Firma technologiczna z Mazowsza wdraża chatbota obsługującego klientów. System działa sprawnie – do momentu, gdy europejski regulator zaczyna pytać o dokumentację przejrzystości. Brak odpowiedzi może kosztować do 15 milionów EUR lub 3% globalnego obrotu. To nie jest scenariusz hipotetyczny.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 – AI Act – nakłada na dostawców systemów sztucznej inteligencji konkretne obowiązki przejrzystości, zróżnicowane w zależności od kategorii ryzyka systemu. Rozporządzenie weszło w życie 1 sierpnia 2024 roku. Przepisy dotyczące systemów wysokiego ryzyka stosuje się w pełni od 2 sierpnia 2026 roku, a przepisy dotyczące modeli ogólnego przeznaczenia (GPAI) – od 2 sierpnia 2025 roku.
Ten przewodnik wyjaśnia krok po kroku, jakie obowiązki przejrzystości ciążą na dostawcach AI w Polsce. Omawia harmonogram, scenariusze biznesowe i najczęstsze błędy. Czytając go, uzyskasz mapę działań – od identyfikacji kategorii systemu po kompletną dokumentację dla organu nadzoru.
Jak AI Act klasyfikuje systemy AI i co to oznacza dla dostawcy?
AI Act dzieli systemy sztucznej inteligencji na cztery kategorie ryzyka: niedopuszczalne, wysokie, ograniczone i minimalne. Kategoria determinuje zakres obowiązków przejrzystości. Dostawca musi najpierw ustalić, gdzie w tej hierarchii mieści się jego produkt – zanim przystąpi do jakiejkolwiek dokumentacji.
Systemy niedopuszczalne są zakazane bezwarunkowo od 2 lutego 2025 roku. Należą do nich m.in. systemy social scoringu i manipulacji podprogowej. Żadna dokumentacja przejrzystości ich nie legalizuje.
Systemy wysokiego ryzyka obejmują AI stosowaną w rekrutacji, scoringu kredytowym i biometrii – co potwierdza rejestr w Rozporządzeniu UE 2024/1689. Dla tej kategorii obowiązki przejrzystości są najszersze: pełna dokumentacja techniczna, rejestracja w unijnej bazie danych, ocena zgodności przed wprowadzeniem na rynek. Termin wdrożenia to 2 sierpnia 2026 roku.
Systemy ograniczonego ryzyka – np. chatboty i deepfake – podlegają lżejszym wymogom. Dostawca musi zapewnić, że użytkownik wie, iż wchodzi w interakcję z maszyną. To obowiązek skuteczny już od 2 sierpnia 2025 roku. W praktyce – wiele firm o tym zapomina – wystarczy wyraźna etykieta lub komunikat powitalny.
Systemy minimalnego ryzyka (filtry antyspamowe, gry) nie podlegają obowiązkowym wymogom przejrzystości. Dostawca może dobrowolnie stosować kodeksy postępowania.
Jakie konkretne obowiązki przejrzystości nakłada AI Act na dostawców systemów wysokiego ryzyka?
Dostawca systemu wysokiego ryzyka musi spełnić sześć kluczowych wymogów przejrzystości przed wprowadzeniem produktu na rynek UE. Podstawą prawną jest Rozporządzenie (UE) 2024/1689. Termin graniczny to 2 sierpnia 2026 roku – po tej dacie brak zgodności oznacza zakaz dystrybucji i ryzyko kary do 30 milionów EUR lub 6% globalnego obrotu.
Pierwszym wymogiem jest dokumentacja techniczna. Musi opisywać przeznaczenie systemu, dane treningowe, architekturę modelu i ograniczenia działania. Dokument przechowuje się przez co najmniej 10 lat od wprowadzenia systemu na rynek.
Drugim wymogiem są instrukcje dla użytkownika. Muszą być jasne, zrozumiałe i dostępne w języku państwa, w którym system jest wdrażany. Dla polskiego rynku – po polsku.
Trzecim wymogiem jest rejestracja w unijnej bazie danych systemów AI wysokiego ryzyka. Rejestracja następuje przed pierwszym udostępnieniem. Baza jest publicznie dostępna – każdy może sprawdzić, czy dostawca dopełnił formalności.
