Firma technologiczna z Wrocławia wdrożyła system AI do selekcji kandydatów na stanowiska inżynierskie. Sześć miesięcy później okazało się, że narzędzie kwalifikuje się jako system wysokiego ryzyka w rozumieniu AI Act – i wymaga przeprowadzenia pełnej oceny zgodności jeszcze przed wprowadzeniem do obrotu. Koszty dostosowania przekroczyły koszty samego wdrożenia.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689, znane jako AI Act, weszło w życie 1 sierpnia 2024 roku. Systemy wysokiego ryzyka podlegają obowiązkowi oceny zgodności, rejestracji w unijnej bazie danych i spełnienia szeregu wymogów technicznych oraz organizacyjnych. Dla polskich przedsiębiorców i działów prawnych oznacza to konieczność natychmiastowej klasyfikacji każdego wdrożonego lub planowanego systemu AI.

Ten przewodnik wyjaśnia, które systemy AI trafiają do kategorii wysokiego ryzyka, jakie obowiązki nakłada to na dostawców i operatorów działających w Polsce, gdzie kryją się pułapki klasyfikacyjne i jak przygotować organizację na pełne stosowanie przepisów. Omówimy też wymiar transgraniczny – istotny dla firm obsługujących rynki UE z polskiej bazy operacyjnej.

Które systemy AI są systemami wysokiego ryzyka według AI Act?

AI Act wprowadza podział na kategorie ryzyka: niedopuszczalne, wysokie, ograniczone i minimalne. Kategoria wysokiego ryzyka nie jest jednolitą listą – to dwie odrębne ścieżki klasyfikacyjne. Pierwsza obejmuje systemy AI stanowiące element produktów objętych unijnym prawodawstwem sektorowym (Załącznik I). Druga – samodzielne systemy AI wymienione w Załączniku III, działające w ośmiu dziedzinach.

Załącznik III AI Act obejmuje: infrastrukturę krytyczną, kształcenie i szkolenia zawodowe, zatrudnienie i zarządzanie pracownikami, dostęp do usług prywatnych i publicznych, egzekwowanie prawa, zarządzanie migracją i azylem, wymiar sprawiedliwości oraz procesy demokratyczne. Dla polskiego rynku szczególnie istotne są trzy obszary: rekrutacja pracowników, scoring kredytowy i systemy biometryczne stosowane przez pracodawców lub instytucje finansowe.

Kluczowy test klasyfikacyjny brzmi: czy system AI podejmuje lub istotnie wpływa na decyzje, które mogą negatywnie oddziaływać na prawa podstawowe lub bezpieczeństwo osób fizycznych? Jeśli tak – prawdopodobnie mamy do czynienia z systemem wysokiego ryzyka. W praktyce wiele polskich firm wdrożyło takie rozwiązania bez świadomości ich regulacyjnego statusu. Dotyczy to zwłaszcza narzędzi HR, systemów oceny zdolności kredytowej i rozwiązań analitycznych stosowanych przez instytucje finansowe objęte równolegle rozporządzeniem DORA (Rozporządzenie UE 2022/2554).

Urząd Ochrony Danych Osobowych (UODO) jako organ nadzoru RODO (Rozporządzenie UE 2016/679) będzie ściśle współpracował z przyszłym krajowym organem nadzorczym AI Act. Polska nie wyznaczyła jeszcze formalnie tego organu – to luka, którą ustawodawca krajowy musi wypełnić do etapu pełnego stosowania przepisów w 2026 roku.

Jakie obowiązki nakłada AI Act na dostawców i operatorów w Polsce?

Obowiązki różnią się zasadniczo w zależności od roli podmiotu. Dostawca – podmiot, który opracowuje system AI i wprowadza go do obrotu lub oddaje do użytku – ponosi najszerszy zakres odpowiedzialności. Operator – podmiot używający systemu AI w ramach własnej działalności zawodowej – ma obowiązki węższe, ale równie konkretne. Granica między tymi rolami jest w praktyce płynna i wymaga analizy w każdym indywidualnym przypadku.

