Firma z Warszawy wdraża chatbota do obsługi klienta. Dział prawny pyta: czy to system wysokiego ryzyka? Czy wystarczy etykieta „AI"? Ile mamy czasu na dostosowanie dokumentacji? Odpowiedzi nie są oczywiste – a konsekwencje błędnej klasyfikacji mogą być nieodwracalne.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 – AI Act – weszło w życie 1 sierpnia 2024 roku i wprowadza wielopoziomowy system obowiązków przejrzystości dla dostawców systemów sztucznej inteligencji. Dostawcy systemów wysokiego ryzyka muszą spełnić wymogi techniczne i dokumentacyjne przed wprowadzeniem produktu na rynek UE. Kary za naruszenia sięgają 30 milionów EUR lub 6% globalnych przychodów rocznych.
Przewodnik wyjaśnia, kto jest „dostawcą" w rozumieniu AI Act, jakie obowiązki przejrzystości obowiązują poszczególne kategorie systemów, kiedy wchodzą kolejne etapy stosowania rozporządzenia oraz jakich błędów unikają polskie firmy technologiczne wdrażające AI w praktyce. Materiał obejmuje trzy scenariusze biznesowe i listę kontrolną gotowości.
Kto jest dostawcą AI i jakie kategorie systemów obejmuje rozporządzenie?
AI Act definiuje dostawcę szeroko. To każdy podmiot – firma, startup, podmiot publiczny – który opracowuje system AI lub zleca jego opracowanie, a następnie wprowadza go na rynek UE pod własną nazwą lub znakiem towarowym. Definicja obejmuje zarówno firmy z siedzibą w UE, jak i podmioty spoza Unii, jeśli ich systemy są używane na terytorium państw członkowskich.
Rozporządzenie dzieli systemy AI na cztery kategorie. Pierwsza to systemy zakazane – między innymi scoring społeczny i manipulacja podprogowa. Druga kategoria to systemy wysokiego ryzyka, wymienione w Załącznikach III i IV: rekrutacja pracowników, scoring kredytowy, biometria, infrastruktura krytyczna, edukacja, wymiar sprawiedliwości. Trzecia kategoria to systemy wymagające jedynie obowiązków przejrzystości. Czwarta to systemy niskiego ryzyka, objęte dobrowolnymi kodeksami postępowania.
Polskie firmy technologiczne – szczególnie z sektora fintech i HR-tech – najczęściej operują w drugiej i trzeciej kategorii. System do automatycznego selekcjonowania CV to system wysokiego ryzyka. Chatbot sprzedażowy to najczęściej kategoria trzecia. Różnica w wymaganiach jest zasadnicza: kilkadziesiąt stron dokumentacji technicznej kontra kilka zdań ujawnienia wobec użytkownika.
Warto pamiętać o powiązaniu z innymi regulacjami. Systemy AI przetwarzające dane osobowe podlegają równolegle RODO – a PUODO może wszcząć kontrolę niezależnie od organów nadzorujących AI Act. Instytucje finansowe wdrażające AI muszą uwzględnić dodatkowo DORA, które od 17 stycznia 2025 roku nakłada obowiązki zarządzania ryzykiem ICT, w tym systemów AI. Trzy reżimy prawne mogą dotyczyć jednego produktu jednocześnie.
Jakie konkretne obowiązki przejrzystości nakłada AI Act na dostawców?
Obowiązki przejrzystości działają na trzech poziomach. Poziom pierwszy dotyczy wszystkich systemów AI wchodzących w bezpośrednią interakcję z użytkownikiem – chatbotów, asystentów głosowych, systemów generujących treści. Użytkownik musi wiedzieć, że komunikuje się z AI. Wymóg wchodzi w życie 2 lutego 2025 roku i nie podlega odroczeniu.
Poziom drugi dotyczy systemów wysokiego ryzyka. Dostawca musi przygotować dokumentację techniczną obejmującą opis systemu, dane treningowe, metryki dokładności, środki zarządzania ryzykiem i opis nadzoru ludzkiego. Dokumentacja musi być aktualizowana przez cały cykl życia produktu. Wymagane jest także rejestrowanie zdarzeń (logi) – przez co najmniej 6 miesięcy od każdej decyzji systemu. Termin stosowania dla systemów wysokiego ryzyka z Załącznika III to 2 sierpnia 2026 roku.
Poziom trzeci dotyczy modeli AI ogólnego przeznaczenia (GPAI). Dostawcy modeli GPAI muszą sporządzić i publicznie udostępnić podsumowanie danych treningowych. Modele o systemowym ryzyku – powyżej 1025 FLOP – podlegają dodatkowej ocenie bezpieczeństwa. Termin dla modeli GPAI to 2 sierpnia 2025 roku.
W praktyce polskie startupy AI popełniają trzy błędy. Po pierwsze, mylą dostawcę z operatorem – podmiot, który jedynie wdraża gotowy model OpenAI lub innego dostawcy, może być traktowany jako dostawca, jeśli istotnie modyfikuje system lub zmienia jego przeznaczenie. Po drugie, pomijają wymóg oceny zgodności przed wprowadzeniem na rynek – nie po. Po trzecie, bagatelizują obowiązki wobec użytkowników końcowych, zakładając, że etykieta w regulaminie wystarczy. Nie wystarczy.
Checklist gotowości dostawcy AI:
- Klasyfikacja systemu według kategorii ryzyka AI Act (Załączniki I–IV)
- Sporządzenie lub aktualizacja dokumentacji technicznej zgodnej z Załącznikiem IV
- Wdrożenie mechanizmów logowania zdarzeń (minimum 6 miesięcy retencji)
- Przegląd zgodności z RODO pod kątem danych treningowych i profilowania
- Rejestracja w unijnej bazie danych systemów wysokiego ryzyka (EU AI database)
Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny klasyfikacji systemu i harmonogramu wdrożenia. Błędna kwalifikacja na etapie projektowania zamyka drogę do szybkiej korekty – przebudowa architektury systemu po audycie regulatora jest wielokrotnie droższa niż wczesna analiza prawna.
Jeśli Państwa spółka opracowuje lub wdraża system AI i nie przeprowadziła jeszcze klasyfikacji ryzyka – przeprowadzimy audyt dokumentacji i mapowanie obowiązków przejrzystości: info@kordeckipartners.com.
Trzy scenariusze biznesowe: producent, startup IT i inwestor zagraniczny
Scenariusze różnią się skalą obowiązków. Firma produkcyjna z Dolnego Śląska wdrożyła jesienią 2024 roku system wizyjny AI do kontroli jakości na linii produkcyjnej. System nie podejmuje decyzji kadrowych ani finansowych. Klasyfikacja: kategoria niskiego ryzyka. Obowiązki: dobrowolny kodeks postępowania, brak rejestracji obowiązkowej. Koszt zewnętrznej opinii prawnej o klasyfikacji: od 3 000 PLN netto.
Startup HR-tech z Krakowa wiosną 2025 roku uruchomił platformę do automatycznej selekcji kandydatów na stanowiska pracy. To system wysokiego ryzyka z Załącznika III AI Act – rekrutacja i zarządzanie pracownikami. Startup musi sporządzić pełną dokumentację techniczną, przeprowadzić ocenę zgodności, zarejestrować system w unijnej bazie danych i wdrożyć nadzór ludzki nad każdą decyzją eliminującą kandydata. Koszt compliance: od 25 000 PLN do kilku miesięcy pracy zespołu prawno-technicznego. Przy okazji – procedury kadrowe związane z AI wymagają uwzględnienia przepisów o zwolnieniach grupowych, gdy system wpływa na decyzje zatrudnieniowe na dużą skalę.
Inwestor z Niemiec planujący wejście na rynek polski z gotowym modelem GPAI musi pamiętać, że AI Act stosuje się do systemów wprowadzanych na rynek UE – bez względu na siedzibę dostawcy. Termin dla modeli GPAI upłynął 2 sierpnia 2025 roku. Podsumowanie danych treningowych musi być publicznie dostępne. Brak dokumentacji to ryzyko kary do 15 milionów EUR lub 3% globalnych przychodów.
Wspólny mianownik wszystkich trzech scenariuszy: klasyfikacja ryzyka musi poprzedzać wdrożenie. Nie jest to formalność do odhaczenia po starcie produktu. Regulacja wyprzedza rynek – a polskie organy nadzoru będą stosować AI Act równolegle z RODO i ustawodawstwem sektorowym.
Jak wygląda procedura oceny zgodności krok po kroku?
Ocena zgodności dla systemu wysokiego ryzyka przebiega w sześciu etapach. Krok pierwszy to identyfikacja kategorii ryzyka – weryfikacja, czy system figuruje w Załączniku III lub IV AI Act. Krok drugi to analiza danych treningowych pod kątem RODO: podstawa prawna przetwarzania, zakres danych, ryzyko dyskryminacji algorytmicznej. Krok trzeci to sporządzenie dokumentacji technicznej zgodnej z Załącznikiem IV – opis architektury, metryki, ograniczenia systemu.
Krok czwarty to ocena zgodności. Dla większości systemów z Załącznika III dostawca przeprowadza ją samodzielnie (self-assessment). Wyjątek: systemy biometryczne i systemy do zarządzania infrastrukturą krytyczną wymagają oceny przez jednostkę notyfikowaną. Krok piąty to rejestracja w EU AI database – obowiązkowa dla systemów wysokiego ryzyka przed wprowadzeniem na rynek. Krok szósty to wdrożenie systemu zarządzania ryzykiem i monitoringu po wdrożeniu – AI Act wymaga ciągłości, nie jednorazowego audytu.
Harmonogram stosowania AI Act jest etapowy. Zakaz systemów niedopuszczalnych obowiązuje od 2 lutego 2025 roku. Obowiązki dla modeli GPAI – od 2 sierpnia 2025 roku. Pełne stosowanie dla systemów wysokiego ryzyka z Załącznika III – od 2 sierpnia 2026 roku. Systemy już działające na rynku przed 2 sierpnia 2026 roku mają dodatkowy czas do 2 sierpnia 2027 roku na osiągnięcie zgodności.
Dla dostawców oprogramowania AI kluczowe jest też zagadnienie ochrony samego systemu. Ochrona oprogramowania i prawa autorskie w polskim prawie regulują, w jakim zakresie kod modelu AI podlega ochronie – co ma znaczenie zarówno dla własności intelektualnej dostawcy, jak i dla dokumentacji technicznej wymaganej przez AI Act. Ochrona znaku towarowego marki systemu AI to odrębne zagadnienie wymagające rejestracji w EUIPO lub Urzędzie Patentowym RP.
Startup z Wrocławia działający w obszarze legaltech odkrył latem 2025 roku, że jego narzędzie do analizy dokumentów sądowych może być kwalifikowane jako system wysokiego ryzyka w obszarze wymiaru sprawiedliwości. Przeprojektowanie architektury systemu i sporządzenie dokumentacji technicznej zajęło 4 miesiące i pochłonęło ponad 40 000 PLN. Wczesna analiza prawna – przeprowadzona przed startem produktu – kosztowałaby ułamek tej kwoty.
Jakie są najczęstsze błędy i jak ich unikać?
Błąd pierwszy: założenie, że operator gotowego modelu AI (np. API od dużego dostawcy) nie jest dostawcą w rozumieniu AI Act. Błąd. Jeśli firma modyfikuje model, zmienia jego przeznaczenie lub wprowadza go na rynek pod własną marką – staje się dostawcą i przejmuje pełne obowiązki compliance. W praktyce – wiele firm o tym zapomina – umowy z dostawcami modeli bazowych powinny precyzyjnie regulować podział obowiązków AI Act między stronami.
Błąd drugi: pominięcie wymogu przejrzystości wobec użytkownika końcowego. AI Act wymaga, aby każdy użytkownik wchodzący w interakcję z systemem AI wiedział o tym fakcie. Ukryta automatyzacja – nawet w narzędziach B2B – może naruszać ten wymóg. Etykieta w regulaminie na stronie 12 warunków użytkowania nie spełnia standardu „wyraźnego i czytelnego" ujawnienia.
Błąd trzeci: zaniedbanie dokumentacji danych treningowych. Dostawcy systemów wysokiego ryzyka muszą udokumentować źródła danych, metodologię ich selekcji i środki ograniczania ryzyka dyskryminacji. Brak tej dokumentacji to problem podwójny: naruszenie AI Act i potencjalne naruszenie RODO w zakresie ochrony danych osobowych użytych do trenowania modelu.
Błąd czwarty: brak planu zarządzania incydentami. AI Act wymaga od dostawców systemów wysokiego ryzyka raportowania poważnych incydentów do właściwego organu nadzoru. W Polsce organem koordynującym wdrożenie AI Act będzie prawdopodobnie Urząd Komunikacji Elektronicznej (UKE) lub dedykowany organ – prace legislacyjne nad polską ustawą wdrożeniową trwają. Termin zgłoszenia poważnego incydentu: 15 dni roboczych od uzyskania wiedzy.
Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie klasyfikacji ryzyka i wstępnej oceny zgodności na etapie projektowania produktu – nie po jego uruchomieniu. Koszt retrospektywnego dostosowania systemu do AI Act jest zazwyczaj kilkukrotnie wyższy niż koszt wczesnego audytu prawno-technicznego.
Często zadawane pytania
P: Czy mały startup z Polski, który sprzedaje SaaS oparty na AI tylko klientom polskim, podlega AI Act?
O: Tak. AI Act stosuje się do wszystkich dostawców wprowadzających systemy AI na rynek UE – bez względu na siedzibę firmy i geografię klientów. Polska jest państwem członkowskim UE, więc każdy system AI oferowany polskim użytkownikom podlega rozporządzeniu. Termin dla systemów wysokiego ryzyka to 2 sierpnia 2026 roku, ale obowiązki przejrzystości wobec użytkowników obowiązują już od 2 lutego 2025 roku. Warto przeprowadzić klasyfikację ryzyka jak najszybciej – nawet jeśli produkt jest dopiero w fazie projektowania.
P: Ile kosztuje przeprowadzenie oceny zgodności z AI Act dla systemu wysokiego ryzyka?
O: Koszt zależy od złożoności systemu i dostępności dokumentacji technicznej. Dla typowego systemu HR-tech lub fintech z Załącznika III AI Act, zewnętrzna obsługa prawno-techniczna oceny zgodności to od 20 000 do 60 000 PLN netto. Systemy wymagające oceny przez jednostkę notyfikowaną (biometria, infrastruktura krytyczna) są droższe. Wczesne zaangażowanie prawnika specjalizującego się w prawie IP i technologii pozwala ograniczyć koszty przez uniknięcie kosztownych poprawek po audycie. Do kosztów należy doliczyć czas wewnętrznych zespołów technicznych – zazwyczaj od 2 do 6 miesięcy roboczych.
P: Czy chatbot obsługi klienta to system wysokiego ryzyka?
O: Zazwyczaj nie – jeśli chatbot służy wyłącznie do udzielania informacji, obsługi zamówień lub FAQ, to system niskiego ryzyka lub system wymagający jedynie przejrzystości wobec użytkownika. Sytuacja zmienia się, gdy chatbot podejmuje lub rekomenduje decyzje w obszarach wymienionych w Załączniku III AI Act: ocena kredytowa, dostęp do usług zdrowotnych, rekrutacja. Wówczas klasyfikacja może być wyższa. Kluczowe jest przeznaczenie systemu i zakres podejmowanych decyzji – nie sama forma interfejsu. Każdy przypadek wymaga indywidualnej analizy.
Konkretna sytuacja Państwa firmy – niezależnie od etapu wdrożenia – wymaga oceny klasyfikacji systemu i harmonogramu dostosowania do AI Act. Opóźnienie w tym zakresie może zamknąć drogę do zgodności przed kluczowymi terminami stosowania rozporządzenia i narazić spółkę na nieodwracalne konsekwencje finansowe i reputacyjne.
Jeśli Państwa spółka opracowuje lub modyfikuje system AI i nie posiada jeszcze dokumentacji technicznej wymaganej przez AI Act – przeprowadzimy klasyfikację ryzyka, audyt dokumentacji i mapowanie obowiązków przejrzystości w terminie 3–4 tygodni: info@kordeckipartners.com.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji AI, prawa własności intelektualnej i ochrony danych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.