AI Act (Rozporządzenie AI): od kiedy obowiązuje, jakie wymogi w 2025/2026, jakie sankcje i jak wdrożyć zgodność

AI Act to największa od lat zmiana dotycząca sztucznej inteligencji w Unii Europejskiej. Rozporządzenie porządkuje obowiązki w całym łańcuchu – od dostawców systemów AI po podmioty stosujące systemy AI – oraz wprowadza jasne zasady dla modeli AI ogólnego przeznaczenia i surowe wymogi dla systemów AI wysokiego ryzyka. Pierwsze wymogi już obowiązują (zakazy i AI literacy), a kolejne – w tym pełna ścieżka zgodności dla rozwiązań high-risk – zaczną obowiązywać w 2026 r. Dlatego teraz kluczowa jest praktyka: inwentaryzacja zastosowań, analiza ryzyka, kompletna dokumentacja i wdrożone procesy nadzoru.

W artykule zebraliśmy najważniejsze informacje: oś czasu wejścia w życie przepisów AI Act, zamknięty katalog praktyk zakazanych, obowiązki dotyczące modeli AI ogólnego przeznaczenia, wymagania dla rozwiązań high-risk oraz widełki kar administracyjnych za poważne naruszenia AI Act. Pokażemy też, jak uporządkować governance – od standardów przejrzystości i etykietowania treści, przez zasady zarządzania danymi, po relację z państwami członkowskimi i właściwymi organami krajowymi.

Perspektywa jest pragmatyczna: minimalizujemy ryzyko prawne i operacyjne, a jednocześnie wspieramy procesy finansowo-operacyjne (w tym księgowość dla spółek) dzięki spójnym dowodom zgodności. Efekt? Mniej zaskoczeń przy audycie, większa odporność na błędy i szybsza droga do bezpiecznego skalowania rozwiązań AI.

AI Act to unijne rozporządzenie w sprawie sztucznej inteligencji, które wchodzi w życie etapami i obejmuje szeroki zakres podmiotów działających na rynku UE: dostawców systemów AI, podmioty stosujące systemy AI, dystrybutorów i importerów na terenie UE. Przepisy AI Act regulują m.in. praktyki zakazane, obowiązki dla modeli AI ogólnego przeznaczenia oraz rygor dla systemów AI wysokiego ryzyka – z naciskiem na prawa podstawowe, bezpieczeństwo i zgodność. Nadzór sprawują państwa członkowskie i właściwe organy krajowe we współpracy z Komisją Europejską oraz Europejskim Urzędem ds. Sztucznej Inteligencji (AI Office). Wejście w życie AI Act oznacza wdrożenie nowych ram prawnych dla AI i nowych technologii, a za poważne naruszenia AI Act przewidziano dotkliwe kary administracyjne.

Co zrobić teraz – mini-checklista w 6 krokach

1) Zrób inwentaryzację
Zmapuj wszystkie systemy AI i narzędzia AI (wewnętrzne i u dostawców), w tym zastosowania w miejscu pracy, przestrzeni publicznej i back-office. Dla każdego use case’u prowadź szczegółową dokumentację i przygotuj odpowiednią dokumentację techniczną (m.in. opis trenowania modelu, danych, mechanizmów kontroli oraz monitorowania).

2) Przesiej pod kątem zakazów
Upewnij się, że żadne wdrożenie nie wchodzi w praktyki zakazane (np. social scoring, zdalna identyfikacja biometryczna w czasie rzeczywistym w ramach kontroli granicznej) – z pewnymi wyjątkami przewidzianymi w interesie publicznym. Oceń wpływ na prawa podstawowe i zaplanuj odpowiednie środki ograniczania ryzyka.

3) Podnieś kompetencje
Wdroż program AI literacy – plan na podniesienie kompetencji pracowników (role-based), tak aby kompetencje pracowników obejmowały bezpieczne użycie systemów sztucznej inteligencji, zasady w zakresie przejrzystości treści generowanych oraz zasady zarządzania.

4) GPAI i przejrzystość treści
Jeżeli korzystasz z modeli AI ogólnego przeznaczenia, przygotuj politykę informacji w zakresie AI: etykietowanie treści, podstawy prawne użycia danych, poszanowanie praw pokrewnych i jasny opis ograniczeń w zakresie korzystania – w celu zapewnienia przejrzystości użytkownikom. W przypadku modeli publikuj zwięzłe informacje o możliwościach i ryzykach.

5) High-risk: system zgodności
Sprawdź, czy rozwiązania podpadają pod kategorie wysokiego ryzyka (np. infrastruktura krytyczna, opieka zdrowotna, dostęp do podstawowych usług prywatnych). Zaplanuj analizę ryzyka, środki bezpieczeństwa, logi, nadzór człowieka, procedury zgłoszeń do jednostek notyfikowanych/odpowiednich organów i oznakowanie CE – to kluczowe obowiązki dla systemów AI wysokiego ryzyka.

