Firma technologiczna z Krakowa wdrożyła narzędzie do automatycznej oceny CV kandydatów. Narzędzie działa od kilku miesięcy. Nikt nie sprawdził, czy system kwalifikuje się jako wysokiego ryzyka w rozumieniu AI Act. Termin na dostosowanie systemów HR do wymogów rozporządzenia upłynął – lub za chwilę upłynie – bez żadnego audytu, bez dokumentacji, bez oceny zgodności.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 – AI Act – weszło w życie 1 sierpnia 2024 roku. Harmonogram wdrożenia jest podzielony na etapy: zakazy dotyczące systemów niedopuszczalnego ryzyka obowiązują od 2 lutego 2025 roku, wymogi dla systemów wysokiego ryzyka stosowanych w rekrutacji, kredytach i biometrii – od 2 sierpnia 2026 roku, a pełne stosowanie rozporządzenia następuje 2 sierpnia 2027 roku.

Ten artykuł prowadzi przez kolejne etapy harmonogramu. Wyjaśnia, które systemy AI podlegają jakim wymogom i kiedy. Wskazuje praktyczne pułapki, które już teraz dotykają polskie firmy – w branży IT, finansach i HR. Na końcu znajdą Państwo listę kontrolną do samodzielnej oceny gotowości.

Jakie systemy AI są zakazane od 2 lutego 2025 roku?

Od 2 lutego 2025 roku AI Act zakazuje stosowania określonych kategorii systemów AI na terytorium Unii Europejskiej. Zakaz obejmuje systemy niedopuszczalnego ryzyka – czyli takie, których stosowanie Unia uznała za sprzeczne z wartościami podstawowymi. Naruszenie zakazu grozi karą do 35 milionów EUR lub 7% globalnego rocznego obrotu.

Które systemy są zakazane? Katalog obejmuje przede wszystkim:

  • systemy kategoryzacji biometrycznej według cech wrażliwych (np. poglądów politycznych, orientacji seksualnej),
  • systemy oceny społecznej (social scoring) przez władze publiczne,
  • systemy manipulujące zachowaniem człowieka bez jego wiedzy,
  • systemy identyfikacji biometrycznej w czasie rzeczywistym w przestrzeni publicznej (z wąskimi wyjątkami dla organów ścigania),
  • systemy oceniające ryzyko przestępczości na podstawie profilowania.

W praktyce wiele polskich firm nie kojarzy swoich narzędzi z tymi kategoriami. Tymczasem pewne systemy analityki behawioralnej stosowane w e-commerce – analizujące emocje użytkowników bez ich wiedzy – mogą wpaść w zakaz. UODO, jako krajowy organ nadzorczy w obszarze ochrony danych, już sygnalizował zainteresowanie tego rodzaju praktykami. Warto pamiętać, że AI Act i RODO (Rozporządzenie UE 2016/679) nakładają się w obszarze przetwarzania danych biometrycznych – firma może naruszać oba akty jednocześnie.

Pierwsze 6 miesięcy stosowania AI Act to faza, w której Komisja Europejska i krajowe organy nadzorcze budują praktykę egzekucyjną. Firmy, które nie przeprowadziły przeglądu portfela systemów AI przed lutym 2025 roku, działają dziś bez oceny ryzyka. To nie jest sytuacja komfortowa.

Kiedy i kogo dotyczą wymogi dla systemów wysokiego ryzyka?

Systemy wysokiego ryzyka to serce AI Act. Obowiązują je wymogi dotyczące zarządzania ryzykiem, jakości danych, przejrzystości, nadzoru ludzkiego i rejestracji w unijnej bazie danych. Dla większości z tych systemów termin wdrożenia wymogów to 2 sierpnia 2026 roku – czyli 18 miesięcy od wejścia w życie rozporządzenia.

AI Act klasyfikuje systemy wysokiego ryzyka w Załączniku III. Kategorie istotne dla polskich firm to:

  • systemy AI w rekrutacji i zarządzaniu pracownikami (np. automatyczne sito CV, systemy oceny wydajności),
  • systemy scoringu kredytowego i oceny zdolności kredytowej,
  • systemy biometryczne do weryfikacji tożsamości,
  • systemy AI stosowane w edukacji (np. adaptacyjne platformy e-learningowe),
  • systemy wspierające decyzje w obszarze świadczeń socjalnych i ubezpieczeń.

