Firma technologiczna z Mazowsza wdraża chatbota do obsługi klientów. System generuje odpowiedzi brzmiące jak ludzkie. Nikt nie informuje użytkownika, że rozmawia z maszyną. Od 2 sierpnia 2026 r. takie zaniechanie stanowi naruszenie AI Act – z sankcjami sięgającymi 15 mln EUR lub 3% globalnego obrotu.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 – AI Act – nakłada na dostawców systemów sztucznej inteligencji obowiązki przejrzystości, które weszły w życie 1 sierpnia 2024 r. i będą w pełni stosowane od 2 sierpnia 2026 r. Obowiązki dotyczą m.in. systemów kontaktujących się z ludźmi, modeli GPAI oraz systemów wysokiego ryzyka wymienionych w załącznikach do rozporządzenia. Naruszenia grożą karą do 15 mln EUR lub 3% rocznego światowego obrotu.
Poniżej omawiamy, które obowiązki przejrzystości dotyczą Państwa firmy, jak przebiega procedura oceny zgodności i jakie pułapki czyhają na polskich dostawców AI wchodzących na rynek UE. Artykuł obejmuje krajobraz regulacyjny, kluczowe instrumenty, praktyczne błędy oraz scenariusze transgraniczne.
Jakie obowiązki przejrzystości nakłada AI Act na dostawców systemów AI?
AI Act tworzy wielopoziomowy system obowiązków. Ich zakres zależy od kategorii systemu – od minimalnego ryzyka po systemy wysokiego ryzyka i modele ogólnego przeznaczenia (GPAI). Każda kategoria ma własny reżim przejrzystości, a błędna klasyfikacja systemu przez dostawcę to jeden z najczęstszych błędów praktycznych.
Dla systemów wchodzących w interakcję z ludźmi – chatbotów, asystentów głosowych, awatarów – art. 50 ust. 1 AI Act wymaga poinformowania użytkownika, że kontaktuje się z systemem AI. Obowiązek ten jest bezwarunkowy i nie zależy od poziomu ryzyka systemu. Nie wystarczy zamieszczenie informacji w regulaminie – ujawnienie musi być wyraźne i nastąpić w momencie pierwszego kontaktu. W praktyce wiele polskich firm SaaS o tym zapomina, traktując chatbota jak zwykłą funkcję UX.
Dla systemów wysokiego ryzyka (załącznik III AI Act) obowiązki są znacznie szersze. Dostawca musi zapewnić:
- dokumentację techniczną opisującą architekturę, dane treningowe i metryki wydajności,
- instrukcję użytkowania dla operatora z opisem zamierzonego zastosowania,
- mechanizm rejestrowania zdarzeń (logi) umożliwiający audyt ex post,
- deklarację zgodności UE i rejestrację w unijnej bazie danych AI.
Dla modeli GPAI – takich jak duże modele językowe (LLM) – AI Act wprowadza oddzielny reżim. Dostawca GPAI musi udostępnić dokumentację techniczną, przestrzegać polityki praw autorskich i opublikować podsumowanie danych treningowych. Modele GPAI o „systemowym ryzyku" (próg: 1025 FLOP) podlegają dodatkowo ocenie bezpieczeństwa i zgłoszeniu do Komisji Europejskiej. Termin dla modeli GPAI: 2 sierpnia 2025 r.
Regulacja wyprzedza rynek – wiele firm nie zdaje sobie sprawy, że korzystając z zewnętrznego modelu LLM i wdrażając go jako własny produkt, przyjmuje na siebie obowiązki dostawcy, nie tylko operatora. To rozróżnienie ma kolosalne znaczenie dla odpowiedzialności i kosztów compliance.
Jak przeprowadzić ocenę zgodności z AI Act – krok po kroku?
Ocena zgodności z AI Act to ustrukturyzowany proces, który dla systemów wysokiego ryzyka musi zostać udokumentowany przed wprowadzeniem systemu na rynek UE. Dostawca nie może wprowadzić systemu do obrotu bez uprzedniego zakończenia tego procesu – naruszenie tego wymogu grozi karą do 30 mln EUR lub 6% obrotu.
Proces przebiega w czterech krokach. Krok 1: Klasyfikacja systemu. Dostawca identyfikuje, czy system należy do kategorii zakazanej (art. 5 AI Act), wysokiego ryzyka (załącznik III), wymaga wyłącznie przejrzystości (art. 50), czy podlega minimalnemu reżimowi. Klasyfikacja powinna być udokumentowana i weryfikowana przy każdej istotnej zmianie systemu.
