2 sierpnia 2026 roku to jedna z najbardziej palących dat regulacyjnych w polskim biznesie i sektorze publicznym — wchodzą w życie pełne obowiązki dla systemów AI wysokiego ryzyka z Annex III rozporządzenia UE 2024/1689 (AI Act). Kary za naruszenie sięgają 35 milionów euro lub 7% globalnego obrotu rocznego — najwyższe w dotychczasowym prawie regulacyjnym UE. A jednak — większość firm wciąż nie ma podstawowego dokumentu wymaganego przez AI Act: rejestru używanych systemów AI.
Skala wyzwania jest znaczna. AI Act dotyczy znacznie szerszego kręgu firm niż wskazują pierwsze skojarzenia — nie tylko twórców modeli AI (providerów), ale przede wszystkim firm używających AI w swojej działalności (deployerów): w rekrutacji, scoringu kredytowym, monitoringu, edukacji, ochronie zdrowia, marketingu i wielu innych obszarach.
Kogo dotyczy Annex III i dlaczego to “wysokie ryzyko”
Załącznik III AI Act wymienia 8 kategorii systemów AI uznawanych za wysokie ryzyko. To właśnie one będą podlegać pełnemu reżimowi od 2 sierpnia 2026. Wbrew intuicji obejmują one bardzo szeroki krąg zastosowań biznesowych:
| Kategoria Annex III | Przykłady zastosowań biznesowych |
|---|---|
| Pkt 4 — zatrudnienie i HR | Systemy preselekcji CV, oceny pracowników, monitorowania wydajności |
| Pkt 5 — usługi prywatne i publiczne | Scoring kredytowy, ocena wniosków ubezpieczeniowych, dostęp do świadczeń publicznych |
| Pkt 5 — usługi medyczne | AI w diagnostyce, triage pacjentów, ocenie wniosków refundacyjnych |
| Pkt 3 — edukacja | Systemy oceniania uczniów, przyznawania miejsc na studia |
| Pkt 1 — biometria | Systemy zdalnej identyfikacji biometrycznej |
| Pkt 2 — infrastruktura krytyczna | AI w zarządzaniu siecią energetyczną, transportem |
Wbrew nazwie, “wysokie ryzyko” nie oznacza, że system jest niedopuszczalny — oznacza, że musi spełniać szczegółowe wymagania dokumentacyjne zanim zostanie wprowadzony lub utrzymany na rynku.
Co konkretnie trzeba mieć przed 2 sierpnia 2026
Każdy deployer (firma używająca systemu AI wysokiego ryzyka) ma siedem podstawowych obowiązków dokumentacyjnych:
- Firma musi prowadzić rejestr systemów AI, który zawiera wykaz wszystkich systemów używanych w organizacji wraz z klasyfikacją ryzyka każdego z nich (zakazane, wysokiego, ograniczonego lub minimalnego ryzyka).
- Firma musi przeprowadzić FRIA (Fundamental Rights Impact Assessment, art. 27 AI Act), czyli szczegółową ocenę wpływu systemu na prawa podstawowe użytkowników.
- Firma musi wdrożyć politykę AI Governance, która określa role, odpowiedzialność, monitoring oraz zasady raportowania.
- Firma musi posiadać plan AI Literacy (art. 4) — program szkoleń dostosowany do roli pracownika, a nie typowe szkolenie BHP, lecz dedykowana edukacja.
- Firma musi prowadzić procedurę monitorowania post-market (art. 72), która obejmuje śledzenie incydentów, dryfu modelu i jego wydajności.
- Firma musi stosować politykę transparentności (art. 50) — obowiązek informowania użytkowników o kontakcie z AI (chatboty, deepfakes).
- Firma musi wdrożyć procedurę zarządzania incydentami AI (art. 73), która reguluje zgłaszanie poważnych incydentów do organu nadzoru.
Dlaczego “gorączka wdrożeniowa” jest realnym ryzykiem
Z perspektywy konsultingu prawniczego widzimy klasyczną sekwencję, jaka towarzyszy każdemu nowemu reżimowi regulacyjnemu UE:
- W fazie 1 (do końca Q1 2026) niewielu klientów aktywnie zajmuje się tematem i przeważa myślenie „mamy jeszcze czas”.
- W fazie 2 (Q2 2026) pojawiają się pierwsze sygnały od audytorów i partnerów handlowych, a pojedyncze firmy rozpoczynają wdrożenia.
- W fazie 3 (Q3 2026) następuje kompresja popytu — wszyscy potrzebują dokumentacji jednocześnie, kancelarie i konsultanci są niedostępni, a terminy realizacji wydłużają się z 2–3 tygodni do 2–3 miesięcy.
- W fazie 4 (Q4 2026 i później) rozpoczynają się pierwsze postępowania kontrolne i powstają pierwsze precedensy karne, a firmy bez dokumentacji znajdują się pod pełną presją.
To nie spekulacja — analogiczny scenariusz powtórzył się przy RODO (2018), PSD2 (2019) i DORA (2025). Najbezpieczniej jest mieć dokumentację gotową w Q2 2026 — wtedy konsultanci mają czas na rzetelną pracę, a firma na operacyjne wdrożenie polityk i szkoleń.
Dwie najczęstsze pułapki, w które wpadają firmy
Pułapka 1: “Nie używamy AI”
Wiele firm jest przekonanych, że temat ich nie dotyczy, bo “nie tworzymy modeli AI”. To błąd. AI Act dotyczy deployerów — czyli każdego, kto używa AI w swoich procesach biznesowych. Korzystanie z ChatGPT do tworzenia ofert handlowych, z Microsoft Copilot do analizy danych, z systemu rekrutacyjnego z AI screening, ze scoringu kredytowego — wszystko to czyni z firmy deployera AI.
Pułapka 2: “Mamy jedną politykę AI dla całej firmy”
FRIA musi być wykonana per system AI, nie ogólnie dla firmy. System rekrutacyjny ma inny profil ryzyka praw podstawowych niż system scoringu kredytowego — analiza musi rozróżniać te konteksty. Generyczne polityki bez tej granulacji nie spełniają wymogów art. 27 AI Act.
Polski organ nadzoru — kto będzie kontrolował
Do uchwalenia polskiej ustawy o systemach AI nadzór sprawuje UODO (na podstawie art. 58 RODO). Docelowo — Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI), projekt Rady Ministrów z 31.03.2026. Pierwsze pytania kontrolne, których można spodziewać się po sierpniu 2026, to:
- Czy w firmie istnieje rejestr systemów AI?
- Jak została sklasyfikowana skala ryzyka każdego z tych systemów?
- Czy systemy z Annex III mają wykonaną FRIA?
- Czy w firmie funkcjonuje plan AI Literacy i jakie jest jego pokrycie wśród pracowników?
- Czy w firmie powołano AI Officera i czy ma on zdefiniowaną niezależność organizacyjną?
Co dostają nasi klienci
Pakiet AI Act w Kancelarii Kozłowski obejmuje 17 dokumentów spełniających pełen reżim — dostosowanych zarówno dla providerów (twórców modeli), jak i deployerów (firm używających AI). Każdy dokument zawiera klauzulę warunkową KRiBSI — gdy polska ustawa o systemach AI zostanie uchwalona, pakiet automatycznie się dostosowuje bez konieczności przebudowy. Wbudowany jest pełen timeline 4 dat wejścia w życie (zakazy 02.02.2025, GPAI 02.08.2025, Annex III 02.08.2026, Annex I 02.08.2027) — klient nie musi sam śledzić zmian.
Wdrożenie pakietu AI Act zajmuje 10–14 dni roboczych od momentu wypełnienia ankiety diagnostycznej. Sześć poziomów weryfikacji + podpis radcy prawnego z OC 10 mln PLN.
Zapraszamy do kontaktu — najlepszy moment na wdrożenie AI Act minął wczoraj, drugi najlepszy jest dziś. Wykonujemy bezpłatny wstępny audyt zgodności Państwa obecnej dokumentacji z AI Act za 690 zł, aby precyzyjnie wskazać luki i zarekomendować pełne wdrożenie.