W jednym zdaniu. Oprogramowanie do AI Act ma zinwentaryzować systemy sztucznej inteligencji w organizacji, sklasyfikować ich ryzyko według piramidy rozporządzenia i utrzymać dokumentację techniczną — bo obowiązki dla systemów wysokiego ryzyka wchodzą w życie w sierpniu 2026 r.
Jakie oprogramowanie do AI Act wybrać w 2026 r.? Takie, które obsłuży trzy fundamentalne zadania: inwentaryzację systemów AI używanych w organizacji, klasyfikację ryzyka według czterostopniowej piramidy rozporządzenia 2024/1689 oraz utrzymanie dokumentacji technicznej i systemu zarządzania ryzykiem dla systemów wysokiego ryzyka. Kluczowy termin to sierpień 2026 r., od którego stosuje się obowiązki dla systemów wysokiego ryzyka. Poniżej porównuję kategorie narzędzi i wyjaśniam, dlaczego AI Act i RODO działają równolegle, a nie zamiennie.
Najważniejsze punkty
- Piramida ryzyka: praktyki zakazane, wysokie ryzyko, ograniczone ryzyko (transparentność), minimalne ryzyko.
- Harmonogram: zakazy od lutego 2025, obowiązki GPAI od sierpnia 2025, systemy wysokiego ryzyka od sierpnia 2026.
- Pierwszy krok to inwentaryzacja — nie da się zarządzać AI, której nie widać.
- AI Act nie zastępuje RODO — oba stosuje się do systemów AI przetwarzających dane osobowe.
- Kary AI Act sięgają 35 mln EUR lub 7% obrotu za praktyki zakazane.
Piramida ryzyka: fundament klasyfikacji
AI Act (rozporządzenie 2024/1689) opiera się na podejściu opartym na ryzyku. Narzędzie musi umieć przypisać każdy system AI do właściwego poziomu, bo od tego zależą obowiązki.
Praktyki zakazane (art. 5) — m.in. scoring społeczny, techniki manipulacyjne, nieukierunkowane pobieranie wizerunków twarzy z internetu. Obowiązują od lutego 2025 r. Narzędzie powinno flagować systemy wchodzące w tę kategorię jako niedopuszczalne.
Wysokie ryzyko (art. 6 i załącznik III) — systemy w obszarach takich jak rekrutacja, scoring kredytowy, biometria, edukacja, infrastruktura krytyczna. To najbardziej wymagająca kategoria pod względem obowiązków dokumentacyjnych. Obowiązki stosuje się od sierpnia 2026 r.
Ograniczone ryzyko (art. 50) — obowiązek transparentności: użytkownik musi wiedzieć, że rozmawia z AI (chatboty) lub że treść jest wygenerowana/zmanipulowana (deepfake).
Minimalne ryzyko — większość systemów (filtry spamu, gry); brak dodatkowych obowiązków, choć zaleca się dobrowolne kodeksy postępowania.
Właściwa klasyfikacja bywa trudniejsza, niż się wydaje, bo ten sam model można wykorzystać w różny sposób. Generatywny model językowy sam w sobie nie jest systemem wysokiego ryzyka, ale wpięty w proces oceny kandydatów do pracy trafia do załącznika III. To sposób użycia, a nie sama technologia, decyduje o poziomie ryzyka — dlatego rejestr systemów AI musi opisywać cel i kontekst, a nie tylko nazwę narzędzia.
Inwentaryzacja: nie zarządzisz tym, czego nie widzisz
Najczęstszy błąd organizacji wchodzących w AI Act to pominięcie pierwszego kroku: inwentaryzacji systemów AI. Sztuczna inteligencja rzadko jest scentralizowana — dział HR używa narzędzia do preselekcji CV, marketing generatora treści, dział ryzyka modelu scoringowego, a IT wpina komponenty AI w wewnętrzne aplikacje. Bez pełnego rejestru nie da się nawet ustalić, które systemy podlegają którym obowiązkom.
Dobre oprogramowanie zaczyna więc od rejestru systemów AI: dostawca lub własne rozwiązanie, cel, dane wejściowe, poziom ryzyka, rola organizacji (dostawca czy podmiot stosujący). Ten rejestr jest dla AI Act tym, czym rejestr czynności przetwarzania dla RODO — punktem wyjścia całej zgodności. Bez niego dokumentacja techniczna i klasyfikacja ryzyka wiszą w próżni.
Rozróżnienie ról jest tu kluczowe i często mylone. Firma, która sama trenuje i wprowadza system AI na rynek, jest dostawcą i ponosi pełen ciężar obowiązków. Firma, która jedynie używa cudzego systemu AI we własnej działalności, jest podmiotem stosującym (deployer) i ma węższy, ale realny zestaw obowiązków — m.in. zapewnienie nadzoru człowieka, stosowanie systemu zgodnie z instrukcją dostawcy i monitorowanie jego działania. Większość polskich firm będzie podmiotami stosującymi, ale uwaga: istotna modyfikacja cudzego systemu albo wprowadzenie go pod własną marką może przekwalifikować firmę na dostawcę wraz z całym pakietem obowiązków. Narzędzie powinno pomagać ustalić rolę dla każdego systemu, bo od niej zależy zakres dokumentacji.
Zjawiskiem, które komplikuje inwentaryzację, jest „shadow AI" — narzędzia AI wprowadzane oddolnie przez pracowników bez wiedzy działu compliance. Generatory tekstu, wtyczki i asystenci wpinani w codzienną pracę potrafią przetwarzać dane osobowe i firmowe poza jakąkolwiek kontrolą. Rejestr systemów AI ma sens tylko wtedy, gdy obejmuje także te oddolne wdrożenia — dlatego proces inwentaryzacji musi łączyć spis odgórny z realnym rozpoznaniem tego, czego zespoły faktycznie używają.
Dokumentacja techniczna i zarządzanie ryzykiem
Dla systemów wysokiego ryzyka AI Act nakłada rozbudowane obowiązki dostawcy (art. 9–15): system zarządzania ryzykiem, zarządzanie jakością danych treningowych, dokumentację techniczną, rejestrowanie zdarzeń (logi), przejrzystość, nadzór człowieka oraz dokładność i cyberbezpieczeństwo. Narzędzie powinno utrzymywać tę dokumentację w sposób wersjonowany i gotowy do przedstawienia organowi nadzoru rynku.
Warto podkreślić, że dokumentacja techniczna nie jest jednorazowym opracowaniem sprzed wprowadzenia systemu na rynek. AI Act wymaga jej utrzymywania przez cały cykl życia systemu i aktualizacji po każdej istotnej zmianie — nowej wersji modelu, zmianie danych treningowych, rozszerzeniu zastosowania. Podmiot stosujący ma z kolei obowiązek monitorować działanie systemu i zgłaszać poważne incydenty. To zamienia zgodność z AI Act w proces ciągły, bliski logice rozliczalności znanej z RODO — i właśnie dlatego statyczny zestaw dokumentów w Wordzie nie wystarczy. Potrzebny jest system, który wie, kiedy dokumentacja się zdezaktualizowała i wymusza jej przegląd.
Kluczowy jest styk z RODO. Jeśli system AI przetwarza dane osobowe — a systemy rekrutacyjne, scoringowe czy biometryczne z definicji to robią — obowiązki AI Act nakładają się na obowiązki RODO. W szczególności system zarządzania ryzykiem z AI Act często wymaga równoległej oceny skutków dla ochrony danych (DPIA) z art. 35 RODO oraz ustalenia podstawy prawnej przetwarzania. Dobre narzędzie łączy te wątki, zamiast traktować AI Act i RODO jako osobne silosy.
AI Act nie zastępuje RODO
To najważniejsze nieporozumienie. AI Act i RODO stosuje się równolegle. AI Act reguluje bezpieczeństwo i zgodność samego systemu AI jako produktu; RODO reguluje przetwarzanie danych osobowych, które ten system wykorzystuje. System rekrutacyjny wysokiego ryzyka musi spełnić oba reżimy: dokumentację techniczną i nadzór człowieka z AI Act oraz zasady przetwarzania i podstawę prawną z RODO. Praktyczne przykłady klasyfikacji rozwija przewodnik AI Act – systemy wysokiego ryzyka, a całość rozporządzenia porządkuje przewodnik po AI Act.