Dostawca systemu wysokiego ryzyka musi przede wszystkim przeprowadzić ocenę zgodności przed wprowadzeniem do obrotu. Wybór procedury zależy od kategorii produktu: część systemów wymaga oceny przez jednostkę notyfikowaną, część dopuszcza samoocenę. Dostawca wdraża też system zarządzania jakością, prowadzi dokumentację techniczną i rejestruje system w unijnej bazie danych EU AI Act Database.

Operator systemu wysokiego ryzyka odpowiada za wdrożenie środków nadzoru nad systemem, zapewnienie pracownikom odpowiednich kompetencji do obsługi AI oraz – w określonych przypadkach – przeprowadzenie oceny skutków dla praw podstawowych. Ten ostatni obowiązek dotyczy organów publicznych i podmiotów świadczących usługi użyteczności publicznej. Polska administracja publiczna, która w ostatnich latach intensywnie wdrażała systemy AI w obsłudze spraw urzędowych, może znaleźć się w obszarze szczególnie wysokiej ekspozycji regulacyjnej.

W praktyce – wiele polskich firm o tym zapomina – status operatora nie zwalnia z odpowiedzialności za błędne wdrożenie systemu dostarczonego przez zewnętrznego dostawcę. Jeśli operator modyfikuje system w sposób wykraczający poza instrukcje producenta, może zostać uznany za dostawcę w rozumieniu AI Act. To pułapka szczególnie groźna dla firm IT integrujących gotowe modele AI z własnymi rozwiązaniami branżowymi.

Konkretna konsekwencja: naruszenie obowiązków dostawcy może skutkować karą do 30 milionów EUR lub 6% rocznego obrotu – wyższy próg stosuje się do podmiotów większych. Dla małych i średnich przedsiębiorstw kary są proporcjonalnie niższe, ale wciąż mogą sięgać 15 milionów EUR lub 3% obrotu.

Gdzie kryją się pułapki klasyfikacyjne dla polskich firm?

Największa pułapka to błędne przekonanie, że zewnętrzne narzędzie SaaS zwalnia z obowiązków regulacyjnych. Jeśli polska firma używa zagranicznego systemu AI do rekrutacji, scoringu lub analizy biometrycznej – jest operatorem w rozumieniu AI Act i ponosi odpowiednie obowiązki. Umowa z dostawcą SaaS musi zawierać klauzule dotyczące dokumentacji technicznej, instrukcji użytkowania i podziału odpowiedzialności.

Druga pułapka dotyczy klasyfikacji systemów AI wspomagających decyzje finansowe. Instytucje finansowe działające w Polsce i objęte DORA muszą zidentyfikować, które z ich systemów AI kwalifikują się jednocześnie jako wysokiego ryzyka w rozumieniu AI Act. Scoring kredytowy oparty na algorytmach uczenia maszynowego to typowy przykład systemu spełniającego oba kryteria. Nadzór Komisji Nadzoru Finansowego (KNF) w tym obszarze będzie zintegrowany z wymogami AI Act.

Firma produkcyjna z Podkarpacia wdrożyła wiosną 2025 roku system wizji komputerowej do inspekcji jakości. System nie trafia do Załącznika III – ale jeśli jest elementem maszyny objętej dyrektywą maszynową, wchodzi w zakres Załącznika I AI Act. Dwie różne ścieżki klasyfikacyjne, jeden błąd – brak oceny zgodności jednostki notyfikowanej tam, gdzie jest wymagana.

Trzecia pułapka: systemy AI w obszarze prawa własności intelektualnej. Narzędzia do automatycznej analizy podobieństwa znaków towarowych, generowania treści chronionych prawem autorskim lub wyceny patentów mogą – w zależności od kontekstu użycia – zbliżać się do granicy wysokiego ryzyka. Kancelarie i działy IP powinny skonsultować status tych narzędzi z prawnikiem specjalizującym się w prawie własności intelektualnej. Doświadczenia z rynku rumuńskiego i szwedzkiego, opisane w analizach dostępnych na naszej stronie, pokazują, że podejście do klasyfikacji różni się między jurysdykcjami – choć podstawa prawna jest wspólna. Szczegółowe omówienie strategii ochrony IP dla firm technologicznych znajdą Państwo w artykule o strategii ochrony IP dla firm technologicznych z Rumunii działających w Polsce.

