AI Act – obowiązki przejrzystości dla dostawców AI

Firma SaaS z Wrocławia wdraża chatbota do obsługi klienta. Firma fintech z Poznania uruchamia system scoringu kredytowego oparty na uczeniu maszynowym. Obie firmy działają na rynku polskim – i obie od 2 sierpnia 2026 r. podlegają pełnym obowiązkom przejrzystości wynikającym z AI Act. Pytanie nie brzmi: czy nas to dotyczy? Pytanie brzmi: czy jesteśmy gotowi?

AI Act – Rozporządzenie (UE) 2024/1689 – nakłada na dostawców systemów sztucznej inteligencji obowiązki przejrzystości uzależnione od kategorii ryzyka danego systemu. Dla systemów wysokiego ryzyka oznacza to obowiązek oceny zgodności przed wprowadzeniem na rynek. Dla systemów generatywnej AI obowiązek ujawnienia treści syntetycznych wchodzi w życie już 2 sierpnia 2025 r.

Ten przewodnik prowadzi przez kolejne kroki: od klasyfikacji systemu AI, przez procedury oceny zgodności, po typowe błędy polskich dostawców i scenariusze dla trzech branż. Struktura jest prosta – cztery etapy, konkretne terminy, praktyczne wnioski.

Jak sklasyfikować system AI zgodnie z AI Act?

Klasyfikacja to fundament całego procesu. AI Act wprowadza cztery kategorie ryzyka: niedopuszczalne, wysokie, ograniczone i minimalne. Każda kategoria niesie inny zakres obowiązków. Błędna klasyfikacja – w dół – to ryzyko kary do 15 mln EUR lub 3% globalnego obrotu rocznego.

Systemy wysokiego ryzyka to m.in. AI używana w rekrutacji pracowników, scoringu kredytowym, biometrii oraz zarządzaniu infrastrukturą krytyczną. Zgodnie z AI Act, systemy te wymagają oceny zgodności przed wprowadzeniem na rynek – to bezpośrednie zobowiązanie dostawcy. Urząd Ochrony Danych Osobowych (UODO) oraz Komisja Nadzoru Finansowego (KNF) będą kluczowymi organami nadzorczymi w Polsce dla odpowiednich sektorów.

Praktyczny test klasyfikacji obejmuje trzy pytania:

Czy system podejmuje lub wspiera decyzje dotyczące praw lub dostępu do usług dla osób fizycznych?
Czy system przetwarza dane biometryczne lub wrażliwe w rozumieniu RODO (Rozporządzenie UE 2016/679)?
Czy system wchodzi w zakres Załącznika III AI Act – czyli wykazu systemów wysokiego ryzyka?

Trzy odpowiedzi twierdzące niemal zawsze wskazują na system wysokiego ryzyka. Jedna lub dwie – na kategorię ograniczonego ryzyka, gdzie obowiązki przejrzystości są węższe. W praktyce – wiele polskich startupów AI klasyfikuje swoje systemy zbyt optymistycznie, nie analizując Załącznika III.

Dostawcy systemów AI ogólnego przeznaczenia (GPAI), takich jak duże modele językowe, podlegają osobnemu reżimowi. Modele o mocy obliczeniowej przekraczającej 10^25 FLOP objęte są dodatkowymi wymaganiami oceny ryzyka systemowego. To istotne dla firm rozwijających własne modele fundamentalne – nie tylko dla integratorów.

Jakie konkretne obowiązki przejrzystości nakłada AI Act na dostawców?

Obowiązki przejrzystości różnią się w zależności od kategorii systemu. Dla systemów wysokiego ryzyka obowiązek obejmuje dokumentację techniczną, rejestrację w unijnej bazie danych AI, instrukcję użytkowania oraz oznaczenie CE. Dla systemów generatywnej AI – obowiązek ujawnienia, że treść jest syntetyczna, wchodzi w życie 2 sierpnia 2025 r.

Dokumentacja techniczna systemu wysokiego ryzyka musi zawierać opis ogólny systemu, opis elementów i procesu tworzenia, opis danych treningowych i walidacyjnych oraz opis środków zarządzania ryzykiem. To nie jest jednorazowy dokument. AI Act wymaga aktualizacji dokumentacji przy każdej istotnej zmianie systemu – co dla firm działających w metodyce agile oznacza ciągły proces.

Obowiązek rejestracji w unijnej bazie danych EU AI Database dotyczy wszystkich systemów wysokiego ryzyka przed ich wprowadzeniem na rynek UE. Polska nie ma jeszcze wyznaczonego krajowego organu nadzoru AI – trwają prace legislacyjne. Do czasu jego wyznaczenia kluczowe role odgrywają UODO i KNF, a w kontekście DORA (Rozporządzenie UE 2022/2554) – nadzór nad systemami AI w sektorze finansowym sprawuje KNF bezpośrednio.

Szczególna sytuacja dotyczy systemów wchodzących w interakcję z ludźmi. Chatboty i wirtualni asystenci muszą informować użytkownika, że ma do czynienia z systemem AI – chyba że jest to oczywiste z kontekstu. Obowiązek ten obowiązuje od 2 sierpnia 2026 r. dla wszystkich systemów, ale dla systemów generatywnej AI – już rok wcześniej.

Dostawcy muszą także wdrożyć system monitorowania po wprowadzeniu na rynek (post-market monitoring). Oznacza to zbieranie danych o działaniu systemu, raportowanie poważnych incydentów do organów nadzorczych w ciągu 15 dni roboczych i prowadzenie rejestru zdarzeń. W praktyce – to wymaga integracji procesów compliance z cyklem życia produktu.

Konkretna checklista dla dostawcy systemu wysokiego ryzyka:

Dokumentacja techniczna zgodna z Załącznikiem IV AI Act
Rejestracja w EU AI Database przed wprowadzeniem na rynek
Instrukcja użytkowania dla wdrażającego (deployer)
Oznaczenie CE po pomyślnej ocenie zgodności
System post-market monitoring z procedurą raportowania incydentów

Uważamy, że bezpieczniejszym rozwiązaniem jest traktowanie każdego systemu AI jako potencjalnie wysokiego ryzyka do momentu zakończenia formalnej klasyfikacji. Koszt błędnej klasyfikacji w dół jest nieporównywalnie wyższy niż koszt nadmiarowej dokumentacji.

Dla firm działających równolegle na rynku polskim i amerykańskim warto przeanalizować praktykę IP/Tech dla rynku USA – standardy przejrzystości po obu stronach Atlantyku różnią się istotnie, co ma znaczenie przy globalnym wdrożeniu systemu.

Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny. Błędna klasyfikacja systemu AI zamyka drogę do zgodności i może skutkować nieodwracalnym wpisem do rejestru naruszeń prowadzonego przez organ nadzorczy. Jeśli Państwa spółka wdraża system AI o potencjalnie wysokim ryzyku i nie ukończyła jeszcze oceny zgodności – przeprowadzimy analizę klasyfikacyjną i przygotujemy mapę obowiązków: info@kordeckipartners.com.

Trzy scenariusze biznesowe – jak AI Act działa w praktyce?

Teoria klasyfikacji nabiera znaczenia w zderzeniu z konkretnymi modelami biznesowymi. Trzy scenariusze ilustrują różne poziomy ryzyka i różne zestawy obowiązków – dla producenta, firmy IT i inwestora zagranicznego.

Scenariusz 1 – firma produkcyjna z Mazowsza. Producent komponentów motoryzacyjnych wdraża system AI do automatycznej kontroli jakości na linii produkcyjnej. System klasyfikuje produkty jako zgodne lub niezgodne ze specyfikacją. Czy to system wysokiego ryzyka? Jeśli decyzja systemu nie wpływa bezpośrednio na prawa osób fizycznych – prawdopodobnie nie. Kategoria ograniczonego ryzyka oznacza obowiązek przejrzystości wobec operatorów maszyn, ale nie pełną ocenę zgodności. Kluczowe pytanie: czy system AI jest elementem produktu objętego dyrektywą maszynową? Jeśli tak – ocena zgodności i tak jest wymagana na podstawie przepisów sektorowych.

Scenariusz 2 – firma IT z Trójmiasta. Startup rozwijający narzędzie do automatycznej analizy CV i wstępnej selekcji kandydatów. To klasyczny system wysokiego ryzyka – Załącznik III AI Act wprost wymienia systemy AI używane w rekrutacji. Firma musi ukończyć ocenę zgodności, przygotować dokumentację techniczną i zarejestrować system w EU AI Database przed komercyjnym wdrożeniem. Jeśli startup planuje wejście na rynek przed sierpniem 2026 r. – czas na przygotowanie dokumentacji jest już teraz, nie za pół roku.

Scenariusz 3 – inwestor zagraniczny. Fundusz private equity z Frankfurtu nabywa polską spółkę SaaS oferującą system AI do oceny ryzyka kredytowego. Due diligence musi obejmować weryfikację klasyfikacji systemu AI, kompletności dokumentacji technicznej i statusu rejestracji w EU AI Database. Brak zgodności z AI Act to ryzyko transakcyjne – analogiczne do braków w dokumentacji RODO. Przy wyborze struktury inwestycyjnej warto przeanalizować macierz decyzyjną sp. z o.o. vs S.A. dla inwestorów w Polsce – forma prawna ma znaczenie dla odpowiedzialności dostawcy AI.

Wspólny mianownik wszystkich trzech scenariuszy: klasyfikacja ryzyka musi poprzedzać wdrożenie, nie następować po nim. Retroaktywna zgodność jest możliwa, ale kosztowna – zarówno finansowo, jak i reputacyjnie.

Jakie błędy popełniają polscy dostawcy AI i jak ich uniknąć?

Doświadczenie z pierwszych miesięcy stosowania AI Act wskazuje na powtarzające się wzorce błędów. Świadomość tych wzorców pozwala uniknąć najkosztowniejszych pułapek – zanim system trafi na rynek.

Błąd 1: traktowanie AI Act jako problemu IT, nie prawnego. Dokumentacja techniczna wymagana przez AI Act to dokument prawny z konsekwencjami regulacyjnymi. Jej przygotowanie wyłącznie przez zespół inżynierski, bez udziału prawnika, prowadzi do luk zgodności. Dział prawny i dział IT muszą pracować razem od etapu projektowania systemu – nie dopiero przed wdrożeniem.

Błąd 2: ignorowanie łańcucha wartości. AI Act rozróżnia dostawcę (provider) od wdrażającego (deployer). Polska firma integrująca model AI zewnętrznego dostawcy może być traktowana jako dostawca, jeśli istotnie modyfikuje system lub wprowadza go pod własną marką. W praktyce – wiele polskich firm IT nie analizuje, czy ich rola w łańcuchu wartości AI nie czyni z nich dostawcy w rozumieniu AI Act.

Błąd 3: pomijanie wymiaru RODO i DORA. Systemy AI wysokiego ryzyka niemal zawsze przetwarzają dane osobowe. Ocena zgodności z AI Act musi być zsynchronizowana z oceną skutków dla ochrony danych (DPIA) wymaganą przez RODO. Dla podmiotów finansowych DORA nakłada dodatkowe wymogi zarządzania ryzykiem ICT – w tym ryzykiem związanym z AI. Pominięcie tej intersekcji to podwójne ryzyko regulacyjne. Przy transferach danych do krajów trzecich – np. gdy model AI jest hostowany poza UE – zastosowanie mają mechanizmy transferu danych opisane w kontekście transferu danych z Polski do ZEA.

Błąd 4: brak procedury zarządzania zmianą. Aktualizacja modelu AI może oznaczać istotną zmianę systemu wymagającą ponownej oceny zgodności. Firmy działające w metodyce ciągłego wdrożenia (CI/CD) muszą mieć wbudowany próg istotności zmian i procedurę jego oceny. Brak takiej procedury oznacza, że każda aktualizacja staje się potencjalnym naruszeniem AI Act.

Firma fintech z Poznania – wracając do scenariusza z początku – wdrożyła scoring kredytowy bez formalnej klasyfikacji ryzyka wiosną 2025 r. Gdy KNF zażądała dokumentacji, okazało się, że system spełnia co najmniej trzy kryteria systemu wysokiego ryzyka. Retroaktywne przygotowanie dokumentacji zajęło cztery miesiące i kosztowało wielokrotność pierwotnych nakładów na compliance.

Konkretna sytuacja Państwa firmy wymaga oceny przed wdrożeniem, nie po nim. Brak dokumentacji technicznej w momencie kontroli organu nadzorczego jest naruszeniem nieodwracalnym w skutkach rejestrowych. Jeśli Państwa spółka planuje wdrożenie systemu AI w ciągu najbliższych 12 miesięcy i nie ma jeszcze mapy obowiązków – przeprowadzimy klasyfikację, przygotujemy dokumentację i zbudujemy procedurę zarządzania zmianą: info@kordeckipartners.com.

Często zadawane pytania

P: Od kiedy dokładnie obowiązują poszczególne wymogi AI Act dla polskich dostawców?

O: AI Act wszedł w życie 1 sierpnia 2024 roku. Zakaz stosowania systemów AI niedopuszczalnego ryzyka obowiązuje od 2 lutego 2025 roku. Obowiązki dla dostawców modeli AI ogólnego przeznaczenia (GPAI) oraz obowiązek ujawnienia treści syntetycznych przez systemy generatywnej AI wchodzą w życie 2 sierpnia 2025 roku. Pełne obowiązki dla systemów wysokiego ryzyka – w tym ocena zgodności i rejestracja w EU AI Database – obowiązują od 2 sierpnia 2026 roku. Systemy AI wbudowane w produkty objęte dotychczasowymi dyrektywami sektorowymi mają przedłużony okres przejściowy do 2 sierpnia 2027 roku.

P: Czy mała polska firma IT, która integruje zewnętrzny model AI, jest dostawcą w rozumieniu AI Act?

O: To jedno z najczęstszych nieporozumień. Firma integrująca gotowy model AI nie jest automatycznie dostawcą – jest wdrażającym (deployerem). Jednak jeśli firma istotnie modyfikuje model, zmienia jego przeznaczenie lub wprowadza go na rynek pod własną marką, artykuł 25 AI Act może przekształcić ją w dostawcę z pełnym zestawem obowiązków. Granica między integratorem a dostawcą jest płynna i wymaga indywidualnej analizy umów, zakresu modyfikacji i sposobu komercjalizacji.

P: Ile kosztuje przygotowanie dokumentacji technicznej dla systemu AI wysokiego ryzyka?

O: Koszt zależy od złożoności systemu i stanu istniejącej dokumentacji. Dla typowego systemu AI średniej złożoności – np. narzędzia do analizy HR lub scoringu kredytowego – przygotowanie kompletnej dokumentacji technicznej zgodnej z Załącznikiem IV AI Act zajmuje od 6 do 16 tygodni i wymaga zaangażowania zarówno prawników, jak i inżynierów. Retroaktywne przygotowanie dokumentacji dla systemu już działającego jest zazwyczaj dwukrotnie droższe niż dokumentacja przygotowana równolegle z budową systemu. Wczesne zaangażowanie prawnika IP/Tech to inwestycja, nie koszt.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji AI, prawa własności intelektualnej i technologii. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

O autorze

Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.

Data publikacji: 30.04.2026