Firma technologiczna z Mazowsza wdraża nowy system rekrutacyjny oparty na algorytmach. Dział prawny pyta: czy to już AI Act? Czy potrzebna jest ocena zgodności? Kiedy? Odpowiedź nie jest prosta – bo AI Act działa jak harmonijka. Obowiązki wchodzą etapami, a każdy etap dotyczy innego kręgu firm.
AI Act – czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 – weszło w życie 1 sierpnia 2024 roku. Stosowanie przepisów rozkłada się na fazy: zakazy praktyk AI od 2 lutego 2025 roku, obowiązki dla systemów ogólnego przeznaczenia (GPAI) od 2 sierpnia 2025 roku, pełne stosowanie dla systemów wysokiego ryzyka od 2 sierpnia 2026 roku. Polskie firmy mają zatem okno na przygotowanie – ale to okno szybko się zamyka.
Ten przewodnik omawia harmonogram wdrożenia krok po kroku. Wyjaśnia, które firmy podlegają jakim obowiązkom i kiedy. Wskazuje typowe pułapki: błędną klasyfikację ryzyka, brak dokumentacji technicznej i zaniedbania przy łączeniu AI Act z RODO oraz DORA. Na końcu znajdą Państwo listę kontrolną i odpowiedzi na najczęstsze pytania klientów kancelarii.
Czym jest AI Act i kogo dotyczy w Polsce?
AI Act stosuje się do każdego podmiotu, który wprowadza system AI na rynek UE lub używa go w UE – niezależnie od miejsca siedziby dostawcy. Polska firma kupująca gotowe rozwiązanie AI od dostawcy spoza UE jest „wdrażającym" w rozumieniu rozporządzenia. Ponosi własne obowiązki. To fundamentalna różnica wobec wcześniejszych regulacji technologicznych, gdzie odpowiedzialność spoczywała głównie na producencie.
Rozporządzenie wyróżnia cztery kategorie ryzyka. Systemy o niedopuszczalnym ryzyku są zakazane od 2 lutego 2025 roku – to m.in. biometryczna kategoryzacja osób na podstawie cech chronionych czy systemy oceny społecznej (social scoring). Systemy wysokiego ryzyka wymagają oceny zgodności, rejestracji i nadzoru po wprowadzeniu na rynek. Systemy GPAI (modele ogólnego przeznaczenia, jak duże modele językowe) podlegają osobnemu reżimowi. Systemy niskiego ryzyka objęte są jedynie obowiązkami przejrzystości.
W Polsce nadzór nad stosowaniem AI Act będzie sprawował organ wyznaczony przez ustawodawcę krajowego. Na dzień publikacji tego artykułu Polska nie wyznaczyła jeszcze formalnie krajowego organu nadzorczego. W praktyce – do czasu wyznaczenia – luki nadzorcze wypełniają PUODO (w zakresie RODO), KNF (dla sektora finansowego, zwłaszcza w kontekście DORA) oraz UOKiK (dla kwestii konsumenckich).
Ważne jest też rozróżnienie ról. Dostawca (provider) to podmiot opracowujący lub wprowadzający system AI na rynek. Wdrażający (deployer) to podmiot używający systemu w działalności zawodowej. Polska firma wdrażająca system AI zakupiony od globalnego dostawcy jest wdrażającym – i ma własne obowiązki, których nie przejmuje od dostawcy.
Jaki jest harmonogram obowiązków AI Act dla polskich firm?
Harmonogram AI Act ma cztery kluczowe daty. Każda z nich uruchamia inny zestaw obowiązków. Najgroźniejsza pułapka to założenie, że „mamy czas do 2026 roku" – bo zakazy i obowiązki GPAI działają już teraz. Firmy, które nie wdrożyły procedur do 2 lutego 2025 roku, są już w zwłoce.
2 lutego 2025 roku – zakaz stosowania praktyk AI niedopuszczalnego ryzyka. Od tej daty nielegalne jest używanie systemów biometrycznej kategoryzacji w czasie rzeczywistym w przestrzeni publicznej (z wąskimi wyjątkami), systemów oceny społecznej obywateli przez władze publiczne oraz systemów manipulacji podprogowej. Firmy stosujące takie rozwiązania powinny były je wyłączyć lub zmodyfikować przed tą datą.
2 sierpnia 2025 roku – wejście w życie obowiązków dla dostawców modeli GPAI. Dotyczy firm udostępniających duże modele językowe (LLM) lub inne modele ogólnego przeznaczenia. Obowiązki obejmują: dokumentację techniczną, politykę przestrzegania prawa autorskiego, publiczne podsumowanie danych treningowych. Modele GPAI o „systemowym ryzyku" (FLOP powyżej 10²⁵) podlegają dodatkowym wymogom oceny i raportowania incydentów.
2 sierpnia 2026 roku – pełne stosowanie AI Act dla systemów wysokiego ryzyka. To najważniejsza data dla większości polskich firm. Od tego dnia systemy AI używane w rekrutacji, ocenie zdolności kredytowej, zarządzaniu infrastrukturą krytyczną lub procesach edukacyjnych muszą spełniać wymogi Załącznika III rozporządzenia. Czas na przygotowanie dokumentacji technicznej, wdrożenie zarządzania ryzykiem i szkolenie pracowników wynosi nieco ponad rok od dziś.
2 sierpnia 2027 roku – koniec okresu przejściowego dla systemów wysokiego ryzyka objętych wcześniejszymi dyrektywami sektorowymi (np. maszynową lub wyrobów medycznych). To specyficzna kategoria – dotyczy głównie producentów urządzeń z wbudowaną AI.
Które systemy AI są „wysokiego ryzyka" – jak przeprowadzić klasyfikację?
Klasyfikacja ryzyka to największe wyzwanie praktyczne AI Act. Firmy konsekwentnie niedoszacowują ryzyko własnych systemów. Algorytm rankingowy CV? Wysoki risk. System oceny wydajności pracowników? Wysoki risk. Chatbot obsługi klienta decydujący o przyznaniu usługi? Zależy od kontekstu – ale często wysoki risk.
Załącznik III AI Act wymienia osiem kategorii systemów wysokiego ryzyka. Dla polskich firm najbardziej istotne są:
- Biometria – identyfikacja i weryfikacja tożsamości, kategoryzacja emocji
- Zatrudnienie – systemy rekrutacyjne, ocena wydajności, alokacja zadań
- Usługi publiczne i prywatne – ocena zdolności kredytowej, scoring ubezpieczeniowy
- Edukacja – systemy egzaminacyjne, ocena uczniów
- Infrastruktura krytyczna – zarządzanie sieciami energetycznymi, transportem
Klasyfikacja wymaga analizy trzech elementów. Po pierwsze: jaka jest funkcja systemu? Po drugie: w jakim obszarze jest stosowany? Po trzecie: jaki jest poziom automatyzacji decyzji – czy człowiek ma realną możliwość interwencji (tzw. human-in-the-loop)? Brak realnego nadzoru człowieka nad decyzją algorytmu przesuwa system w kierunku wyższej kategorii ryzyka.
W praktyce – wiele firm o tym zapomina – klasyfikacja powinna być udokumentowana. Samo stwierdzenie „to nie jest system wysokiego ryzyka" nie wystarczy. Potrzebny jest pisemny rejestr decyzji klasyfikacyjnych z uzasadnieniem. To dokument, który organ nadzorczy może zażądać w każdej chwili po sierpniu 2026 roku.
Micro-case: firma logistyczna z Pomorza, wiosna 2025 roku. Wdraża system AI do planowania tras i oceny kierowców. Zarząd uznaje, że to „narzędzie optymalizacyjne". Analiza prawna wskazuje jednak na cechy systemu zarządzania zatrudnieniem z Załącznika III. Czas na dostosowanie: 14 miesięcy. Koszt wdrożenia dokumentacji i zarządzania ryzykiem: szacunkowo 40–80 tys. PLN. Koszt zignorowania po sierpniu 2026 roku: kara do 15 mln EUR lub 3% globalnego obrotu.
Uważamy, że bezpieczniejszym rozwiązaniem jest klasyfikacja „w górę" – jeśli istnieje wątpliwość, lepiej traktować system jako wysokiego ryzyka i wdrożyć wymagane procedury, niż ryzykować późniejsze sankcje.
Konkretna sytuacja Państwa firmy wymaga oceny, zanim termin sierpniowy 2026 roku stanie się nieodwracalnym zagrożeniem. Błędna klasyfikacja systemu AI jako niskiego ryzyka zamyka drogę do korekty po wszczęciu postępowania przez organ nadzorczy.
Jeśli Państwa spółka wdraża lub planuje wdrożyć systemy AI w obszarze zatrudnienia, finansów lub infrastruktury – przeprowadzimy klasyfikację ryzyka i przygotujemy dokumentację techniczną: info@kordeckipartners.com.
Jak AI Act łączy się z RODO, DORA i ochroną znaku towarowego?
AI Act nie działa w próżni. Polskie firmy muszą zarządzać nakładaniem się co najmniej trzech reżimów regulacyjnych jednocześnie. Brak koordynacji między nimi to najczęstsza przyczyna luk compliance w praktyce kancelarii.
RODO i AI Act nakładają się w każdym systemie AI przetwarzającym dane osobowe – a więc w praktyce w zdecydowanej większości systemów biznesowych. PUODO jest organem nadzorczym RODO i może działać równolegle z przyszłym organem AI Act. Ocena skutków dla ochrony danych (DPIA) wymagana przez RODO powinna być zsynchronizowana z oceną zgodności AI Act. Firma przeprowadzająca DPIA bez uwzględnienia AI Act ryzykuje konieczność powtórzenia całego procesu.
DORA – Rozporządzenie (UE) 2022/2554 – stosuje się od 17 stycznia 2025 roku dla podmiotów finansowych nadzorowanych przez KNF. DORA wymaga zarządzania ryzykiem ICT, w tym ryzykiem wynikającym z zewnętrznych dostawców technologii. Jeśli bank lub towarzystwo ubezpieczeniowe korzysta z modelu AI dostarczanego przez zewnętrznego dostawcę – musi zarządzać tym dostawcą zgodnie z DORA. Jednocześnie ten sam model podlega AI Act. Dokumentacja kontraktowa musi adresować oba reżimy.
Ochrona znaku towarowego i własności intelektualnej pojawia się w kontekście AI na dwóch poziomach. Po pierwsze: modele GPAI muszą ujawnić politykę przestrzegania prawa autorskiego wobec danych treningowych. Po drugie: firmy korzystające z AI do generowania treści marketingowych, logotypów czy opisów produktów powinny weryfikować, czy wygenerowane materiały nie naruszają praw osób trzecich. Procedurę rejestracji znaku towarowego w UPRP omówiliśmy szczegółowo w osobnym materiale. Ochrona marki w środowisku AI wymaga dziś aktywnego monitoringu.
Micro-case: kancelaria IP z Krakowa, jesień 2024 roku. Wdraża chatbota do wstępnej obsługi zapytań klientów. Narzędzie przetwarza dane osobowe (RODO), działa na modelu GPAI (AI Act) i generuje odpowiedzi dotyczące znaków towarowych (ryzyko IP). Trzy reżimy, jedna platforma. Koszt synchronizacji dokumentacji: 3–4 tygodnie pracy prawnika. Koszt pominięcia jednego z reżimów: odpowiedzialność wobec klientów i ryzyko skargi do PUODO.
Lista kontrolna: co przygotować przed sierpniem 2026 roku?
Przygotowanie do AI Act to projekt, nie jednorazowa czynność. Firmy, które zaczynają od zera w 2026 roku, nie zdążą. Poniższa lista kontrolna obejmuje minimum działań dla wdrażającego systemy wysokiego ryzyka.
- Inwentaryzacja systemów AI – zidentyfikuj wszystkie systemy AI używane w firmie, w tym narzędzia zakupione od dostawców zewnętrznych, i przypisz im wstępną kategorię ryzyka
- Dokumentacja techniczna – dla systemów wysokiego ryzyka przygotuj dokumentację zgodną z Załącznikiem IV AI Act: opis funkcji, danych treningowych, wskaźników wydajności i ograniczeń
- System zarządzania ryzykiem – wdróż ciągły proces identyfikacji, oceny i mitygacji ryzyka dla każdego systemu wysokiego ryzyka; udokumentuj go na piśmie
- Polityki nadzoru ludzkiego – określ procedury human-in-the-loop dla decyzji podejmowanych z udziałem AI; pracownicy muszą rozumieć, kiedy i jak mogą interweniować
- Umowy z dostawcami – zweryfikuj kontrakty z dostawcami AI pod kątem podziału obowiązków compliance; dostawca i wdrażający mają odrębne obowiązki według AI Act
Harmonogram minimalny: inwentaryzacja – do końca Q2 2025. Klasyfikacja ryzyka – Q3 2025. Dokumentacja techniczna i procedury – Q4 2025–Q1 2026. Testy i audyt wewnętrzny – Q2 2026. Gotowość operacyjna – lipiec 2026, miesiąc przed terminem.
Często zadawane pytania
P: Czy mała firma zatrudniająca 20 osób podlega AI Act?
O: Tak – AI Act nie przewiduje progu zatrudnienia zwalniającego z obowiązków. Małe i średnie przedsiębiorstwa (MŚP) korzystają jednak z pewnych ulg proceduralnych: organy nadzorcze mają obowiązek uwzględniać ich ograniczone zasoby przy nakładaniu kar. Artykuł 95 rozporządzenia przewiduje specjalne wsparcie dla MŚP, w tym dostęp do piaskownic regulacyjnych. Obowiązki klasyfikacji i dokumentacji pozostają jednak w pełni obowiązujące od 2 sierpnia 2026 roku, niezależnie od wielkości firmy.
P: Ile kosztuje wdrożenie zgodności z AI Act dla systemu wysokiego ryzyka?
O: Koszt zależy od złożoności systemu i stanu istniejącej dokumentacji. Dla typowego systemu rekrutacyjnego lub scoringowego należy szacować 60–150 tys. PLN za pełne wdrożenie compliance (dokumentacja techniczna, zarządzanie ryzykiem, polityki wewnętrzne, szkolenia). Firmy, które mają już wdrożone RODO i ISO 27001, mogą zredukować koszty o 30–40%, ponieważ część procesów i dokumentów może być adaptowana. Koszty zewnętrznego audytu przez jednostkę notyfikowaną (wymaganego dla niektórych kategorii) są oddzielne i mogą wynosić 50–120 tys. PLN.
P: Czy chatbot obsługi klienta to system wysokiego ryzyka?
O: Nie automatycznie. Chatbot informacyjny, który nie podejmuje decyzji wpływających na prawa lub interesy użytkowników, kwalifikuje się zazwyczaj jako system niskiego ryzyka – podlega jedynie obowiązkom przejrzystości (informacja, że użytkownik rozmawia z AI). Chatbot decydujący o przyznaniu kredytu, odrzuceniu wniosku ubezpieczeniowego lub zakwalifikowaniu kandydata do rekrutacji – to już obszar wysokiego ryzyka. Granica leży w tym, czy system podejmuje lub istotnie wpływa na decyzje dotyczące praw osób fizycznych.
Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny przed sierpniem 2026 roku. Nieodwracalne skutki błędnej klasyfikacji – kary do 15 mln EUR i odpowiedzialność osobista zarządu – są realne. Wdrożenie AI Act wymaga koordynacji z RODO, DORA i prawem własności intelektualnej jednocześnie.
Jeśli Państwa spółka korzysta z systemów AI w procesach zatrudnienia, oceny klientów lub zarządzania infrastrukturą – przeprowadzimy klasyfikację ryzyka, przygotujemy dokumentację techniczną i zsynchronizujemy obowiązki AI Act z RODO i DORA: info@kordeckipartners.com.
Sprawdź nasz artykuł o screeningu sankcyjnym – procedury zarządzania ryzykiem regulacyjnym mają wiele wspólnych elementów z compliance AI Act.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji AI, prawa własności intelektualnej i technologii. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
O autorze
Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.