Od 2 sierpnia 2026 r. dostawcy systemów AI z kategorii wysokiego ryzyka muszą spełnić pełen pakiet obowiązków wynikających z AI Act. Dla wielu polskich firm technologicznych i startupów – szczególnie tych rozwijających narzędzia do rekrutacji, scoringu kredytowego czy biometrii – oznacza to konieczność natychmiastowego działania. Czas na wdrożenie compliance nie jest nieograniczony.
AI Act (Rozporządzenie UE 2024/1689) wprowadza obowiązki przejrzystości dla dostawców systemów sztucznej inteligencji – w zależności od kategorii ryzyka systemu. Rozporządzenie weszło w życie 1 sierpnia 2024 r., a jego przepisy stosuje się etapami do 2027 r. Naruszenie obowiązków przejrzystości grozi karami do 15 milionów EUR lub 3% globalnego obrotu rocznego.
Poniżej omawiamy, co się zmieniło, kogo dotyczą nowe przepisy i jakie kroki należy podjąć już teraz – zanim okno na wdrożenie compliance definitywnie się zamknie.
Co zmienił AI Act i jakie obowiązki przejrzystości nakłada na dostawców?
AI Act dzieli systemy AI na cztery kategorie ryzyka: niedopuszczalne, wysokie, ograniczone i minimalne. Obowiązki przejrzystości dotyczą przede wszystkim dwóch środkowych kategorii. Dla systemów wysokiego ryzyka – takich jak narzędzia do rekrutacji pracowników, scoringu kredytowego czy systemów biometrycznych – wymagana jest pełna dokumentacja techniczna, rejestracja w unijnej bazie danych i informowanie użytkowników o naturze systemu. Termin na pełne wdrożenie to 2 sierpnia 2026 r.
Systemy z kategorii ryzyka ograniczonego – na przykład chatboty i generatory treści – muszą spełnić lżejsze wymogi. Użytkownik musi być poinformowany, że wchodzi w interakcję z systemem AI. To obowiązek stosunkowo prosty technicznie, ale często pomijany w praktyce. W praktyce – wiele firm o tym zapomina – brak takiego oznaczenia może być pierwszym naruszeniem, które przyciągnie uwagę regulatora.
Dostawcy modeli AI ogólnego przeznaczenia (GPAI), takich jak duże modele językowe, podlegają dodatkowym wymogom od 2 sierpnia 2025 r. Muszą przygotować dokumentację techniczną, politykę przestrzegania prawa autorskiego oraz publicznie dostępne podsumowanie danych treningowych. Modele GPAI o „systemowym ryzyku" – zdefiniowanym progiem obliczeniowym powyżej 1025 FLOPs – mają jeszcze szersze obowiązki, w tym ocenę ryzyka i raportowanie incydentów.
Warto zestawić AI Act z innymi regulacjami już obowiązującymi polskie podmioty. DORA (Rozporządzenie UE 2022/2554) nakłada na instytucje finansowe obowiązki zarządzania ryzykiem ICT od 17 stycznia 2025 r. Jeśli Państwa firma dostarcza systemy AI instytucjom finansowym, jednocześnie podlegacie wymogom DORA i AI Act. To podwójne ryzyko regulacyjne, które wymaga skoordynowanego podejścia.
Kogo dotyczą nowe przepisy i jakie są progi zastosowania?
AI Act obejmuje dostawców, którzy wprowadzają systemy AI na rynek UE lub oddają je do użytku – niezależnie od tego, gdzie mają siedzibę. Polski startup rozwijający oprogramowanie HR dla klientów z Niemiec lub Francji jest dostawcą w rozumieniu rozporządzenia. Brak siedziby w UE nie zwalnia z obowiązków. Konieczne jest wyznaczenie upoważnionego przedstawiciela w Unii Europejskiej.
Przepisy stosuje się etapami. Zakazy systemów AI niedopuszczalnego ryzyka obowiązują od 2 lutego 2025 r. Obowiązki dla modeli GPAI – od 2 sierpnia 2025 r. Pełny pakiet dla systemów wysokiego ryzyka – od 2 sierpnia 2026 r. Systemy AI wbudowane w produkty objęte dyrektywami sektorowymi (np. wyroby medyczne) mają dodatkowy rok – do 2 sierpnia 2027 r.
Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie klasyfikacji systemu AI już teraz, a nie czekanie na interpretacje krajowego organu nadzoru. Polska wciąż nie wyznaczyła ostatecznie organu właściwego dla AI Act, ale Urząd Ochrony Danych Osobowych (UODO) pozostaje kluczowym graczem w zakresie przecięcia AI Act z RODO (Rozporządzenie UE 2016/679). Przetwarzanie danych osobowych przez systemy AI podlega jednocześnie obu reżimom prawnym.
Firmy z sektora finansowego powinny zwrócić uwagę na szczególne napięcie regulacyjne. Systemy scoringu kredytowego są wprost wymienione jako systemy wysokiego ryzyka w Załączniku III do AI Act. Jednocześnie podlegają wymogom DORA w zakresie zarządzania ryzykiem ICT. Dla instytucji finansowych korzystających z zewnętrznych dostawców AI – termin na audyt tych relacji kontraktowych minął już 17 stycznia 2025 r. Jeśli umowy z dostawcami AI nie zawierają klauzul zgodności z AI Act, stanowi to lukę wymagającą natychmiastowego uzupełnienia.
Zagadnienia związane z ochroną znaku towarowego i prawem własności intelektualnej w kontekście systemów AI – w tym kwestia danych treningowych – są osobnym obszarem ryzyka dla dostawców. Obowiązek ujawnienia polityki przestrzegania prawa autorskiego dla modeli GPAI może ujawnić wcześniejsze naruszenia. Warto skonsultować tę kwestię z prawnikiem specjalizującym się w prawie IP, zanim dokumentacja techniczna trafi do regulatora.
