Ochrona Danych

Oprogramowanie AI Act: narzędzia zgodności 2026

Oprogramowanie AI Act 2026: narzędzia do inwentaryzacji systemów AI, klasyfikacji ryzyka i dokumentacji technicznej. Obowiązki high-risk od sierpnia 2026.

Also available in:English·Français·Italiano·Deutsch

W jednym zdaniu. Oprogramowanie do AI Act ma zinwentaryzować systemy sztucznej inteligencji w organizacji, sklasyfikować ich ryzyko według piramidy rozporządzenia i utrzymać dokumentację techniczną — bo obowiązki dla systemów wysokiego ryzyka wchodzą w życie w sierpniu 2026 r.

Jakie oprogramowanie do AI Act wybrać w 2026 r.? Takie, które obsłuży trzy fundamentalne zadania: inwentaryzację systemów AI używanych w organizacji, klasyfikację ryzyka według czterostopniowej piramidy rozporządzenia 2024/1689 oraz utrzymanie dokumentacji technicznej i systemu zarządzania ryzykiem dla systemów wysokiego ryzyka. Kluczowy termin to sierpień 2026 r., od którego stosuje się obowiązki dla systemów wysokiego ryzyka. Poniżej porównuję kategorie narzędzi i wyjaśniam, dlaczego AI Act i RODO działają równolegle, a nie zamiennie.

Najważniejsze punkty

  • Piramida ryzyka: praktyki zakazane, wysokie ryzyko, ograniczone ryzyko (transparentność), minimalne ryzyko.
  • Harmonogram: zakazy od lutego 2025, obowiązki GPAI od sierpnia 2025, systemy wysokiego ryzyka od sierpnia 2026.
  • Pierwszy krok to inwentaryzacja — nie da się zarządzać AI, której nie widać.
  • AI Act nie zastępuje RODO — oba stosuje się do systemów AI przetwarzających dane osobowe.
  • Kary AI Act sięgają 35 mln EUR lub 7% obrotu za praktyki zakazane.

Piramida ryzyka: fundament klasyfikacji

AI Act (rozporządzenie 2024/1689) opiera się na podejściu opartym na ryzyku. Narzędzie musi umieć przypisać każdy system AI do właściwego poziomu, bo od tego zależą obowiązki.

Praktyki zakazane (art. 5) — m.in. scoring społeczny, techniki manipulacyjne, nieukierunkowane pobieranie wizerunków twarzy z internetu. Obowiązują od lutego 2025 r. Narzędzie powinno flagować systemy wchodzące w tę kategorię jako niedopuszczalne.

Wysokie ryzyko (art. 6 i załącznik III) — systemy w obszarach takich jak rekrutacja, scoring kredytowy, biometria, edukacja, infrastruktura krytyczna. To najbardziej wymagająca kategoria pod względem obowiązków dokumentacyjnych. Obowiązki stosuje się od sierpnia 2026 r.

Ograniczone ryzyko (art. 50) — obowiązek transparentności: użytkownik musi wiedzieć, że rozmawia z AI (chatboty) lub że treść jest wygenerowana/zmanipulowana (deepfake).

Minimalne ryzyko — większość systemów (filtry spamu, gry); brak dodatkowych obowiązków, choć zaleca się dobrowolne kodeksy postępowania.

Właściwa klasyfikacja bywa trudniejsza, niż się wydaje, bo ten sam model można wykorzystać w różny sposób. Generatywny model językowy sam w sobie nie jest systemem wysokiego ryzyka, ale wpięty w proces oceny kandydatów do pracy trafia do załącznika III. To sposób użycia, a nie sama technologia, decyduje o poziomie ryzyka — dlatego rejestr systemów AI musi opisywać cel i kontekst, a nie tylko nazwę narzędzia.

Inwentaryzacja: nie zarządzisz tym, czego nie widzisz

Najczęstszy błąd organizacji wchodzących w AI Act to pominięcie pierwszego kroku: inwentaryzacji systemów AI. Sztuczna inteligencja rzadko jest scentralizowana — dział HR używa narzędzia do preselekcji CV, marketing generatora treści, dział ryzyka modelu scoringowego, a IT wpina komponenty AI w wewnętrzne aplikacje. Bez pełnego rejestru nie da się nawet ustalić, które systemy podlegają którym obowiązkom.

Dobre oprogramowanie zaczyna więc od rejestru systemów AI: dostawca lub własne rozwiązanie, cel, dane wejściowe, poziom ryzyka, rola organizacji (dostawca czy podmiot stosujący). Ten rejestr jest dla AI Act tym, czym rejestr czynności przetwarzania dla RODO — punktem wyjścia całej zgodności. Bez niego dokumentacja techniczna i klasyfikacja ryzyka wiszą w próżni.

