Systemy wysokiego ryzyka AI Act – czy Twój biznes jest zagrożony?

AI Act wszedł w życie 1 sierpnia 2024 r. jako pierwsza kompleksowa regulacja sztucznej inteligencji w UE i – jako rozporządzenie – stosuje się bezpośrednio we wszystkich państwach członkowskich. Zapewne większość polskich firm nie podjęła specjalnych działań po wprowadzenie nowych przepisów już ponad półtora roku temu, sądząc mylnie, że ich to po prostu nie dotyczy. Z pewnością swoje dołożyła opieszałość w implementacji przepisów Rozporządzenie o Sztucznej Inteligencji do polskiego prawa. Prace nad ustawą o systemach sztucznej inteligencji wdrażającą unijne przepisy jednak gwałtownie przyspieszyły i projekt trafił wreszcie do Sejmu. Poza tym nie można zapominać, że AI Act jest rozporządzeniem, a więc jego przepisy obowiązują odgórnie państwa członkowskie, bez względu na wdrożenie ich w prawie krajowym.

Harmonogram stosowania AI Act – oś czasowa, której nie można ignorować

Wbrew wielu opiniom przedsiębiorców, którzy wolą nie martwić się na zapas, kwestia „odkładania na później” nie dotyczy tematu AI Act. Przepisy częściowo zaczęły wchodzić w życie 1 sierpnia 2024 r. i od tego czas unijne rozporządzenie obowiązuje również w Polsce. Nie jest prawdą, że AI Act dotyczy jedynie wielkich graczy, dlatego temat dostosowania się do przepisów unijnego rozporządzenia nie powinien być odkładany na później przez żadnego przedsiębiorcę, który stosuje choćby sporadycznie narzędzia oparte na modelu sztucznej inteligencji. Wszystko zależeć będzie tu od sposobu i celu użytkowania.

Kogo zatem, tak naprawdę, obowiązuje rozporządzenie o systemach sztucznej inteligencji i jakie są terminy wprowadzenia przepisów?     

Kogo i od kiedy obowiązuje AI Act?

Co do zasady AI Act obowiązuje wszystkie podmioty używające w jakiś sposób w celach zarobkowych systemów sztucznej inteligencji. Przede wszystkim sposób użycia systemów AI będzie decydował o tym, jakie przepisy rozporządzenia będą się z tym wiązać. Jak zatem przedstawia się harmonogram stosowania AI Act?

• 1 sierpnia 2024 r. – wejście w życie AI Act;
• 2 lutego 2025 r. – przepisy ogólne z rozdz. I-II, zakazy z art. 5, AI Literacy (art. 4);
• 2 sierpnia 2025 r. – przepisy dotyczące sztucznej inteligencji ogólnego przeznaczenia (modele GPAI), obowiązki spoczywające na dostawcach modeli AI ogólnego przeznaczenia, wyznaczenie organów nadzoru przez państwa członkowskie (Polska w tej kwestii ma opóźnienie);
• 2 sierpnia 2026 r. – wydaje się, że to data kluczowa dla przedsiębiorców, zaczynają obowiązywać przepisy dotyczące systemów AI wysokiego ryzyka zawarte w Załączniku III, przepisy dotyczące przejrzystości (art. 50), właściwie rozpoczyna się egzekwowanie AI Act na szczeblu krajowym i unijnym;
• 2 sierpnia 2027 r. – przepisy dotyczący systemów wysokiego ryzyka z załącznika I, czyli produktów regulowanych (np. maszyny i urządzenia, transport i motoryzacja, ochrona zdrowia i bezpieczeństwo, produkty konsumenckie). 

Data 2 sierpnia 2026 r. jest kluczowa dla obszarów związanych z działem HR, outsourcingiem, fintechem, ocena kredytów, świadczeń, rozpoznawaniem biometrycznym. Będą dotyczyć:

• dostawców AI, czyli providers;
• użytkowników AI, czyli deployers – będą to np. pracodawcy, firmy rekrutacyjne.

Czym jest Digital Omnibus?

