EuroComply
Zarejestruj się
Back to blog
Przewodniki 8 min read

Pierwsze kroki w zakresie zgodności z Aktem o AI: Przewodnik dla początkujących

What you need to know: Pierwsze kroki w zakresie zgodności z Aktem o AI: Przewodnik dla początkujących

Zaczynasz z Aktem o AI UE? Ten praktyczny przewodnik dla początkujących przeprowadzi Cię przez pierwsze 90 dni: od inwentaryzacji, przez klasyfikację ryzyka, aż po dokumentację.

Source: EuroComply Editorial (2024-12-15)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Akt o AI UE (Rozporządzenie (UE) 2024/1689) jest już w mocy, a najważniejsze terminy dotyczące zgodności zbliżają się nieubłaganie. Jeśli dopiero zaczynasz przygodę z zapewnianiem zgodności w obszarze AI, to rozporządzenie może wydawać się przytłaczające — jest obszerne, technicznie złożone i odsyła do dziesiątek innych aktów prawnych UE.

Niniejszy przewodnik porządkuje tę złożoność, oferując praktyczny plan działania na 90 dni. Omawia, co wyzwala Twoje obowiązki, jak zbudować rejestr systemów AI, jak sklasyfikować systemy według ryzyka oraz co oznacza ta klasyfikacja w praktyce.

Co wyzwala Twoje obowiązki wynikające z Aktu o AI

Twoje obowiązki zależą od pełnionej roli. Rozporządzenie rozróżnia dostawców — organizacje, które opracowują i wprowadzają systemy AI na rynek — oraz podmioty wdrażające — organizacje, które używają systemów AI we własnej działalności.

Jeśli opracowujesz i sprzedajesz systemy AI lub budujesz systemy AI do wewnętrznego wdrożenia, jesteś dostawcą. Jeśli korzystasz z narzędzi AI zakupionych od dostawcy, zintegrowanych przez API lub wbudowanych w produkty SaaS, które nabyłeś, jesteś najprawdopodobniej podmiotem wdrażającym. Rozróżnienie to ma kluczowe znaczenie: dostawcy ponoszą podstawowe obowiązki w zakresie dokumentacji i oceny zgodności, natomiast podmioty wdrażające mają odmienny zestaw obowiązków skupionych na stosowaniu systemu zgodnie z przeznaczeniem, nadzorze ludzkim oraz ocenach skutków dla praw podstawowych w przypadku określonych wdrożeń wysokiego ryzyka.

Większość małych i średnich przedsiębiorstw oraz dużych firm niebędących firmami produktów AI będzie podmiotami wdrażającymi. Niniejszy przewodnik skupia się przede wszystkim na ścieżce podmiotu wdrażającego, wskazując miejsca, w których obowiązki dostawcy są inne.

Dwa obowiązki dotyczą już wszystkich: wymóg umiejętności w zakresie AI wynikający z artykułu 4 (obowiązujący od lutego 2025 r.) oraz zakaz określonych praktyk w zakresie AI wynikający z artykułu 5 (również obowiązujący od lutego 2025 r.). Nie można odraczać tych obowiązków w czasie porządkowania pozostałych kwestii.

Krok 1: Zbudowanie rejestru AI (tygodnie 1–2)

Nie można sklasyfikować tego, czego się nie zidentyfikowało. Zacznij od stworzenia kompletnego rejestru wszystkich systemów AI używanych przez Twoją organizację — zarówno systemów zbudowanych we własnym zakresie, jak i narzędzi zewnętrznych zawierających elementy AI.

Dla każdego systemu udokumentuj:

  • Nazwę i dostawcę — jak nazywa się system i kto go dostarcza
  • Cel — do czego służy system i która funkcja biznesowa z niego korzysta
  • Dane wejściowe — jakie dane osobowe, jeśli dotyczy, system przetwarza
  • Wpływ na decyzje — czy wynik działania systemu wpływa na decyzje dotyczące osób fizycznych?
  • Użytkowników — którzy pracownicy lub jednostki biznesowe korzystają z wyników systemu
  • Kontekst wdrożenia — czy system jest skierowany do klientów, stosowany wewnętrznie, czy w obu obszarach?