Krok 2: Dokumentacja techniczna. Załącznik IV AI Act określa minimalny zakres dokumentacji. Obejmuje ona opis ogólny systemu, dane i metodologię treningową, metryki dokładności i solidności oraz opis mechanizmów nadzoru człowieka. Dokumentacja musi być aktualna – każda istotna zmiana systemu wymaga jej aktualizacji.
Krok 3: Ocena ryzyka i zarządzanie ryzykiem. Art. 9 AI Act nakłada obowiązek wdrożenia systemu zarządzania ryzykiem przez cały cykl życia systemu AI. W praktyce oznacza to mapowanie ryzyk, ich ocenę i wdrożenie środków mitygujących. Dla systemów przetwarzających dane osobowe ocena ryzyka musi uwzględniać wymagania RODO – w tym ocenę skutków dla ochrony danych (DPIA) wymaganą przez art. 35 rozporządzenia (UE) 2016/679.
Krok 4: Rejestracja i deklaracja zgodności. Dostawca sporządza deklarację zgodności UE i rejestruje system w bazie danych EU AI Office. Rejestracja jest warunkiem formalnym dopuszczenia systemu do obrotu na rynku UE – brak rejestracji to samodzielna podstawa sankcji. Termin dla systemów wysokiego ryzyka: 2 sierpnia 2026 r.
Firma IT z Trójmiasta wdrożyła wiosną 2025 r. system AI do oceny wniosków kredytowych. Zarząd zakładał, że skoro model pochodzi od zewnętrznego dostawcy, odpowiedzialność spoczywa wyłącznie na nim. Analiza prawna wykazała, że spółka – jako podmiot dostosowujący model do własnych celów i wprowadzający go na rynek – jest dostawcą w rozumieniu AI Act. Koszt retrospektywnego wdrożenia dokumentacji i procedur wyniósł wielokrotność tego, co kosztowałoby prawidłowe przygotowanie przed wdrożeniem.
Aby uniknąć podobnych sytuacji, warto skonsultować się z praktykami prawa technologicznego na wczesnym etapie projektu. Szczegółowy harmonogram obowiązywania poszczególnych przepisów AI Act znajdą Państwo w analizie harmonogramu wdrożenia AI Act dla polskich firm.
Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny – błędna klasyfikacja systemu AI może prowadzić do nieodwracalnych konsekwencji regulacyjnych i finansowych. Jeśli Państwa spółka wdraża lub planuje wdrożyć system AI i nie przeprowadziła jeszcze oceny zgodności – przeprowadzimy klasyfikację systemu, przegląd dokumentacji technicznej i ocenę luk compliance: info@kordeckipartners.com.
Jakie pułapki czyhają na polskich dostawców AI przy wdrożeniu obowiązków przejrzystości?
Obowiązki przejrzystości AI Act brzmią na papierze prosto. W praktyce – wiele firm wpada w te same trzy pułapki, które potrafią zablokować wejście na rynek lub narazić na sankcje już po jego wdrożeniu.
Pułapka pierwsza: błędna identyfikacja roli w łańcuchu wartości. AI Act rozróżnia dostawcę (provider), operatora (deployer), importera i dystrybutora. Każda rola niesie inne obowiązki. Polska firma SaaS, która kupuje model bazowy i buduje na nim własny produkt, staje się dostawcą – nawet jeśli nie trenuje modelu od podstaw. Z kolei firma wdrażająca gotowe rozwiązanie u klienta korporacyjnego może być operatorem lub dystrybutorem, zależnie od zakresu modyfikacji. Błędna identyfikacja roli to najczęstsza przyczyna luk w compliance.
Pułapka druga: brak synchronizacji z RODO i DORA. Systemy AI przetwarzające dane osobowe podlegają jednocześnie RODO (rozporządzenie UE 2016/679) i AI Act. Obowiązki nakładają się, ale nie są tożsame. DPIA wymagana przez RODO i ocena ryzyka z art. 9 AI Act to odrębne procedury – choć mogą być prowadzone równolegle. Dla podmiotów z sektora finansowego dochodzi jeszcze DORA (rozporządzenie UE 2022/2554), które od 17 stycznia 2025 r. nakłada na instytucje finansowe obowiązki w zakresie zarządzania ryzykiem ICT – w tym ryzykiem związanym z zewnętrznymi dostawcami AI. Trzy regulacje, trzy reżimy, jeden system AI – to złożoność, której nie można ignorować.
Pułapka trzecia: brak procedury aktualizacji dokumentacji. Dokumentacja techniczna i ocena ryzyka to dokumenty żywe – muszą odzwierciedlać aktualny stan systemu. Każda istotna zmiana modelu, danych treningowych lub zakresu zastosowania wymaga aktualizacji. Firmy często traktują compliance jako jednorazowe zadanie projektowe, a nie ciągły proces. Organy nadzoru będą weryfikować aktualność dokumentacji podczas kontroli.
Startup z Krakowa działający w obszarze HR-tech odkrył latem 2025 r., że jego system rekomendacji kandydatów kwalifikuje się jako system wysokiego ryzyka (załącznik III pkt 4 AI Act – rekrutacja). Spółka zakładała, że skoro nie podejmuje ostatecznej decyzji o zatrudnieniu, system nie jest wysokiego ryzyka. AI Act nie wymaga jednak, by system podejmował decyzje – wystarczy, że „istotnie wpływa" na decyzje dotyczące osób fizycznych. Koszt dostosowania dokumentacji i procesów wyniósł szacunkowo kilkadziesiąt tysięcy złotych.
Warto przy tym pamiętać, że obowiązki przejrzystości AI Act dotyczą nie tylko kwestii regulacyjnych, ale mogą wpływać na ochronę własności intelektualnej – w tym na znak towarowy i prawa autorskie do systemu AI. Ujawnienie informacji o architekturze modelu w dokumentacji technicznej powinno być przeprowadzone z zachowaniem odpowiedniej ochrony tajemnicy przedsiębiorstwa.
Jak AI Act wpływa na transgraniczne operacje polskich dostawców AI?
AI Act to rozporządzenie unijne – obowiązuje bezpośrednio we wszystkich państwach członkowskich. Dla polskich dostawców eksportujących systemy AI poza UE lub obsługujących klientów z wielu jurysdykcji oznacza to kilka istotnych konsekwencji.
Po pierwsze, AI Act stosuje się do systemów AI wprowadzanych na rynek UE lub oddawanych do użytku w UE – niezależnie od miejsca siedziby dostawcy. Polski dostawca sprzedający system do klienta w Niemczech lub Francji podlega AI Act tak samo jak dostawca z siedzibą w Berlinie. Z drugiej strony, polski dostawca eksportujący wyłącznie poza UE (np. do Ukrainy lub USA) nie podlega AI Act w zakresie tych systemów – choć może podlegać lokalnym regulacjom.
Po drugie, dla dostawców spoza UE AI Act wymaga wyznaczenia upoważnionego przedstawiciela w UE (art. 22 AI Act). Dla polskich firm oznacza to, że jeśli ich klient zagraniczny jest dostawcą AI bez siedziby w UE, umowa z tym klientem powinna regulować kwestię przedstawicielstwa. Pominięcie tej kwestii w kontraktach z partnerami spoza UE to częsty błąd transakcyjny.
Po trzecie, AI Act współdziała z innymi regulacjami unijnymi. Dla sektora finansowego kluczowe jest nakładanie się AI Act i DORA – oba rozporządzenia regulują ryzyko związane z systemami ICT i AI w instytucjach finansowych, a organy nadzoru (KNF w Polsce) będą koordynować kontrole. Dla podmiotów przetwarzających dane osobowe obowiązki AI Act i RODO muszą być realizowane równolegle – UODO pozostaje właściwym organem nadzorczym w zakresie ochrony danych, nawet jeśli naruszenie wynika z wadliwego systemu AI.
Polscy dostawcy planujący ekspansję na rynki Europy Zachodniej powinni uwzględnić, że lokalne organy nadzorcze w Niemczech, Francji czy Holandii mogą stosować AI Act bardziej rygorystycznie niż wynika to z minimalnych wymagań rozporządzenia. Warto budować dokumentację i procesy od razu na poziomie „premium compliance" – to inwestycja, która zwraca się przy pierwszej kontroli lub audycie due diligence przed rundą finansowania.
Zagadnienia związane z dokumentacją techniczną i integracją systemów AI z infrastrukturą ERP – w tym wymogi dotyczące faktur ustrukturyzowanych – omawia szczegółowo analiza wymagań technicznych faktury ustrukturyzowanej FA(3).
Praktyczna lista kontrolna dla dostawców AI – co przygotować przed 2 sierpnia 2026 r.?
Poniższa lista kontrolna obejmuje minimalne działania, które każdy dostawca systemu AI powinien zakończyć przed datą pełnego stosowania AI Act. Lista dotyczy systemów wysokiego ryzyka i systemów objętych obowiązkami przejrzystości z art. 50.
- Klasyfikacja systemu: udokumentowana identyfikacja kategorii ryzyka i roli w łańcuchu wartości (dostawca / operator / importer / dystrybutor).
- Dokumentacja techniczna: kompletna dokumentacja zgodna z załącznikiem IV AI Act, obejmująca architekturę, dane treningowe i metryki wydajności.
- Ocena ryzyka i DPIA: odrębna ocena ryzyka AI (art. 9) i ocena skutków dla ochrony danych (art. 35 RODO) – dla systemów przetwarzających dane osobowe.
- Procedura ujawnienia: wdrożony mechanizm informowania użytkowników o interakcji z systemem AI – dla systemów objętych art. 50 AI Act.
- Rejestracja i deklaracja zgodności: rejestracja w unijnej bazie danych AI i sporządzona deklaracja zgodności UE – dla systemów wysokiego ryzyka.
Trzy scenariusze biznesowe ilustrują zastosowanie listy. Producent oprogramowania dla branży przemysłowej wdraża system AI do predykcyjnego utrzymania ruchu – system nie kwalifikuje się jako wysokiego ryzyka, ale interfejs operatorski wymaga ujawnienia interakcji z AI. Firma IT świadcząca usługi dla sektora bankowego integruje model AI z systemem scoringowym – system wysokiego ryzyka, pełna dokumentacja i rejestracja obowiązkowe, dodatkowo DORA. Zagraniczny inwestor wchodzący na rynek polski z produktem AI-powered HR – konieczna analiza roli (dostawca czy operator?), DPIA, rejestracja, wyznaczenie przedstawiciela UE jeśli siedziba poza Unią.
Konkretna sytuacja Państwa firmy – zwłaszcza gdy system AI obsługuje wiele rynków lub integruje się z infrastrukturą finansową – wymaga indywidualnej oceny zgodności, której pominięcie może zamknąć drogę do rynku UE w sposób nieodwracalny. Jeśli Państwa spółka jest dostawcą lub operatorem systemu AI i nie ukończyła jeszcze procesu klasyfikacji i dokumentacji – przeprowadzimy pełny przegląd compliance AI Act, mapowanie ryzyk i przygotowanie dokumentacji technicznej: info@kordeckipartners.com.
Często zadawane pytania
P: Czy polska firma korzystająca z gotowego modelu AI (np. ChatGPT via API) jest dostawcą w rozumieniu AI Act?
O: Zależy to od zakresu modyfikacji i sposobu wprowadzenia systemu na rynek. Jeśli firma jedynie korzysta z modelu na własne potrzeby wewnętrzne, jest operatorem. Jeśli dostosowuje model do własnego produktu i udostępnia go klientom, staje się dostawcą – z pełnym reżimem obowiązków, w tym dokumentacją techniczną i ewentualną rejestracją. Rozróżnienie to ma fundamentalne znaczenie dla odpowiedzialności i kosztów compliance.
P: Ile kosztuje i jak długo trwa wdrożenie compliance AI Act dla systemu wysokiego ryzyka?
O: Czas i koszt zależą od złożoności systemu i stanu istniejącej dokumentacji. W praktyce przygotowanie kompletnej dokumentacji technicznej, oceny ryzyka i procedur dla systemu wysokiego ryzyka zajmuje od 6 do 12 tygodni przy zaangażowaniu prawników i zespołu technicznego. Dla firm, które nie prowadziły wcześniej dokumentacji zgodnej z AI Act, koszt obejmuje zarówno prace prawne, jak i techniczne – warto rozpocząć proces nie później niż na początku 2026 r., by zdążyć przed terminem 2 sierpnia 2026 r.
P: Czy AI Act zastępuje RODO w zakresie systemów AI przetwarzających dane osobowe?
O: Nie – AI Act i RODO (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679) działają równolegle i nakładają odrębne obowiązki. Ocena ryzyka wymagana przez artykuł 9 AI Act i ocena skutków dla ochrony danych wymagana przez artykuł 35 RODO to różne dokumenty, prowadzone według różnych metodologii. Dostawca systemu AI przetwarzającego dane osobowe musi spełnić wymagania obu rozporządzeń. Organem właściwym w zakresie RODO pozostaje UODO, niezależnie od ewentualnych naruszeń AI Act.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji AI Act, DORA, RODO oraz ochrony własności intelektualnej w sektorze technologicznym. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.