Wiosną 2025 roku do kancelarii zgłosiła się spółka technologiczna z Mazowsza – dostawca systemu rekomendacji treści dla platformy e-commerce. Klient właśnie otrzymał zapytanie od swojego największego kontrahenta: czy system jest zgodny z AI Act? Pytanie brzmiało niewinnie. W praktyce oznaczało ryzyko utraty kontraktu wartego kilkanaście milionów złotych.
Rozporządzenie (UE) 2024/1689 – AI Act – nakłada na dostawców systemów AI konkretne obowiązki przejrzystości. Przepisy stosuje się etapowo: pierwsze wymagania weszły w życie 2 lutego 2025 roku, kolejne obowiązują od sierpnia 2026 roku. Brak dokumentacji zgodności może oznaczać nie tylko kary finansowe, ale też utratę dostępu do rynku unijnego.
Poniższe case study przedstawia anonimizowaną sprawę z praktyki kancelarii. Opisujemy tło problemu, przyjętą strategię i wnioski, które można przełożyć na inne organizacje dostarczające rozwiązania AI w Polsce i UE.
Tło sprawy – dlaczego dostawca nie wiedział, co go obowiązuje?
Spółka działała na rynku od czterech lat. Rozwijała własny silnik rekomendacji oparty na uczeniu maszynowym. Produkt działał sprawnie, generował przychody, a zespół techniczny skupiał się na optymalizacji modeli. Nikt nie zadał sobie pytania, czy system kwalifikuje się jako system AI w rozumieniu AI Act – i jakie ryzyka z tego wynikają.
Problem pojawił się, gdy kontrahent – duża platforma e-commerce – przysłał kwestionariusz due diligence. Pytano o dokumentację techniczną, informacje dla użytkowników i procedury zarządzania ryzykiem. Spółka nie miała żadnego z tych dokumentów. Termin odpowiedzi: 14 dni. Kontrakt: pod znakiem zapytania.
AI Act definiuje „system AI" szeroko. Obejmuje oprogramowanie oparte na technikach uczenia maszynowego, które generuje wyniki wpływające na środowisko fizyczne lub wirtualne. System rekomendacji treści spełniał tę definicję bez wątpliwości. Klient znalazł się w sytuacji, w której luka w wiedzy prawnej groziła nieodwracalną utratą kluczowego kontraktu. To typowy efekt lost opportunity – regulacja wyprzedza rynek, a organizacje reagują dopiero pod presją.
Pierwsze tygodnie analizy ujawniły trzy warstwy problemu. Po pierwsze – brak klasyfikacji systemu pod kątem poziomów ryzyka AI Act. Po drugie – brak polityki przejrzystości wobec użytkowników końcowych. Po trzecie – nieuporządkowane relacje z podwykonawcami przetwarzającymi dane osobowe, co rodziło równoległe ryzyko na gruncie RODO.
Jaką strategię przyjęła kancelaria i dlaczego właśnie taką?
Priorytetem było szybkie opanowanie ryzyka kontraktowego – bez czekania na pełne wdrożenie compliance. Przyjęliśmy podejście dwutorowe: równolegle budowaliśmy dokumentację wymaganą przez kontrahenta i projektowaliśmy docelową architekturę zgodności.
W ciągu pierwszych 72 godzin przygotowaliśmy wstępną ocenę klasyfikacji systemu. System rekomendacji nie trafił na listę systemów wysokiego ryzyka z Załącznika III AI Act. Zakwalifikowaliśmy go jako system objęty obowiązkami przejrzystości z art. 50 rozporządzenia. To oznaczało konkretny zestaw wymagań: informowanie użytkowników o interakcji z systemem AI, ujawnianie mechanizmu działania w zakresie niezbędnym do świadomego korzystania, dokumentacja techniczna dostępna dla organów nadzoru.
Strategia uwzględniała też kontekst regulacyjny. Klient obsługiwał platformę finansową – jeden z modułów systemu wspierał rekomendacje produktów kredytowych. Ten element wymagał osobnej analizy pod kątem DORA, które od 17 stycznia 2025 roku obowiązuje instytucje finansowe w zakresie zarządzania ryzykiem ICT. Regulacje nakładają się – dostawca AI dla sektora finansowego musi spełniać wymagania obu rozporządzeń jednocześnie.
Uważamy, że bezpieczniejszym rozwiązaniem jest klasyfikacja systemu „z góry" – czyli przyjęcie surowszych wymogów, jeśli granica jest nieoczywista. W praktyce – wiele firm o tym zapomina – bardziej kosztowna jest reklasyfikacja po audycie niż jednorazowe wdrożenie właściwej dokumentacji od początku. Dodatkowym argumentem była ochrona znaku towarowego klienta: niezgodność z AI Act mogłaby rzutować na reputację marki w całym ekosystemie partnerów.
Kwestie związane z reprezentacją spółki w relacjach z kontrahentami – w tym zakres uprawnień osób podpisujących umowy compliance – analizowaliśmy równolegle. Szczegółowe omówienie różnic między pełnomocnictwem a prokurą w kontekście umów technologicznych znajdą Państwo w osobnym materiale: prokura a pełnomocnictwo – różnice, które mają znaczenie.
Jak przebiegał proces wdrożenia i co przyniosło efekt?
Faza pierwsza trwała 10 dni roboczych. Obejmowała przygotowanie dokumentacji technicznej systemu, opracowanie polityki przejrzystości dla użytkowników końcowych oraz wzorów klauzul informacyjnych. Dokumentacja odpowiadała na pytania kontrahenta punkt po punkcie. Kontrakt został utrzymany.
