Od 2 sierpnia 2026 roku dostawcy systemów AI objętych obowiązkami przejrzystości muszą spełnić konkretne wymogi wynikające z AI Act. Rozporządzenie (UE) 2024/1689 weszło w życie 1 sierpnia 2024 roku, ale harmonogram stosowania poszczególnych przepisów jest rozłożony na lata. Firmy, które przegapią ten moment, ryzykują nie tylko karami finansowymi, ale też utratą dostępu do rynku UE – a to konsekwencja trudna do odwrócenia.

AI Act nakłada na dostawców systemów AI obowiązki przejrzystości wobec użytkowników i organów nadzoru. Podstawą prawną jest Rozporządzenie (UE) 2024/1689, które stosuje się etapami – przepisy dotyczące przejrzystości dla systemów niewysokoryzycznych wchodzą w życie 2 sierpnia 2026 roku. Kary za naruszenia mogą sięgać 15 milionów EUR lub 3% rocznego obrotu globalnego.

Ten alert wyjaśnia, co się zmieniło, kogo dotyczą nowe obowiązki i jakie działania trzeba podjąć natychmiast. Trzy obszary wymagają szczególnej uwagi: klasyfikacja systemu, dokumentacja techniczna i informowanie użytkowników. Czas na wdrożenie jest krótszy, niż się wydaje.

Co zmienił AI Act i kogo dotyczy?

AI Act wprowadza podejście oparte na ryzyku. Systemy AI dzielą się na cztery kategorie: niedopuszczalne, wysokiego ryzyka, ograniczonego ryzyka i minimalnego ryzyka. Obowiązki przejrzystości dotyczą przede wszystkim kategorii ograniczonego ryzyka – czyli chatbotów, systemów generujących treści i narzędzi do syntezy głosu lub obrazu.

Dostawca systemu AI to podmiot, który opracowuje system lub zleca jego opracowanie i wprowadza go na rynek UE pod własną nazwą lub znakiem towarowym. To rozróżnienie ma znaczenie praktyczne. Firma, która kupuje gotowy model i integruje go we własnym produkcie, może stać się dostawcą w rozumieniu AI Act – nawet jeśli nie napisała ani jednej linii kodu. W Polsce nadzór nad stosowaniem AI Act będzie sprawował wyznaczony organ krajowy, którego kompetencje są aktualnie ustalane przez ustawodawcę.

Przepisy o zakazanych praktykach AI stosują się od 2 lutego 2025 roku. Przepisy dotyczące systemów wysokiego ryzyka – od 2 sierpnia 2026 roku. Obowiązki przejrzystości dla systemów ograniczonego ryzyka wchodzą w tym samym terminie. Dla firm wdrażających AI w produktach konsumenckich lub B2B ten termin jest najbardziej operacyjnie istotny.

Regulacja wyprzedza rynek – i to dosłownie. Wiele polskich firm technologicznych dopiero teraz odkrywa, że ich narzędzia AI spełniają definicję systemu ograniczonego ryzyka. Startup z Trójmiasta, który wiosną 2025 roku wdrożył chatbota obsługi klienta, nie przeprowadził klasyfikacji systemu. Bez tej klasyfikacji nie można ustalić, jakie obowiązki dokumentacyjne i informacyjne go obowiązują.

  • Systemy generujące tekst, obraz lub dźwięk podobny do treści ludzkich – obowiązek oznaczenia
  • Chatboty wchodzące w interakcję z ludźmi – obowiązek ujawnienia, że użytkownik rozmawia z AI
  • Systemy rozpoznawania emocji i biometrycznej kategoryzacji – dodatkowe wymogi informacyjne
  • Systemy deepfake – obowiązek oznaczenia treści jako sztucznie wygenerowanych

Ochrona danych osobowych i RODO (Rozporządzenie UE 2016/679) działają równolegle z AI Act. Dostawca systemu AI przetwarzającego dane osobowe musi spełnić oba reżimy jednocześnie. PUODO pozostaje organem nadzorczym w zakresie RODO, niezależnie od nowego organu AI.

Jakie działania trzeba podjąć przed 2 sierpnia 2026 roku?

Obowiązki przejrzystości wymagają trzech konkretnych kroków: klasyfikacji systemu AI, przygotowania dokumentacji technicznej i wdrożenia mechanizmów informowania użytkowników. Każdy z tych kroków ma swój termin i swoje konsekwencje prawne. Brak dokumentacji technicznej to nie tylko ryzyko kary – to zamknięcie drogi do certyfikacji i dostępu do zamówień publicznych.

