Spółka technologiczna z Mazowsza wdraża chatbota do obsługi klienta. System działa sprawnie – do momentu, gdy inspektor UODO pyta o dokumentację przejrzystości wymaganą przez AI Act. Dokumentacji nie ma. Kara może sięgnąć 15 mln EUR lub 3% globalnego obrotu. To nie jest scenariusz hipotetyczny – to realne ryzyko, które zmaterializuje się dla dziesiątek polskich dostawców AI już w 2025 i 2026 roku.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 – AI Act – weszło w życie 1 sierpnia 2024 roku i wprowadza szczegółowe obowiązki przejrzystości dla dostawców systemów sztucznej inteligencji. Przepisy dotyczące systemów wysokiego ryzyka stosuje się od 2 sierpnia 2026 roku. Obowiązki dla systemów GPAI (modeli ogólnego przeznaczenia) obowiązują od 2 sierpnia 2025 roku. Brak zgodności grozi sankcjami do 30 mln EUR lub 6% rocznego obrotu globalnego.
Poniżej omawiamy, kogo dotyczą obowiązki przejrzystości, co konkretnie należy przygotować, jakie pułapki czyhają na dostawców działających transgranicznie oraz jak przeprowadzić skuteczną samoocenę zgodności. Każda sekcja zawiera praktyczne wskazówki i progi, które pozwalają Państwa firmie ocenić własne ryzyko.
Kogo dotyczy AI Act i jakie systemy podlegają obowiązkom przejrzystości?
AI Act obejmuje każdy podmiot, który wprowadza system AI na rynek Unii Europejskiej lub oddaje go do użytku – niezależnie od miejsca siedziby dostawcy. Polska spółka rozwijająca model językowy i sprzedająca go klientom z UE jest dostawcą w rozumieniu rozporządzenia. Podobnie podmiot z siedzibą poza UE, którego system przetwarza dane obywateli europejskich, podlega tym samym regułom co europejski konkurent.
Rozporządzenie dzieli systemy AI na cztery kategorie ryzyka. Systemy zakazane (np. biometryczna kategoryzacja na podstawie wrażliwych cech) są wykluczone z rynku od 2 lutego 2025 roku. Systemy wysokiego ryzyka – w tym AI stosowane w rekrutacji, scoringu kredytowym i medycynie – wymagają pełnej dokumentacji technicznej i rejestracji w unijnej bazie danych. Systemy o ograniczonym ryzyku, takie jak chatboty czy deepfake, podlegają węższym, ale wiążącym obowiązkom przejrzystości. Systemy minimalnego ryzyka nie mają obowiązków ustawowych, choć dobrowolne kodeksy postępowania są zalecane.
W praktyce – wiele firm o tym zapomina – obowiązki przejrzystości dotyczą nie tylko dużych platform. Każda spółka oferująca SaaS oparty na modelu językowym, narzędzie do analizy CV lub system rekomendacji treści musi ocenić swoją kategorię ryzyka. Organy nadzorcze w Polsce – UODO w zakresie ochrony danych oraz właściwy organ nadzoru AI, którego wyznaczenie Polska musi zakończyć do 2 sierpnia 2025 roku – będą weryfikować tę kwalifikację.
Warto też pamiętać o powiązaniach z innymi reżimami regulacyjnymi. Instytucje finansowe objęte rozporządzeniem DORA (Rozporządzenie UE 2022/2554, obowiązujące od 17 stycznia 2025 roku) muszą integrować wymogi AI Act z zarządzaniem ryzykiem ICT. Z kolei każdy system AI przetwarzający dane osobowe podlega równolegle przepisom RODO (Rozporządzenie UE 2016/679), a nadzór UODO może być wykonywany niezależnie od postępowań na podstawie AI Act.
Jakie są konkretne obowiązki przejrzystości dla dostawców systemów wysokiego ryzyka?
Systemy wysokiego ryzyka objęte są najszerszym katalogiem obowiązków. Dostawca musi sporządzić dokumentację techniczną przed wprowadzeniem systemu na rynek – nie po. Dokumentacja obejmuje opis ogólny systemu, założenia projektowe, dane treningowe, walidacyjne i testowe, metryki dokładności oraz środki zarządzania ryzykiem. Brak tej dokumentacji w momencie kontroli to samodzielna podstawa do nałożenia sankcji.