Firma z Poznania obsługująca sektor bankowy wdrożyła w lecie 2024 roku system scoringu dla klientów MSP. System analizuje dane finansowe i behawioralne. Od 2 sierpnia 2026 roku ten system będzie wymagał pełnej dokumentacji technicznej, oceny zgodności i rejestracji. Czas na przygotowanie się wynosi mniej niż 18 miesięcy od dziś – a wdrożenie systemu zarządzania ryzykiem AI w instytucji finansowej trwa zwykle od 6 do 12 miesięcy.

Instytucje finansowe muszą pamiętać o jeszcze jednej warstwie. DORA (Rozporządzenie UE 2022/2554) obowiązuje od 17 stycznia 2025 roku i nakłada na nie wymogi zarządzania ryzykiem ICT, w tym ryzykiem związanym z dostawcami technologii AI. KNF oczekuje, że podmioty nadzorowane będą potrafiły wykazać, jak zarządzają ryzykiem systemów AI w kontekście ciągłości działania. AI Act i DORA to dwie różne regulacje, ale ich wymogi w obszarze AI nakładają się – dokumentacja wymagana przez DORA częściowo pokrywa się z dokumentacją techniczną wymaganą przez AI Act.

Aby otrzymać ocenę, czy Państwa system AI kwalifikuje się jako wysokiego ryzyka w rozumieniu AI Act, napisz do info@kordeckipartners.com.

Jakie obowiązki dotyczą modeli ogólnego przeznaczenia (GPAI)?

Modele ogólnego przeznaczenia – GPAI (General Purpose AI) – to osobna kategoria w AI Act. Obejmuje modele takie jak duże modele językowe (LLM), które mogą być stosowane do wielu różnych celów. Wymogi dla dostawców modeli GPAI stosują się od 2 sierpnia 2025 roku – to termin wcześniejszy niż dla systemów wysokiego ryzyka.

Polskie firmy technologiczne, które budują własne modele LLM lub fine-tunują istniejące modele na własnych danych, mogą być objęte obowiązkami dostawcy GPAI. Obowiązki te obejmują przygotowanie dokumentacji technicznej, przestrzeganie prawa autorskiego przy trenowaniu modeli oraz – dla modeli o dużym wpływie systemowym (systemic risk) – dodatkowe oceny bezpieczeństwa.

Próg "dużego wpływu systemowego" to 10^25 operacji zmiennoprzecinkowych (FLOP) podczas trenowania. To próg, który dziś dotyczy wyłącznie największych światowych modeli. Jednak regulacja wyprzedza rynek – za 2–3 lata próg ten może objąć znacznie więcej podmiotów. Firmy, które dziś fine-tunują modele na danych klientów, powinny już dokumentować ten proces.

Odrębną kwestią jest ochrona własności intelektualnej. Jeśli model GPAI był trenowany na chronionych treściach, a firma nie posiada odpowiedniej licencji ani nie korzysta z wyjątku text and data mining – pojawia się ryzyko naruszenia praw autorskich. To obszar, gdzie prawo własności intelektualnej i AI Act spotykają się w praktyce. Kancelaria IP Warszawa zajmująca się prawem technologicznym powinna być pierwszym punktem kontaktu przy ocenie tego ryzyka.

Jak wygląda harmonogram wdrożenia krok po kroku?

Harmonogram AI Act można przedstawić jako cztery kamienie milowe. Każdy wiąże się z konkretnymi obowiązkami i adresatami. Zrozumienie struktury czasowej to pierwszy krok do oceny gotowości własnej firmy.

2 lutego 2025 roku – zakazy dotyczące systemów niedopuszczalnego ryzyka zaczęły obowiązywać. Firmy powinny były zakończyć przegląd portfela systemów AI i wyeliminować lub przeprojektować systemy wpadające w katalog zakazów.

2 sierpnia 2025 roku – obowiązki dla dostawców modeli GPAI. Dokumentacja techniczna, polityki copyright, rejestracja w unijnym rejestrze modeli.

2 sierpnia 2026 roku – wymogi dla systemów wysokiego ryzyka z Załącznika III. System zarządzania ryzykiem AI, dokumentacja techniczna, ocena zgodności, rejestracja, nadzór ludzki, instrukcje dla użytkowników.