Co zrobić teraz? Lista działań dla dostawców AI
Obowiązki AI Act nie są jednorazowym projektem compliance. To ciągły proces zarządzania ryzykiem – podobnie jak ochrona danych w reżimie RODO. Pierwsze kroki powinny być podjęte natychmiast, niezależnie od etapu wdrożenia, na którym się Państwo znajdują.
Najważniejsze działania do podjęcia w ciągu najbliższych 90 dni:
- Klasyfikacja systemu AI – ustalenie kategorii ryzyka zgodnie z Załącznikiem III i Załącznikiem I do AI Act; dla systemów granicznych warto uzyskać opinię prawną.
- Audyt dokumentacji technicznej – weryfikacja, czy istniejąca dokumentacja spełnia wymogi art. 11 AI Act (systemy wysokiego ryzyka) lub art. 53 AI Act (modele GPAI).
- Przegląd umów z klientami i podwykonawcami – wprowadzenie klauzul dotyczących zgodności z AI Act; szczególnie istotne dla dostawców obsługujących instytucje finansowe objęte DORA.
- Wdrożenie mechanizmów informacyjnych – oznaczenia dla użytkowników wchodzących w interakcję z chatbotem lub systemem generującym treści (obowiązek od 2 sierpnia 2026 r., lecz wdrożenie wcześniej eliminuje ryzyko).
- Wyznaczenie osoby odpowiedzialnej za compliance AI – wewnętrznie lub poprzez zewnętrznego doradcę; brak przypisanej odpowiedzialności to najczęstszy błąd organizacyjny.
Firmy, które przeszły już przez wdrożenie RODO, mają przewagę – wiele procedur zarządzania ryzykiem i dokumentowania procesów można zaadaptować. Jednak AI Act wprowadza wymogi techniczne nieznane prawu ochrony danych. Ocena zgodności dla systemów wysokiego ryzyka wymaga zaangażowania zarówno prawników, jak i inżynierów.
Zagadnienia proceduralne związane z odwołaniami do organów regulacyjnych – w tym mechanizmy zaskarżania decyzji nadzorczych – są odrębną kwestią. Jeśli Państwa firma prowadzi działalność w obszarze zamówień publicznych i jednocześnie wdraża systemy AI, warto zapoznać się z procedurą odwołań do KIO, ponieważ systemy AI stosowane w przetargach publicznych mogą podlegać kontroli zarówno regulatora AI, jak i Krajowej Izby Odwoławczej.
Kancelaria IP Warszawa z praktyką w zakresie regulacji technologicznych może przeprowadzić wstępną ocenę ryzyka AI Act w ciągu 5–7 dni roboczych. To wystarczający czas, by ustalić priorytety działań przed zbliżającymi się terminami.
Konkretna sytuacja Państwa firmy – rodzaj systemu AI, rynki zbytu, relacje z klientami instytucjonalnymi – wymaga indywidualnej oceny. Zaniechanie klasyfikacji systemu AI przed 2 sierpnia 2026 r. zamyka drogę do dobrowolnego dostosowania i naraża dostawcę na nieodwracalne konsekwencje finansowe i reputacyjne.
Jeśli Państwa spółka dostarcza systemy AI na rynek UE i nie przeprowadziła jeszcze klasyfikacji ryzyka zgodnie z AI Act – przeprowadzimy audyt zgodności, opracujemy dokumentację techniczną i wdrożymy klauzule kontraktowe: info@kordeckipartners.com.
Często zadawane pytania
P: Czy polska firma sprzedająca oprogramowanie AI wyłącznie klientom spoza UE podlega AI Act?
O: Co do zasady nie – AI Act stosuje się do systemów AI wprowadzanych na rynek UE lub oddawanych do użytku w UE. Jeśli jednak system przetwarza dane osób przebywających w UE lub jego skutki odczuwane są na terytorium UE, zastosowanie rozporządzenia może być szersze. Każdy przypadek wymaga indywidualnej oceny, uwzględniającej również przepisy RODO dotyczące przetwarzania danych osobowych.
P: Kiedy dokładnie zaczynają obowiązywać kary za naruszenie obowiązków przejrzystości?
O: Przepisy dotyczące kar stosuje się od 2 sierpnia 2025 r. w odniesieniu do modeli GPAI oraz od 2 sierpnia 2026 r. dla systemów wysokiego ryzyka. Maksymalna kara za naruszenie obowiązków przejrzystości wynosi 15 milionów EUR lub 3% całkowitego rocznego światowego obrotu – w zależności od tego, która kwota jest wyższa. Dla małych i średnich przedsiębiorstw przewidziano proporcjonalne podejście, jednak nie zwalnia to z obowiązku wdrożenia wymogów.
P: Czy chatbot obsługujący klientów na stronie internetowej wymaga specjalnego oznaczenia zgodnie z AI Act?
O: Tak. Systemy AI przeznaczone do bezpośredniej interakcji z użytkownikami – w tym chatboty – muszą informować użytkownika w sposób jasny i czytelny, że wchodzi on w interakcję z systemem sztucznej inteligencji. Obowiązek ten wynika z artykułu 50 AI Act i stosuje się od 2 sierpnia 2026 r. Wdrożenie tego wymogu jest technicznie proste, ale jego brak może być pierwszym naruszeniem stwierdzonym przez organ nadzoru podczas kontroli.
O kancelarii: KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji technologicznych, AI Act, DORA i prawa własności intelektualnej. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Autor: Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.