W kontekście przepisów AI Act trudno jest nie wspomnieć o przygotowywanym przez Parlament Europejski Cyfrowym Omnibusie. Ten pakiet deregulacyjny ma uprościć i ujednolić przepisy dotyczące cyberbezpieczeństwa i prywatności. W kontekście AI Actu Digital Omnibus ma proponować, między innymi:

• rozszerzenie uproszczeń dla małych i średnich przedsiębiorstw;
• ułatwianie przestrzegania przepisów o ochronie danych poprzez umożliwienie dostawcom i podmiotom stosującym wszystkie systemy i modele AI przetwarzania szczególnych kategorii danych osobowych w celu zapewnienia wykrywania i korygowania stronniczości, przy zapewnieniu odpowiednich zabezpieczeń;
• powiązanie harmonogramu wdrażania przepisów dotyczących systemów AI wysokiego ryzyka z dostępnością norm lub innych narzędzi wsparcia.

Digital Omnibus wiąże się z propozycją PE o odroczeniu części obowiązków dla systemów wysokiego ryzyka – najwcześniej do 2 grudnia 2027 r. To założenie mogłoby faktycznie opóźnić wejście wymogów, które zgodnie z AI Act swój termin mają 2 sierpnia 2026 r. Jednakże Cyfrowy Omnibus nie stanowi jeszcze przyjętych przepisów, dlatego bezpieczniej dla każdego przedsiębiorcy będzie przygotowywanie swojej działalności tak, aby była zgodna z przepisami, które wejdą w życie 2 sierpnia 2026 r.    

Krajowa ustawa implementacyjna Ministerstwa cyfryzacji

Projekt ustawy o systemach sztucznej inteligencji, który został przyjęty przez Radę Ministrów 31 marca 2026 r., a następnie przekazane do Sejmu, powinien, przynajmniej w teorii, wejść w życie do 2 sierpnia 2026 r. Do tego czasu Polska ma obowiązek uruchomienia przynajmniej jednej piaskownicy regulacyjnej, w której uczestnictw dla MŚP oraz startupów ma być bezpłatne.

Jakie są najważniejsze założenia, na tę chwilę, wersji projektu ustawy?

• zostanie ustanowiony nowy organ nadzorczy – Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji – który ma być niezależny od rządu i ma kontrolować przestrzeganie AI Act i ustawy;
• do zadań Komisji należeć będzie między innymi współpraca z Komisją Europjeską i Europejską Radą ds. AI, tworzenie piaskownic regulacyjnych, wydawanie wyjaśnień ogólnych (niewiążących, edukacyjnych) czy nakładanie kar;
• jedną z istotniejszych funkcji Komisji będzie możliwość wydawania wiążących opinii indywidualnych dla przedsiębiorców, które umożliwią za opłatą, w terminie 30 dni lub 60 dla spraw bardziej skomplikowanych uzyskanie opinii na temat złożonego zapytania na temat przepisów – będzie to mechanizm wzorowany na interpretacjach podatkowych;
• sankcje i kary mają wynikać bezpośrednio z AI Act, co dokładniej umówię poniżej;
• ustawa ma dotyczyć każdego przedsiębiorcy wprowadzającego systemy AI do obrotu lub stosującego je w działalności, a także dostawców i operatorów w rozumieniu AI Act. 

Struktury ryzyka a obowiązki przejrzystości w Rozporządzeniu o Sztucznej Inteligencji

Zbytnim uproszczeniem byłoby mówić o istnieniu 4 poziomów ryzyka w AI Act, gdyż tak naprawdę unijne rozporządzenia nie tworzy spójnej drabinki od systemów o minimalnym ryzyku aż do systemów zakazanych. Ponadto każda z kategorii ma swoją podstawę prawną w zupełnie innym artykule AI Act. Jak zatem to wygląda w praktyce?