Czwarty wymóg to zdolność do nadzoru ludzkiego. System musi być zaprojektowany tak, by operator mógł go zatrzymać, zmodyfikować lub odrzucić jego decyzję. To wymóg projektowy, nie tylko dokumentacyjny.
Piąty wymóg dotyczy logowania zdarzeń. System powinien automatycznie rejestrować kluczowe operacje – co najmniej w zakresie umożliwiającym weryfikację zgodności po fakcie. Logi przechowuje się przez 6 miesięcy od każdego zdarzenia.
Szósty wymóg to ocena zgodności. Dla większości systemów wysokiego ryzyka dostawca może przeprowadzić ją samodzielnie (self-assessment). Dla systemów biometrycznych wymagana jest jednostka notyfikowana.
Co ważne – obowiązki te nakładają się na wymogi RODO (Rozporządzenie (UE) 2016/679), jeśli system przetwarza dane osobowe. Ocena skutków dla ochrony danych (DPIA) może być wymagana równolegle. Dostawcy z sektora finansowego muszą dodatkowo uwzględnić wymogi DORA (Rozporządzenie (UE) 2022/2554) w zakresie zarządzania ryzykiem ICT.
Checklist – co przygotować przed 2 sierpnia 2026 roku:
- Dokumentacja techniczna systemu (architektura, dane, ograniczenia)
- Instrukcja użytkownika w języku polskim
- Wpis w unijnej bazie danych systemów AI wysokiego ryzyka
- Procedura nadzoru ludzkiego i zatrzymania systemu
- System logowania zdarzeń z retencją minimum 6 miesięcy
Konkretna sytuacja Państwa firmy może wymagać oceny, które z tych elementów są już wdrożone, a które wymagają pilnych działań. Brak dokumentacji technicznej to jeden z najczęstszych powodów wszczęcia postępowania przez organ nadzoru – a korekta po kontroli jest wielokrotnie droższa niż prewencyjne wdrożenie.
Jeśli Państwa spółka dostarcza system AI stosowany w rekrutacji, scoringu lub biometrii i nie ma jeszcze kompletnej dokumentacji technicznej – przeprowadzimy audyt zgodności i przygotujemy pełny pakiet dokumentacyjny: info@kordeckipartners.com.
Modele GPAI – jakie obowiązki przejrzystości dotyczą dostawców modeli ogólnego przeznaczenia?
Modele ogólnego przeznaczenia (GPAI – General Purpose AI) to osobna kategoria w AI Act. Przepisy dotyczące GPAI stosuje się od 2 sierpnia 2025 roku. Dostawca modelu GPAI – np. dużego modelu językowego udostępnianego przez API – podlega odrębnym obowiązkom przejrzystości, niezależnie od tego, jak downstream-provider wdroży model w konkretnym produkcie.
Podstawowy obowiązek to dokumentacja techniczna modelu GPAI. Musi obejmować opis architektury, dane treningowe (w tym źródła i metody filtrowania), wydajność w testach porównawczych oraz znane ograniczenia i ryzyka. Dokumentację udostępnia się dostawcom downstream na ich żądanie.
Drugi obowiązek dotyczy polityki praw autorskich. Dostawca GPAI musi wprowadzić politykę dotyczącą przestrzegania prawa autorskiego UE przy korzystaniu z danych treningowych. To punkt styku AI Act z prawem własności intelektualnej – w tym z ochroną znaku towarowego i prawami pokrewnymi.
Modele GPAI o systemowym ryzyku – czyli te trenowane przy nakładzie obliczeniowym przekraczającym 10^25 FLOPs – podlegają zaostrzonym wymogom. Należą do nich: ocena modelu przed udostępnieniem, testy adversarialne, obowiązek raportowania poważnych incydentów do Komisji Europejskiej w ciągu 24 godzin.
Startup z Krakowa, rozwijający model językowy dla branży medycznej jesienią 2024 roku, odkrył, że jego nakład obliczeniowy zbliża się do progu systemowego ryzyka. Wdrożenie procedury oceny modelu przed planowanym wejściem na rynek zajęło trzy miesiące i kosztowało około 80 000 PLN w zewnętrznych audytach. Bez wczesnej identyfikacji progu koszt byłby znacznie wyższy.
