Startup technologiczny z Wrocławia wdraża system rekomendacji treści. Jego model językowy generuje odpowiedzi, które użytkownicy traktują jak fakty. Tymczasem AI Act – Rozporządzenie (UE) 2024/1689 – od 2 sierpnia 2026 r. nałoży na tego dostawcę konkretne obowiązki informacyjne. Naruszenie ich grozi karą do 15 mln EUR lub 3% globalnego obrotu rocznego. Brak wdrożenia dziś oznacza nieodwracalne konsekwencje jutro.

AI Act (Rozporządzenie (UE) 2024/1689) nakłada na dostawców systemów sztucznej inteligencji obowiązki przejrzystości, które weszły w życie 1 sierpnia 2024 r., a pełne stosowanie wobec systemów wysokiego ryzyka następuje od 2 sierpnia 2026 r. Przepisy wymagają m.in. dokumentacji technicznej, oznakowania treści generowanych przez AI oraz informowania użytkowników o interakcji z systemem automatycznym. Za naruszenia grożą kary do 15 mln EUR lub 3% rocznego obrotu globalnego.

Ten artykuł wyjaśnia, jakie obowiązki przejrzystości spoczywają na dostawcach AI działających w Polsce, kiedy obowiązują poszczególne terminy, jakich pułapek unikać w praktyce oraz jak przygotować organizację do audytu. Omówiono tu również powiązania z RODO, DORA i ochroną znaku towarowego.

Co to są obowiązki przejrzystości w AI Act i kogo dotyczą?

AI Act definiuje obowiązki przejrzystości jako zestaw wymogów informacyjnych i dokumentacyjnych spoczywających na dostawcach, wdrażających i operatorach systemów AI. Rozporządzenie (UE) 2024/1689 rozróżnia cztery kategorie ryzyka – zakazane, wysokie, ograniczone i minimalne. Obowiązki przejrzystości dotyczą przede wszystkim systemów wysokiego ryzyka oraz systemów kategorii ryzyka ograniczonego, takich jak chatboty czy systemy generowania deepfake.

Dostawca to podmiot, który opracowuje system AI lub zleca jego opracowanie i wprowadza go na rynek pod własną nazwą lub znakiem towarowym. Ta definicja obejmuje zarówno duże korporacje technologiczne, jak i polskie startupy oferujące rozwiązania SaaS. Wdrażający – czyli ten, kto używa systemu AI w działalności zawodowej – ponosi odrębny zestaw obowiązków, choć mniejszy niż dostawca.

W praktyce kancelaria IP Warszawa widzi trzy najczęstsze błędy klasyfikacyjne. Po pierwsze, firmy mylą rolę dostawcy z rolą wdrażającego, gdy dostosowują cudzy model na potrzeby własnego produktu. Po drugie, pomijają fakt, że fine-tuning modelu bazowego może uczynić je dostawcą w rozumieniu AI Act. Po trzecie, zakładają, że systemy B2B nie wymagają ujawnień wobec użytkowników końcowych – co jest nieprawdą, gdy użytkownik to osoba fizyczna.

Polskie organy nadzorcze – UODO w zakresie ochrony danych i przyszły organ wyznaczony do nadzoru AI Act – będą weryfikować klasyfikację systemów. Firmy powinny przeprowadzić wewnętrzną analizę swojego portfolio produktów przed 2 sierpnia 2026 r. Każde opóźnienie zamyka drogę do spokojnego przygotowania.

Jakie konkretne obowiązki przejrzystości nakłada AI Act na dostawców?

AI Act wprowadza trzy filary obowiązków przejrzystości dla dostawców. Pierwszy to dokumentacja techniczna systemu, drugi to informowanie użytkowników, trzeci to oznaczanie treści generowanych przez AI. Każdy z tych filarów ma inne terminy i inne konsekwencje naruszenia – kara może sięgnąć 15 mln EUR lub 3% globalnego obrotu.

Dokumentacja techniczna (art. 11 AI Act) musi obejmować opis systemu, jego przeznaczenie, dane treningowe, architekturę modelu oraz wyniki testów. Dla systemów wysokiego ryzyka – takich jak te stosowane w rekrutacji, ocenie zdolności kredytowej czy biometrii – dokumentacja musi być dostępna dla organów nadzorczych przez 10 lat od wprowadzenia systemu na rynek. To wymóg, który wiele polskich firm IT ignoruje przy projektowaniu architektury danych.

Informowanie użytkowników dotyczy przede wszystkim systemów ryzyka ograniczonego. Chatbot musi poinformować użytkownika, że rozmawia z systemem AI – wystarczająco wyraźnie i przed pierwszą interakcją. Systemy generujące treści audio, wideo lub obraz muszą oznaczać te treści jako wytworzone przez AI. W kontekście ochrony danych, RODO (Rozporządzenie (UE) 2016/679) nakłada dodatkowo obowiązek informowania o zautomatyzowanym podejmowaniu decyzji z art. 22 – te dwa reżimy nakładają się i muszą być spełnione łącznie.

Obowiązek oznaczania treści generowanych przez AI nabiera szczególnego znaczenia w branży medialnej i marketingowej. Deepfake'i, syntetyczne głosy i generowane obrazy muszą być oznaczone w sposób możliwy do odczytania maszynowego. Standard techniczny dla tego oznaczenia określi Komisja Europejska w aktach wykonawczych – firmy powinny monitorować ten proces przez 2025 r.

  • Dokumentacja techniczna systemu AI (art. 11 AI Act) – przechowywana przez 10 lat
  • Informacja dla użytkownika o interakcji z systemem AI – przed pierwszą interakcją
  • Oznaczenie treści generowanych przez AI w formacie czytelnym maszynowo
  • Rejestr systemów wysokiego ryzyka – wpis w bazie EU AI Office
  • Ocena zgodności przed wprowadzeniem systemu wysokiego ryzyka na rynek

Firma z sektora finansowego, która w Polsce wdroży system AI do oceny ryzyka kredytowego latem 2026 r. bez kompletnej dokumentacji technicznej, naraża się na wszczęcie postępowania przez KNF i UODO jednocześnie. To nieodwracalne ryzyko reputacyjne, które trudno naprawić po fakcie.

Jak AI Act łączy się z DORA, RODO i ochroną znaku towarowego?

Dostawcy AI działający w sektorze finansowym muszą spełnić obowiązki przejrzystości jednocześnie z wymogami DORA (Rozporządzenie (UE) 2022/2554), które obowiązuje od 17 stycznia 2025 r. DORA wymaga zarządzania ryzykiem ICT, w tym ryzykiem związanym z zewnętrznymi dostawcami technologii. System AI wdrożony w banku lub firmie ubezpieczeniowej jest automatycznie objęty obydwoma reżimami – brak synchronizacji dokumentacji grozi podwójną odpowiedzialnością wobec KNF.

RODO nakłada na dostawców AI przetwarzających dane osobowe obowiązek oceny skutków dla ochrony danych (DPIA) przed uruchomieniem systemu. Jeśli system AI podejmuje zautomatyzowane decyzje wywierające istotny wpływ na osoby fizyczne, konieczne jest zapewnienie prawa do interwencji ludzkiej. UODO może nałożyć karę do 20 mln EUR lub 4% globalnego obrotu – niezależnie od sankcji z AI Act. Kumulacja kar jest możliwa i realna.

Ochrona znaku towarowego i prawa własności intelektualnej to kolejny wymiar, który dostawcy AI często pomijają. Modele językowe trenowane na danych zawierających oznaczenia towarowe mogą generować treści naruszające prawa do znaku. Dostawca odpowiada za naruszenia popełnione przez jego system. W kontekście rejestracji znaku towarowego w Polsce – prowadzonej przez UPRP – ryzyko kolizji z istniejącymi oznaczeniami w wynikach generowanych przez AI jest realne i wymaga monitorowania.

Szczegółowe aspekty planowania przestrzennego przy wdrożeniach infrastruktury AI – centrów danych, serwerowni – regulują odrębne przepisy, omówione w analizie dotyczącej planowania przestrzennego i zasad zagospodarowania w Polsce. Natomiast pełną mapę obowiązków DORA dla instytucji finansowych znajdą Państwo w opracowaniu o DORA – kto musi wdrożyć i do kiedy.

Producent oprogramowania z Poznania, który latem 2025 r. uruchomił chatbota dla klientów banku, stanął przed koniecznością jednoczesnej aktualizacji polityki prywatności RODO, rejestru ICT dla DORA i dokumentacji technicznej pod AI Act. Koszt retroaktywnego dostosowania przekroczył trzykrotność kosztu wdrożenia z góry.

Jakie pułapki czekają na dostawców AI w praktyce polskiej?

Pierwsza pułapka to błędna klasyfikacja ryzyka systemu. AI Act definiuje systemy wysokiego ryzyka w Załączniku III – lista obejmuje m.in. systemy do zarządzania infrastrukturą krytyczną, rekrutacji, oceny pracowników i dostępu do edukacji. Wiele polskich firm IT nie weryfikuje, czy ich produkt mieści się w tej kategorii. Tymczasem błędna klasyfikacja jako system niskiego ryzyka zwalnia dostawcę z obowiązku oceny zgodności – co organ nadzorczy może zakwestionować i nałożyć karę do 15 mln EUR.

Druga pułapka to dokumentacja techniczna tworzona „po fakcie". Wymogi art. 11 AI Act zakładają, że dokumentacja powstaje równolegle z systemem – nie po jego wdrożeniu. Firmy, które odkładają dokumentowanie na etap audytu, muszą liczyć się z niemożnością rekonstrukcji decyzji projektowych sprzed miesięcy. To szczególnie bolesne przy systemach uczących się, gdzie dane treningowe z jesieni 2024 r. mogą być kluczowe dla oceny zgodności.

Trzecia pułapka to umowy z podwykonawcami. Dostawca, który korzysta z API modelu bazowego (np. zewnętrznego LLM), nie przenosi automatycznie odpowiedzialności na dostawcę modelu. AI Act przewiduje podział odpowiedzialności, ale wyłącznie gdy umowa wyraźnie to reguluje i gdy dostawca modelu bazowego spełnia własne obowiązki z tytułu ogólnego przeznaczenia AI (GPAI). Brak klauzul compliance w umowach z dostawcami API to dziś najczęstszy błąd w polskich firmach technologicznych.

W praktyce – wiele firm o tym zapomina – obowiązki przejrzystości dotyczą też wewnętrznych systemów AI. Jeśli spółka wdraża system AI do oceny pracowników lub monitorowania ich wydajności, jest jednocześnie dostawcą i wdrażającym. Podwójna rola oznacza podwójny zestaw obowiązków. UODO i przyszły organ AI mogą prowadzić postępowania równolegle.

Konkretna sytuacja Państwa firmy – zwłaszcza gdy operujecie na styku sektora finansowego i technologicznego – wymaga indywidualnej oceny zgodności. Każde opóźnienie we wdrożeniu dokumentacji technicznej zamyka drogę do obrony przed zarzutem naruszenia AI Act.

Jeśli Państwa spółka opracowuje lub wdraża systemy AI i nie posiada jeszcze dokumentacji technicznej zgodnej z art. 11 AI Act – przeprowadzimy audyt klasyfikacji ryzyka, opracujemy dokumentację i przygotujemy klauzule compliance dla umów z dostawcami API: info@kordeckipartners.com.

Scenariusze branżowe: fintech, HR tech i media

Trzy sektory w Polsce stoją przed największym wyzwaniem compliance w obszarze AI Act. Fintech musi pogodzić wymogi AI Act z DORA i regulacjami KNF. HR tech operuje systemami klasyfikowanymi jako wysokiego ryzyka z mocy Załącznika III. Media i marketing muszą wdrożyć obowiązkowe oznaczanie treści generowanych przez AI.

Fintech: spółka oferująca scoring kredytowy oparty na AI musi przed 2 sierpnia 2026 r. ukończyć ocenę zgodności, wpisać system do rejestru EU AI Office i zapewnić możliwość wyjaśnienia decyzji kredytowej użytkownikowi. Jednocześnie DORA wymaga od niej prowadzenia rejestru umów z zewnętrznymi dostawcami ICT – w tym dostawcą modelu AI. KNF może zażądać obu rejestrów podczas jednej inspekcji. Brak synchronizacji grozi postępowaniem administracyjnym i zawieszeniem licencji.

HR tech: platforma rekrutacyjna stosująca AI do preselekcji CV jest systemem wysokiego ryzyka. Obowiązki przejrzystości obejmują tu informowanie kandydatów o stosowaniu AI w procesie selekcji – najpóźniej w momencie zbierania danych. Kandydat ma prawo żądać interwencji ludzkiej. Pracodawca, który tego nie zapewni, naraża się na zarzut naruszenia zarówno AI Act, jak i art. 22 RODO. Kara z RODO może wynieść do 20 mln EUR – niezależnie od AI Act.

Media i marketing: agencja z Trójmiasta, która wiosną 2025 r. uruchomiła kampanię z generowanymi wizerunkami celebrytów bez ich zgody, stanęła przed roszczeniami z tytułu prawa do wizerunku i naruszenia znaku towarowego. AI Act od 2 sierpnia 2026 r. doda do tego obowiązek oznaczania każdego generowanego obrazu. Brak oznaczenia to naruszenie rozporządzenia – niezależnie od tego, czy wizerunek jest fikcyjny czy prawdziwy.

Lista kontrolna przygotowania do AI Act – co zrobić przed sierpniem 2026 r.?

Dostawcy AI w Polsce mają do dyspozycji mniej niż 12 miesięcy na pełne wdrożenie obowiązków przejrzystości dla systemów wysokiego ryzyka. Termin 2 sierpnia 2026 r. jest nieprzekraczalny – Komisja Europejska nie sygnalizuje żadnego odroczenia. Poniższa lista kontrolna pozwala ocenić aktualny poziom gotowości organizacji.

  • Klasyfikacja wszystkich systemów AI w portfolio według kategorii ryzyka AI Act (zakazane / wysokie / ograniczone / minimalne)
  • Opracowanie lub aktualizacja dokumentacji technicznej zgodnej z art. 11 AI Act dla systemów wysokiego ryzyka
  • Wdrożenie mechanizmów informowania użytkowników o interakcji z systemem AI – chatboty, systemy decyzyjne, generatory treści
  • Przegląd umów z dostawcami API i modeli bazowych pod kątem klauzul compliance i podziału odpowiedzialności
  • Synchronizacja dokumentacji AI Act z rejestrami DORA i DPIA wymaganymi przez RODO

Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie audytu klasyfikacji w pierwszym kwartale 2026 r. – co daje czas na korektę dokumentacji przed terminem. Firmy, które zaczną w lipcu 2026 r., będą działać pod presją czasu i bez możliwości naprawy błędów projektowych.

Konkretna sytuacja Państwa firmy – zwłaszcza przy złożonym portfolio systemów AI lub działalności transgranicznej w kilku jurysdykcjach UE – wymaga indywidualnej oceny. Nieodwracalne konsekwencje błędnej klasyfikacji lub braku dokumentacji mogą zamknąć drogę do obrony przed organem nadzorczym.

Jeśli Państwa spółka wprowadza systemy AI na rynek UE i potrzebuje kompleksowego przeglądu zgodności z AI Act – przeprowadzimy klasyfikację ryzyka, opracujemy dokumentację techniczną, dostosujemy umowy z dostawcami i przygotujemy procedury informowania użytkowników: info@kordeckipartners.com.

Często zadawane pytania

P: Czy mały startup technologiczny w Polsce musi spełniać obowiązki przejrzystości AI Act, jeśli jego system jest używany tylko przez kilku klientów B2B?

O: Tak – AI Act nie przewiduje wyłączenia dla małych podmiotów ani dla modeli B2B, jeśli system trafia do użytkowników końcowych będących osobami fizycznymi lub jeśli mieści się w kategorii wysokiego ryzyka. Rozporządzenie (UE) 2024/1689 stosuje się do dostawców wprowadzających systemy AI na rynek Unii Europejskiej niezależnie od wielkości firmy. Jedynym ograniczeniem jest wyłączenie systemów przeznaczonych wyłącznie do celów wojskowych i bezpieczeństwa narodowego. Startup powinien przeprowadzić klasyfikację ryzyka i – jeśli system jest wysokiego ryzyka – ukończyć ocenę zgodności przed 2 sierpnia 2026 r.

P: Ile kosztuje i jak długo trwa wdrożenie dokumentacji technicznej wymaganej przez AI Act dla systemu wysokiego ryzyka?

O: Czas i koszt zależą od stopnia skomplikowania systemu i stanu istniejącej dokumentacji. W praktyce kancelaria szacuje, że dla systemu o średniej złożoności – jak platforma rekrutacyjna lub scoring kredytowy – opracowanie pełnej dokumentacji technicznej zajmuje od 6 do 12 tygodni przy zaangażowaniu zespołu prawnego i technicznego. Koszt obsługi prawnej tego procesu w Polsce wynosi zazwyczaj od kilkunastu do kilkudziesięciu tysięcy złotych. Retroaktywne odtworzenie dokumentacji po wdrożeniu systemu jest znacznie droższe i ryzykowne.

P: Czy obowiązki przejrzystości AI Act zastępują obowiązki informacyjne wynikające z RODO, czy nakładają się na nie?

O: Nakładają się – i oba muszą być spełnione niezależnie. Rozporządzenie (UE) 2016/679 (RODO) wymaga informowania o zautomatyzowanym podejmowaniu decyzji i zapewnienia prawa do interwencji ludzkiej, gdy decyzja wywiera istotny wpływ na osobę fizyczną. AI Act dodaje do tego obowiązek dokumentacji technicznej, rejestracji systemu i oznaczania treści generowanych przez AI. Naruszenie RODO grozi karą do 20 mln EUR lub 4% globalnego obrotu, naruszenie AI Act – do 15 mln EUR lub 3% obrotu. Obie kary mogą być nałożone jednocześnie przez różne organy – UODO i organ nadzoru AI Act.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa własności intelektualnej, technologii i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.