Porównanie kategorii narzędzi AI Act
| Kategoria | Mocna strona | Słabość dla AI Act |
|---|---|---|
| Platformy AI governance | Rejestr modeli, monitoring | Cena, orientacja na big tech |
| Platformy GRC/privacy | Integracja z RODO/DPIA | Płytsza warstwa techniczna AI |
| Narzędzia MLOps | Zarządzanie modelami | Słaba warstwa zgodności prawnej |
| Rozwiązania zintegrowane (np. Legiscope) | Inwentaryzacja + ryzyko + styk z RODO | Mniejsza głębia niż dedykowany AI governance |
Wyspecjalizowane platformy AI governance oferują najgłębszy monitoring modeli, ale są kosztowne i projektowane pod duże organizacje technologiczne. Narzędzia MLOps zarządzają cyklem życia modeli, lecz nie zamkną warstwy zgodności prawnej. Dla większości firm — które AI stosują, a nie budują — najlepiej sprawdza się rozwiązanie łączące inwentaryzację systemów AI, klasyfikację ryzyka i styk z dokumentacją RODO, bez narzutu platformy dla big tech. To zwłaszcza istotne dla polskich firm w rekrutacji, sektorze finansowym czy edukacji, gdzie systemy z załącznika III są najczęstsze. Warto też pamiętać o pułapce integracji: narzędzie do zgodności z AI Act, które żyje w oderwaniu od dokumentacji RODO, wymusza podwójne wprowadzanie tych samych informacji o systemie — raz na potrzeby oceny AI, raz na potrzeby DPIA. Rozwiązanie, które współdzieli dane między oboma reżimami, oszczędza pracę i, co ważniejsze, eliminuje rozjazd wersji między dokumentacją AI a dokumentacją ochrony danych opisującą ten sam system.
Kontekst polski i kary
Na poziomie krajowym trwają prace nad ustawą regulującą stosowanie AI Act i wyznaczeniem organu nadzoru rynku; stan legislacji w 2026 r. warto weryfikować u źródła. Niezależnie od krajowej ustawy samo rozporządzenie stosuje się bezpośrednio — to jego przepisy, a nie ustawa krajowa, tworzą obowiązki materialne. Ustawa krajowa określi głównie, który organ prowadzi nadzór rynku i jak przebiega postępowanie. Kary są dotkliwe: za stosowanie praktyk zakazanych do 35 mln EUR lub 7% światowego obrotu, za naruszenia obowiązków dla systemów wysokiego ryzyka do 15 mln EUR lub 3%, a za podanie nieprawidłowych informacji organom do 7,5 mln EUR lub 1%. To czyni wczesną inwentaryzację i klasyfikację nie formalnością, lecz zarządzaniem realnym ryzykiem — zwłaszcza że dokumentacji wysokiego ryzyka nie da się wiarygodnie odtworzyć wstecz po fakcie.
FAQ
Od kiedy obowiązują przepisy AI Act o systemach wysokiego ryzyka?
Obowiązki dla systemów wysokiego ryzyka z załącznika III stosuje się co do zasady od sierpnia 2026 r. Wcześniej weszły zakazy praktyk niedopuszczalnych (luty 2025) i obowiązki dla modeli ogólnego przeznaczenia GPAI (sierpień 2025). Harmonogram jest etapowy, dlatego inwentaryzację i klasyfikację warto zrobić z wyprzedzeniem, nie na ostatnią chwilę.
Czy AI Act zastępuje RODO?
Nie. AI Act i RODO stosuje się równolegle. AI Act reguluje system AI jako produkt (dokumentacja techniczna, nadzór człowieka, zarządzanie ryzykiem), a RODO reguluje przetwarzanie danych osobowych, które system wykorzystuje. System AI przetwarzający dane osobowe musi spełnić oba reżimy jednocześnie — często wraz z oceną skutków DPIA.
Od czego zacząć zgodność z AI Act?
Od inwentaryzacji systemów AI używanych w organizacji. Bez pełnego rejestru — kto jest dostawcą, jaki jest cel, jakie dane wejściowe, jaki poziom ryzyka — nie da się ustalić, które obowiązki dotyczą których systemów. Rejestr systemów AI jest dla AI Act tym, czym rejestr czynności przetwarzania dla RODO: fundamentem całej zgodności.
Jakie są kary za naruszenie AI Act?
Najwyższe kary dotyczą stosowania praktyk zakazanych — do 35 mln EUR lub 7% światowego rocznego obrotu, w zależności od tego, która kwota jest wyższa. Za inne naruszenia, w tym obowiązków dla systemów wysokiego ryzyka, przewidziano niższe, ale wciąż wysokie pułapy liczone w milionach euro.
Legiscope łączy inwentaryzację systemów AI, klasyfikację ryzyka i styk z dokumentacją RODO (DPIA, podstawy prawne) w jednym systemie hostowanym w UE. Zobacz, jak Legiscope porządkuje zgodność z AI Act razem z obowiązkami RODO, zamiast prowadzić dwa osobne, rozjeżdżające się silosy dokumentacji.
Źródła: Rozporządzenie 2024/1689 (AI Act), EUR-Lex · Urząd Ochrony Danych Osobowych (UODO) · Europejska Rada Ochrony Danych (EDPB).
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo