na danych z internetu mogą reprodukować chronione treści lub generować materiały mylące się z oznaczeniami znanych marek. Dostawca GPAI jest zobowiązany do wdrożenia polityki przestrzegania prawa autorskiego zgodnie z art. 53 AI Act. Jeśli model generuje treści naruszające prawa do znaku towarowego, odpowiedzialność może sięgać dostawcy – nie tylko użytkownika końcowego.

Warto też wspomnieć o kanale sygnalistów jako elemencie systemu compliance AI. Wdrożenie wewnętrznego kanału zgłaszania naruszeń jest obowiązkiem pracodawców zatrudniających powyżej 50 pracowników. W kontekście AI Act pracownicy mogą zgłaszać przez taki kanał obawy dotyczące systemów AI – to kolejna warstwa transparentności wymagana od organizacji.

Jakie są konsekwencje naruszeń i jak wygląda egzekwowanie przepisów?

System sankcji w AI Act jest trójstopniowy i surowy. Najpoważniejsze naruszenia – stosowanie zakazanych praktyk AI, takich jak systemy social scoring czy manipulacja podprogowa – zagrożone są karą do 35 milionów euro lub 7% globalnego rocznego obrotu. Naruszenia obowiązków dostawców systemów wysokiego ryzyka to kara do 15 milionów euro lub 3% obrotu. Podanie nieprawdziwych informacji organom nadzoru to do 7,5 miliona euro lub 1% obrotu.

Egzekwowanie przepisów odbywa się na dwóch poziomach. Na poziomie krajowym – właściwe organy nadzoru rynku, w Polsce wyznaczone przez ustawę implementacyjną, której projekt był w toku legislacji na początku 2026 r. Na poziomie unijnym – Europejski Urząd ds. AI, który ma wyłączną kompetencję wobec dostawców GPAI i modeli o systemowym ryzyku.

Firma z branży insurtech z Pomorza wdrożyła wiosną 2025 r. system automatycznej oceny ryzyka ubezpieczeniowego bez pełnej dokumentacji technicznej. Organ nadzoru wszczął postępowanie wyjaśniające po skardze klienta na brak wyjaśnienia decyzji odmawiającej ubezpieczenia. Sprawa pokazuje, że droga do sankcji może prowadzić przez skargi indywidualne – nie tylko przez rutynowe kontrole.

Nadzór ludzki to osobny, często niedoceniany obowiązek. Art. 14 AI Act wymaga, by systemy wysokiego ryzyka były projektowane i rozwijane w sposób umożliwiający efektywny nadzór ze strony osób fizycznych. Oznacza to nie tylko formalną możliwość interwencji, ale rzeczywistą zdolność operatora do zrozumienia systemu, wykrycia anomalii i – w razie potrzeby – wyłączenia go. Wymóg ten jest weryfikowany podczas audytów i może być trudny do spełnienia w przypadku złożonych modeli głębokiego uczenia.

Nieodwracalnym skutkiem zaniechania może być nie tylko kara finansowa. Organ nadzoru może nakazać wycofanie systemu z rynku lub zakazanie jego dalszego stosowania. Dla firmy, której model biznesowy opiera się na danym systemie AI, taki nakaz oznacza utratę przychodów niemożliwą do odrobienia w krótkim czasie. To ryzyko, które zarządy powinny uwzględnić w planowaniu strategicznym.

Transgraniczne wdrożenie AI Act – specyfika rynku polskiego i perspektywa inwestora zagranicznego

Dla zagranicznego inwestora wchodzącego na rynek polski AI Act działa jako jednolite prawo UE – bez potrzeby osobnej implementacji. Jednak krajowe przepisy wykonawcze, wyznaczenie organów nadzoru i praktyka administracyjna różnią się między państwami członkowskimi. Polska jest w trakcie tworzenia swojej architektury nadzorczej, co oznacza pewien poziom niepewności regulacyjnej dla dostawców działających transgranicznie.

Dostawca spoza UE, który kieruje systemy AI do użytkowników w Polsce, podlega AI Act w pełnym zakresie. Musi wyznaczyć autoryzowanego przedstawiciela w UE – analogicznie do wymogu RODO. Brak takiego przedstawiciela jest samodzielnym naruszeniem przepisów. W praktyce wiele amerykańskich i azjatyckich firm technologicznych dopiero dostosowuje struktury compliance do tych wymogów.

Sektor finansowy w Polsce ma dodatkową warstwę regulacyjną. KNF nadzoruje instytucje finansowe zarówno na gruncie DORA, jak i – we współpracy z organem AI Act – w zakresie systemów AI wysokiego ryzyka stosowanych w kredytowaniu, ocenie ryzyka i zarządzaniu portfelem. Powiązania między tymi regulacjami są przedmiotem wytycznych EBA i ESMA, które polskie instytucje muszą uwzględniać równolegle z przepisami krajowymi.

Kwestia regulacji kryptoaktywów jest kolejnym obszarem przecięcia się regulacji technologicznych. Regulacja MiCA w Polsce tworzy ramy dla emitentów kryptoaktywów i dostawców usług. Platformy krypto coraz częściej wdrażają systemy AI do analizy ryzyka, weryfikacji klientów i wykrywania nadużyć – co oznacza równoległe stosowanie MiCA i AI Act. Polska, po zawetowaniu przez prezydenta pierwszej ustawy implementacyjnej, jest w szczególnej sytuacji regulacyjnej, którą dostawcy muszą monitorować.

Polska spółka technologiczna obsługująca klientów w 12 krajach UE musi zapewnić, że jej system AI spełnia wymagania AI Act jako jednolite prawo unijne. Jednocześnie lokalne przepisy wdrożeniowe – w zakresie wyznaczenia organów, procedur odwoławczych i sankcji uzupełniających – mogą się różnić. Strategia compliance musi uwzględniać oba poziomy.

Konkretna sytuacja Państwa firmy w obszarze transgranicznych wdrożeń AI wymaga indywidualnej analizy. Błędna ocena jurysdykcji lub pominięcie wymogu autoryzowanego przedstawiciela mogą zamknąć drogę do legalnej działalności na rynku UE bez możliwości szybkiej naprawy.

Jeśli Państwa spółka wdraża systemy AI w więcej niż jednym kraju UE lub obsługuje klientów z sektora finansowego – przeprowadzimy pełny przegląd compliance AI Act, mapowanie ryzyk i przygotowanie dokumentacji technicznej: info@kordeckipartners.com.

Strategia compliance AI Act – co zrobić teraz i jak się przygotować na 2027 rok?

Mapa drogowa AI Act jest ustalona. Zakaz stosowania niedopuszczalnych praktyk AI obowiązuje od 2 lutego 2025 r. Obowiązki dla modeli GPAI – od 2 sierpnia 2025 r. Pełne obowiązki dla systemów wysokiego ryzyka z załącznika III – od 2 sierpnia 2026 r. Przepisy dotyczące systemów AI stosowanych w produktach objętych unijnym ustawodawstwem harmonizacyjnym (np. urządzenia medyczne) – od 2 sierpnia 2027 r.

Pierwszym krokiem jest inwentaryzacja systemów AI. Organizacja musi wiedzieć, jakie systemy AI stosuje lub udostępnia, w jakiej roli (dostawca, operator, dystrybutor), i do jakiej kategorii ryzyka należą. Bez tej wiedzy nie można zaplanować działań compliance. Inwentaryzacja powinna obejmować systemy wewnętrzne, narzędzia kupowane od dostawców zewnętrznych i modele rozwijane we własnym zakresie.

Checklist przygotowania do AI Act:

  • Inwentaryzacja systemów AI i kwalifikacja ryzyka (do 30 dni od decyzji o wdrożeniu)
  • Opracowanie dokumentacji technicznej zgodnej z załącznikiem IV AI Act
  • Wdrożenie systemu zarządzania ryzykiem jako ciągłego procesu
  • Zaprojektowanie mechanizmów nadzoru ludzkiego i procedur wyłączenia systemu
  • Rejestracja systemu w unijnej bazie danych przed wprowadzeniem do obrotu

Modele GPAI – takie jak duże modele językowe – podlegają osobnemu reżimowi. Dostawca modelu GPAI musi sporządzić i aktualizować dokumentację techniczną, udostępnić ją dostawcom systemów AI budowanym na tym modelu oraz wdrożyć politykę przestrzegania prawa autorskiego. Modele o systemowym ryzyku (powyżej 10^25 operacji zmiennoprzecinkowych podczas treningu) mają dodatkowe obowiązki: ocenę modelu, testy odporności i obowiązek raportowania poważnych incydentów do Europejskiego Urzędu ds. AI.

Trzy scenariusze biznesowe ilustrują zakres wyzwań. Firma produkcyjna z Małopolski wdrażająca AI do kontroli jakości – prawdopodobnie system wysokiego ryzyka w infrastrukturze krytycznej, wymagający pełnej dokumentacji do sierpnia 2026 r. Spółka IT z Trójmiasta budująca chatbota dla branży prawnej – konieczna analiza, czy system podejmuje decyzje dotyczące praw użytkowników. Zagraniczny inwestor uruchamiający w Polsce centrum AI – obowiązek wyznaczenia autoryzowanego przedstawiciela i pełna dokumentacja w języku wymaganym przez organ nadzoru.

Nie można też pominąć wymiaru pracowniczego. Systemy AI stosowane do zarządzania pracownikami – oceny wydajności, przydzielania zadań, monitorowania – są wprost wymienione w załączniku III jako systemy wysokiego ryzyka. Pracodawca stosujący takie narzędzia staje się operatorem systemu wysokiego ryzyka ze wszystkimi obowiązkami z tym związanymi, w tym obowiązkiem informowania pracowników o stosowaniu AI w procesach decyzyjnych.

Konkretna sytuacja Państwa organizacji wymaga oceny, zanim upłyną terminy, których przekroczenie może mieć nieodwracalne skutki dla możliwości dalszego stosowania systemów AI.

Jeśli Państwa firma produkuje, wdraża lub planuje wdrożenie systemów AI – przeprowadzimy kwalifikację ryzyka, opracujemy dokumentację techniczną i zbudujemy system zarządzania ryzykiem zgodny z AI Act: info@kordeckipartners.com.

Często zadawane pytania

P: Czy dostawca modelu AI bazującego na GPT-4 lub innym modelu zewnętrznym jest objęty AI Act?

O: Tak. Podmiot, który buduje własną aplikację lub usługę na bazie cudzego modelu i udostępnia ją pod własną nazwą lub znakiem towarowym, jest dostawcą w rozumieniu rozporządzenia (UE) 2024/1689. Oznacza to pełne obowiązki dokumentacyjne i odpowiedzialność za zgodność systemu z przepisami. Wyjątkiem jest sytuacja, gdy dostawca modelu bazowego przejął odpowiedzialność umownie i spełnia określone warunki – co wymaga starannej analizy umowy licencyjnej.

P: Kiedy dokładnie wchodzą w życie kary za naruszenia AI Act?

O: Przepisy AI Act stosuje się fazowo. Zakazy dotyczące niedopuszczalnych praktyk obowiązują od 2 lutego 2025 roku. Obowiązki dla systemów wysokiego ryzyka z załącznika III wchodzą w życie 2 sierpnia 2026 roku. Sankcje za naruszenia tych obowiązków stosuje się od tych samych dat. Nie ma osobnego okresu karencji na kary – naruszenie przepisu od dnia jego wejścia w życie może skutkować postępowaniem nadzorczym.

P: Czy małe firmy i startupy są zwolnione z obowiązków AI Act?

O: Rozporządzenie (UE) 2024/1689 nie przewiduje generalnego zwolnienia dla małych i średnich przedsiębiorstw. MŚP podlegają tym samym obowiązkom co duże korporacje. Jedyne udogodnienie to dostęp do przestrzeni regulacyjnych (regulatory sandboxes) tworzonych przez organy nadzoru, które umożliwiają testowanie innowacyjnych systemów AI w kontrolowanym środowisku. Kwoty kar są obliczane procentowo od obrotu, co oznacza, że dla małych firm bezwzględne kwoty są niższe – ale obowiązki dokumentacyjne pozostają takie same.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa własności intelektualnej, technologii i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.