Czwarta pułapka to brak procedury zarządzania zmianą. AI Act wymaga ponownej oceny zgodności, jeśli system AI przechodzi istotną modyfikację. Firmy, które aktualizują modele AI metodą ciągłego uczenia, muszą zdefiniować próg „istotnej modyfikacji" i wbudować go w procesy MLOps. Brak takiej procedury oznacza ryzyko nieświadomego naruszenia przepisów po każdej dużej aktualizacji modelu.

Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie klasyfikacji AI Act łącznie z audytem RODO i DORA – szczególnie dla instytucji finansowych i podmiotów przetwarzających duże zbiory danych osobowych. Trzy rozporządzenia nakładają się na siebie i tworzą sieć obowiązków, których naruszenie może mieć charakter kumulatywny.

Dla firm rozważających obronę w ewentualnych postępowaniach regulacyjnych – analogia do spraw karnoskarbowych jest pouczająca. Dokumentacja decyzyjna i ślad audytowy mają znaczenie kluczowe. Więcej o budowaniu linii obrony w postępowaniach regulacyjnych przeczytają Państwo w materiale o strategii obrony karnoskarbowej dla członków zarządu.

Najczęstsze pułapki klasyfikacyjne – lista kontrolna:

  • Błędne założenie, że status operatora SaaS wyklucza obowiązki AI Act
  • Pominięcie Załącznika I przy systemach AI wbudowanych w produkty regulowane sektorowo
  • Brak analizy nakładania się AI Act, DORA i RODO dla instytucji finansowych
  • Nieuwzględnienie progu „istotnej modyfikacji" w procesach aktualizacji modeli
  • Brak klauzul AI Act w umowach z dostawcami zewnętrznych systemów AI

Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny – błędna klasyfikacja systemu AI może zamknąć drogę do legalnego wdrożenia i narazić zarząd na odpowiedzialność osobistą. Jeśli Państwa spółka wdrożyła lub planuje wdrożenie systemu AI w obszarach HR, finansów, biometrii lub infrastruktury krytycznej – przeprowadzimy klasyfikację regulacyjną, audyt dokumentacji i opracujemy plan dostosowania: info@kordeckipartners.com.

Wymiar transgraniczny – co oznacza AI Act dla firm operujących z Polski w UE?

AI Act stosuje się do podmiotów wprowadzających systemy AI do obrotu lub użytku na terytorium UE – niezależnie od miejsca siedziby dostawcy. Polska firma dostarczająca system AI klientom w Niemczech, Francji czy Szwecji jest dostawcą w rozumieniu AI Act i podlega pełnym obowiązkom regulacyjnym. Nie ma tu znaczenia, czy sprzedaż odbywa się bezpośrednio, czy przez partnerów dystrybucyjnych.

Dla polskich firm technologicznych eksportujących rozwiązania AI do UE oznacza to konieczność dostosowania dokumentacji technicznej do wymogów każdego rynku docelowego – przy zachowaniu jednolitej podstawy prawnej rozporządzenia. W praktyce różnice dotyczą nie treści prawa, lecz praktyki jego stosowania przez krajowe organy nadzorcze. Niemcy, Francja i Holandia już teraz budują struktury nadzorcze AI Act, które będą aktywne przed polskim odpowiednikiem.

Szczególna sytuacja dotyczy firm świadczących usługi w obszarze własności intelektualnej na rynkach nordyckich. Podejście szwedzkich organów do klasyfikacji systemów AI w obszarze IP różni się od podejścia polskiego – choć regulacja jest ta sama. Firmy rozwijające narzędzia do analizy znaków towarowych lub zarządzania portfolio patentowego powinny skonsultować strategię wdrożenia z uwzględnieniem lokalnej praktyki regulacyjnej. Nasze doświadczenia z rynkiem szwedzkim opisujemy w analizie dotyczącej strategii ochrony IP dla firm technologicznych ze Szwecji działających w Polsce.

Istotnym wymiarem transgranicznym jest też kwestia przedstawiciela autoryzowanego. Dostawcy spoza UE wprowadzający systemy AI na rynek unijny muszą wyznaczyć przedstawiciela w UE. Polska jest atrakcyjną jurysdykcją dla tej roli – ze względu na koszty operacyjne i centralne położenie geograficzne. Kilka firm z Ukrainy i krajów WNP rozważa ustanowienie polskiego podmiotu jako autoryzowanego przedstawiciela dla celów AI Act.

Wymiar transgraniczny obejmuje też kwestie odpowiedzialności cywilnej. AI Act nie reguluje bezpośrednio odpowiedzialności odszkodowawczej – ta pozostaje domeną prawa krajowego i projektowanej dyrektywy o odpowiedzialności za AI. Polskie firmy eksportujące systemy AI powinny już teraz analizować ekspozycję na roszczenia odszkodowawcze w jurysdykcjach docelowych.

Jak przygotować organizację do klasyfikacji AI Act – checklist dla polskich firm?

Przygotowanie do AI Act to proces wieloetapowy, który musi zacząć się od inwentaryzacji. Bez pełnego obrazu stosowanych systemów AI niemożliwa jest klasyfikacja, a bez klasyfikacji – niemożliwe jest planowanie działań dostosowawczych. Termin na pełne stosowanie przepisów AI Act dla systemów wysokiego ryzyka upływa w sierpniu 2026 roku – to mniej niż 18 miesięcy od wejścia rozporządzenia w życie.

Firma consultingowa z Mazowsza przeprowadziła latem 2025 roku inwentaryzację systemów AI i odkryła 14 narzędzi aktywnie używanych przez pracowników – z czego trzy wymagały analizy pod kątem Załącznika III. Żaden z tych systemów nie był formalnie zarejestrowany ani objęty wewnętrzną polityką zarządzania AI. Koszt retrospektywnego dostosowania dokumentacji był wielokrotnie wyższy niż koszt proaktywnego wdrożenia procedur na początku projektu.

Checklist przygotowania do AI Act – co przygotować:

  • Inwentaryzacja wszystkich systemów AI stosowanych w organizacji (w tym narzędzi SaaS i zewnętrznych API)
  • Klasyfikacja każdego systemu według hierarchii ryzyka AI Act (Załącznik I, Załącznik III, pozostałe kategorie)
  • Audyt umów z dostawcami zewnętrznych systemów AI pod kątem klauzul AI Act i podziału obowiązków
  • Ocena nakładania się obowiązków AI Act z RODO i DORA dla systemów przetwarzających dane osobowe lub stosowanych w sektorze finansowym
  • Opracowanie wewnętrznej procedury zarządzania zmianą modeli AI, obejmującej próg „istotnej modyfikacji"

Po inwentaryzacji i klasyfikacji następuje etap dokumentacyjny. Systemy zakwalifikowane jako wysokiego ryzyka wymagają dokumentacji technicznej zgodnej z Załącznikiem IV AI Act, instrukcji użytkowania oraz – dla dostawców – systemu zarządzania jakością. Dokumentacja musi być dostępna dla organów nadzorczych przez 10 lat od wprowadzenia systemu do obrotu.

Etap trzeci to rejestracja. Dostawcy systemów wysokiego ryzyka rejestrują je w unijnej bazie danych EU AI Act Database. Operatorzy systemów stosowanych przez organy publiczne mają analogiczny obowiązek rejestracyjny. Polska nie uruchomiła jeszcze krajowych procedur rejestracyjnych – warto śledzić komunikaty Ministerstwa Cyfryzacji, które koordynuje krajowe wdrożenie AI Act.

Wymogi AI Act w obszarze zatrudnienia wchodzą w interakcję z przepisami Kodeksu pracy. Używanie systemów AI do monitorowania pracowników lub oceny ich wydajności może wymagać konsultacji z przedstawicielami pracowników i aktualizacji regulaminów pracy. To wymiar, który działy HR często pomijają w analizach zgodności z AI Act.

Uważamy, że firmy, które przeprowadzą klasyfikację i dostosowanie proaktywnie – przed sierpniem 2026 roku – zyskają przewagę konkurencyjną na rynkach UE. Klienci biznesowi i partnerzy korporacyjni coraz częściej wymagają od dostawców technologii potwierdzenia zgodności z AI Act jako warunku zawarcia umowy.

Konkretna sytuacja Państwa organizacji – liczba wdrożonych systemów AI, sektor działalności i model biznesowy – determinuje zakres i koszt niezbędnych działań dostosowawczych. Opóźnienie klasyfikacji o kolejne miesiące może mieć nieodwracalne konsekwencje dla możliwości legalnego świadczenia usług na rynku UE. Jeśli Państwa spółka działa w sektorze finansowym, HR lub infrastruktury krytycznej i nie przeprowadziła jeszcze klasyfikacji systemów AI – przeprowadzimy pełny audyt klasyfikacyjny, opracujemy dokumentację techniczną i wdrożymy procedury zarządzania zmianą: info@kordeckipartners.com.

Często zadawane pytania

P: Czy każdy system AI stosowany w rekrutacji jest automatycznie systemem wysokiego ryzyka?

O: Nie każde narzędzie AI używane w procesach HR automatycznie kwalifikuje się jako system wysokiego ryzyka. Kryterium decydującym jest funkcja systemu: jeśli narzędzie jest używane do profilowania kandydatów, automatycznej selekcji CV lub podejmowania decyzji o zatrudnieniu – trafia do Załącznika III AI Act jako system wysokiego ryzyka. Natomiast narzędzia wspierające harmonogramowanie rozmów rekrutacyjnych czy automatyczne formatowanie dokumentów nie spełniają tego kryterium. Granica bywa nieoczywista i wymaga analizy konkretnego przypadku z uwzględnieniem zakresu autonomii systemu w procesie decyzyjnym.

P: Kiedy dokładnie wchodzą w życie obowiązki dla systemów wysokiego ryzyka i ile czasu ma polska firma na dostosowanie?

O: Rozporządzenie AI Act weszło w życie 1 sierpnia 2024 roku. Przepisy dotyczące systemów wysokiego ryzyka wymienionych w Załączniku III stosuje się od 2 sierpnia 2026 roku. Systemy AI stanowiące element produktów regulowanych sektorowo (Załącznik I) mają termin do 2 sierpnia 2027 roku. Oznacza to, że polskie firmy mają od momentu lektury tego artykułu mniej niż półtora roku na przeprowadzenie klasyfikacji, przygotowanie dokumentacji i rejestrację systemów. Biorąc pod uwagę typowy czas trwania audytu i wdrożenia procedur – od 3 do 6 miesięcy – należy rozpocząć działania niezwłocznie.

P: Czy powszechne przekonanie, że AI Act dotyczy tylko dużych korporacji technologicznych, jest prawdziwe?

O: To jeden z najbardziej szkodliwych mitów dotyczących AI Act. Rozporządzenie stosuje się do każdego podmiotu – niezależnie od wielkości – który wprowadza system AI do obrotu lub używa go w działalności zawodowej na terytorium UE. Małe i średnie przedsiębiorstwa korzystają z proporcjonalnie niższych kar, ale obowiązki klasyfikacyjne, dokumentacyjne i rejestracyjne mają identyczny zakres. Jedyną realną ulgą dla MŚP jest dostęp do regulacyjnych piaskownic (regulatory sandboxes), które państwa członkowskie mają obowiązek uruchomić – Polska planuje ich wdrożenie w 2026 roku.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji AI, prawa własności intelektualnej i technologii. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

O autorze

Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.

Data publikacji: 12.03.2026

Zastrzeżenie prawne

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.