Typowe kategorie do skontrolowania: narzędzia HR i rekrutacji (systemy śledzenia kandydatów, weryfikacja CV, systemy oceny wyników), narzędzia skierowane do klientów (chatboty, silniki rekomendacji, personalizacja treści), narzędzia finansowe (decyzje kredytowe, wykrywanie oszustw, modele cenowe), narzędzia bezpieczeństwa (monitorowanie sieci, kontrola dostępu) oraz wszelkie wewnętrzne narzędzia produktywnościowe zawierające funkcje AI.

Rejestr ten będzie służył jako stały rejestr AI — dokument żywy, który musi być aktualizowany za każdym razem, gdy zostanie wdrożone nowe narzędzie AI lub gdy istniejące ulegnie istotnej zmianie.

Krok 2: Klasyfikacja ryzyka (tygodnie 3–4)

Mając rejestr, zastosuj czterostopniową strukturę ryzyka Aktu o AI do każdego systemu.

Po pierwsze, sprawdź artykuł 5 — listę zakazanych praktyk. Osiem kategorii AI jest całkowicie zakazanych w UE: manipulacja podprogowa, wykorzystywanie podatności, stosowanie przez organy publiczne systemów punktacji społecznej, biometryczna identyfikacja w czasie rzeczywistym w przestrzeni publicznej przez organy ścigania, kategoryzacja biometryczna w celu wnioskowania o atrybutach wrażliwych, rozpoznawanie emocji w miejscach pracy i placówkach edukacyjnych, bezcelowe masowe pozyskiwanie danych twarzy oraz predykcyjne profilowanie policytrybunalne. Jeśli jakikolwiek system w Twoim rejestrze przypomina te kategorie, niezwłocznie zasięgnij porady prawnej.

Po drugie, sprawdź Załącznik III — listę systemów wysokiego ryzyka. Obejmuje on osiem sektorów: biometrię, infrastrukturę krytyczną, edukację, zatrudnienie, usługi zasadnicze (kredyt, ubezpieczenia, świadczenia społeczne), egzekwowanie prawa, migrację i wymiar sprawiedliwości. Dla każdego systemu w rejestrze zadaj pytanie: czy działa w jednym z tych sektorów I czy podejmuje lub istotnie wpływa na decyzje dotyczące osób fizycznych? Jeśli tak, jest to system wysokiego ryzyka podlegający pełnemu reżimowi zgodności do 2 sierpnia 2026 r.

Po trzecie, sprawdź artykuł 50 — obowiązki w zakresie przejrzystości. Nawet systemy niebędące wysokiego ryzyka podlegają obowiązkom ujawnienia informacji, jeśli są chatbotami (użytkownicy muszą być poinformowani, że komunikują się z AI), generują treści syntetyczne (które muszą być oznakowane) lub wykorzystują rozpoznawanie emocji.

Wszystko pozostałe stanowi ryzyko minimalne — brak szczegółowych obowiązków poza wymogiem umiejętności w zakresie AI z artykułu 4.

Krok 3: Rozpoczęcie dokumentacji (tygodnie 5–8)

Dla każdego systemu AI wysokiego ryzyka znajdującego się w rejestrze rozpocznij proces dokumentacji zgodności. Podstawowe wymagania dokumentacyjne wynikające z artykułów 9–15 to:

  • System zarządzania ryzykiem (artykuł 9): udokumentowany, ciągły proces identyfikacji, oceny i ograniczania ryzyk
  • Zarządzanie danymi (artykuł 10): dokumentacja jakości danych treningowych, reprezentatywności i oceny stronniczości (głównie dla dostawców)
  • Dokumentacja techniczna (artykuł 11): obszerna dokumentacja zgodnie z Załącznikiem IV dotycząca projektu systemu, jego wydajności i ograniczeń
  • Rejestrowanie zdarzeń (artykuł 12): automatyczne rejestrowanie zdarzeń umożliwiające nadzór po wprowadzeniu do obrotu
  • Przejrzystość wobec podmiotów wdrażających (artykuł 13): instrukcje użytkowania obejmujące zamierzone przeznaczenie i ograniczenia
  • Nadzór ludzki (artykuł 14): udokumentowane mechanizmy nadzoru oraz możliwość interwencji człowieka

W przypadku podmiotów wdrażających korzystających z systemów AI wysokiego ryzyka dostarczanych przez strony trzecie, dostawca powinien dostarczyć dokumentację techniczną i instrukcje użytkowania. Twoim obowiązkiem jest upewnienie się, że takie dokumenty istnieją, są odpowiednie i że eksploatujesz system zgodnie z jego przeznaczeniem.

Krok 4: Ciągłe kształtowanie umiejętności w zakresie AI (w sposób ciągły)

Artykuł 4 zobowiązuje wszystkich dostawców i podmioty wdrażające do zapewnienia, aby ich pracownicy posiadali wystarczające umiejętności w zakresie AI. Nie jest to jednorazowe szkolenie — jest to obowiązek ciągły. Zbuduj program obejmujący: jakie systemy AI stosuje Twoja organizacja, jak działa każdy system na poziomie odpowiednim do roli pracownika, znane ograniczenia i tryby awarii, jak zgłaszać obawy oraz aktualizacje przy wdrażaniu nowych systemów.

Prowadź dokumentację. Krajowe organy nadzorcze będą wymagały dowodów na spełnienie wymogu umiejętności w zakresie AI. Udokumentowany program szkoleń z listami obecności stanowi minimalny standard.

Dostępne bezpłatne zasoby

Komisja Europejska i ENISA opublikowały dokumenty zawierające wytyczne wspierające zgodność. Europejskie Biuro ds. AI (działające w ramach Komisji) prowadzi portal wdrożeniowy Aktu o AI na stronie dotyczącej strategii cyfrowej Komisji Europejskiej. ENISA opublikowała metodologię oceny ryzyka AI. Europejska Rada Ochrony Danych (EROD) wydała wytyczne dotyczące relacji między RODO a AI. Krajowe organy właściwe w Polsce — Urząd Ochrony Danych Osobowych (UODO) — jest organem odpowiedzialnym za ochronę danych osobowych i wydaje interpretacje dotyczące przetwarzania danych w kontekście systemów AI.

Typowe błędy początkujących

Najczęstsze błędy na wczesnym etapie to: nieukończenie rejestru przed przystąpieniem do klasyfikacji (co prowadzi do pominięcia systemów); traktowanie stwierdzenia „nasz dostawca jest zgodny" jako wystarczającego, bez weryfikacji istnienia dokumentacji; odkładanie na później obowiązku kształtowania umiejętności w zakresie AI z artykułu 4, ponieważ wydaje się mniej pilny niż termin 2026 r.; oraz traktowanie klasyfikacji ryzyka jako jednorazowego ćwiczenia zamiast procesu wymagającego ponownej analizy przy zmianie systemów lub przypadków użycia. Klasyfikacja prawidłowo przeprowadzona w czwartym tygodniu będzie wymagała ponownej oceny przy wdrożeniu nowego narzędzia AI lub zastosowaniu istniejącego w nowym kontekście.


Ostatnia aktualizacja: maj 2026.

Często zadawane pytania

Korzystamy z funkcji AI wbudowanych w kupione oprogramowanie — czy mamy jakieś obowiązki?

Tak. Podmioty wdrażające systemy AI wysokiego ryzyka mają obowiązki wynikające z artykułu 26, nawet przy korzystaniu z systemu dostawcy zewnętrznego. Obejmują one: korzystanie z systemu wyłącznie zgodnie z przeznaczeniem określonym przez dostawcę; zapewnienie odpowiedniego nadzoru ludzkiego; rejestrację systemu w bazie danych UE przed wdrożeniem w kategoriach wskazanych w artykule 49; oraz przeprowadzenie ocen skutków dla praw podstawowych przed wdrożeniem określonych systemów z Załącznika III. Obowiązek umiejętności w zakresie AI z artykułu 4 ma zastosowanie niezależnie od tego, czy AI jest opracowana wewnętrznie, czy zakupiona od dostawcy.

Jak obsługiwać funkcje AI wbudowane w produkty takie jak Microsoft 365 lub Google Workspace?

Są to narzędzia ogólnego przeznaczenia, w których funkcje AI zostały wbudowane przez dostawcę podlegającego własnym obowiązkom wynikającym z Aktu o AI. W przypadku większości produktywnościowych funkcji AI (sugestie dotyczące pisania, streszczenia wiadomości e-mail, transkrypcja spotkań) poziom ryzyka jest minimalny lub ograniczony, a Twoje obowiązki dotyczą głównie umiejętności w zakresie AI z artykułu 4 oraz sprawdzenia, czy nie korzystasz z narzędzi w sposób stanowiący zakazane praktyki. Gdy narzędzia te są używane do generowania wyników wpływających na decyzje dotyczące osób fizycznych — oceny wyników, decyzje HR — należy ocenić, czy konkretny przypadek użycia tworzy wdrożenie wysokiego ryzyka wyzwalające obowiązki podmiotu wdrażającego z artykułu 26.

Jakie są sankcje za nieprzestrzeganie sierpniowego terminu 2026 r. dla systemów wysokiego ryzyka?

Naruszenie obowiązków dotyczących systemów AI wysokiego ryzyka wynikających z artykułów 9–15 podlega administracyjnym karom pieniężnym w wysokości do 15 milionów euro lub 3% całkowitego rocznego obrotu w skali światowej, w zależności od tego, która kwota jest wyższa, zgodnie z artykułem 99 ustęp 3. Wdrożenie zakazanego systemu AI w rozumieniu artykułu 5 podlega karom do 35 milionów euro lub 7% całkowitego rocznego obrotu w skali światowej. Krajowe organy właściwe zostały wyznaczone we wszystkich państwach członkowskich UE i budują zdolności egzekwowania przepisów. Europejskie Biuro ds. AI pełni bezpośrednią rolę nadzorczą wobec dostawców modeli AI ogólnego przeznaczenia i może koordynować działania egzekwujące.

Źródła

  • EUR-Lex, Rozporządzenie (UE) 2024/1689 (Akt o AI UE), pełny tekst wraz z Załącznikiem III i artykułem 26: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
  • Europejskie Biuro ds. AI, wytyczne dotyczące wdrożenia Aktu o AI: https://digital-strategy.ec.europa.eu/en/policies/european-ai-office
  • ENISA, metodologia oceny ryzyka AI: https://www.enisa.europa.eu/topics/artificial-intelligence
  • Europejska Rada Ochrony Danych (EROD), oświadczenie w sprawie relacji między AI a RODO: https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/statement-processing-personal-data-context-ai-models_en

Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. Przed podjęciem decyzji dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym.

Key takeaways: Pierwsze kroki w zakresie zgodności z Aktem o AI: Przewodnik dla początkujących

This article covers: Co wyzwala Twoje obowiązki wynikające z Aktu o AI, Krok 1: Zbudowanie rejestru AI (tygodnie 1–2), Krok 2: Klasyfikacja ryzyka (tygodnie 3–4).

  • Co wyzwala Twoje obowiązki wynikające z Aktu o AI
  • Krok 1: Zbudowanie rejestru AI (tygodnie 1–2)
  • Krok 2: Klasyfikacja ryzyka (tygodnie 3–4)
  • Krok 3: Rozpoczęcie dokumentacji (tygodnie 5–8)
  • Krok 4: Ciągłe kształtowanie umiejętności w zakresie AI (w sposób ciągły)
Source: EuroComply Editorial (2024-12-15)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.