PL | ES | EN

AI Act dla przedsiębiorców

Pomagamy wdrażać AI zgodnie z prawem, tak aby chronić biznes, zarząd i tempo rozwoju produktów.

AI Act dla przedsiębiorców

Marki, z którymi pracowaliśmy

1koszyk
Adresowo
AnyPark
Atomstore
Autopay
Baselinker
BMG Goworowski
Booksy
Booste
Bratna
Cashbene
Codility
DPay
EasySend
Fenalabs
Fenige
FiberPay
Happy Birds

zakres AI Act: role, ryzyko i sankcje

AI Act działa eksterytorialnie: jeśli system AI działa na rynku UE albo jego wyniki są wykorzystywane w UE, regulacja może mieć zastosowanie niezależnie od kraju siedziby podmiotu.

Dostawca (provider)

Tworzy lub zleca stworzenie systemu AI i wprowadza go na rynek pod własną marką.

Najszerszy zakres obowiązków i dokumentacji.

Podmiot wdrażający (deployer)

Używa systemu AI w działalności zawodowej i odpowiada za sposób operacyjnego wykorzystania.

Kluczowe: nadzór ludzki, monitoring, ocena wpływu na prawa podstawowe (FRIA) w wymaganych przypadkach.

Importer / Dystrybutor

Wprowadza do UE systemy AI spoza Unii albo dalej je dystrybuuje.

Wymaga kontroli łańcucha dostaw i dokumentacji producenta.

Dostrajający model (fine-tuner)

Dostosowuje model AI do konkretnego zastosowania biznesowego.

W praktyce może przejąć status dostawcy nowego systemu.

Jeśli Twój system AI profiluje osoby fizyczne i mieści się w załączniku III — jest automatycznie high-risk. Nie można skorzystać z wyjątku z art. 6 ust. 3, który łagodzi obowiązki dla innych systemów.

Zakazane

Praktyki niedopuszczalne (np. punktowanie obywateli, manipulacja podprogowa, część zastosowań biometrii).

Konsekwencja: natychmiastowe wycofanie i najwyższe kary finansowe.

High-risk

Systemy wpływające na prawa podstawowe, bezpieczeństwo lub istotne decyzje o osobach.

Konsekwencja: pełny pakiet wymogów z art. 8-17 i ocena zgodności.

Limited-risk

Chatboty, deepfake, systemy generatywne i inne obszary transparentności.

Konsekwencja: obowiązki informacyjne i oznaczanie treści AI.

Minimal-risk

Brak dedykowanych obowiązków sektorowych poza kompetencjami AI i dobrymi praktykami zarządzania.

Konsekwencja: podstawowe zasady kontroli i szkolenia użytkowników.

Sankcje: jakie ryzyko ponosi zarząd i spółka

  • Do 35 mln EUR lub 7% globalnego obrotu - za praktyki zakazane.
  • Do 15 mln EUR lub 3% globalnego obrotu - za naruszenia wymogów systemów high-risk.
  • Do 20 mln EUR lub 4% globalnego obrotu - m.in. za naruszenia obowiązków transparentności.

Stan prawny/materiał: 19 lutego 2026 r.

klasyfikacja ryzyka i GPAI

Klasyfikacja decyduje o budżecie, tempie wdrożenia i poziomie odpowiedzialności organizacji. Największy koszt to błędna kwalifikacja systemu.

Zakazane

Wykrywamy praktyki, które trzeba wyłączyć z użycia, aby nie wejść w obszar bezpośredniego naruszenia art. 5.

High-risk

Mapujemy system do wymogów art. 8-17: ocena zgodności, logowanie, nadzór ludzki i kontrola jakości.

Limited-risk

Projektujemy transparentność dla chatbotów, treści syntetycznych i interfejsów, które oddziałują na użytkownika.

Minimal-risk

Budujemy lekki model zarządzania: rejestr AI, zasady użycia i mechanizm zgłaszania incydentów oraz nieautoryzowanego korzystania z AI.

Checklista transparentności

Chatbot

Użytkownik musi wiedzieć, że komunikuje się z AI.