Klasyfikacja systemu powinna nastąpić jak najszybciej. Wymaga analizy funkcjonalności produktu, sposobu interakcji z użytkownikiem i danych wejściowych. Firma IT z Warszawy, która latem 2025 roku przeprowadziła taką klasyfikację dla swojego narzędzia do analizy CV, odkryła, że system kwalifikuje się jako wysokiego ryzyka w obszarze rekrutacji – co pociąga za sobą znacznie szerszy zakres obowiązków niż pierwotnie zakładano. Systemy AI używane w rekrutacji są wymienione wprost w AI Act jako systemy wysokiego ryzyka wymagające oceny zgodności.

Dokumentacja techniczna musi opisywać przeznaczenie systemu, jego ograniczenia, dane treningowe i mechanizmy nadzoru ludzkiego. Dla systemów ograniczonego ryzyka wymogi są mniej rozbudowane niż dla systemów wysokiego ryzyka, ale nadal wymagają formalnego opracowania. Warto tu uwzględnić powiązania z DORA (Rozporządzenie UE 2022/2554) – instytucje finansowe wdrażające systemy AI muszą spełnić wymogi obu rozporządzeń jednocześnie, a terminy częściowo się pokrywają. Więcej o obowiązkach DORA znajdą Państwo w analizie dotyczącej DORA – kto musi wdrożyć i do kiedy.

Mechanizmy informowania użytkowników to element, który wymaga zmian w interfejsie produktu. Użytkownik musi wiedzieć, że wchodzi w interakcję z systemem AI – przed rozpoczęciem tej interakcji, nie po. Wymóg ten dotyczy każdego chatbota, asystenta głosowego i narzędzia generującego treści. Jeśli Państwa firma planuje ekspansję i rejestrację działalności w Polsce, warto już na etapie zakładania spółki uwzględnić wymogi AI Act w strukturze korporacyjnej – szczegółowy przewodnik znajdą Państwo w artykule jak założyć firmę w Polsce.

Co przygotować przed sierpniem 2026 roku:

  • Przeprowadzić klasyfikację wszystkich wdrożonych systemów AI według kategorii ryzyka
  • Sporządzić dokumentację techniczną zgodną z wymogami AI Act
  • Wdrożyć komunikaty informacyjne dla użytkowników w interfejsie produktu
  • Sprawdzić zgodność z RODO i ewentualnie z DORA, jeśli działają Państwo w sektorze finansowym

Kancelaria IP Warszawa obsługująca klientów technologicznych coraz częściej spotyka się z pytaniem o ochronę znaku towarowego przy jednoczesnym wdrażaniu AI Act. To dwa oddzielne reżimy, ale dokumentacja systemu AI może wpływać na zakres ochrony własności intelektualnej – szczególnie gdy model AI generuje treści, które mogą naruszać prawa osób trzecich.

Konkretna sytuacja Państwa firmy – liczba wdrożonych systemów, ich funkcjonalność i rynki docelowe – decyduje o zakresie obowiązków i pilności działań. Brak klasyfikacji przed sierpniem 2026 roku to nieodwracalne opóźnienie w procesie certyfikacji, które może zablokować dostęp do kontraktów wymagających zgodności z AI Act.

Jeśli Państwa firma wdrożyła lub planuje wdrożyć systemy AI i nie przeprowadziła jeszcze klasyfikacji ryzyka – przeprowadzimy audyt zgodności, przygotujemy dokumentację techniczną i wdrożymy mechanizmy informacyjne: info@kordeckipartners.com.

Często zadawane pytania

P: Czy obowiązki przejrzystości AI Act dotyczą małych firm i startupów?

O: Tak. AI Act nie przewiduje ogólnego wyłączenia dla małych przedsiębiorstw w zakresie obowiązków przejrzystości. Mikroprzedsiębiorstwa mogą korzystać z uproszczonych procedur dokumentacyjnych przy systemach wysokiego ryzyka, ale obowiązek informowania użytkowników o interakcji z AI dotyczy każdego dostawcy, niezależnie od wielkości firmy. Termin to 2 sierpnia 2026 roku.

P: Czym różni się dostawca od wdrażającego w rozumieniu AI Act?

O: Dostawca to podmiot, który opracowuje system AI i wprowadza go na rynek pod własną nazwą lub znakiem towarowym. Wdrażający to podmiot, który używa systemu AI w kontekście zawodowym. W praktyce granica bywa płynna – firma integrująca gotowy model w swoim produkcie może zostać uznana za dostawcę. To częste nieporozumienie, które prowadzi do niedoszacowania zakresu własnych obowiązków.

P: Jakie kary grożą za naruszenie obowiązków przejrzystości AI Act?

O: Za naruszenie obowiązków przejrzystości Rozporządzenie (UE) 2024/1689 przewiduje kary do 15 milionów EUR lub 3% całkowitego rocznego obrotu globalnego przedsiębiorstwa – w zależności od tego, która kwota jest wyższa. Dla małych i średnich przedsiębiorstw stosuje się niższy z tych progów. Organy nadzoru mogą również nakazać wycofanie systemu z rynku.

O kancelarii: KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa własności intelektualnej, technologii i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Autor: Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.