AI Act – obowiązki przejrzystości dla dostawców AI w Polsce

Od 2 sierpnia 2026 roku dostawcy systemów AI w Polsce będą musieli spełniać konkretne obowiązki przejrzystości wynikające z AI Act. Firmy, które dziś ignorują ten temat, ryzykują nie tylko sankcje finansowe – ryzykują utratę dostępu do rynku unijnego. To nie jest odległa perspektywa. Harmonogram wdrożenia jest już znany i nieubłagany.

AI Act – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 – wszedł w życie 1 sierpnia 2024 roku. Obowiązki przejrzystości dla dostawców systemów AI stosuje się od 2 sierpnia 2026 roku. Naruszenia mogą skutkować karami do 15 milionów EUR lub 3% globalnego obrotu rocznego – w zależności od tego, która kwota jest wyższa.

Poniżej omawiamy: co konkretnie się zmieniło, kogo dotyczą nowe przepisy i jakie działania należy podjąć natychmiast. Alert skierowany jest do dostawców systemów AI, importerów, dystrybutorów oraz działów prawnych i compliance w Polsce.

Co zmienił AI Act i kogo dotyczy w Polsce?

AI Act wprowadza podejście oparte na ryzyku. Systemy AI dzielone są na cztery kategorie: niedopuszczalne ryzyko, wysokie ryzyko, ograniczone ryzyko i minimalne ryzyko. Obowiązki przejrzystości dotyczą przede wszystkim systemów wysokiego ryzyka oraz systemów wchodzących w interakcję z ludźmi.

Dostawca systemu AI – w rozumieniu rozporządzenia – to podmiot, który opracowuje system AI i wprowadza go do obrotu lub oddaje do użytku pod własną nazwą lub znakiem towarowym. Polskie firmy technologiczne, startupy AI i korporacje wdrażające własne rozwiązania spełniają tę definicję. Importerzy i dystrybutorzy mają odrębne, choć pokrewne obowiązki.

Systemy wysokiego ryzyka obejmują m.in. AI stosowane w rekrutacji pracowników, ocenie zdolności kredytowej, biometrii oraz infrastrukturze krytycznej. Dla tych systemów obowiązuje pełna dokumentacja techniczna, rejestracja w unijnej bazie danych i ocena zgodności. Systemy wchodzące w bezpośrednią interakcję z ludźmi – np. chatboty – muszą informować użytkownika, że rozmawia z maszyną. Ten obowiązek wchodzi w życie już 2 sierpnia 2026 roku.

W Polsce organem nadzorczym w zakresie AI Act będzie podmiot wyznaczony przez rząd – trwają prace legislacyjne nad krajową ustawą implementacyjną. Do czasu jej wejścia w życie zastosowanie mają bezpośrednio przepisy rozporządzenia unijnego. Warto pamiętać, że PUODO (organ nadzorczy RODO) może działać równolegle, jeśli system AI przetwarza dane osobowe – co w praktyce dotyczy większości wdrożeń komercyjnych.

Jakie obowiązki przejrzystości są wymagane od dostawców AI?

Obowiązki przejrzystości wynikające z AI Act mają trzy poziomy. Pierwszy dotyczy systemów wysokiego ryzyka. Drugi – systemów wchodzących w interakcję z ludźmi. Trzeci – modeli AI ogólnego przeznaczenia (GPAI), w tym modeli o dużej skali obliczeniowej.

Dla systemów wysokiego ryzyka dostawca musi przygotować dokumentację techniczną zgodną z Załącznikiem IV do rozporządzenia. Obejmuje ona opis systemu, dane treningowe, metryki wydajności i środki zarządzania ryzykiem. Dokumentacja musi być dostępna dla organów nadzorczych przez 10 lat od wprowadzenia systemu do obrotu. To długi horyzont – wiele firm nie ma dziś procesów archiwizacyjnych na taką skalę.

Dla chatbotów i systemów generujących treści obowiązek jest prostszy, ale bezwzględny: użytkownik musi wiedzieć, że wchodzi w interakcję z AI. Brak takiej informacji to naruszenie – niezależnie od tego, jak dobra jest jakość produktu. Systemy generujące deepfake'i muszą dodatkowo oznaczać treści jako wygenerowane sztucznie.

Modele GPAI – takie jak duże modele językowe – podlegają od 2 sierpnia 2025 roku obowiązkom dotyczącym dokumentacji technicznej i polityki praw autorskich. Dostawcy modeli o mocy obliczeniowej przekraczającej 10²⁵ FLOPs muszą dodatkowo przeprowadzić ocenę ryzyka systemowego i zgłosić się do Komisji Europejskiej. Dla polskich firm rozwijających własne modele językowe – to konkretny próg do sprawdzenia już teraz.

Dostawcy działający na rynku polskim muszą też zadbać o spójność z RODO. Systemy AI przetwarzające dane osobowe wymagają oceny skutków dla ochrony danych (DPIA) zgodnie z art. 35 RODO. Ochrona własności intelektualnej modeli AI – w tym strategia ochrony znaku towarowego i patentowania rozwiązań technicznych – to osobny, ale powiązany obszar. Więcej o strategii ochrony IP dla firm technologicznych znajdą Państwo w naszym opracowaniu o ochronie IP dla firm technologicznych w Polsce.

Firmy z sektora finansowego muszą uwzględnić dodatkową warstwę regulacyjną. DORA – Rozporządzenie (UE) 2022/2554 – obowiązuje od 17 stycznia 2025 roku i nakłada na podmioty finansowe obowiązki zarządzania ryzykiem ICT, które bezpośrednio obejmują systemy AI. Dostawca AI obsługujący bank lub towarzystwo ubezpieczeniowe odpowiada nie tylko przed organem nadzoru AI, ale i przed KNF.

Konkretna sytuacja Państwa firmy wymaga oceny, które kategorie systemów AI wchodzą w zakres obowiązków przejrzystości – i jakie działania są nieodwracalnie wymagane przed sierpniem 2026 roku. Zaniechanie dziś może zamknąć drogę do certyfikacji i dostępu do rynku UE.

Jeśli Państwa firma opracowuje lub wdraża systemy AI i nie ma jeszcze mapy obowiązków wynikających z AI Act – przeprowadzimy audyt zgodności, przygotujemy dokumentację techniczną i wesprzemy w rejestracji systemu: info@kordeckipartners.com.

Co zrobić teraz – lista działań dla dostawców AI w Polsce?

Harmonogram AI Act jest wieloetapowy, ale okno na spokojne przygotowanie szybko się zamyka. Poniżej lista działań, które należy podjąć w pierwszej kolejności.

• Klasyfikacja systemu AI – ustal, do której kategorii ryzyka należy Twój produkt. To punkt wyjścia dla wszystkich dalszych działań.
• Dokumentacja techniczna – dla systemów wysokiego ryzyka przygotuj dokumentację zgodną z Załącznikiem IV AI Act. Termin: przed 2 sierpnia 2026 roku.
• Obowiązek informacyjny – wdróż mechanizm informowania użytkowników o interakcji z AI w każdym systemie konwersacyjnym. Brak wdrożenia = naruszenie od dnia 1.
• Ocena DPIA – jeśli system przetwarza dane osobowe, przeprowadź ocenę skutków zgodnie z RODO i skonsultuj z PUODO, jeśli ryzyko jest wysokie.
• Mapa dostawców i łańcucha dostaw – zidentyfikuj, czy korzystasz z modeli GPAI zewnętrznych dostawców i jakie obowiązki to generuje po Twojej stronie.

Firmy z sektora finansowego mają dodatkowe 30 dni na zgłoszenie incydentów ICT związanych z systemami AI do KNF – wynika to z wymogów DORA. W praktyce oznacza to, że procedury zarządzania incydentami muszą obejmować scenariusze awarii AI. Jeśli Państwa firma nie ma takich procedur, jest to luka wymagająca natychmiastowego uzupełnienia.

Polskie startupy AI eksportujące usługi do Niemiec lub innych krajów UE muszą pamiętać, że AI Act stosuje się do systemów wprowadzanych na rynek unijny – niezależnie od siedziby dostawcy. Firma zarejestrowana w Warszawie, sprzedająca oprogramowanie AI klientowi w Monachium, podlega tym samym przepisom co dostawca z Berlina. Szczegóły dotyczące transferu danych i aspektów transgranicznych omawia nasze opracowanie o transferze danych z Polski.

Zarządy spółek technologicznych powinny też pamiętać, że odpowiedzialność za naruszenia AI Act może – w pewnych okolicznościach – generować pytania o odpowiedzialność osobistą członków zarządu. Mechanizmy tej odpowiedzialności omawiamy w opracowaniu o odpowiedzialności karnej skarbowej zarządu.

Konkretna sytuacja Państwa firmy wymaga oceny nie tylko zgodności z AI Act, ale też spójności z RODO, DORA i krajowymi przepisami implementacyjnymi. Zaniechanie klasyfikacji systemu AI przed sierpniem 2026 roku może nieodwracalnie opóźnić wejście produktu na rynek.

Jeśli Państwa spółka wprowadza lub planuje wprowadzić system AI na rynek polski lub unijny – przeprowadzimy klasyfikację ryzyka, audyt dokumentacji i przygotujemy plan wdrożenia obowiązków przejrzystości: info@kordeckipartners.com.

Często zadawane pytania

P: Od kiedy dokładnie obowiązują przepisy AI Act dotyczące przejrzystości w Polsce?

O: Rozporządzenie (UE) 2024/1689 weszło w życie 1 sierpnia 2024 roku. Zakaz stosowania systemów AI niedopuszczalnego ryzyka obowiązuje od 2 lutego 2025 roku. Obowiązki dla systemów wysokiego ryzyka i obowiązki przejrzystości dla systemów wchodzących w interakcję z ludźmi stosuje się od 2 sierpnia 2026 roku. Modele AI ogólnego przeznaczenia podlegają przepisom od 2 sierpnia 2025 roku. Kary za naruszenia mogą sięgać 15 milionów EUR lub 3% globalnego obrotu.

P: Czy mała polska firma technologiczna z przychodem poniżej 10 milionów PLN podlega AI Act?

O: Tak – AI Act nie przewiduje progu przychodowego zwalniającego z obowiązków. Rozporządzenie stosuje się do każdego dostawcy wprowadzającego system AI na rynek unijny, niezależnie od wielkości firmy. Małe i średnie przedsiębiorstwa korzystają jedynie z uproszczonych procedur oceny zgodności w wybranych przypadkach oraz ze wsparcia ze strony piaskownic regulacyjnych (regulatory sandboxes). Obowiązek informowania użytkowników o interakcji z AI dotyczy wszystkich podmiotów bez wyjątku.

P: Czy obowiązki przejrzystości z AI Act pokrywają się z obowiązkami wynikającymi z RODO?

O: Tak, ale nie są tożsame. RODO nakłada obowiązek przeprowadzenia oceny skutków dla ochrony danych (DPIA) przy przetwarzaniu danych osobowych wysokiego ryzyka – co dotyczy większości systemów AI. AI Act dodaje osobną warstwę: dokumentację techniczną, rejestrację w unijnej bazie danych i oznaczanie treści generowanych przez AI. Firmy muszą spełnić oba reżimy równocześnie. Organem nadzorczym RODO w Polsce jest PUODO, który może działać niezależnie od organu nadzorczego AI Act.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji AI, ochrony danych i prawa własności intelektualnej. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.