Systemy zakazane obejmuje bezwzględny zakaz ich używania i nie istnieją żadne wyjątki od tej zasady. Podstawa prawna mieści się w art. 5 AI Act, który dotyczy przede wszystkim bezwzględnego zakazu manipulacji, dyskryminacji czy naruszeń praw podstawowych przy określonym zastosowaniu AI. Jakie najważniejsze zakazane praktyki obejmuje:

• bezwzględny zakaz najbardziej ryzykownych zastosowań AI (dotyczy naruszenia prawa człowieka, bezpieczeństwa lub wolności podejmowania decyzji);
• zakaz manipulacji i wpływania na decyzje użytkowników;
• zakaz wykorzystywania słabości osób w celu wpłynięcia na ich zachowanie w sposób szkodliwy;
• zakaz scoringu społecznego i profilowania „ryzyka przestępczego”;
• zakaz niektórych zastosowań biometrii (np. analizowanie emocji pracowników);
• silne ograniczenia dla rozpoznawania twarzy w przestrzeni publicznej.

Systemy wysokiego ryzyka są w jakimś stopniu dopuszczalne, ale obarczone jednocześnie rygorystycznymi obowiązkami, co szczegółowo omawiam poniżej. Podstawą prawną będzie tu art. 6 oraz załączniki I i III AI Act.

Odrębną kategorią są obowiązki przejrzystości, które reguluje art. 50 AI Act – można powiedzieć, że jest to odrębny reżim obowiązków informacyjnych, który może nakładać się na systemy z każdej innej kategorii. Wejście w życie obowiązków przejrzystości ma nastąpić właśnie 2 sierpnia 2026 r.

 Czego dotyczą obowiązki przejrzystości – kogo obowiązuje art. 50 AI Act?

Obowiązki przejrzystości, które wynikają z art. 50 AI Act, dotyczą przede wszystkim podmiotów będących:

• dostawcami systemów AI – nie tylko wielkie firmy, ale również np. te polskie, które opierają się na narzędziach modelu GPAI;
• wdrażającymi systemy AI;
• operatorami systemów AI ogólnego przeznaczenia (GPAI).

Przepisy art. 50, które dotyczą biznesu, można podsumować w następujący sposób:

• obowiązek informowania użytkownika o interakcji z AI;
• oznaczanie treści generowanych przez AI;
• informowanie o rozpoznawaniu emocji i biometrii – osoby poddawane takiej analizie muszą być o tym uprzednio poinformowane, poza tym dodatkowo obowiązuje zgodność z przepisami o ochronie danych osobowych;
• obowiązek oznaczania deepfake’ów;
• liczy się moment i forma przekazania informacji – to znaczy muszą być przekazane najpóźniej przy pierwszej interakcji oraz w jasny, zrozumiały i dostępny dla użytkownika sposób;
• art. 50 AI Act działa równolegle z RODO oraz innymi obowiązkami transparentności w prawie UE oraz krajowym.

Czym są systemy wysokiego ryzyka (art. 6 AI Act)?

Systemy wysokiego ryzyka sztucznej inteligencji są dokładnie opisane w art. 6 AI Act oraz w załącznikach I oraz III. Co istotne, nie można zamknąć tej kwestii w sztywnej definicji, gdyż bardzo istotnym aspektem będzie tu mechanizm samooceny. Jak zatem kwalifikować systemy wysokiego ryzyka AI i na co zwrócić szczególną uwagę?

Dwie ścieżki kwalifikacji systemów high-risk

Art. 6 AI Act wprowadza dwie ścieżki kwalifikacji uznania systemu AI jako wysokiego ryzyka:

1. Pierwsza jest niezależna od katalogu zastosowań z załącznika III rozporządzenia i dotyczy systemów AI związanych z bezpieczeństwem produktów regulowanych w prawie UE. Aby system został uznany za high-risk musi spełnić jednocześnie dwa warunki:
2. jest wykorzystywany jako element związany z bezpieczeństwem produktu lub sam stanowi produkt objęty regulacjami UE (załącznik I AI Act) – np. AI w urządzeniu medycznym albo w systemach przemysłowych, AI pełni tutaj rolę tzw. safety component;
3. produkt lub sam system AI jako produkt podlega ocenie zgodności przez stronę trzecią – oznacza to, że tylko taki system AI będzie systemem wysokiego ryzyka, który podlega formalnej procedurze certyfikacyjnej.