Deepfake / treść syntetyczna

Treści wymagają czytelnego oznaczenia i zasad publikacji.

Znakowanie treści AI

Dla treści generowanych przez AI przygotowujemy techniczne i operacyjne standardy oznaczania.

wdrożenie AI Act: etapy 0-9

Pracujemy w 10 etapach. Każdy kończy się dokumentem, który można pokazać regulatorowi, audytorowi i zarządowi.

Etap 0

Stosowalność i role

Sprawdzamy, czy organizacja podlega AI Act i w jakiej roli — robimy inwentaryzację systemów AI, kwalifikujemy zastosowania i przypisujemy role regulacyjne.

Powstają rejestr systemów AI i karta kwalifikacyjna organizacji.

Etap 1

Klasyfikacja i praktyki zakazane

Określamy poziom ryzyka każdego systemu AI i eliminujemy praktyki zakazane — analizujemy załącznik III, weryfikujemy art. 5, kwalifikujemy profilowanie i mapujemy obowiązki przejrzystości.

Powstają opinia klasyfikacyjna, matryca kategorii ryzyka i raport statusu GPAI.

Etap 2

Obowiązki high-risk

Budujemy zgodność systemów wysokiego ryzyka — wdrażamy zarządzanie ryzykiem, nadzór nad danymi, dokumentację techniczną, nadzór ludzki, cyberbezpieczeństwo i ocenę zgodności.

Powstają pakiet zgodności high-risk i ścieżka deklaracji UE.

Etap 3

GPAI

Wdrażamy obowiązki dla modeli ogólnego przeznaczenia (GPAI) i ich integratorów: dokumentację wg załączników XI/XII, politykę praw autorskich, podsumowanie danych treningowych, a przy ryzyku systemowym także ewaluacje i raportowanie incydentów.

Powstaje pakiet zgodności GPAI.

Etap 4

Transparentność

Wdrażamy wymagane komunikaty dla użytkowników i odbiorców treści AI — projektujemy informacje dla chatbotów i deepfake, standard znakowania treści AI oraz procedury publikacji.

Powstają pakiet komunikatów przejrzystości i specyfikacja znakowania treści.

Etap 5

Zarządzanie AI i ocena wpływu

Ustawiamy odpowiedzialność wewnętrzną i model zarządzania AI — powołujemy osobę lub komitet ds. AI, piszemy polityki użycia i zakupów, weryfikujemy dostawców, a tam gdzie wymaga tego prawo, przygotowujemy ocenę wpływu na prawa podstawowe (FRIA).

Powstają model zarządzania AI i raport oceny wpływu (FRIA).

Etap 6

Integracja regulacyjna

Łączymy AI Act z istniejącymi obowiązkami sektorowymi i cyberbezpieczeństwa — spinamy go z RODO, DORA, NIS2, MiCA/PSD2/AML oraz CRA/DSA i porządkujemy jedną listę zadań zgodności.

Powstają matryca regulacyjna i plan utrzymania zgodności.

Etap 7

AI literacy

Budujemy kompetencje zespołów zgodnie z art. 4 AI Act — przygotowujemy matrycę szkoleń dla zarządu, działu zgodności, zespołu technicznego, HR, sprzedaży i całej organizacji.

Powstają program kompetencji AI, rejestr szkoleń i certyfikaty.

Etap 8

Monitoring i incydenty po wdrożeniu

Utrzymujemy zgodność po uruchomieniu systemu w produkcji — prowadzimy stały monitoring, procedurę zgłaszania incydentów, kwartalne raporty i ocenę wpływu zmian.

Powstają plan monitoringu po wdrożeniu i procedura zgłaszania incydentów.

Etap 9

Audyt i przewaga rynkowa

Przechodzimy od listy obowiązków do trwałej przewagi w sprzedaży i weryfikacji partnerów — przygotowujemy gotowość do kontroli, plan audytu, wsparcie certyfikacyjne i materiały budujące zaufanie do AI.

Powstają roczny raport audytowy AI i pakiet dowodów zgodności.

harmonogram AI Act

W planowaniu budżetu i priorytetów liczą się konkretne daty. Poniżej punkty, które najczęściej determinują kolejność projektu wdrożeniowego.

2 lutego 2025

Start zakazu praktyk niedopuszczalnych (art. 5) oraz obowiązku AI literacy (art. 4).

2 sierpnia 2025

Wejście obowiązków dla dostawców GPAI i uruchomienie mechanizmów nadzorczych.

2 sierpnia 2026

Kluczowy termin: szeroki zakres obowiązków dla systemów high-risk i przejrzystości oraz pełne egzekwowanie przepisów.

2 sierpnia 2027

Dalsze obowiązki dla systemów high-risk z załącznika I i domknięcie przepisów przejściowych dla modeli ogólnego przeznaczenia (GPAI).

31 grudnia 2030

Ostateczny termin dla wybranych wielkoskalowych systemów AI z załącznika X.

Stan prawny/materiał: 19 lutego 2026 r.

integracja AI Act z innymi regulacjami

Jedno spójne wdrożenie łączące kilka regulacji jest tańsze i bezpieczniejsze niż prowadzenie osobnych projektów zgodności.

AI Act + RODO

Łączymy ocenę ryzyka AI z oceną skutków dla ochrony danych (DPIA), profilowaniem i art. 22 RODO, aby uniknąć sprzeczności między ochroną prywatności a zarządzaniem AI.

AI Act + DORA

Wpinamy systemy AI do zarządzania ryzykiem IT, testów odporności i planów ciągłości operacyjnej.

AI Act + NIS2

Synchronizujemy cyberbezpieczeństwo, zarządzanie łańcuchem dostaw oraz raportowanie incydentów.

AI Act + MiCA / PSD2 / AML

Dla fintechów klasyfikujemy AI w procesach oceny ryzyka klienta, przeciwdziałania praniu pieniędzy (AML/KYC) i wykrywania oszustw jako potencjalnie high-risk.

AI Act + CRA / DSA

Porządkujemy wymagania cyber produktu i transparentności algorytmów w kanałach platformowych.

zarządzanie AI i kompetencje zespołu

Skuteczne wdrożenie AI Act wymaga stałej struktury decyzyjnej, polityk operacyjnych i planu szkoleń dla całej organizacji.

Struktura odpowiedzialności

  • Osoba lub komitet ds. AI na poziomie zarządu
  • Jasny podział odpowiedzialności za decyzje produktowe, prawne i bezpieczeństwa
  • Regularne raportowanie ryzyk AI do zarządu

Pakiet polityk

  • Polityka zarządzania AI
  • Zasady dopuszczalnego użycia AI
  • Polityka zakupów systemów AI
  • Model oceny dostawców AI

Ocena dostawców AI

  1. Ocena roli dostawcy i podziału odpowiedzialności AI Act
  2. Weryfikacja dokumentacji technicznej, logowania i nadzoru ludzkiego
  3. Ocena kontraktowa (SLA, własność intelektualna, odpowiedzialność, klauzule incydentowe)
  4. Decyzja o uruchomieniu lub odrzuceniu i monitoring po wdrożeniu

Jeśli masz już polityki — dopinamy je do jednego modelu operacyjnego i porządkujemy dokumentację pod kontrolę regulatora.

Umów kwalifikację projektu

Skontaktuj się w sprawie AI Act

Podczas pierwszej rozmowy ustalimy, na jakim etapie jesteś: diagnoza, wdrożenie dla systemów wysokiego ryzyka czy utrzymanie zgodności po uruchomieniu.

Obsługą w zakresie AI Act kieruje:

Tomasz Klecor

Tomasz Klecor

Socio Director

Navegador FinTech. Jurista.

+48 797 711 924
info@legalgeek.pl

Opisz etap projektu

Napisz, czy potrzebujesz diagnozy AI Act, projektu wdrożenia dla systemów wysokiego ryzyka, czy modelu monitoringu i audytu rocznego.

Tus datos serán tratados conforme a nuestra política de privacidad.