2 sierpnia 2026 roku to jedna z najbardziej palących dat regulacyjnych w polskim biznesie i sektorze publicznym — wchodzą w życie pełne obowiązki dla systemów AI wysokiego ryzyka z Annex III rozporządzenia UE 2024/1689 (AI Act). Kary za naruszenie sięgają 35 milionów euro lub 7% globalnego obrotu rocznego — najwyższe w dotychczasowym prawie regulacyjnym UE. A jednak — większość firm wciąż nie ma podstawowego dokumentu wymaganego przez AI Act: rejestru używanych systemów AI.
Skala wyzwania jest znaczna. AI Act dotyczy znacznie szerszego kręgu firm niż wskazują pierwsze skojarzenia — nie tylko twórców modeli AI (providerów), ale przede wszystkim firm używających AI w swojej działalności (deployerów): w rekrutacji, scoringu kredytowym, monitoringu, edukacji, ochronie zdrowia, marketingu i wielu innych obszarach.
Kogo dotyczy Annex III i dlaczego to “wysokie ryzyko”
Załącznik III AI Act wymienia 8 kategorii systemów AI uznawanych za wysokie ryzyko. To właśnie one będą podlegać pełnemu reżimowi od 2 sierpnia 2026. Wbrew intuicji obejmują one bardzo szeroki krąg zastosowań biznesowych:
| Kategoria Annex III | Przykłady zastosowań biznesowych |
|---|---|
| Pkt 4 — zatrudnienie i HR | Systemy preselekcji CV, oceny pracowników, monitorowania wydajności |
| Pkt 5 — usługi prywatne i publiczne | Scoring kredytowy, ocena wniosków ubezpieczeniowych, dostęp do świadczeń publicznych |
| Pkt 5 — usługi medyczne | AI w diagnostyce, triage pacjentów, ocenie wniosków refundacyjnych |
| Pkt 3 — edukacja | Systemy oceniania uczniów, przyznawania miejsc na studia |
| Pkt 1 — biometria | Systemy zdalnej identyfikacji biometrycznej |
| Pkt 2 — infrastruktura krytyczna | AI w zarządzaniu siecią energetyczną, transportem |
Wbrew nazwie, “wysokie ryzyko” nie oznacza, że system jest niedopuszczalny — oznacza, że musi spełniać szczegółowe wymagania dokumentacyjne zanim zostanie wprowadzony lub utrzymany na rynku.
Co konkretnie trzeba mieć przed 2 sierpnia 2026
Każdy deployer (firma używająca systemu AI wysokiego ryzyka) ma siedem podstawowych obowiązków dokumentacyjnych:
- Rejestr systemów AI — wykaz wszystkich systemów AI używanych w firmie z klasyfikacją ryzyka każdego z nich (zakazane / wysokiego / ograniczonego / minimalnego ryzyka)
- FRIA — Fundamental Rights Impact Assessment (art. 27 AI Act) — szczegółowa ocena wpływu systemu na prawa podstawowe użytkowników
- Polityka AI Governance — wewnętrzna polityka określająca role, odpowiedzialność, monitoring i raportowanie
- Plan AI Literacy (art. 4) — program szkoleń dostosowany do roli pracownika; nie szkolenie BHP, lecz dedykowana edukacja
- Procedura monitorowania post-market (art. 72) — śledzenie incydentów, drift modelu, performance
- Polityka transparentności (art. 50) — informowanie użytkowników o kontakcie z AI (chatboty, deepfakes)
- Procedura zarządzania incydentami AI (art. 73) — zgłaszanie poważnych incydentów do organu nadzoru
Dlaczego “gorączka wdrożeniowa” jest realnym ryzykiem
Z perspektywy konsultingu prawniczego widzimy klasyczną sekwencję, jaka towarzyszy każdemu nowemu reżimowi regulacyjnemu UE:
- Faza 1 (do końca Q1 2026) — niewielu klientów aktywnie zajmuje się tematem; “mamy jeszcze czas”
- Faza 2 (Q2 2026) — pierwsze sygnały od audytorów i partnerów handlowych; pojedyncze firmy zaczynają wdrożenia
- Faza 3 (Q3 2026) — kompresja popytu. Wszyscy potrzebują dokumentacji jednocześnie, kancelarie i konsultanci są niedostępni, terminy realizacji wydłużają się z 2-3 tygodni do 2-3 miesięcy
- Faza 4 (Q4 2026 i później) — pierwsze postępowania kontrolne, pierwsze precedensy karne, dotychczasowe firmy bez dokumentacji w pełnej presji
To nie spekulacja — analogiczny scenariusz powtórzył się przy RODO (2018), PSD2 (2019) i DORA (2025). Najbezpieczniej jest mieć dokumentację gotową w Q2 2026 — wtedy konsultanci mają czas na rzetelną pracę, a firma na operacyjne wdrożenie polityk i szkoleń.
Dwie najczęstsze pułapki, w które wpadają firmy
Pułapka 1: “Nie używamy AI”
Wiele firm jest przekonanych, że temat ich nie dotyczy, bo “nie tworzymy modeli AI”. To błąd. AI Act dotyczy deployerów — czyli każdego, kto używa AI w swoich procesach biznesowych. Korzystanie z ChatGPT do tworzenia ofert handlowych, z Microsoft Copilot do analizy danych, z systemu rekrutacyjnego z AI screening, ze scoringu kredytowego — wszystko to czyni z firmy deployera AI.
Pułapka 2: “Mamy jedną politykę AI dla całej firmy”
FRIA musi być wykonana per system AI, nie ogólnie dla firmy. System rekrutacyjny ma inny profil ryzyka praw podstawowych niż system scoringu kredytowego — analiza musi rozróżniać te konteksty. Generyczne polityki bez tej granulacji nie spełniają wymogów art. 27 AI Act.
Polski organ nadzoru — kto będzie kontrolował
Do uchwalenia polskiej ustawy o systemach AI nadzór sprawuje UODO (na podstawie art. 58 RODO). Docelowo — Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI), projekt Rady Ministrów z 31.03.2026. Pierwsze pytania kontrolne, których można spodziewać się po sierpniu 2026, to:
- Czy istnieje rejestr systemów AI używanych w firmie?
- Jaka jest klasyfikacja ryzyka każdego z systemów?
- Czy systemy z Annex III mają wykonaną FRIA?
- Czy istnieje plan AI Literacy i jakie jest jego pokrycie pracowników?
- Czy AI Officer został powołany i ma zdefiniowaną niezależność?
Co dostają nasi klienci
Pakiet AI Act w Kancelarii Kozłowski obejmuje 17 dokumentów spełniających pełen reżim — dostosowanych zarówno dla providerów (twórców modeli), jak i deployerów (firm używających AI). Każdy dokument zawiera klauzulę warunkową KRiBSI — gdy polska ustawa o systemach AI zostanie uchwalona, pakiet automatycznie się dostosowuje bez konieczności przebudowy. Wbudowany jest pełen timeline 4 dat wejścia w życie (zakazy 02.02.2025, GPAI 02.08.2025, Annex III 02.08.2026, Annex I 02.08.2027) — klient nie musi sam śledzić zmian.
Wdrożenie pakietu AI Act zajmuje 10–14 dni roboczych od momentu wypełnienia ankiety diagnostycznej. Sześć poziomów weryfikacji + podpis radcy prawnego z OC 10 mln PLN.
Zapraszamy do kontaktu — najlepszy moment na wdrożenie AI Act minął wczoraj, drugi najlepszy jest dziś. Wykonujemy bezpłatny wstępny audyt zgodności Państwa obecnej dokumentacji z AI Act za 690 zł, aby precyzyjnie wskazać luki i zarekomendować pełne wdrożenie.