Data wejścia w życia stosowania tego przepisu to 2 sierpnia 2027 r.

• Bardziej kluczowa dla większości firm usługowych (HR, marketing, fintech, SaaS) będzie kwalifikacja druga oparta na katalogu obszarów zastosowań. Są to systemy AI używane w określonych obszarach życia społecznego i gospodarczego, które opisano w załączniku III AI Act. Są to między innymi obszary związane z:
• identyfikacją i kategoryzacją biometryczną osób fizycznych;
• zarządzaniem infrastruktura krytyczna i jej eksploatacją;
• kształceniem i szkoleniem zawodowym;
• zatrudnianiem, zarządzaniem pracownikami i dostępem do samozatrudnienia;
• zarządzaniem migracją, azylem i kontrolą graniczną;
• dostępem do podstawowych usług prywatnych oraz usług i świadczeń publicznych, a także korzystanie z nich.

Data wejścia w życie stosowania tego przepisu to 2 sierpnia 2026 r.

Kluczowy wyjątek – mechanizm samooceny

Mechanizm samooceny stanowi istotne odstępstwo od ogólnej zasady, zgodnie z którą systemy AI wymienione w załączniku III uznaje się za systemy wysokiego ryzyka (art. 6 ust. 3–4 AI Act). Zgodnie z tym przepisem, system AI nie musi być kwalifikowany jako wysokiego ryzyka, jeżeli nie stwarza znaczącego ryzyka szkody dla zdrowia, bezpieczeństwa lub praw podstawowych osób fizycznych, w szczególności z uwagi na brak istotnego wpływu na wynik procesu decyzyjnego. Reasumując kluczowa będzie tutaj praktyczna rola i wpływ na decyzje dotyczące użytkownika.

Na czym będzie polegać brak istotnego wpływu na decyzję? Należy ocenić czy system AI realnie wpływa na decyzję dotyczącą człowieka – to znaczy nie włączymy go do systemów wysokiego ryzyka, jeśli AI:

• jedynie wspiera podejmowanie decyzji przez użytkownika;
• nie zmienia wyniku podejmowanej decyzji;
• nie ogranicza autonomii decyzyjnej człowieka.

W jakich wypadkach można zastosować wyjątek mechanizmu samooceny?

• przy wąsko określonych zadaniach proceduralnych, gdzie AI wykonuje techniczne, pomocnicze czynności – jak np. wstępna klasyfikacja danych, sortowanie dokumentów;
• poprawie wyniku decyzji człowieka – działanie AI następuje po zakończeniu decyzji i nie wpływa na jej treść – jak np. korekta błędów, optymalizacja raportów;
• wykrywanie wzorców bez wpływu na decyzję – AI analizuje i wskazuje wzorce, ale nie zastępuje człowieka ani nie wpływa na decyzję bez jego weryfikacji;
• w zadaniach przygotowawczych – AI przygotowuje dane do decyzji, ale jej nie podejmuje – jak np. analiza CV przez oceną rekrutera.

UWAGA! – Nawet w wypadku spełnienia powyższych warunków, jeśli system AI dokonuje profilowania osób fizycznych, to zawsze będzie uznawany za high-risk!

 Dostawca, który uzna dany system za niebędący systemem wysokiego ryzyka, ma obowiązek udokumentować swoją ocenę i zrobić to przed wprowadzeniem systemu na rynek.

Główne obszary wysokiego ryzyka z Annex III – czy Twoja firma tu działa?

 Dochodzimy do momentu, gdzie zapewne jako przedsiębiorca zadajesz sobie pytanie czy faktycznie nowe przepisy, które wejdą 2 sierpnia 2026 r., będą miały realny wpływ na Twoją firmę? Czy Twoja firma działa w obszarach objętych wysokim ryzykiem, które wymienia załącznik III AI Act?