2 sierpnia 2027 roku – pełne stosowanie AI Act, w tym wymogi dla systemów wysokiego ryzyka z Załącznika II (sektory regulowane, np. wyroby medyczne, maszyny). Wszystkie podmioty – dostawcy, wdrożeniowcy, importerzy, dystrybutorzy – są objęci pełnym reżimem rozporządzenia.

W praktyce – wiele firm o tym zapomina – harmonogram nie jest sekwencją "czekaj i reaguj". Przygotowanie dokumentacji technicznej dla systemu wysokiego ryzyka trwa od 3 do 9 miesięcy. Ocena zgodności przez jednostkę notyfikowaną (jeśli jest wymagana) – kolejne kilka miesięcy. Firmy, które zaczną przygotowania w lipcu 2026 roku, nie zdążą na termin sierpniowy.

Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie wstępnego audytu systemów AI już teraz, w pierwszym kwartale 2026 roku, i podzielenie portfela na trzy grupy: systemy wymagające natychmiastowego działania, systemy wymagające dokumentacji, systemy bez szczególnych obowiązków.

Jakie pułapki czekają polskie firmy przy wdrożeniu AI Act?

Praktyczne pułapki przy wdrożeniu AI Act są liczne. Nie wynikają ze złej woli – wynikają z tego, że rozporządzenie jest nowe, obszerne i nakłada się na kilka innych regulacji. Poniżej cztery najczęstsze błędy, które obserwujemy w rozmowach z polskimi przedsiębiorcami.

Błąd 1: Założenie, że AI Act dotyczy tylko dostawców technologii. Firma, która kupuje gotowe rozwiązanie AI od zewnętrznego dostawcy i wdraża je w procesach HR lub kredytowych, staje się "wdrożeniowcem" (deployer) w rozumieniu AI Act. Wdrożeniowiec odpowiada za właściwe stosowanie systemu, nadzór ludzki i informowanie pracowników o tym, że są oceniani przez AI. To obowiązki, których nie można scedować na dostawcę oprogramowania przez klauzulę w umowie SaaS.

Błąd 2: Niedoszacowanie zakresu dokumentacji. Dokumentacja techniczna systemu wysokiego ryzyka obejmuje opis architektury modelu, dane treningowe, metryki wydajności, opis zarządzania ryzykiem i procedury monitorowania. Wiele firm nie posiada tej dokumentacji nawet dla systemów, które działają od lat. Przygotowanie jej od zera wymaga współpracy działu IT, prawnego i compliance – i czasu.

Błąd 3: Pominięcie wymiaru RODO. Ocena wpływu na prawa podstawowe wymagana przez AI Act dla systemów wysokiego ryzyka (art. 27 AI Act) jest odrębna od oceny skutków dla ochrony danych (DPIA) wymaganej przez RODO. Firmy, które wykonały DPIA, nie mogą zakładać, że spełniły tym samym wymogi AI Act. UODO nadzoruje RODO; AI Act będzie nadzorowany przez krajowy organ ds. AI, którego Polska jeszcze nie wyznaczyła formalnie.

Błąd 4: Brak klauzul AI w umowach z dostawcami. Jeśli Państwa firma korzysta z systemów AI dostarczanych przez podmioty trzecie, umowy powinny już teraz zawierać klauzule dotyczące: dostarczenia dokumentacji technicznej, powiadamiania o istotnych zmianach systemu, podziału odpowiedzialności za zgodność. Brak takich klauzul oznacza, że wdrożeniowiec będzie musiał samodzielnie wytworzyć dokumentację, którą powinien dostarczyć dostawca.

Szczegółowe informacje o regulacjach technologicznych dotyczących kryptoaktywów, które podobnie jak AI Act kształtują środowisko prawne dla polskich firm technologicznych, znajdą Państwo w analizie MiCA – regulacja kryptoaktywów w Polsce.

Konkretna sytuacja Państwa firmy – portfel systemów AI, relacje z dostawcami, profil sektorowy – wymaga indywidualnej oceny. Błędy w klasyfikacji systemów AI są trudne do naprawienia po wszczęciu postępowania przez organ nadzorczy. Konsekwencje mogą być nieodwracalne dla reputacji firmy i jej relacji z partnerami.

Jeśli Państwa spółka stosuje systemy AI w procesach HR, kredytowych lub biometrycznych i nie przeprowadziła jeszcze audytu zgodności z AI Act – przeprowadzimy klasyfikację systemów, ocenę ryzyka i mapowanie obowiązków dokumentacyjnych: info@kordeckipartners.com.

Lista kontrolna: co przygotować przed 2 sierpnia 2026 roku?

Poniższa lista kontrolna jest punktem wyjścia do oceny gotowości. Nie zastępuje pełnego audytu prawnego, ale pozwala zidentyfikować obszary wymagające natychmiastowego działania.

  • Inwentaryzacja systemów AI: sporządź listę wszystkich narzędzi AI stosowanych w firmie – własnych i zewnętrznych. Uwzględnij systemy SaaS z funkcjami AI (np. moduły HR, CRM, scoring).
  • Klasyfikacja ryzyka: dla każdego systemu oceń, czy wchodzi w katalog zakazów (zakaz od 2 lutego 2025 r.), kategorię wysokiego ryzyka (Załącznik III) lub kategorię GPAI.
  • Audyt umów z dostawcami: sprawdź, czy umowy z dostawcami systemów AI zawierają klauzule dotyczące dokumentacji technicznej i podziału odpowiedzialności za zgodność z AI Act.
  • Ocena dokumentacji: dla systemów wysokiego ryzyka zidentyfikuj luki w dokumentacji technicznej i zaplanuj jej uzupełnienie – minimum 6 miesięcy przed sierpniem 2026 roku.
  • Koordynacja z RODO i DORA: zweryfikuj, czy procedury DPIA i zarządzania ryzykiem ICT obejmują systemy AI, i uzupełnij je o wymogi AI Act.

Polskie firmy budowlane i deweloperskie, które stosują systemy AI w zarządzaniu projektami lub ocenie ryzyka inwestycyjnego, mogą znaleźć pomocny kontekst regulacyjny w analizie pozwoleń na budowę – zmiany proceduralne od 2025.

Często zadawane pytania

P: Czy AI Act dotyczy każdej polskiej firmy, która używa jakiegokolwiek narzędzia AI?

O: Nie każdej w takim samym stopniu. Rozporządzenie nakłada najsurowsze obowiązki na dostawców i wdrożeniowców systemów wysokiego ryzyka. Firma, która używa chatbota do obsługi klienta (bez podejmowania decyzji o prawach jednostki), podlega głównie wymogom przejrzystości – obowiązkowi informowania użytkownika, że rozmawia z AI. Obowiązek ten stosuje się od 2 sierpnia 2026 roku. Kluczowe jest przeprowadzenie klasyfikacji każdego systemu z osobna.

P: Ile kosztuje i jak długo trwa dostosowanie firmy do wymogów AI Act?

O: Koszty i czas zależą od liczby i rodzaju systemów AI. Dla jednego systemu wysokiego ryzyka – przygotowanie dokumentacji technicznej, ocena zgodności i wdrożenie procedur nadzoru ludzkiego – to zwykle od 3 do 9 miesięcy pracy i wydatki rzędu kilkudziesięciu tysięcy złotych, w zależności od złożoności systemu. Ocena zgodności przez zewnętrzną jednostkę notyfikowaną (wymagana dla niektórych systemów wysokiego ryzyka z Załącznika II) generuje dodatkowe koszty. Firmy z rozbudowanym portfelem systemów AI powinny zakładać kilkanaście miesięcy na pełne wdrożenie.

P: Powszechne przekonanie mówi, że AI Act nie dotyczy firm, które tylko "używają" AI, a nie ją "tworzą". Czy to prawda?

O: To nieprawda – i jest to jeden z najgroźniejszych mitów dotyczących AI Act. Rozporządzenie wyraźnie nakłada obowiązki na "wdrożeniowców" (deployers), czyli firmy, które stosują systemy AI w kontekście zawodowym. Wdrożeniowiec systemu wysokiego ryzyka odpowiada za nadzór ludzki, informowanie pracowników lub klientów o stosowaniu AI oraz za prowadzenie dzienników zdarzeń przez co najmniej 6 miesięcy. Kupno gotowego rozwiązania SaaS nie zwalnia z tych obowiązków.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa technologicznego, AI Act, DORA, ochrony danych i własności intelektualnej. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.