Quick Answer
Zgodność z EU AI Act zaczyna się od ustalenia Twojej roli (dostawca czy podmiot stosujący), zaklasyfikowania każdego systemu AI według poziomu ryzyka i wykonania kroków właściwych dla tej kategorii. Poniżej znajdziesz praktyczną listę kontrolną AI Act: od inwentaryzacji, przez ocenę zgodności i oznakowanie CE, po dokumentację i nadzór. Informacja ogólna o charakterze edukacyjnym, nie stanowi porady prawnej. Stan na czerwiec 2026 r.; harmonogram AI Act podlega zmianom. Krok 1: Czy jesteś dostawcą czy podmiotem stosującym? Zakres Twoich obowiązków zależy przede wszystkim od roli, jaką pełnisz wobec danego systemu AI. Jedna firma może być jednocześnie dostawcą jednych systemów i podmiotem stosującym inne. Dostawca rozwija system lub model AI albo zleca jego rozwój i wprowadza go na rynek UE pod własną nazwą lub znakiem towarowym. Dostawcy systemów wysokiego ryzyka mają najszersze obowiązki. Podmiot stosujący wykorzystuje system AI w ramach swojej działalności zawodowej (np.
Zgodność z EU AI Act zaczyna się od ustalenia Twojej roli (dostawca czy podmiot stosujący), zaklasyfikowania każdego systemu AI według poziomu ryzyka i wykonania kroków właściwych dla tej kategorii. Poniżej znajdziesz praktyczną listę kontrolną AI Act: od inwentaryzacji, przez ocenę zgodności i oznakowanie CE, po dokumentację i nadzór.
Informacja ogólna o charakterze edukacyjnym, nie stanowi porady prawnej. Stan na czerwiec 2026 r.; harmonogram AI Act podlega zmianom.
Krok 1: Czy jesteś dostawcą czy podmiotem stosującym?
Zakres Twoich obowiązków zależy przede wszystkim od roli, jaką pełnisz wobec danego systemu AI. Jedna firma może być jednocześnie dostawcą jednych systemów i podmiotem stosującym inne.
- Dostawca rozwija system lub model AI albo zleca jego rozwój i wprowadza go na rynek UE pod własną nazwą lub znakiem towarowym. Dostawcy systemów wysokiego ryzyka mają najszersze obowiązki.
- Podmiot stosujący wykorzystuje system AI w ramach swojej działalności zawodowej (np. firma używająca narzędzia AI do rekrutacji). Ma węższe, ale realne obowiązki, m.in. nadzór człowieka i stosowanie systemu zgodnie z instrukcją.
Uwaga: podmiot stosujący może stać się dostawcą, jeśli istotnie zmodyfikuje system wysokiego ryzyka albo umieści na nim własną nazwę. Wówczas przejmuje obowiązki dostawcy.
Krok 2: Inwentaryzacja i klasyfikacja ryzyka
Sporządź rejestr wszystkich systemów AI używanych lub oferowanych w organizacji, łącznie z narzędziami wbudowanymi w oprogramowanie zewnętrzne. Następnie przypisz każdemu systemowi poziom ryzyka według AI Act.
| Poziom ryzyka | Przykłady | Co trzeba zrobić |
|---|---|---|
| Niedopuszczalne (zakazane) | Scoring społeczny, manipulacja podprogowa, nieukierunkowane zbieranie wizerunków twarzy | Natychmiast zaprzestać / nie wprowadzać |
| Wysokie ryzyko | AI w rekrutacji, ocenie kredytowej, edukacji, urządzeniach medycznych | Pełna ocena zgodności, dokumentacja, nadzór, oznakowanie CE (dostawca) |
| Ograniczone (przejrzystość) | Chatboty, deepfake, treści generowane przez AI | Informować użytkownika i oznaczać treści AI |
| Minimalne | Filtry antyspamowe, AI w grach | Brak dodatkowych obowiązków; dobrowolne kodeksy |
Jak prawidłowo zaklasyfikować system?