Działalność, która w szczególności powinna przeanalizować użycie systemów AI w kontekście high-risk to:

• HR i zatrudnienie, agencje pracy tymczasowej, outsourcing – dotyczy to zastosowania AI przy screeningu CV, rankingu kandydatów, oceny pracowników, decyzji o awansie czy zwolnieniu;
• scoring finansowy stosowany w fintech czy e-commerce – jak np. ocena zdolności kredytowej, scoring klientów, decyzje o dostępie do usług;
• edukacja i szkolenia
• infrastruktura krytyczna, jak zarządzanie energią czy transport;
• administracja i migracja – stosowanie AI przy decyzjach administracyjnych, kontroli granicznej;
• wreszcie wymiar sprawiedliwości, który już samych przedsiębiorców nie dotyczy.

Przykład praktyczny – agencja pracy i system ATS

PRZYKŁAD: agencja pracy korzysta z zewnętrznego systemu ATS (Applicant Tracking System) z funkcją automatycznego rankingowania i wstępnego odrzucania kandydatów na podstawie analizy CV.

ANALIZA KWALIFIKACJI HIGH-RISK:

• obszar zastosowania – rekrutacja i selekcja pracowników (jest to pkt 4 Załącznika III AI Act);
• funkcja systemu – automatyczny i realny wpływ na decyzję o zaproszeniu lub odrzuceniu kandydata;
• wniosek – brak podstaw di zastosowania wyjątku mechanizmu samooceny, a zatem system kwalifikuje się jako wysokiego ryzyka.

KONSEKWENCJE PODMIOTU STOSUJĄCEGO:

• agencja jako deployer ma obowiązek korzystania z z sytemu wyłącznie zgodnie z instrukcją dostawcy (art. 26 ust. 1 AI Act);
• obowiązek poinformowania kandydatów i przedstawicieli pracowników o korzystaniu z AI w procesie rekrutacji (art. 26 ust. 7 AI Act);
• obowiązek monitorowania działania systemu i zgłaszania poważnych incydentów;
• ewentualny obowiązek przeprowadzenia oceny skutków systemów AI wysokiego ryzyka dla praw podstawowych (art. 27 AI Act).

 Jakie są obowiązki dla systemów wysokiego ryzyka?

Wracając jeszcze na chwilę do powyższego przykładu dodam, że wspomniana agencja pracy może błędnie sądzić, że będąc „tylko” użytkownikiem gotowego narzędzia AI od zewnętrznego dostawcy jej obowiązki są minimalne. Nic mylnego. AI Act nakłada obowiązki nie tylko na dostawcę, ale również właśnie na deployera, czyli podmiot stosujący. Dzieje się to niezależnie od tego, kto wyprodukował system AI.

Obowiązki dostawcy – providera (art. 9-17 AI Act)

Jakie zatem obowiązki ciążą na dostawcach systemów AI, czyli w wypadku naszego przykładu – na firmie, która udostępniła system ATS agencji pracy?

• przede wszystkim to system zarządzania ryzykiem – identyfikacja, analiza, ciągłe monitorowanie prze cały cykl życia systemu;
• wysokiej jakości dane treningowe;
• dokumentacja techniczna – szczegółowy opis systemu, logika algorytmu, parametry;
• rejestrowanie i logowanie działania systemu (audit trail) – możliwość odtworzenia procesu decyzyjnego;
• ocena zgodności przed wdrożeniem (conformity assessment) – w wielu przypadkach wymagany jest udział jednostki notyfikowanej (czyli niezależna, zewnętrzna organizacja);
• rejestracja w unijnej bazie danych (Eu Database).

Obowiązki podmiotu stosującego – deployer (art. 26-27 AI Act)

Pamiętaj, że nawet jeśli korzystasz z gotowego narzędzia AI od zewnętrznego dostawcy, to jako podmiot stosujący nie jesteś zwolniony z odpowiedzialności i ciążą na Tobie osobne obowiązki wynikające wprost z AI Act. Jakie będę te wymogi stawiane przez unijne rozporządzenie?