Rozróżnienie ról jest tu kluczowe i często mylone. Firma, która sama trenuje i wprowadza system AI na rynek, jest dostawcą i ponosi pełen ciężar obowiązków. Firma, która jedynie używa cudzego systemu AI we własnej działalności, jest podmiotem stosującym (deployer) i ma węższy, ale realny zestaw obowiązków — m.in. zapewnienie nadzoru człowieka, stosowanie systemu zgodnie z instrukcją dostawcy i monitorowanie jego działania. Większość polskich firm będzie podmiotami stosującymi, ale uwaga: istotna modyfikacja cudzego systemu albo wprowadzenie go pod własną marką może przekwalifikować firmę na dostawcę wraz z całym pakietem obowiązków. Narzędzie powinno pomagać ustalić rolę dla każdego systemu, bo od niej zależy zakres dokumentacji.

Zjawiskiem, które komplikuje inwentaryzację, jest „shadow AI" — narzędzia AI wprowadzane oddolnie przez pracowników bez wiedzy działu compliance. Generatory tekstu, wtyczki i asystenci wpinani w codzienną pracę potrafią przetwarzać dane osobowe i firmowe poza jakąkolwiek kontrolą. Rejestr systemów AI ma sens tylko wtedy, gdy obejmuje także te oddolne wdrożenia — dlatego proces inwentaryzacji musi łączyć spis odgórny z realnym rozpoznaniem tego, czego zespoły faktycznie używają.

Dokumentacja techniczna i zarządzanie ryzykiem

Dla systemów wysokiego ryzyka AI Act nakłada rozbudowane obowiązki dostawcy (art. 9–15): system zarządzania ryzykiem, zarządzanie jakością danych treningowych, dokumentację techniczną, rejestrowanie zdarzeń (logi), przejrzystość, nadzór człowieka oraz dokładność i cyberbezpieczeństwo. Narzędzie powinno utrzymywać tę dokumentację w sposób wersjonowany i gotowy do przedstawienia organowi nadzoru rynku.

Warto podkreślić, że dokumentacja techniczna nie jest jednorazowym opracowaniem sprzed wprowadzenia systemu na rynek. AI Act wymaga jej utrzymywania przez cały cykl życia systemu i aktualizacji po każdej istotnej zmianie — nowej wersji modelu, zmianie danych treningowych, rozszerzeniu zastosowania. Podmiot stosujący ma z kolei obowiązek monitorować działanie systemu i zgłaszać poważne incydenty. To zamienia zgodność z AI Act w proces ciągły, bliski logice rozliczalności znanej z RODO — i właśnie dlatego statyczny zestaw dokumentów w Wordzie nie wystarczy. Potrzebny jest system, który wie, kiedy dokumentacja się zdezaktualizowała i wymusza jej przegląd.

Kluczowy jest styk z RODO. Jeśli system AI przetwarza dane osobowe — a systemy rekrutacyjne, scoringowe czy biometryczne z definicji to robią — obowiązki AI Act nakładają się na obowiązki RODO. W szczególności system zarządzania ryzykiem z AI Act często wymaga równoległej oceny skutków dla ochrony danych (DPIA) z art. 35 RODO oraz ustalenia podstawy prawnej przetwarzania. Dobre narzędzie łączy te wątki, zamiast traktować AI Act i RODO jako osobne silosy.

AI Act nie zastępuje RODO

To najważniejsze nieporozumienie. AI Act i RODO stosuje się równolegle. AI Act reguluje bezpieczeństwo i zgodność samego systemu AI jako produktu; RODO reguluje przetwarzanie danych osobowych, które ten system wykorzystuje. System rekrutacyjny wysokiego ryzyka musi spełnić oba reżimy: dokumentację techniczną i nadzór człowieka z AI Act oraz zasady przetwarzania i podstawę prawną z RODO. Praktyczne przykłady klasyfikacji rozwija przewodnik AI Act – systemy wysokiego ryzyka, a całość rozporządzenia porządkuje przewodnik po AI Act.