Najpierw sprawdź, czy zastosowanie nie znajduje się na liście praktyk zakazanych (art. 5). Potem ustal, czy system mieści się w wykazach wysokiego ryzyka: załącznik I (element bezpieczeństwa produktów regulowanych) lub załącznik III (wymienione obszary, np. zatrudnienie, kredyty, edukacja). Jeśli nie, oceń, czy obowiązują wymogi przejrzystości. Decyduje przeznaczenie i kontekst, nie sama technologia.
Potrzebujesz pomocy z cloud?
Zarezerwuj bezpłatne 30-minutowe spotkanie z jednym z naszych specjalistów od cloud. Przeanalizujemy Twoje potrzeby i przedstawimy konkretne rekomendacje — bez zobowiązań.
Krok 3: Lista kontrolna krok po kroku
Poniższa lista porządkuje działania zgodności z EU AI Act w logicznej kolejności.
- Powołaj właściciela tematu oraz zespół (prawny, IT, bezpieczeństwo, biznes) odpowiedzialny za zgodność z AI Act.
- Zinwentaryzuj wszystkie systemy AI i dla każdego ustal rolę oraz poziom ryzyka.
- Wyeliminuj praktyki zakazane z bieżącego użytku i planów rozwoju.
- Zapewnij kompetencje w zakresie AI (tzw. AI literacy) wśród pracowników obsługujących systemy AI.
- Dla systemów wysokiego ryzyka wdróż system zarządzania ryzykiem, zarządzanie jakością danych, dokumentację techniczną, rejestrowanie zdarzeń (logi), nadzór człowieka oraz zapewnij dokładność, solidność i cyberbezpieczeństwo.
- Przeprowadź ocenę zgodności i, jeśli dotyczy, uzyskaj oznakowanie CE oraz dokonaj rejestracji w odpowiedniej bazie UE (dostawca).
- Spełnij wymogi przejrzystości dla chatbotów i treści generowanych przez AI (oznaczanie).
- Uwzględnij obowiązki GPAI, jeśli budujesz na modelach ogólnego przeznaczenia lub je dostarczasz.
- Skoordynuj zgodność z RODO, gdy system przetwarza dane osobowe (podstawa prawna, ocena skutków).
- Ustanów monitorowanie po wprowadzeniu do obrotu oraz proces zgłaszania poważnych incydentów.
Krok 4: Ocena zgodności i oznakowanie CE dla wysokiego ryzyka
Systemy wysokiego ryzyka, zanim trafią na rynek UE, muszą przejść ocenę zgodności potwierdzającą spełnienie wymogów AI Act. W zależności od rodzaju systemu odbywa się ona w trybie kontroli wewnętrznej dostawcy albo z udziałem jednostki notyfikowanej (zwłaszcza dla produktów regulowanych z załącznika I).
- Sporządź dokumentację techniczną i deklarację zgodności UE.
- Umieść oznakowanie CE na systemie wysokiego ryzyka (lub w dokumentacji, gdy nie jest to fizycznie możliwe).
- Dokonaj rejestracji samodzielnych systemów wysokiego ryzyka w bazie danych UE.
- Ponawiaj ocenę po istotnych zmianach systemu.
Jakie dokumenty i nadzór są wymagane?
Dostawca utrzymuje dokumentację techniczną, prowadzi rejestrowanie zdarzeń, przygotowuje instrukcje obsługi i wdraża system zarządzania jakością. Podmiot stosujący zapewnia nadzór człowieka, używa systemu zgodnie z instrukcją, monitoruje działanie i przechowuje logi. Dokumentację należy udostępniać organom nadzoru na żądanie. Dla niektórych zastosowań wysokiego ryzyka wymagana jest też ocena wpływu na prawa podstawowe.
Krok 5: Dokumentacja, nadzór i monitorowanie
Zgodność nie kończy się we wdrożeniu. Ustanów cykliczny przegląd rejestru systemów AI, aktualizuj dokumentację po zmianach, prowadź szkolenia z kompetencji AI i utrzymuj kanał zgłaszania poważnych incydentów do właściwych organów. Powiąż te procesy z istniejącym systemem zarządzania bezpieczeństwem informacji (np. ISO/IEC 27001), aby uniknąć dublowania pracy.
Krok 6: Harmonogram, do którego się stosujesz
Terminy zależą od kategorii systemu. Stan na czerwiec 2026 r. (część dat dla wysokiego ryzyka podlega zmianom):
- 2 lutego 2025 – praktyki zakazane i obowiązek kompetencji w zakresie AI (już obowiązuje).
- 2 sierpnia 2025 – obowiązki GPAI, zasady zarządzania i kary (już obowiązuje).
- 2 grudnia 2027 (proponowana) – większość obowiązków dla wysokiego ryzyka z załącznika III.
- 2 sierpnia 2028 (proponowana) – wysokie ryzyko wbudowane w produkty regulowane z załącznika I.
W maju 2026 r. instytucje UE uzgodniły wstępnie cyfrowy pakiet omnibus (Digital Omnibus), który przesuwa terminy dla wysokiego ryzyka i upraszcza część wymogów. Pierwotnie obowiązki wysokiego ryzyka miały wejść 2 sierpnia 2026 r. Na czerwiec 2026 r. pakiet nie był jeszcze formalnie przyjęty; jeśli nie zostanie przyjęty przed 2 sierpnia 2026 r., obowiązują daty pierwotne. Zweryfikuj aktualny harmonogram przed ustaleniem wewnętrznych kamieni milowych.
Jak zacząć: pierwsze 30 dni
Jeśli dopiero startujesz, skoncentruj się na trzech rzeczach: (1) zbuduj rejestr systemów AI, (2) usuń wszelkie praktyki zakazane, (3) przypisz role i ryzyko, aby wiedzieć, które systemy wymagają pełnej ścieżki wysokiego ryzyka. Kontekst prawny i definicje znajdziesz w naszym wyjaśnieniu EU AI Act. Opsio, jako partner chmurowo-AI z certyfikatem ISO 27001, pomaga zaprojektować i wdrożyć zgodne rozwiązania w ramach strategii i wdrażania rozwiązań AI.
Najczęściej zadawane pytania
Od kiedy obowiązuje EU AI Act?
Rozporządzenie weszło w życie 1 sierpnia 2024 r. i obowiązuje etapowo. Praktyki zakazane obowiązują od 2 lutego 2025 r., obowiązki GPAI od 2 sierpnia 2025 r. Większość wymogów dla wysokiego ryzyka została (w ramach pakietu z 2026 r.) przesunięta na 2 grudnia 2027 r. (załącznik III) i 2 sierpnia 2028 r. (załącznik I). Daty wysokiego ryzyka warto zweryfikować, bo na czerwiec 2026 r. zmiana nie była jeszcze formalnie przyjęta.
Czy AI Act dotyczy mojej firmy, także spoza UE?
Tak, jeśli oferujesz lub stosujesz systemy AI na rynku UE albo wynik działania Twojego systemu jest wykorzystywany w Unii. Zasięg eksterytorialny obejmuje firmy spoza UE bez siedziby w Europie. Zakres obowiązków zależy od Twojej roli i poziomu ryzyka systemu.
Czym różni się EU AI Act od RODO?
RODO chroni dane osobowe, a EU AI Act reguluje bezpieczeństwo i zgodność systemów AI niezależnie od danych. Oba akty obowiązują równolegle. Gdy system AI przetwarza dane osobowe, należy spełnić wymogi obu jednocześnie.
Jakie są kary za naruszenie AI Act?
Za stosowanie praktyk zakazanych grozi kara do 35 mln EUR lub 7% całkowitego rocznego światowego obrotu, zależnie od tego, która kwota jest wyższa. Za inne naruszenia przewidziano niższe progi (do 15 mln EUR lub 3% obrotu oraz do 7,5 mln EUR lub 1% za nieprawdziwe informacje).
Powyższa lista kontrolna ma charakter informacyjny i nie stanowi porady prawnej. W sprawie konkretnej sytuacji skonsultuj się z wykwalifikowanym prawnikiem.
Written By
Country Manager, Indie
Praveena kieruje działalnością Opsio w Indiach, wnosząc ponad 17 lat doświadczenia w wielu branżach, obejmującego AI, produkcję, DevOps i usługi zarządzane.
Editorial standards: Ten artykuł został napisany przez praktyków chmury i sprawdzony przez nasz zespół inżynierów. Treści aktualizujemy co kwartał dla dokładności technicznej. Opsio zachowuje niezależność redakcyjną.