• w pierwszej kolejności korzystanie zgodnie z instrukcją dostawcy;
• konieczność zapewnienia nadzoru człowieka w funkcjonowaniu systemu AI;
• monitorowanie działania systemu i zgłaszanie poważnych incydentów organowi nadzoru – zgodnie z projektem polskiej ustawy – Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji;
• poinformowanie pracowników i ich przedstawicieli o korzystaniu z systemów AI wysokiego ryzyka w miejscu pracy, co jest szczególnie istotne dla działów HR i agencji pracy (art. 26 ust. 7);
• dokonanie oceny wpływu na prawa podstawowe (FRIA – Fundamental Rights Impact Assessment), co jest obowiązkowe dla podmiotów publicznych, podmiotów świadczących usługi publiczne oraz instytucje finansowych.

Obowiązek AI Literacy – czym jest i od kiedy obowiązuje?

W początkowej fazie artykułu, przy przepisach obowiązujących od 2 lutego 2025 r., wspomniałem o AI Literacy. Obowiązek ten dotyczy praktycznie każdej firmy używającej jakiegokolwiek narzędzia AI i nie ma tu większego znaczenia, czy jest uznawany za high-risk. AI Literacy to zapewnienie odpowiedniego poziomu kompetencji w zakresie AI wśród pracowników zajmujących się obsługą i wykorzystywaniem systemów AI. Wynika on z art. 4 AI Act i dotyczy wszystkich dostawców oraz podmiotów stosujących systemy AI, niezależnie od klasyfikacji ryzyka. W skrócie sens tego wymogu polega na wcieleniu w życie umiejętności efektywnego, a zarazem bezpiecznego wykorzystania systemu AI w codziennej pracy.

Jakie są unijne sankcje za naruszenia AI Act i brak regulacji w systemach AI wysokiego ryzyka?

Obowiązujące progi kary za naruszenie AI Act i brak regulacji w systemach AI wysokiego ryzyka wyznacza sam tekst unijnego rozporządzenia. Także projekt polskiej ustawy skierowany obecnie do Sejmu powołuje się na wysokość sankcji sugerowanych przez AI Act. Omówione są one w Rozdziale XII (art. 99-101).

Jak zatem wyglądają progi kar grzywny w wypadku naruszenia AI Act?

• Najwyższa kara przewidziana jest za naruszenie dotyczące zakazanych praktyk AI (art. 5) i wynosi ona aż do 35 mln euro lub jeśli sprawcą jest przedsiębiorstwo – do 7% globalnego rocznego obrotu (w zależności od tego, która z tych kwot jest wyższa).
• Nieprzestrzeganie któregokolwiek z przepisów dotyczących operatorów lub jednostek notyfikowanych, innych niż przepisy ustanowione w art. 5, w tym za naruszenie obowiązków dla systemów wysokiego ryzyka przez podmioty stosujące (art. 26) czy naruszenie obowiązków przejrzystości (art. 50)obowiązuje kara w wysokości do 15 mln euro lub 3 % obrotu (w zależności od tego, która z tych kwot jest wyższa).
• Wreszcie za podanie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji jednostkom notyfikowanym lub właściwym organom krajowym w odpowiedzi na ich wniosek kara wynosi do 7,5 mln euro lub 1 % obrotu (w zależności od tego, która z tych kwot jest wyższa).

W Polsce karę nakładać będzie nowy organ nadzorczy, czyli Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji.