Obowiązek rejestracji w unijnej bazie danych systemów AI wysokiego ryzyka (EU AI database) dotyczy dostawców przed udostępnieniem systemu. Rejestracja wymaga podania: nazwy dostawcy, nazwy i wersji systemu, kategorii ryzyka, zamierzonego zastosowania oraz danych kontaktowych osoby odpowiedzialnej za zgodność. Termin rejestracji – nie później niż w dniu wprowadzenia systemu do obrotu.
Instrukcja użytkowania dla operatora musi zawierać co najmniej: tożsamość i dane kontaktowe dostawcy, możliwości i ograniczenia systemu, warunki działania, w których system osiąga zakładaną dokładność, środki nadzoru ludzkiego oraz oczekiwany okres eksploatacji. Uważamy, że bezpieczniejszym rozwiązaniem jest przygotowanie instrukcji w języku polskim i angielskim – szczególnie gdy operatorem jest podmiot z innego kraju UE.
Systemy AI stosowane w obszarach objętych AI Act jako wysokie ryzyko – takich jak rekrutacja pracowników czy scoring kredytowy – muszą przejść ocenę zgodności. Dla większości kategorii wystarczy samoocena (procedura wewnętrzna), jednak dla systemów biometrycznych i infrastruktury krytycznej wymagana jest ocena przez notyfikowaną jednostkę zewnętrzną. Koszty takiej oceny mogą wynieść od 20 000 do 100 000 EUR w zależności od złożoności systemu.
Producent warszawskiej platformy HR przeprowadził w jesieni 2024 roku wewnętrzny audyt systemu do analizy CV. Audyt ujawnił brak dokumentacji metryk dokładności dla podgrup demograficznych. Uzupełnienie dokumentacji zajęło trzy miesiące i wymagało zaangażowania zewnętrznego konsultanta ds. AI – koszt rzędu 40 000 PLN. Alternatywą byłoby postępowanie przed organem nadzorczym.
Obowiązki przejrzystości dla chatbotów i systemów generatywnej AI – co grozi za zaniechanie?
Systemy o ograniczonym ryzyku – w tym chatboty, syntetyczne generatory głosu i systemy tworzące deepfake – podlegają węższemu, ale bezwzględnie wiążącemu katalogowi obowiązków. Dostawca chatbota musi zapewnić, że użytkownik jest informowany o tym, iż wchodzi w interakcję z systemem AI. Informacja musi być przekazana w jasny i czytelny sposób – najpóźniej w momencie pierwszej interakcji.
Generatywna AI tworząca treści – tekst, obraz, dźwięk, wideo – musi oznaczać wyniki jako wygenerowane przez AI. Techniczne standardy oznaczania będą doprecyzowane w aktach wykonawczych Komisji Europejskiej, jednak sam obowiązek obowiązuje już od 2 sierpnia 2026 roku dla systemów wysokiego ryzyka i od 2 sierpnia 2025 roku dla modeli GPAI. Brak oznaczenia to naruszenie karane grzywną do 15 mln EUR lub 3% obrotu globalnego.
Dostawcy modeli GPAI (general-purpose AI models) – czyli modeli trenowanych na szerokich zbiorach danych i mogących służyć wielu zastosowaniom – mają odrębne obowiązki obowiązujące od 2 sierpnia 2025 roku. Należą do nich: przygotowanie i aktualizacja dokumentacji technicznej, udostępnienie informacji o danych treningowych dostawcom systemów downstream, przestrzeganie prawa autorskiego (w tym RODO przy danych osobowych w zbiorach treningowych) oraz publikacja podsumowania treningowego. Modele GPAI o systemowym ryzyku – tj. wytrenowane przy użyciu ponad 10^25 operacji zmiennoprzecinkowych (FLOP) – podlegają dodatkowym obowiązkom, w tym ocenie adversarialnej.
W praktyce firmy z sektora SaaS budujące produkty na bazie modeli OpenAI, Anthropic czy Google muszą ocenić, czy same stają się dostawcami w rozumieniu AI Act. Jeśli dostosowują model bazowy do konkretnego zastosowania i wprowadzają go do obrotu pod własną marką – odpowiedź jest twierdząca. Kancelaria IP Warszawa regularnie doradza takim podmiotom w zakresie kwalifikacji regulacyjnej i przygotowania dokumentacji zgodności.
Startup z Krakowa oferujący narzędzie do generowania treści marketingowych odkrył w zimie 2024/2025 roku, że jego produkt podpada pod definicję systemu GPAI. Konieczna okazała się pełna rewizja regulaminu produktu, polityki prywatności i dokumentacji technicznej. Proces trwał sześć tygodni. Brak działania groził zamknięciem drogi do klientów korporacyjnych, którzy żądają dowodów zgodności z AI Act przed podpisaniem umów.
Warto tu wspomnieć o powiązaniu z ochroną danych osobowych. RODO wymaga, by każde zautomatyzowane podejmowanie decyzji wywierające istotny wpływ na osobę (art. 22 RODO) było poprzedzone oceną skutków dla ochrony danych (DPIA). AI Act nie zastępuje tego obowiązku – oba reżimy stosują się łącznie. Dostawcy systemów AI muszą prowadzić równoległą dokumentację: techniczną na potrzeby AI Act i DPIA na potrzeby RODO.
Transgraniczne wyzwania dla polskich dostawców AI – jak działać na rynku UE?
Polska spółka wprowadzająca system AI na rynek niemiecki lub francuski podlega AI Act w pełnym zakresie – bez żadnych wyjątków dla podmiotów z nowych państw członkowskich. Właściwy organ nadzorczy jest wyznaczany w państwie, w którym dostawca ma siedzibę, ale organy innych państw mogą wszcząć postępowanie, jeśli system działa na ich terytorium. To oznacza potencjalne równoległe postępowania.
Dla podmiotów spoza UE oferujących systemy AI na rynek europejski obowiązkowe jest wyznaczenie upoważnionego przedstawiciela w UE. Przedstawiciel musi mieć siedzibę w państwie członkowskim, w którym system jest dostępny, i odpowiada solidarnie z dostawcą za zgodność. Brak przedstawiciela to samodzielna podstawa do zakazu wprowadzania systemu do obrotu.
Polskie firmy rozwijające AI z myślą o ekspansji zagranicznej powinny od początku projektować dokumentację techniczną w języku angielskim. Organy nadzorcze innych państw UE mogą żądać dokumentacji w języku lokalnym, ale angielska wersja bazowa minimalizuje ryzyko rozbieżności. Warto też zadbać o właściwą ochronę znaków towarowych – systemy AI często działają pod marką produktową, a znak towarowy chroniony w EUIPO zapewnia spójność w całej UE.
Szczególną uwagę należy poświęcić systemom AI stosowanym przez instytucje finansowe. DORA nakłada na te podmioty obowiązek zarządzania ryzykiem ICT, w tym ryzykiem związanym z zewnętrznymi dostawcami technologii. Dostawca AI obsługujący bank lub firmę ubezpieczeniową musi być przygotowany na audyty wynikające z obu rozporządzeń – AI Act i DORA – jednocześnie. Terminy i zakresy dokumentacji częściowo się pokrywają, ale nie są identyczne.
Więcej o harmonogramie wdrożenia AI Act dla polskich firm – w tym kluczowych datach granicznych i etapach obowiązków – można znaleźć w naszej analizie harmonogramu AI Act dla polskich firm.
Jak przeprowadzić samoocenę zgodności z obowiązkami przejrzystości AI Act?
Samoocena zgodności to pierwszy krok, który każdy dostawca AI powinien wykonać przed 2 sierpnia 2025 roku dla systemów GPAI i przed 2 sierpnia 2026 roku dla systemów wysokiego ryzyka. Poniżej przedstawiamy praktyczną listę kontrolną.
- Klasyfikacja ryzyka: Przypisz każdy system AI do kategorii (zakazany / wysokiego ryzyka / ograniczonego ryzyka / minimalnego ryzyka) i udokumentuj podstawy kwalifikacji.
- Dokumentacja techniczna: Sprawdź, czy posiadasz opis systemu, dane o zbiorach treningowych, metryki dokładności i opis zarządzania ryzykiem zgodnie z Załącznikiem IV do AI Act.
- Obowiązki informacyjne: Zweryfikuj, czy użytkownicy chatbotów i systemów generatywnych są informowani o interakcji z AI – najpóźniej przy pierwszej interakcji.
- Rejestracja i przedstawiciel: Ustal, czy system podlega rejestracji w EU AI database i czy dostawca spoza UE wyznaczył upoważnionego przedstawiciela.
- Powiązania z RODO i DORA: Oceń, czy wymagana jest DPIA (RODO) lub dokumentacja ICT (DORA) i czy jest aktualna.
Decyzja o ścieżce oceny zgodności zależy od kategorii systemu. Dla systemów wysokiego ryzyka innych niż biometryczne i infrastruktura krytyczna – samoocena wewnętrzna z pełną dokumentacją techniczną. Dla systemów biometrycznych i infrastruktury krytycznej – obowiązkowa ocena przez jednostkę notyfikowaną. Dla modeli GPAI o systemowym ryzyku – ocena adversarialna i raportowanie do Komisji Europejskiej. Dla chatbotów – weryfikacja spełnienia obowiązku informacyjnego.
Firmy, które planują programy motywacyjne dla zespołów rozwijających AI (np. ESOP dla pracowników działu R&D), powinny zadbać o spójność dokumentacji korporacyjnej z wymogami AI Act – w tym o jasny podział odpowiedzialności za zgodność. Więcej o strukturyzowaniu programów motywacyjnych przeczytają Państwo w naszym artykule o ESOP w Polsce i strukturyzowaniu programów motywacyjnych.
Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie samooceny z udziałem zewnętrznego prawnika specjalizującego się w prawie technologicznym. Wewnętrzne oceny często pomijają powiązania między AI Act, RODO i sektorowymi regulacjami takimi jak DORA. Koszt zewnętrznego przeglądu – rzędu 15 000–30 000 PLN – jest nieporównywalnie niższy niż ryzyko sankcji sięgających kilkudziesięciu milionów euro.
Konkretna sytuacja Państwa firmy – liczba systemów AI, ich kategorie ryzyka, rynki docelowe i istniejąca dokumentacja – wymaga indywidualnej oceny. Zaniechanie działania przed terminami AI Act może nieodwracalnie zamknąć drogę do klientów korporacyjnych i instytucjonalnych, którzy od 2026 roku będą żądać dowodów zgodności jako warunku zawarcia umowy.
Jeśli Państwa spółka wdraża lub oferuje systemy AI i nie posiada jeszcze dokumentacji przejrzystości wymaganej przez AI Act – przeprowadzimy klasyfikację ryzyka, audyt dokumentacji technicznej i przygotujemy plan zgodności: info@kordeckipartners.com.
Często zadawane pytania
P: Czy małe spółki technologiczne (poniżej 10 pracowników) są zwolnione z obowiązków przejrzystości AI Act?
O: Nie – AI Act nie przewiduje ogólnego zwolnienia dla mikroprzedsiębiorców w zakresie obowiązków przejrzystości. Rozporządzenie stosuje się do każdego dostawcy wprowadzającego system AI na rynek UE, niezależnie od wielkości firmy. Mikroprzedsiębiorcy korzystają z uproszczonych procedur samooceny i mają dostęp do wsparcia regulatorów (tzw. regulatory sandboxes), jednak same obowiązki – klasyfikacja ryzyka, dokumentacja techniczna, oznaczanie treści AI – obowiązują w pełnym zakresie. Termin dla systemów GPAI to 2 sierpnia 2025 roku.
P: Ile kosztuje i ile trwa przygotowanie dokumentacji technicznej dla systemu wysokiego ryzyka?
O: Czas przygotowania dokumentacji technicznej zależy od złożoności systemu i stanu istniejącej dokumentacji wewnętrznej. Dla typowego systemu SaaS stosowanego w rekrutacji lub scoringu kredytowym – przy wsparciu prawnym i technicznym – proces trwa od 6 do 16 tygodni. Koszty zewnętrznego wsparcia prawno-technicznego wynoszą zazwyczaj od 20 000 do 80 000 PLN. Firmy, które posiadają już dokumentację ISO 27001 lub SOC 2, mogą skrócić ten czas o połowę, ponieważ część wymaganych elementów pokrywa się z tymi standardami.
P: Czy AI Act zastępuje obowiązki wynikające z RODO przy przetwarzaniu danych osobowych przez systemy AI?
O: Nie – AI Act i RODO stosują się równolegle i niezależnie od siebie. Rozporządzenie o sztucznej inteligencji reguluje bezpieczeństwo i przejrzystość systemów AI jako produktów, natomiast RODO reguluje ochronę danych osobowych przetwarzanych przez te systemy. Dostawca systemu AI przetwarzającego dane osobowe musi spełnić obowiązki obu rozporządzeń jednocześnie – w tym prowadzić ocenę skutków dla ochrony danych (DPIA) zgodnie z artykułem 35 RODO oraz dokumentację techniczną zgodnie z AI Act. Nadzór sprawują odpowiednio: organ nadzoru AI (wyznaczony do 2 sierpnia 2025 roku) i UODO.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa technologicznego, AI Act, RODO i regulacji cyfrowych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.