Faza druga – budowa docelowego systemu zgodności – zajęła kolejne sześć tygodni. Kluczowe elementy to: rejestr systemów AI prowadzony wewnętrznie, procedura oceny ryzyka przy wdrażaniu nowych modeli, polityka zarządzania danymi treningowymi zgodna z RODO oraz klauzule AI Act w umowach z klientami i podwykonawcami.
Szczególnie istotne okazały się klauzule umowne. AI Act nakłada obowiązki przejrzystości na dostawcę – ale kontrahenci coraz częściej przenoszą część tych obowiązków w dół łańcucha dostaw. Spółka bez odpowiednich klauzul ryzykowała przejęciem odpowiedzialności za działania podwykonawców. Kancelaria IP Warszawa opracowała wzory klauzul dostosowane do trzech scenariuszy: dostawca B2B, dostawca B2C i dostawca dla sektora finansowego.
Efekt finansowy był mierzalny. Utrzymany kontrakt – kilkanaście milionów złotych rocznie. Koszt wdrożenia – ułamek tej kwoty. W jesieni 2025 roku spółka pozyskała nowego klienta z sektora ubezpieczeń, powołując się wprost na posiadaną dokumentację zgodności jako element oferty. Gotowość regulacyjna stała się argumentem sprzedażowym.
Jakie wnioski można wyciągnąć dla innych dostawców AI?
Pierwsze i najważniejsze: klasyfikacja systemu AI powinna poprzedzać każde wdrożenie komercyjne. AI Act wprowadza cztery poziomy ryzyka – zakazane praktyki, wysokie ryzyko, obowiązki przejrzystości i minimalne wymagania. Każda kategoria wiąże się z innym zestawem obowiązków. Błędna klasyfikacja to nie tylko ryzyko kary – to ryzyko utraty kontraktu w momencie, gdy kontrahent przeprowadza własny audyt.
Drugie: obowiązki przejrzystości z art. 50 AI Act mają charakter bezpośredni. Użytkownik wchodzący w interakcję z systemem AI – chatbotem, silnikiem rekomendacji, narzędziem do personalizacji – musi być o tym poinformowany w sposób jasny i zrozumiały. Brak tej informacji to naruszenie, które organ nadzoru może stwierdzić bez przeprowadzania głębokiego audytu technicznego.
Trzecie: nakładanie się regulacji jest regułą, nie wyjątkiem. RODO, AI Act, DORA – dla dostawców AI obsługujących sektor finansowy lub przetwarzających dane osobowe – to trzy równoległe reżimy. Każdy ma własne terminy, własne organy nadzoru i własne sankcje. Planowanie zgodności w silosach regulacyjnych jest błędem.
- Przeprowadź klasyfikację systemu AI przed pierwszym wdrożeniem komercyjnym.
- Przygotuj dokumentację techniczną i politykę przejrzystości dla użytkowników.
- Wprowadź klauzule AI Act do umów z klientami i podwykonawcami.
- Sprawdź, czy system przetwarza dane osobowe – i czy spełnia wymagania RODO.
- Jeśli obsługujesz sektor finansowy, zweryfikuj zakres obowiązków wynikających z DORA.
Regulacja wyprzedza rynek. Dostawcy AI, którzy traktują zgodność jako koszt, tracą kontrakty. Ci, którzy traktują ją jako atut – wygrywają przetargi. Różnica między tymi dwoma podejściami to często kwestia kilku tygodni pracy i właściwej dokumentacji.
Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny. Brak klasyfikacji systemu AI i dokumentacji przejrzystości może zamknąć drogę do kluczowych kontraktów – a reklasyfikacja po audycie kontrahenta jest zawsze droższa niż wdrożenie od początku.
Jeśli Państwa spółka dostarcza systemy AI i nie ma pewności co do klasyfikacji ryzyka lub zakresu obowiązków przejrzystości – przeprowadzimy wstępną ocenę, opracujemy dokumentację i przygotujemy klauzule umowne: info@kordeckipartners.com.
Często zadawane pytania
P: Od kiedy obowiązują przepisy AI Act dotyczące przejrzystości dla dostawców systemów AI?
O: Pierwsze przepisy AI Act weszły w życie 2 lutego 2025 roku – dotyczyły zakazanych praktyk AI. Obowiązki przejrzystości z artykułu 50 rozporządzenia stosuje się od 2 sierpnia 2026 roku. Jednak kontrahenci i partnerzy biznesowi już teraz wymagają dokumentacji zgodności w ramach due diligence, co oznacza, że przygotowania warto rozpocząć natychmiast, nie czekając na formalne terminy.
P: Czy mały dostawca oprogramowania AI musi spełniać te same wymagania co duże korporacje?
O: To częste nieporozumienie. AI Act nie uzależnia zakresu obowiązków od wielkości dostawcy, lecz od klasyfikacji systemu AI i jego zastosowania. Mały dostawca systemu rekomendacji może podlegać tym samym obowiązkom przejrzystości co duży gracz. Rozporządzenie przewiduje pewne uproszczenia proceduralne dla mikroprzedsiębiorstw, ale nie zwalnia ich z obowiązków informacyjnych wobec użytkowników.
P: Jak RODO i AI Act nakładają się na siebie w praktyce – czy to dwa osobne projekty compliance?
O: Ochrona danych osobowych i zgodność z AI Act to dwa odrębne reżimy, ale ich wymagania często dotyczą tych samych procesów. System AI trenowany na danych osobowych musi spełniać wymagania RODO w zakresie podstawy prawnej przetwarzania, a jednocześnie wymagania AI Act dotyczące zarządzania danymi treningowymi. Zalecamy jedno zintegrowane podejście do zgodności – oddzielne projekty generują dublowanie pracy i ryzyko niespójności dokumentacji.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa własności intelektualnej, technologii i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.