Jak przygotować firmę – pięć kroków, aby sprostać wymogom zgodności z AI Act

Jeśli Twoja firma stosuje narzędzia AI, powinieneś je poddać odpowiedniej audytowi/analizie, żeby mieć pewność, jakie obowiązki AI Act będą dotyczyć Twojej działalności. Najlepiej dokonać tego z wykwalikowaną ku temu kancelarią prawną. Przygotowanie takie można przedstawić w 5 poniższych krokach:

1. Inwentaryzacja systemów AI – identyfikacja wszystkich narzędzi AI w firmie, w tym „gotowych” rozwiązań SaaS i zewnętrznych dostawców;
2. Analiza funkcji i celu systemu – czy system wpływa realnie na decyzje dotyczące osób fizycznych’
3. Porównanie z Załącznikiem II AI Act – dopasowanie do katalogu obszarów wysokiego ryzyka;
4. Ocena art. 6 ust. 3 – analiza czy możliwe jest zastosowanie wyjątku, jeśli tak, należy wykonać udokumentowanie oceny, a jeśli nie, uruchomić procedury compliance;
5. Dokumentacja i procedury – przygotowanie dokumentacji technicznej, polityk nadzoru, procedur zgłaszania incydentów oraz spełnienia obowiązku AI Literacy.

Najczęstsze błędy firm w zakresie systemów wysokiego ryzyka modeli AI ogólnego przeznaczenia

Wśród najczęściej popełnianych błędów w zakresie systemów wysokiego ryzyka można wyliczyć:

• brak inwentaryzacji systemów AI – założenie, że „to tylko narzędzie od zewnętrznego dostawcy” i niebranie pod uwagę obowiązków podmiotu stosującego;
• automatyczne uznanie systemu za high-risk bez przeprowadzenia analizy art. 6 ust. 3 – wiąże się to z niepotrzebna nadregulacją lub odwrotnie – błędne wykluczenie systemu bez dokumentacji;
• ignorowanie art. 26 ust. 7 – brak informowania pracowników i ich przedstawicieli o stosowaniu systemów wysokiego ryzyka;
• ignorowanie obowiązku AI Literacy (art. 4) – który obowiązuje już od lutego 2025 r.;
• utożsamianie braku, póki co, przyjęcia polskiej ustawy o systemach sztucznej inteligencji z brakiem obowiązków (AI Act jest rozporządzeniem unijnym, co jest równoznaczne z obowiązywaniem we wszystkich krajach UE, nawet pomimo braku ustawy implementacyjnej).

Jak nasza Kancelaria może pomóc w przygotowaniu się przed 2 sierpnia 2026 r.?

2026 r. wydaje się być dość przełomowym w kontekście wprowadzania w Polsce zmian w przepisach dotyczących systemów AI. Zbliżająca się data 2 sierpnia 2026 niesie ze sobą wejście w życie kolejnych obowiązków AI Act powiązanych z systemami wysokiego ryzyka czy obowiązkami przejrzystości, które pełnią kluczową w wielu obszarach istotnych na polskim rynku: sektorze HR, outsourcingu, agencjach pracy, fintechu czy medtechu. Dodatkowo trwają równoległe prace nad polską ustawą o sztucznej inteligencji, których zakończenie powinno zbiec się z terminem sierpniowym przepisów AI Act. Dlatego tak istotne jest przygotowywanie swojej firmy do tych kluczowych zmian już teraz.

Nasza Kancelaria oferuje kompleksowe wsparcie w zakresie dostosowania działalności do wymogów AI Act, projektowanych regulacji krajowych oraz działających równolegle do rozporządzenia unijnego przepisów, jak RODO, które idą z nim niejednokrotnie „ramię w ramię”. Wesprzemy naszych Klientów w identyfikacji i klasyfikacji systemów AI, przygotowaniu dokumentacji samooceny czy wdrożeniu procedur zgodnych z AI Act. Pomagamy także w przeprowadzeniu analiz wpływu na prawa podstawowe (FRIA), opracowaniu polityk i procedur wewnętrznych oraz dostosowaniu komunikacji z pracownikami (co ma szczególne znaczenie dla agencji zatrudnienia i działów HR). Zapewniamy też doradztwo w zakresie zgodności z RODO, w czym specjalizujemy się od lat oraz wsparcie przy kontrolach czy w kontaktach z organem nadzorczym. Naszym celem jest zapewnienie Twojej firmie zgodności z przepisami, co wiąże się z ograniczeniem ryzyk prawnych związanych z wdrażaniem i wykorzystaniem systemów AI w działalności gospodarczej.