Dla polskich dostawców GPAI istotne jest, że organem nadzoru nad przestrzeganiem AI Act w Polsce będzie – zgodnie z projektowaną implementacją – organ krajowy wyznaczony przez Ministerstwo Cyfryzacji. Do czasu jego wyznaczenia kompetencje mogą być rozproszone między UODO (w zakresie RODO) a UKE lub UOKiK w zakresie praktyk rynkowych.
Trzy scenariusze biznesowe – jak wdrożyć obowiązki przejrzystości w praktyce?
Obowiązki przejrzystości wyglądają inaczej w zależności od modelu biznesowego. Poniżej trzy scenariusze, które ilustrują różne ścieżki wdrożenia. Każdy scenariusz prowadzi do innego zakresu dokumentacji i innego harmonogramu działań.
Scenariusz 1 – producent oprogramowania (SaaS, Warszawa). Firma dostarcza system do automatycznej selekcji CV dla klientów korporacyjnych. System kwalifikuje się jako wysokiego ryzyka (rekrutacja). Do 2 sierpnia 2026 roku firma musi: sporządzić dokumentację techniczną, zarejestrować system w unijnej bazie, przygotować instrukcję użytkownika po polsku i przeprowadzić self-assessment. Koszt wdrożenia wewnętrznego: od 50 000 PLN przy zaangażowaniu zewnętrznego doradcy. Brak działania: zakaz dystrybucji w UE od dnia przekroczenia terminu.
Scenariusz 2 – firma IT integrująca modele GPAI (Kraków). Firma buduje asystenta prawnego opartego na modelu językowym dostarczanym przez API zewnętrznego dostawcy. Firma jest deployer, nie dostawcą modelu. Jej obowiązki są węższe: musi zapewnić przejrzystość wobec użytkowników końcowych (komunikat o interakcji z AI), weryfikować, czy dostawca GPAI udostępnił dokumentację techniczną, i dostosować system do wymogów RODO przy przetwarzaniu danych klientów. Termin: 2 sierpnia 2025 roku dla obowiązku informacyjnego wobec użytkowników.
Scenariusz 3 – inwestor zagraniczny wchodzący na rynek polski. Dla inwestora z Niemiec lub Ukrainy wdrażającego system AI w Polsce obowiązki są identyczne jak dla podmiotu polskiego – AI Act stosuje się do systemów udostępnianych na rynku UE, niezależnie od siedziby dostawcy. Inwestor zagraniczny musi wyznaczyć upoważnionego przedstawiciela w UE, jeśli sam nie ma siedziby w Unii. Brak przedstawiciela to osobna podstawa do nałożenia kary. Więcej o strukturach dla inwestorów zagranicznych w Polsce: postępowanie upadłościowe – etapy od wniosku do zakończenia.
We wszystkich trzech scenariuszach punkt startowy jest ten sam: klasyfikacja systemu. Błędna klasyfikacja – np. uznanie systemu rekrutacyjnego za minimalnego ryzyka – to najczęstszy i najkosztowniejszy błąd. Organ nadzoru nie akceptuje nieświadomości jako okoliczności łagodzącej.
Konkretna sytuacja Państwa firmy wymaga oceny, który scenariusz odpowiada Waszemu modelowi biznesowemu. Błędna klasyfikacja systemu ma nieodwracalne konsekwencje po dacie granicznej – korekta po kontroli organu nadzoru nie usuwa odpowiedzialności za okres naruszenia.
Jeśli Państwa spółka wdraża lub planuje wdrożenie systemu AI i nie ma pewności co do klasyfikacji ryzyka – przeprowadzimy warsztaty klasyfikacyjne i przygotujemy mapę obowiązków dostosowaną do Waszego produktu: info@kordeckipartners.com.
Jakie są najczęstsze błędy przy wdrażaniu obowiązków przejrzystości AI Act?