Porównanie kategorii narzędzi AI Act

Kategoria Mocna strona Słabość dla AI Act
Platformy AI governance Rejestr modeli, monitoring Cena, orientacja na big tech
Platformy GRC/privacy Integracja z RODO/DPIA Płytsza warstwa techniczna AI
Narzędzia MLOps Zarządzanie modelami Słaba warstwa zgodności prawnej
Rozwiązania zintegrowane (np. Legiscope) Inwentaryzacja + ryzyko + styk z RODO Mniejsza głębia niż dedykowany AI governance

Wyspecjalizowane platformy AI governance oferują najgłębszy monitoring modeli, ale są kosztowne i projektowane pod duże organizacje technologiczne. Narzędzia MLOps zarządzają cyklem życia modeli, lecz nie zamkną warstwy zgodności prawnej. Dla większości firm — które AI stosują, a nie budują — najlepiej sprawdza się rozwiązanie łączące inwentaryzację systemów AI, klasyfikację ryzyka i styk z dokumentacją RODO, bez narzutu platformy dla big tech. To zwłaszcza istotne dla polskich firm w rekrutacji, sektorze finansowym czy edukacji, gdzie systemy z załącznika III są najczęstsze. Warto też pamiętać o pułapce integracji: narzędzie do zgodności z AI Act, które żyje w oderwaniu od dokumentacji RODO, wymusza podwójne wprowadzanie tych samych informacji o systemie — raz na potrzeby oceny AI, raz na potrzeby DPIA. Rozwiązanie, które współdzieli dane między oboma reżimami, oszczędza pracę i, co ważniejsze, eliminuje rozjazd wersji między dokumentacją AI a dokumentacją ochrony danych opisującą ten sam system.

Kontekst polski i kary

Na poziomie krajowym trwają prace nad ustawą regulującą stosowanie AI Act i wyznaczeniem organu nadzoru rynku; stan legislacji w 2026 r. warto weryfikować u źródła. Niezależnie od krajowej ustawy samo rozporządzenie stosuje się bezpośrednio — to jego przepisy, a nie ustawa krajowa, tworzą obowiązki materialne. Ustawa krajowa określi głównie, który organ prowadzi nadzór rynku i jak przebiega postępowanie. Kary są dotkliwe: za stosowanie praktyk zakazanych do 35 mln EUR lub 7% światowego obrotu, za naruszenia obowiązków dla systemów wysokiego ryzyka do 15 mln EUR lub 3%, a za podanie nieprawidłowych informacji organom do 7,5 mln EUR lub 1%. To czyni wczesną inwentaryzację i klasyfikację nie formalnością, lecz zarządzaniem realnym ryzykiem — zwłaszcza że dokumentacji wysokiego ryzyka nie da się wiarygodnie odtworzyć wstecz po fakcie.

FAQ

Od kiedy obowiązują przepisy AI Act o systemach wysokiego ryzyka?

Obowiązki dla systemów wysokiego ryzyka z załącznika III stosuje się co do zasady od sierpnia 2026 r. Wcześniej weszły zakazy praktyk niedopuszczalnych (luty 2025) i obowiązki dla modeli ogólnego przeznaczenia GPAI (sierpień 2025). Harmonogram jest etapowy, dlatego inwentaryzację i klasyfikację warto zrobić z wyprzedzeniem, nie na ostatnią chwilę.

Czy AI Act zastępuje RODO?

Nie. AI Act i RODO stosuje się równolegle. AI Act reguluje system AI jako produkt (dokumentacja techniczna, nadzór człowieka, zarządzanie ryzykiem), a RODO reguluje przetwarzanie danych osobowych, które system wykorzystuje. System AI przetwarzający dane osobowe musi spełnić oba reżimy jednocześnie — często wraz z oceną skutków DPIA.

Od czego zacząć zgodność z AI Act?

Od inwentaryzacji systemów AI używanych w organizacji. Bez pełnego rejestru — kto jest dostawcą, jaki jest cel, jakie dane wejściowe, jaki poziom ryzyka — nie da się ustalić, które obowiązki dotyczą których systemów. Rejestr systemów AI jest dla AI Act tym, czym rejestr czynności przetwarzania dla RODO: fundamentem całej zgodności.

Jakie są kary za naruszenie AI Act?

Najwyższe kary dotyczą stosowania praktyk zakazanych — do 35 mln EUR lub 7% światowego rocznego obrotu, w zależności od tego, która kwota jest wyższa. Za inne naruszenia, w tym obowiązków dla systemów wysokiego ryzyka, przewidziano niższe, ale wciąż wysokie pułapy liczone w milionach euro.


Legiscope łączy inwentaryzację systemów AI, klasyfikację ryzyka i styk z dokumentacją RODO (DPIA, podstawy prawne) w jednym systemie hostowanym w UE. Zobacz, jak Legiscope porządkuje zgodność z AI Act razem z obowiązkami RODO, zamiast prowadzić dwa osobne, rozjeżdżające się silosy dokumentacji.

Źródła: Rozporządzenie 2024/1689 (AI Act), EUR-Lex · Urząd Ochrony Danych Osobowych (UODO) · Europejska Rada Ochrony Danych (EDPB).

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →