Firma technologiczna z Mazowsza wdraża chatbota do obsługi klientów. System działa od miesięcy, generuje oszczędności, zbiera pochwały. A potem przychodzi pytanie od prawnika: „Czy użytkownicy wiedzą, że rozmawiają z AI?" Cisza. Nikt nie pomyślał o obowiązkach przejrzystości wynikających z AI Act. I właśnie w tym momencie zaczyna się problem – bo regulacja już obowiązuje.
Rozporządzenie (UE) 2024/1689, czyli AI Act, nakłada na dostawców systemów sztucznej inteligencji obowiązki przejrzystości, które weszły w życie stopniowo od 2 sierpnia 2024 roku. Obowiązki dotyczące systemów wchodzących w interakcję z ludźmi oraz systemów generowania treści stosuje się od 2 sierpnia 2026 roku. Kary za naruszenia mogą sięgać 15 mln EUR lub 3% globalnego obrotu rocznego.
Ten przewodnik przeprowadza dostawców AI przez kolejne kroki wdrożenia obowiązków przejrzystości: od identyfikacji systemu, przez dokumentację techniczną, po komunikację z użytkownikami. Omawiamy trzy scenariusze biznesowe, typowe błędy i praktyczne listy kontrolne.
Kogo dotyczą obowiązki przejrzystości AI Act?
AI Act rozróżnia kilka kategorii podmiotów. Dostawca to podmiot, który opracowuje system AI lub zleca jego opracowanie i wprowadza go do obrotu pod własną nazwą. Podmiot stosujący (deployer) to każda firma używająca systemu AI w działalności zawodowej. Obowiązki przejrzystości dotyczą przede wszystkim dostawców – ale w praktyce wiele polskich firm jest jednocześnie dostawcą i podmiotem stosującym własne rozwiązanie.
Rozporządzenie (UE) 2024/1689 wyróżnia trzy poziomy obowiązków przejrzystości. Pierwszy dotyczy systemów wchodzących w interakcję z ludźmi – chatbotów, asystentów głosowych, botów obsługi klienta. Użytkownicy muszą być poinformowani, że komunikują się z maszyną. Drugi poziom obejmuje systemy rozpoznawania emocji i biometrycznej kategoryzacji – tu wymagane jest wyraźne ujawnienie faktu działania systemu. Trzeci poziom to systemy generowania treści syntetycznych (deepfake, tekst AI) – każda wygenerowana treść musi być oznaczona jako sztuczna.
W Polsce nadzór nad stosowaniem AI Act będzie sprawował organ krajowy wskazany przez rząd – prawdopodobnie Urząd Komunikacji Elektronicznej lub nowy podmiot. Do tego czasu UODO, jako organ właściwy w sprawach RODO, zachowuje kompetencje w zakresie przetwarzania danych osobowych przez systemy AI. Warto pamiętać, że RODO (Rozporządzenie UE 2016/679) i AI Act stosuje się łącznie – jedno nie wyłącza drugiego.
Dostawcy systemów AI stosowanych w sektorze finansowym muszą dodatkowo uwzględnić DORA (Rozporządzenie UE 2022/2554), które od 17 stycznia 2025 roku nakłada obowiązki zarządzania ryzykiem ICT. Systemy AI używane przez instytucje finansowe podlegają zatem podwójnemu reżimowi regulacyjnemu. KNF jako organ nadzoru finansowego może weryfikować zgodność z DORA niezależnie od krajowego organu AI.
Jak krok po kroku wdrożyć obowiązki przejrzystości?
Wdrożenie zaczyna się od klasyfikacji systemu. Dostawca musi ustalić, czy jego system AI wchodzi w interakcję z ludźmi, generuje treści syntetyczne lub przetwarza dane biometryczne. Klasyfikacja determinuje zakres obowiązków. Dla chatbota obsługującego klientów kluczowe jest pytanie: czy użytkownik może rozsądnie sądzić, że rozmawia z człowiekiem? Jeśli tak – obowiązek ujawnienia jest bezwzględny.
Krok drugi to dokumentacja techniczna. AI Act wymaga przygotowania dokumentacji opisującej cel systemu, logikę działania, dane treningowe oraz ograniczenia. Dokumentacja musi być dostępna dla organu nadzorczego na żądanie. Termin na jej przygotowanie – przed wprowadzeniem systemu do obrotu lub przed oddaniem go do użytku w przypadku systemu własnego.
Krok trzeci obejmuje wdrożenie mechanizmów informacyjnych. Praktycznie oznacza to:
- wyraźne oznaczenie interfejsu chatbota jako systemu AI (np. „Rozmawiasz z asystentem AI")
- oznaczenie treści generowanych przez AI widocznym znacznikiem lub metadanymi
- udostępnienie użytkownikowi możliwości żądania kontaktu z człowiekiem
- aktualizację polityki prywatności o informacje o stosowaniu AI
- przeszkolenie personelu odpowiedzialnego za obsługę systemu
Krok czwarty to rejestracja w unijnej bazie danych systemów AI wysokiego ryzyka, o ile system tę kategorię spełnia. Baza prowadzona jest przez Komisję Europejską. Systemy objęte obowiązkami przejrzystości, które nie są jednocześnie wysokiego ryzyka, nie podlegają obowiązkowej rejestracji – ale dokumentacja musi być przechowywana przez co najmniej 10 lat od wycofania systemu z rynku.
Krok piąty – audyt zgodności. Przed 2 sierpnia 2026 roku dostawcy powinni przeprowadzić wewnętrzną ocenę zgodności lub zlecić ją zewnętrznemu podmiotowi. Koszt zewnętrznego audytu dla średniej firmy technologicznej wynosi zazwyczaj od 20 000 do 80 000 PLN, zależnie od złożoności systemu.
Trzy scenariusze biznesowe – gdzie najczęściej pojawiają się problemy?
Producent przemysłowy z Górnego Śląska wdrożył wiosną 2025 roku system AI do kontroli jakości na linii produkcyjnej. System nie wchodzi w interakcję z konsumentami – analizuje obrazy i generuje raporty dla inżynierów. Obowiązki przejrzystości w zakresie komunikacji z użytkownikami nie dotyczą tego systemu bezpośrednio. Jednak dokumentacja techniczna i ocena ryzyka są wymagane, bo system przetwarza dane osobowe pracowników (wizerunek). RODO i AI Act działają tu równolegle.
Startup z Krakowa rozwijał latem 2024 roku aplikację rekrutacyjną opartą na AI, która automatycznie ocenia CV kandydatów. To system wysokiego ryzyka według Załącznika III do AI Act – stosowany w zatrudnieniu i zarządzaniu pracownikami. Obowiązuje tu nie tylko przejrzystość, ale też prawo kandydata do wyjaśnienia decyzji i możliwość jej zaskarżenia. Dostawca musi poinformować podmiot stosujący o tych obowiązkach. Brak tej informacji to naruszenie po stronie dostawcy, nie tylko deployera. Warto przy tym pamiętać, że kwestie zatrudnienia cudzoziemców mogą wymagać dodatkowej analizy – szczegóły dotyczące zezwoleń na pracę regulują odrębne przepisy.
Agencja marketingowa z Trójmiasta sprzedaje narzędzie do generowania treści reklamowych opartych na dużym modelu językowym. To klasyczny przypadek systemu generowania treści syntetycznych. Każdy output – tekst, grafika, wideo – musi być oznaczony jako wygenerowany przez AI. Oznaczenie musi być widoczne dla odbiorcy końcowego, nie tylko dla klienta agencji. W praktyce wymaga to wbudowania mechanizmu oznaczania bezpośrednio w produkt, nie tylko w regulamin.
Jakie kary grożą za naruszenie obowiązków przejrzystości?
AI Act przewiduje trójstopniową strukturę kar. Najsurowsze sankcje – do 35 mln EUR lub 7% globalnego obrotu – dotyczą naruszeń zakazów stosowania systemów AI niedopuszczalnego ryzyka. Naruszenia obowiązków przejrzystości są zagrożone karą do 15 mln EUR lub 3% globalnego obrotu rocznego, przy czym dla MŚP i startupów stosuje się kwotę niższą. Naruszenia wynikające z podania nieprawdziwych informacji organowi nadzorczemu grożą karą do 7,5 mln EUR lub 1% obrotu.
Dla polskiej firmy technologicznej o obrocie 50 mln PLN rocznie kara za naruszenie obowiązków przejrzystości może wynieść do 1,5 mln PLN. To kwota wystarczająca, by zachwiać płynnością finansową mniejszego podmiotu. Co istotne – odpowiedzialność nie jest ograniczona do samego naruszenia technicznego. Organ może nałożyć karę za każdy dzień trwającego naruszenia.
Nieodwracalną konsekwencją naruszenia może być nakaz wycofania produktu z rynku. W przypadku systemu AI wbudowanego w platformę SaaS sprzedawaną setkom klientów, nakaz wycofania oznacza konieczność pilnej aktualizacji umów – co rodzi osobną odpowiedzialność kontraktową. Szczegółowe klauzule dotyczące tego ryzyka warto uwzględnić w umowach SaaS.
Dostawcy powinni też uwzględnić ryzyko prywatnych roszczeń. AI Act nie przewiduje wprost roszczenia indywidualnego użytkownika – ale naruszenie obowiązku informacyjnego może stanowić podstawę roszczenia z RODO lub przepisów o ochronie konsumentów. UOKiK ma kompetencje do badania praktyk naruszających zbiorowe interesy konsumentów, w tym braku transparentności systemów AI w relacjach B2C.
Często zadawane pytania
P: Czy obowiązki przejrzystości AI Act dotyczą firm, które tylko używają gotowych systemów AI, a nie je tworzą?
O: Tak, ale w ograniczonym zakresie. Podmiot stosujący (deployer) ma obowiązek poinformowania użytkowników o stosowaniu systemu AI, jeśli dostawca nie zapewnił odpowiednich mechanizmów. Jeśli firma wdraża chatbota kupionego od zewnętrznego dostawcy i dostawca nie zadbał o oznaczenie „rozmawiasz z AI" – deployer musi to uzupełnić. Odpowiedzialność jest solidarna w przypadku, gdy obaj podmioty zaniedbali swoje obowiązki. Warto sprawdzić, czy umowa z dostawcą systemu AI jasno reguluje podział obowiązków wynikających z rozporządzenia (UE) 2024/1689.
P: Ile czasu i pieniędzy zajmuje wdrożenie obowiązków przejrzystości dla małej firmy technologicznej?
O: Dla prostego systemu AI – np. chatbota obsługi klienta bez funkcji biometrycznych – wdrożenie obowiązków przejrzystości zajmuje od 2 do 6 tygodni. Koszty obejmują przegląd prawny systemu (5 000–15 000 PLN), aktualizację dokumentacji i interfejsu (koszty własne lub zewnętrzne) oraz szkolenie personelu. Dla systemu wysokiego ryzyka wymagana jest pełna ocena zgodności, co może kosztować od 30 000 do 100 000 PLN i trwać 3–6 miesięcy. Firmy, które zaczną przygotowania przed czerwcem 2026 roku, mają realną szansę na terminowe wdrożenie.
P: Czy oznaczenie treści generowanych przez AI musi być widoczne dla każdego odbiorcy, czy wystarczy informacja w regulaminie?
O: Informacja w regulaminie nie jest wystarczająca. Artykuł 50 rozporządzenia (UE) 2024/1689 wymaga, by oznaczenie treści syntetycznych było wykrywalne w sposób maszynowy – czyli wbudowane w metadane – lub wyraźnie widoczne dla odbiorcy. Regulamin stanowi co najwyżej uzupełnienie. W przypadku deepfake'ów i syntetycznych nagrań wideo oznaczenie musi być widoczne bezpośrednio w treści. Brak takiego oznaczenia to naruszenie niezależnie od tego, co firma wpisała w dokumentach prawnych.
Lista kontrolna: co przygotować przed 2 sierpnia 2026 roku?
Przed terminem wejścia w życie obowiązków przejrzystości dla systemów interaktywnych i generatywnych dostawcy powinni zweryfikować gotowość swojej organizacji. Poniższa lista obejmuje elementy minimalne – niezbędne dla każdego dostawcy systemu AI w Polsce.
- Klasyfikacja wszystkich systemów AI według kategorii ryzyka i typu interakcji
- Przygotowanie lub aktualizacja dokumentacji technicznej zgodnie z wymogami AI Act
- Wdrożenie widocznych mechanizmów informacyjnych w interfejsach użytkownika
- Aktualizacja umów z klientami (w tym klauzul SaaS) o podział obowiązków AI Act
- Przeprowadzenie wewnętrznej oceny zgodności lub zewnętrznego audytu
Konkretna sytuacja Państwa firmy może wymagać dodatkowych kroków – zwłaszcza jeśli system AI przetwarza dane biometryczne, działa w sektorze finansowym lub podlega jednocześnie przepisom DORA i RODO. Pominięcie któregokolwiek z reżimów regulacyjnych zamyka drogę do wykazania pełnej zgodności i naraża na kumulację kar z różnych podstaw prawnych.
Jeśli Państwa firma dostarcza lub wdraża systemy AI i nie ma jeszcze oceny zgodności z AI Act – przeprowadzimy klasyfikację systemu, przegląd dokumentacji i analizę ryzyka regulacyjnego: info@kordeckipartners.com.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji AI, ochrony własności intelektualnej i technologii. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.