6) Zarządzanie i współpraca z organami
Ustanów polityki, rejestry i role (governance), rozważ udział w piaskownicach regulacyjnych, a w sprawach leżących w kompetencjach organów współpracuj z państwami członkowskimi i Komisją Europejską. Zapewnij spójność z przepisami AI Act i wymaganiami Unii Europejskiej – także przy projektach badań naukowych.

Najważniejsze daty wdrożenia i krótkie wnioski

• 2 lutego 2025 – start wybranych zakazów oraz programu AI literacy. To moment na szybki audyt, szkolenia i zarządzanie ryzykiem systemowym.

• 2 sierpnia 2025 – obowiązki dla modeli AI ogólnego przeznaczenia oraz struktury nadzorcze (AI Office + koordynacja przez państwa członkowskie). Od tej daty możliwe są kary administracyjne za naruszenia przepisów obowiązujących na danym etapie.

• 2 sierpnia 2026 – pełne obowiązki dla systemów AI wysokiego ryzyka: zasady, bezpieczeństwo, zgodność, monitorowanie; współpraca z jednostkami notyfikowanymi.

• 2 sierpnia 2027 – dalsze etapy dla produktów regulowanych i wydłużone okresy przejściowe (np. opieka zdrowotna, infrastruktura krytyczna).

Co reguluje Rozporządzenie AI i jaki ma cel?

AI Act to unijne rozporządzenie ustanawiające ramy prawne dla sztucznej inteligencji na rynku UE. Obejmuje szeroki zakres zastosowań systemów AI i modeli AI – od rozwiązań stosowanych w miejscu pracy po wdrożenia w przestrzeni publicznej, w tym infrastrukturę krytyczną, opiekę zdrowotną oraz dostęp do podstawowych usług prywatnych. Celem jest ochrona praw podstawowych, zapewnienie bezpieczeństwa, zgodności i odpowiedzialnego rozwoju nowych technologii.

Akt tworzy trzy praktyczne filary:

• Praktyki zakazane – np. social scoring oraz określone zastosowania biometrii w czasie rzeczywistym (z wąskimi wyjątkami w interesie publicznym).
• Wymogi dla modeli AI ogólnego przeznaczenia – nacisk na przejrzystość, informacje o ograniczeniach, poszanowanie praw autorskich i pokrewnych oraz jasność zasad korzystania.
• Reżim dla systemów AI wysokiego ryzyka – w tym analiza ryzyka, odpowiednia dokumentacja techniczna, procedury oceny zgodności z udziałem jednostek notyfikowanych oraz ciągłe monitorowanie.

Nadzór nad stosowaniem przepisów sprawują państwa członkowskie poprzez właściwe organy krajowe, we współpracy z Komisją Europejską oraz Europejskim Urzędem ds. Sztucznej Inteligencji. Za poważne naruszenia AI Act przewidziano dotkliwe kary administracyjne, co wzmacnia skuteczność nowych wymogów w zakresie AI i podkreśla wagę działań w celu zapewnienia zgodności.

Role i obowiązki (provider, deployer, importer, dystrybutor)

AI Act precyzyjnie opisuje, kogo dotyczą przepisy – obowiązki zależą od roli w łańcuchu dostaw i wdrożenia systemów sztucznej inteligencji:

• Dostawca (provider) – podmiot wprowadzający rozwiązanie na rynek lub udostępniający je na terenie UE. Ponosi obowiązki dostawców: przygotowuje szczegółową dokumentację, tworzy i utrzymuje dokumentację techniczną, opisuje dane i proces trenowania modelu, prowadzi monitorowanie po wdrożeniu oraz wdraża zasady zarządzania ryzykiem. W przypadku modeli mogących stwarzać ryzyko systemowe obejmuje to także dodatkowe wymogi informacyjne i środki łagodzące.
• Podmiot stosujący (deployer) – podmiot wykorzystujący systemy AI w praktyce biznesowej. Realizuje kluczowe obowiązki operacyjne: prowadzi analizę ryzyka, zapewnia nadzór człowieka, dba o odpowiednie środki bezpieczeństwa i właściwe monitorowanie, a także szkoli zespół w duchu AI literacy (podniesienie kompetencji pracowników w odpowiedzialnym użyciu narzędzi AI).
• Dystrybutor i importer – dbają, by rozwiązania spełniały wymogi Unii Europejskiej i były oznaczone zgodnie z prawem; w razie wątpliwości współpracują z odpowiednimi organami i reagują na niezgodności.
• Wytwórcy produktów sektorowych (np. wyrobów medycznych czy maszyn) integrujący AI – gdy powstają systemy AI wysokiego ryzyka, wchodzą w grę procedury oceny zgodności z udziałem jednostek notyfikowanych. Dotyczy to m.in. zastosowań związanych z kontrolą graniczną czy funkcjami działającymi w czasie rzeczywistym.

W praktyce zakres obowiązków zależy od charakteru systemu i jego wpływu na prawa podstawowe. Wdrożenia w zakresie sztucznej inteligencji na poziomie wysokiego ryzyka (np. w infrastrukturze krytycznej czy opiece zdrowotnej) wymagają pełnego cyklu zgodności: od projektowania, przez zasady i testy, po dokumentację oraz stałe monitorowanie. Z kolei dla modeli AI ogólnego przeznaczenia nacisk kładzie się na przejrzystość i informacje dla użytkowników na rynku UE.

Wspólnym mianownikiem dla wszystkich ról są: rzetelna analiza ryzyka, adekwatne środki zarządzania, kompletna dokumentacja oraz gotowość do współpracy we sprawach leżących w kompetencjach organów (kontakty z właściwymi organami krajowymi, udział w piaskownicach regulacyjnych, bieżące dostosowanie do nowych regulacji). Dzięki temu stosowanie AI Act staje się realnym standardem działania – a nie tylko formalnością – także w obszarach powiązanych z księgowością dla spółek i procesami back-office.

2 lutego 2025: zakazy z art. 5 oraz AI literacy – co już obowiązuje

Od tej daty obowiązują pierwsze przepisy AI Act: wybrane praktyki zakazane (np. social scoring, część zastosowań biometrii w czasie rzeczywistym – z wyjątkami w interesie publicznym, m.in. przy kontroli granicznej) oraz wymóg AI literacy, rozumiany jako planowe podniesienie kompetencji pracowników w zakresie bezpiecznego stosowania systemów sztucznej inteligencji.
Państwa członkowskie uruchomiły nadzór poprzez właściwe organy krajowe, które – działając we sprawach leżących w ich kompetencjach – mogą oczekiwać polityk, procedur i dowodów stosowania odpowiednich środków. W praktyce oznacza to, że organizacje powinny już prowadzić szczegółową dokumentację użycia narzędzi AI, uwzględniając wpływ na osoby fizyczne i prawa podstawowe oraz zasady w zakresie przejrzystości i w zakresie korzystania z AI.

2 sierpnia 2025: GPAI i governance – AI Office oraz państwa członkowskie

W życie weszły wymogi dla modeli AI ogólnego przeznaczenia (GPAI) oraz ramy nadzorcze: Europejski Urząd ds. Sztucznej Inteligencji (AI Office) działający przy Komisji Europejskiej wraz z siecią organów w Unii Europejskiej.
Dla dostawców modeli i dostawców systemów AI oznacza to większy nacisk na:

• przejrzystość i informacje o ograniczeniach w celu zapewnienia bezpiecznego użycia,

• pochodzenie danych i proces trenowania modelu, w tym poszanowanie praw pokrewnych,

• przygotowanie i utrzymywanie odpowiedniej dokumentacji technicznej i operacyjnej.

Na tym etapie możliwe jest również korzystanie z piaskownic regulacyjnych, szczególnie w obszarach badań naukowych i innowacji w zakresie AI. Naruszenia wymogów mogą skutkować dotkliwymi karami administracyjnymi, zwłaszcza przy poważnych naruszeniach AI Act lub braku współpracy z odpowiednimi organami.

2 sierpnia 2026: start obowiązków dla systemów AI wysokiego ryzyka

To punkt zwrotny dla wdrożeń w zakresie systemów sztucznej inteligencji o podwyższonym wpływie. Wchodzą pełne wymogi dla systemów AI wysokiego ryzyka w następujące kategorie zastosowań, m.in. infrastruktura krytyczna, opieka zdrowotna czy dostęp do podstawowych usług prywatnych na terenie UE.
Kluczowe wymagania obejmują m.in.:

• analizę ryzyka i ciągłe zarządzanie ryzykiem (także ryzykiem systemowym),

• zasady zarządzania danymi i jakością, testy bezpieczeństwa,

• kompletność dokumentacji technicznej i ścieżkę zgodności,

• rejestrowanie zdarzeń i monitorowanie po wdrożeniu,

• nadzór człowieka i mechanizmy wyjaśnialności,

• procedury oceny zgodności z udziałem jednostek notyfikowanych oraz oznakowanie CE.

To etap, w którym obowiązki dostawców i podmiotów wdrażających powinny być już poukładane operacyjnie i dowodowo.

2 sierpnia 2027: dalsze etapy dla produktów sektorowych i okresy przejściowe

Ostatni ważny krok obejmuje dopięcie wdrożeń dla rozwiązań powiązanych z prawem sektorowym (np. wyroby medyczne czy maszyny), a także zakończenie okresów przejściowych w zakresie AI. Dla organizacji oznacza to domknięcie luk w procesach, aktualizację procedur na rynku UE oraz utrwalenie praktyk dowodowych: gotowość do audytu, utrzymywanie rejestrów, zgodność „end-to-end” – od projektu po eksploatację.
W tym horyzoncie warto również przeglądać polityki pod kątem nowych interpretacji i nowych regulacji, tak aby praktyka nadzoru ze strony odpowiednich organów nie zaskakiwała, a wymogi AI Act były spełnione zarówno formalnie, jak i operacyjnie.

Przykłady niedozwolonych zastosowań i możliwe wyłączenia

AI Act – rozporządzenie w sprawie sztucznej inteligencji w Unii Europejskiej – zawiera katalog tego, czego nie wolno robić w zakresie sztucznej inteligencji. Celem jest ochrona praw podstawowych, ograniczanie nadużyć i minimalizacja szkód dla osób fizycznych.

Praktyki zakazane obejmują m.in.:

• Social scoring osób przez władze publiczne – punktowanie zachowań i cech w sposób prowadzący do niesprawiedliwego traktowania.

• Manipulację lub wykorzystywanie podatności określonych grup (np. dzieci, osób z niepełnosprawnością) w sposób mogący wyrządzić szkodę.

• Kategoryzację biometryczną z użyciem tzw. danych wrażliwych (np. pochodzenie etniczne, poglądy polityczne, orientacja seksualna).

• Rozpoznawanie emocji w miejscu pracy i placówkach edukacyjnych.

• Budowanie baz twarzy poprzez nieukierunkowane pozyskiwanie obrazów z internetu lub monitoringu.

• Zdalną identyfikację biometryczną w czasie rzeczywistym w przestrzeni publicznej przez organy ścigania – co do zasady zakazaną, z bardzo wąskimi wyjątkami.

Wyjątki dla identyfikacji biometrycznej w czasie rzeczywistym są ściśle ograniczone i możliwe wyłącznie po spełnieniu rygorystycznych warunków (np. wcześniejsza zgoda sądu lub innego uprawnionego organu, ograniczenie miejsca i czasu, nadzór człowieka, rejestry użycia). Obejmują sytuacje takie jak poszukiwanie osób zaginionych lub zapobieganie poważnemu, konkretnemu zagrożeniu. W praktyce państwa członkowskie wprowadzają mechanizmy kontroli, a odpowiednie organy działają we sprawach leżących w ich kompetencjach, aby pilnować proporcjonalności i legalności.

Co nie jest zakazane, ale wymaga przejrzystości?

Obowiązki w zakresie przejrzystości dotyczą m.in. generowania treści przez modele AI ogólnego przeznaczenia (np. deepfake, imitacje głosu/wizerunku). W przypadku takich modeli użytkownicy muszą być odpowiednio informowani w celu zapewnienia świadomego odbioru i bezpiecznego korzystania. To element szerszych zasad zarządzania ryzykiem w zakresie AI, które ograniczają ryzyko systemowe i porządkują odpowiedzialność dostawców systemów AI.

Konsekwencje naruszeń

Za najpoważniejsze naruszenia AI Act (zwłaszcza dotyczące katalogu zakazów) grożą najwyższe kary administracyjne w całym akcie. Egzekwowanie nadzoruje sieć organów krajowych koordynowana przez Komisję Europejską oraz Europejski Urząd ds. Sztucznej Inteligencji, z naciskiem na spójne stosowanie przepisów na rynku UE.

Jak wyznaczyć zakres odpowiedzialności dla modeli AI

Modele AI ogólnego przeznaczenia (GPAI) to takie modele, które mogą być wykorzystywane w wielu kontekstach – od chatbotów, przez generowanie obrazu i dźwięku, po integracje w produktach SaaS. AI Act rozróżnia role w łańcuchu: dostawców modeli (tworzą/udostępniają parametry i wagi) oraz dostawców systemów AI (integrują model w konkretnym zastosowaniu).

Aby właściwie przypisać obowiązki, zastosuj trzy kroki:

• Zidentyfikuj rolę i zasięg – czy występujesz jako provider, integrator czy dystrybutor w zakresie systemów sztucznej inteligencji na rynku UE.

• Określ profil ryzyka – przeanalizuj wpływ GPAI na prawa podstawowe, bezpieczeństwo i zgodność, w tym potencjalny efekt „downstream” u klientów (np. użycie w systemach AI wysokiego ryzyka).

• Zmapuj przepływy danych – udokumentuj źródła, proces trenowania modelu, ograniczenia i licencje (w tym prawa pokrewne) w celu zapewnienia przejrzystości.

Obowiązki dostawców GPAI: przejrzystość, dokumentacja, zarządzanie ryzykiem

Dla podmiotów rozwijających lub udostępniających GPAI kluczowe są wymogi w zakresie przejrzystości, jakości danych i kontroli ryzyka. Minimum to:

• Szczegółowa dokumentacja i odpowiednia dokumentacja techniczna – opis architektury, danych, metryk jakości, ograniczeń, benchmarków, procesu aktualizacji oraz polityk monitorowania po wdrożeniu.

• Informacje dla użytkowników – jasne instrukcje integracji w zakresie AI, ostrzeżenia o ograniczeniach (np. halucynacje), wskazanie obszarów, w których konieczna jest kontrola człowieka.

• Zasady zarządzania i analiza ryzyka – identyfikacja scenariuszy nadużyć, wdrożenie odpowiednich środków (filtry treści, „guardraile”, polityki moderacji), ocena wpływu na osoby fizyczne i interes publiczny.

• Transparentność treści syntetycznych – etykietowanie deepfake’ów oraz imitacji głosu/obrazu, tak aby odbiorcy wiedzieli, że mają do czynienia z treścią generowaną przez AI w zakresie korzystania.

• Współpraca z nadzorem – gotowość do kontaktu z odpowiednimi organami, w tym przekazywanie wymaganych informacji na żądanie i przestrzeganie zaleceń państw członkowskich.

W przypadku wykorzystania GPAI w obszarach o podwyższonym wpływie (np. miejsce pracy, opieka zdrowotna, infrastruktura krytyczna, dostęp do podstawowych usług prywatnych) należy sprawdzić, czy implementacja nie powoduje, że powstaje system AI wysokiego ryzyka – wtedy uruchamia się pełny reżim dla systemów sztucznej inteligencji o takim profilu.

Code of Practice i rozwój odpowiedzialny: kiedy warto

AI Act przewiduje mechanizmy „miękkiego” dostosowania dla GPAI, które pomagają szybciej osiągnąć zgodność i uporządkować procesy w zakresie AI:

• Code of Practice – dobrowolne kodeksy branżowe uspójniają praktyki (np. standardy raportowania, benchmarki, polityki bezpieczeństwa) i ujednolicają dowody zgodności jeszcze przed formalnym audytem.

• Piaskownice regulacyjne – kontrolowane środowiska testowe prowadzone przez organy w Unii Europejskiej, które pozwalają próbnie wdrażać innowacje i uzyskać feedback nadzorczy bez pełnego ryzyka rynkowego (szczególnie cenne dla projektów w fazie badań naukowych).

• Ład danych i licencji – jasno udokumentowane pochodzenie i zakres uprawnień, w tym respektowanie praw pokrewnych, ogranicza ryzyka prawne i operacyjne.

Dojrzały program GPAI łączy elementy techniczne (dane, metryki, testy), organizacyjne (role, procesy), prawne (licencje, polityki) i nadzorcze (kontakt z Komisją Europejską/Europejskim Urzędem ds. Sztucznej Inteligencji), tak aby zmniejszyć ryzyko systemowe i ryzyko kar administracyjnych w razie naruszeń AI Act.

VI. Systemy AI wysokiego ryzyka – jak sprawdzić, czy dotyczą Twojego rozwiązania

Kryteria kwalifikacji (załączniki) i typowe use case’y

AI Act (unijne rozporządzenie w sprawie sztucznej inteligencji) wskazuje kategorie zastosowań, które zwykle klasyfikują się jako systemy AI wysokiego ryzyka. W praktyce sprawdź, czy Twój przypadek użycia dotyczy m.in.:

• Infrastruktury krytycznej (energetyka, transport, łańcuch dostaw), gdzie błąd AI grozi poważnymi skutkami dla bezpieczeństwa osób i usług.

• Opieki zdrowotnej (diagnoza, triage, priorytetyzacja), w tym komponentów w wyrobach medycznych.

• Dostępu do podstawowych usług prywatnych (np. skoring kredytowy, ubezpieczenia), gdzie rozstrzygnięcia wpływają na prawa podstawowe osób fizycznych.

• Zarządzania pracą i rekrutacją (miejsce pracy: preselekcja CV, ocena efektywności, harmonogramy).

• Edukacji i oceny (proktoring, klasyfikacja wyników), zwłaszcza gdy decyzje AI oddziałują na dalszą ścieżkę życiową.

• Egzekwowania prawa, migracji i kontroli granicznej (z ograniczeniami i w określonych wyjątkach), gdzie wymagane są szczególne gwarancje.

• Identyfikacji i analizy biometrycznej – w tym zastosowań w czasie rzeczywistym w przestrzeni publicznej (co do zasady podlegają bardzo ostrym ograniczeniom).

Jeśli Twój use case mieści się w tej liście lub dotyczy komponentu bezpieczeństwa produktu sektorowego, prawdopodobnie obowiązuje reżim wysokiego ryzyka. Gdy masz wątpliwości co do kwalifikacji systemów sztucznej inteligencji, sprawdź, czy AI podejmuje lub kształtuje decyzje o znaczącym wpływie na ludzi albo na usługi o istotnym znaczeniu społecznym na rynku UE.

Rdzeń wymagań: dokumentacja, rejestrowanie, nadzór człowieka i zgodność CE

Po zakwalifikowaniu rozwiązania do kategorii „high-risk” uruchamiają się kluczowe obowiązki dla dostawców systemów AI oraz podmiotów stosujących systemy AI:

• System zarządzania ryzykiem – ciągła analiza ryzyka (w tym ryzyka błędnej klasyfikacji, uprzedzeń, odporności), środki prewencyjne i korekcyjne (odpowiednie środki).

• Jakość danych i dokumentacja – kompletna dokumentacja techniczna (źródła danych, etapy trenowania modelu, walidacja, metryki, ograniczenia, scenariusze nadużyć) oraz jasne instrukcje w zakresie korzystania.

• Rejestrowanie zdarzeń i monitorowanie – logi umożliwiające odtworzenie decyzji, monitorowanie po wdrożeniu, mechanizmy zgłaszania incydentów do właściwych organów krajowych.

• Nadzór człowieka – jasno opisane punkty kontroli i możliwość interwencji/wyłączenia; procedury eskalacji dla operatorów.

• Spójność z prawami podstawowymi – ocena wpływu na niedyskryminację, przejrzystość i wyjaśnialność decyzji.

• Ocena zgodności i oznakowanie CE – odpowiednia ścieżka oceny (niekiedy z udziałem jednostek notyfikowanych), deklaracja zgodności oraz gotowość do kontroli przez odpowiednie organy.

• Przejrzystość i informowanie – jasne instrukcje dla użytkowników końcowych w celu zapewnienia właściwego i bezpiecznego użycia.

Naruszenie tych wymagań może prowadzić do dotkliwych kar administracyjnych za poważne naruszenia AI Act, dlatego warto z góry zaprojektować procesy pod zgodność i audytowalność.

DPIA i zgodność z RODO – o analizie ryzyka i bezpieczeństwie danych

W wielu wdrożeniach „high-risk” niezbędne jest zsynchronizowanie AI Act z przepisami o ochronie danych:

• DPIA / ocena skutków dla ochrony danych – gdy przetwarzanie dotyczy danych osobowych, DPIA wspiera ramy prawne i uzupełnia wymogi AI (np. w skoringu kredytowym czy systemach w miejscu pracy).

• Zakres przejrzystości – zgodne informowanie użytkowników i osób, których dane dotyczą, o roli AI, ryzykach i ograniczeniach (także w przypadku modeli zasilających usługę).

• Zasady zarządzania danymi – retencja, minimalizacja, kontrola dostępu, testy odporności; procedury reagowania na incydenty.

• Rola organów i koordynacja – współpraca z właściwymi organami krajowymi, a w razie potrzeby z Komisją Europejską/Europejskim Urzędem ds. SI (koordynacja między państwami członkowskimi).

• Innowacje pod nadzorem – dla nowych rozwiązań warto rozważyć testy w piaskownicach regulacyjnych, zwłaszcza przy projektach badań naukowych i złożonych modeli AI/narzędzi AI.

Dobrą praktyką jest łączenie wymogów „high-risk” z programem AI literacy (systemowe podniesienie kompetencji pracowników) oraz spójną polityką dowodową (rejestry decyzji, audyty, wersjonowanie modeli). To upraszcza współpracę z nadzorem, minimalizuje ryzyko ryzyka systemowego i ułatwia wykazanie zgodności na terenie UE.

Widełki kar administracyjnych i czynniki zaostrzające

AI Act przewiduje zróżnicowane kary administracyjne zależne od wagi naruszenia i skali działalności na rynku UE:

• Zakazane praktyki (np. manipulacja, social scoring) – do 35 mln € lub 7% światowego obrotu (w zależności od tego, która kwota jest wyższa).

• Inne naruszenia przepisów AI Act (np. brak wymaganych środków dla systemów AI wysokiego ryzyka, braki w dokumentacji technicznej) – do 15 mln € lub 3% obrotu.

• Wprowadzanie organów w błąd (np. nieprawdziwe informacje przekazane właściwym organom krajowym) – do 7,5 mln € lub 1% obrotu.

Na wymiar kary wpływają m.in.: skala oddziaływania na osoby fizyczne i prawa podstawowe, powtarzalność naruszeń, brak odpowiednich środków ograniczania ryzyka, zaniedbania w monitorowaniu oraz to, czy podmiot współpracuje z odpowiednimi organami i szybko usuwa niezgodności. Organy biorą pod uwagę również, czy działasz w obszarach wrażliwych (np. infrastruktura krytyczna, opieka zdrowotna, dostęp do podstawowych usług prywatnych) oraz czy nieprawidłowości dotyczyły zastosowań w czasie rzeczywistym w przestrzeni publicznej.

W egzekwowaniu uczestniczą państwa członkowskie (sieć nadzorcza), Komisja Europejska i Europejski Urząd ds. Sztucznej Inteligencji – koordynując działania we sprawach leżących w ich kompetencjach i zapewniając spójność stosowania przepisów na terenie UE.

Pierwsze kontrole: jakie dokumenty i dowody przygotować

Aby zminimalizować ryzyko naruszeń AI Act i wykazać zgodność, przygotuj zestaw „dowodów gotowości” do okazania podczas kontroli:

• Rejestr zastosowań: lista systemów AI i narzędzi AI, ich cel, właściciel procesu, środowisko użycia (miejsce pracy / przestrzeń publiczna / back-office), status ryzyka oraz mapa przepływów danych.

• Analiza ryzyka i governance: aktualna analiza ryzyka (w tym potencjalne ryzyko systemowe), polityki i zasady zarządzania, procedury reagowania, wyniki przeglądów.

• Dokumentacja techniczna: kompletna, odpowiednia dokumentacja techniczna (architektura, dane, metryki, ograniczenia, proces trenowania modelu, testy bezpieczeństwa) oraz instrukcje w zakresie korzystania.

• High-risk readiness: dla systemów sztucznej inteligencji zaklasyfikowanych jako wysokiego ryzyka – ścieżka oceny zgodności (w tym, gdy wymagane, udział jednostek notyfikowanych), rejestrowanie zdarzeń, mechanizmy nadzoru człowieka, procedury zgłaszania incydentów właściwym organom krajowym.

• Przejrzystość i GPAI: dla modeli AI ogólnego przeznaczenia – pakiet w zakresie przejrzystości: opisy ograniczeń, etykietowanie treści syntetycznych, informacje w celu zapewnienia świadomego użycia, poszanowanie praw pokrewnych.

• Kompetencje zespołu: plan AI literacy i materiały szkoleniowe służące podniesieniu kompetencji pracowników (role-based), harmonogram szkoleń i listy obecności.

• Ścieżka ciągłego doskonalenia: wyniki audytów wewnętrznych, poprawki po incydentach, udział w piaskownicach regulacyjnych lub projektach badań naukowych – z wykazaniem, jak w praktyce przekłada się to na zgodność i redukcję ryzyka.

Dobrze ułożony pakiet dowodowy skraca postępowania, buduje zaufanie nadzoru i pozwala uniknąć eskalacji kar – szczególnie gdy wykazujesz proaktywność i realne działania naprawcze, a nie tylko formalne deklaracje.

1) Inwentaryzacja i mapowanie zastosowań AI

Zbierz pełną listę systemów AI i narzędzi AI używanych w organizacji (własnych i dostawców) na terenie UE. Dla każdego przypadku użycia zapisz: cel, dane wejściowe/wyjściowe, użytkowników, wpływ na osoby fizyczne, proces decyzyjny oraz miejsce użycia (miejsce pracy / przestrzeń publiczna / back-office). Oznacz, czy rozwiązanie to modele AI ogólnego przeznaczenia, komponent produktu sektorowego, czy kandydat do kategorii systemów AI wysokiego ryzyka. To punkt wyjścia do spełnienia wymogów AI Act „w sprawie sztucznej inteligencji”.

2) Screening zakazów oraz priorytety wdrożenia

Zweryfikuj, czy żaden use-case nie podpada pod praktyki zakazane (np. social scoring, zdalna identyfikacja biometryczna w czasie rzeczywistym, poza pewnymi wyjątkami w interesie publicznym). Nadaj priorytety: 1) eliminacja ryzyk nieakceptowalnych, 2) doprowadzenie do zgodności przypadków istotnych (np. infrastruktura krytyczna, opieka zdrowotna, dostęp do podstawowych usług prywatnych), 3) porządki „downstream” u klientów. Każdy wniosek udokumentuj – to ogranicza ryzyko naruszeń AI Act.

3) Program szkoleń i standardy pracy z AI (operacyjne)

Zaprojektuj program ai literacy – scala podniesienie kompetencji pracowników z praktyką. Zdefiniuj role i obowiązki podmiotów stosujących systemy AI: kto zatwierdza modele, kto nadzoruje wyniki, kto reaguje na incydenty. Wprowadź minimalne zasady: walidacja danych, testy bezpieczeństwa, zasady publikacji treści syntetycznych w zakresie przejrzystości, protokół eskalacji oraz monitorowanie po wdrożeniu.

4) Due diligence dostawców modeli i postanowienia umowne

Dla dostawców modeli i dostawców systemów AI stosuj listę kontrolną: pochodzenie danych i trenowanie modelu, licencje (w tym prawa pokrewne), zakres wsparcia, aktualizacje, szczegółową dokumentację/odpowiednią dokumentację techniczną, mechanizmy ograniczania ryzyka i kanał do zgłaszania incydentów. W umowach uwzględnij obowiązki informacyjne „w celu zapewnienia” przejrzystości, audytowalność, prawo do testów oraz współpracę z właściwymi organami krajowymi. W razie wątpliwości korzystaj z piaskownic regulacyjnych.

5) Transparentność treści syntetycznych i etykietowanie

Jeśli generujesz treści przy użyciu modeli AI ogólnego przeznaczenia, oznaczaj deepfake/klon głosu/wizerunku; opublikuj krótką notę „w zakresie korzystania” i ograniczeń. Uporządkuj politykę informacyjną w zakresie AI: kiedy i jak ostrzegasz użytkowników; jakie są ograniczenia modeli; jak wygląda nadzór człowieka. To istotny element ram prawnych oraz praktyczny wymóg w sprawie sztucznej inteligencji.

6) Plan wdrożenia pod 2.08.2026 (governance, logi, audyty)

Dla rozwiązań w kategorii wysokiego ryzyka zbuduj harmonogram: system zarządzania ryzykiem, kontrola jakości danych, kompletna dokumentacja techniczna, rejestrowanie zdarzeń i monitorowanie, nadzór człowieka, ścieżka oceny zgodności (w razie potrzeby z udziałem jednostek notyfikowanych) i oznakowanie CE. Zaplanuj kontakt roboczy z Europejskim Urzędem ds. Sztucznej Inteligencji/Komisją Europejską (koordynacja przez państwa członkowskie) „we sprawach leżących” w ich kompetencjach. Ustal cykl przeglądów, aby nie dopuścić do kar administracyjnych.

7) Zgranie z RODO: podstawy prawne, retencja, minimalizacja

Połącz AI Act z ochroną danych: przeprowadź DPIA przy przetwarzaniu danych osobowych, uściślij podstawy prawne, retencję i minimalizację. W procedurach uwzględnij prawa jednostki, ścieżkę odpowiedzi na żądania oraz mechanizmy wyjaśniania decyzji. Dla zastosowań sektorowych (np. kontrola graniczna czy edukacja) zachowaj spójność z prawem branżowym. Ta warstwa porządkuje zakresie systemów sztucznej inteligencji i wzmacnia dowody zgodności „na rynku UE”.

Efekt 90-dniowego programu: uporządkowane ramy prawne, realne odpowiednie środki ograniczania ryzyka, gotowy pakiet dowodowy i mniejsze prawdopodobieństwo naruszeń AI Act – zarówno w fazie projektowej, jak i operacyjnej.

Finexis – audyt finansów, porządkowanie procesów i raportowanie

Finexis – Nowoczesna Księgowość Spółek Online łączy ekspercką księgowość z technologią, żeby uporządkować operacje i dokumentację niezbędną do bezpiecznego prowadzenia biznesu. W praktyce oferujemy m.in.:

• Rzetelną księgowość spółek oraz kadry i płace, w tym reprezentację przed US i ZUS.

• Wsparcie prawno-podatkowe w obszarach księgowych (audyt księgowy i kadrowo-płacowy, tworzenie i weryfikacja dokumentacji, dobór formy prawnej).

• Pracę na intuicyjnej aplikacji z dostępem 24/7 do danych finansowych, monitoringiem zobowiązań i należności, automatyczną „miękką” windykacją oraz zbiorczym opłacaniem faktur.

To zaplecze ułatwia utrzymanie porządku w dokumentach i szybkie przygotowanie zestawień czy raportów potrzebnych w procesach zgodności (np. rejestry, raporty finansowe, obieg dokumentów). Jednocześnie pozostajemy biurem księgowym – nie świadczymy usług doradztwa prawnego w zakresie AI Act.

Altera.app – obieg dokumentów, automaty i kontroling w jednym miejscu

Altera.app wspiera codzienną pracę zespołów finansowych:

• Monitoring zobowiązań i należności oraz zbiorcze opłacanie faktur (paczki przelewów).

• Automatyczna „miękka” windykacja.

• Elektroniczny obieg dokumentów, uprawnienia użytkowników, komentarze i kategoryzacja.

• Inteligentny OCR i szybkie przetwarzanie faktur; cyfrowe archiwum z autokategoryzacją.

• Podgląd sytuacji finansowej i raporty dostępne 24/7.

Dzięki temu łatwiej utrzymać spójny obieg dokumentów, mieć wgląd w dane finansowe i szybciej przygotowywać materiały operacyjne (zestawienia, logi zmian, komentarze). To wsparcie dla porządku organizacyjnego – nie zastępuje ono wyspecjalizowanych narzędzi ani doradztwa prawnego w obszarze AI Act.

Finexis zapewnia stabilne zaplecze księgowo-kadrowe i raportowe, a Altera.app porządkuje obieg dokumentów i automatyzuje powtarzalne zadania. W efekcie: mniej pracy ręcznej, lepszy dostęp do danych i łatwiejsze przygotowanie materiałów dowodowych potrzebnych zarządom i audytorom.

AI Act porządkuje ramy prawne w sprawie sztucznej inteligencji i wprowadza jednolite zasady na rynku UE: od eliminacji praktyk zakazanych, przez przejrzystość modeli AI ogólnego przeznaczenia, po pełny reżim dla systemów AI wysokiego ryzyka. Kluczem do zgodności jest praktyka: rzetelna analiza ryzyka, kompletna dokumentacja techniczna, jasne zasady zarządzania, szkolenia (AI literacy) oraz operacyjne monitorowanie. Dobrze poukładane procesy ograniczają ryzyko systemowe, chronią prawa podstawowe osób fizycznych i ułatwiają przejście przez ewentualne postępowania oraz uniknięcie kar administracyjnych.

W najbliższych miesiącach warto domknąć inwentaryzację systemów sztucznej inteligencji, urealnić polityki przejrzystości w celu zapewnienia świadomego korzystania, a tam, gdzie to konieczne, przygotować ścieżkę oceny zgodności (w tym współpracę z jednostkami notyfikowanymi i właściwymi organami krajowymi). Dzięki temu „życie AI Act” stanie się przewidywalnym standardem, a nie źródłem gaszenia pożarów.