Praktyka pokazuje, że dostawcy AI popełniają kilka powtarzalnych błędów. Każdy z nich może prowadzić do postępowania nadzorczego, kary finansowej lub – w najgorszym przypadku – zakazu dystrybucji systemu na terenie UE.
Błąd pierwszy: mylenie dostawcy z deployerem. AI Act rozróżnia dostawcę (provider) – podmiot wprowadzający system na rynek – od podmiotu wdrażającego (deployer). Obowiązki są różne. Firma, która dostosowuje gotowy model do własnych potrzeb i udostępnia go klientom, może stać się dostawcą w rozumieniu rozporządzenia – nawet jeśli nie trenowała modelu od podstaw.
Błąd drugi: traktowanie dokumentacji jako jednorazowego zadania. Dokumentacja techniczna musi być aktualizowana przy każdej istotnej zmianie systemu. Aktualizacja modelu, zmiana danych treningowych lub rozszerzenie zakresu zastosowania – każde z tych zdarzeń może wymagać ponownej oceny zgodności.
Błąd trzeci: ignorowanie nakładania się regulacji. System AI przetwarzający dane osobowe podlega jednocześnie AI Act i RODO. System AI w instytucji finansowej podlega dodatkowo DORA. Dostawcy często wdrażają AI Act w izolacji, pomijając obowiązki wynikające z innych aktów prawnych. To błąd, który organ nadzoru może zakwalifikować jako naruszenie wielokrotne.
Błąd czwarty: brak polityki praw własności intelektualnej przy danych treningowych. Korzystanie z chronionych treści – w tym znaków towarowych i materiałów objętych prawem autorskim – bez odpowiedniej licencji naraża dostawcę na roszczenia cywilne niezależnie od postępowania nadzorczego AI Act. To obszar, w którym prawo IP i regulacje AI Act krzyżują się bezpośrednio.
Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie wewnętrznego audytu zgodności przed terminem granicznym niż czekanie na kontrolę organu. Koszt audytu prewencyjnego jest wielokrotnie niższy od kosztu postępowania nadzorczego.
Często zadawane pytania
P: Czy dostawca chatbota musi spełniać obowiązki przejrzystości AI Act, jeśli system nie przetwarza danych wrażliwych?
O: Tak. Chatbot – jako system ograniczonego ryzyka – podlega obowiązkowi informowania użytkownika o interakcji z maszyną. Obowiązek ten obowiązuje od 2 sierpnia 2025 roku i nie jest uzależniony od rodzaju przetwarzanych danych. Brak wyraźnej informacji dla użytkownika stanowi naruszenie artykułu 50 Rozporządzenia (UE) 2024/1689, niezależnie od tego, czy system przetwarza dane wrażliwe, czy nie.
P: Ile kosztuje i ile trwa przygotowanie dokumentacji technicznej dla systemu wysokiego ryzyka?
O: Koszt i czas zależą od złożoności systemu. Dla typowego systemu SaaS stosowanego w rekrutacji przygotowanie pełnej dokumentacji technicznej zajmuje od 6 do 12 tygodni przy wsparciu zewnętrznego doradcy. Koszt zewnętrzny wynosi od 40 000 do 120 000 PLN, w zależności od zakresu systemu i stopnia wcześniejszego przygotowania organizacji. Im wcześniej rozpoczęto prace, tym niższy koszt – dokumentacja przygotowywana w ostatnich tygodniach przed terminem jest zawsze droższa.
P: Czy firma z siedzibą poza UE, która sprzedaje system AI polskim klientom, musi stosować AI Act?
O: Tak. AI Act stosuje się do dostawców systemów AI udostępnianych na rynku UE, niezależnie od siedziby dostawcy. Firma spoza UE musi wyznaczyć upoważnionego przedstawiciela z siedzibą w Unii. Brak takiego przedstawiciela jest samodzielną podstawą do nałożenia kary. Obowiązki dokumentacyjne są identyczne jak dla dostawcy z siedzibą w Polsce. Więcej o strukturach prawnych dla firm zagranicznych na polskim rynku: praktyka IP/Tech KORDECKI & Partners.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji AI, prawa własności intelektualnej i technologii. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Autor: Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.