Przewodnik EU AI Act

Obowiązki z EU AI Act: kto musi zrobić co i kiedy

Jedna strona, która mapuje każdy obowiązek na Twoją kategorię ryzyka, rolę i wielkość firmy — na bazie finalnego, obowiązującego tekstu AI Act po zmianach Digital Omnibus.

Stan prawny na: 14 lipca 2026

Skąd biorą się obowiązki

Trzy pytania, które determinują wszystko

1.

Jaka kategoria ryzyka systemu?

Zakazane, wysokie ryzyko, ograniczone ryzyko (Art. 50), minimalne ryzyko — plus osobne reguły dla modeli GPAI. To decyduje, KTÓRE obowiązki w ogóle istnieją.

2.

Jaka rola Twojej firmy?

Dostawca (budujesz i wprowadzasz system na rynek) czy podmiot stosujący (używasz go zawodowo). To decyduje, KTO wykonuje który obowiązek.

3.

Jak duża jest Twoja firma?

Mikro, MŚP, SMC czy duża. Wielkość NIE zmienia zakresu obowiązków — tylko formę (uproszczone szablony) i wysokość kar.

Wielkość firmy nigdy nie zwalnia z obowiązku. 2-osobowy startup będący dostawcą systemu wysokiego ryzyka ma te same obowiązki merytoryczne co korporacja — dostaje tylko uproszczone formularze i niższe kary.
Mapa ryzyka AI Act: kategorie prohibited, high-risk, limited risk / Art. 50 i minimal risk wraz z terminami

Dostawca czy podmiot stosujący?

Twoja rola decyduje o pakiecie obowiązków

Dostawca (provider)

Rozwija system AI (lub zleca rozwój) i wprowadza go na rynek lub do użytku pod własną nazwą.

Przykłady: software house sprzedający AI do scoringu kredytowego; startup z chatbotem SaaS.

Podmiot stosujący (deployer)

Używa systemu AI w ramach działalności zawodowej (użytek osobisty jest poza zakresem).

Przykłady: firma przesiewająca CV z pomocą AI; bank używający kupionego scoringu.

Pułapka zmiany roli (Art. 25)

Podmiot stosujący staje się dostawcą — z pełnym pakietem dostawcy — gdy podpisuje system własną marką, dokonuje istotnej modyfikacji systemu wysokiego ryzyka albo zmienia jego przeznaczenie tak, że staje się wysokiego ryzyka. Fine-tuning modelu pod własny produkt to często istotna modyfikacja.

Macierz obowiązków

Obowiązki według kategorii ryzyka i roli

Zastosowania z Annex III (rekrutacja, scoring kredytowy, edukacja, biometria…) lub komponenty bezpieczeństwa produktów regulowanych (Annex I). Termin: 2 gru 2027 (Annex III) / 2 sie 2028 (Annex I).

Dostawca

  • System zarządzania ryzykiem

    Art. 9

    Obowiązkowy
  • Dokumentacja zarządzania danymi

    Art. 10

    Obowiązkowy
  • Dokumentacja techniczna (Annex IV; uproszczona dla MŚP/startupów/SMC)

    Art. 11

    Obowiązkowy
  • Automatyczne rejestrowanie zdarzeń (logi)

    Art. 12/19

    Obowiązkowy
  • Instrukcja użytkowania dla podmiotów stosujących

    Art. 13

    Obowiązkowy
  • Nadzór ludzki zaprojektowany w systemie

    Art. 14

    Obowiązkowy
  • Dokładność, odporność i cyberbezpieczeństwo

    Art. 15

    Obowiązkowy
  • System zarządzania jakością (proporcjonalny dla MŚP/SMC)

    Art. 17

    Obowiązkowy
  • Ocena zgodności (Annex III: zwykle kontrola wewnętrzna)

    Art. 43

    Obowiązkowy
  • Deklaracja zgodności UE

    Art. 47

    Obowiązkowy
  • Oznakowanie CE

    Art. 48

    Obowiązkowy
  • Rejestracja w bazie danych UE (Annex III)

    Art. 49(1)

    Obowiązkowy
  • Plan monitorowania po wprowadzeniu na rynek

    Art. 72

    Obowiązkowy
  • Działania korygujące + zgłaszanie poważnych incydentów

    Art. 20/73

    Warunkowy
  • Środki wspierające kompetencje AI personelu

    Art. 4

    Obowiązkowy

Podmiot stosujący

  • Używanie zgodnie z instrukcją dostawcy (dokumenty procurementowe!)

    Art. 26(1)

    Obowiązkowy
  • Przydzielenie nadzoru ludzkiego kompetentnym osobom

    Art. 26(2)

    Obowiązkowy
  • Jakość danych wejściowych — gdy je kontrolujesz

    Art. 26(4)

    Warunkowy
  • Monitorowanie działania, zawieszenie użycia przy problemach

    Art. 26(5)

    Obowiązkowy
  • Przechowywanie logów co najmniej 6 miesięcy

    Art. 26(6)

    Obowiązkowy
  • Poinformowanie pracowników przed wdrożeniem w miejscu pracy

    Art. 26(7)

    Warunkowy
  • Rejestracja w bazie UE — tylko organy publiczne

    Art. 49(3)

    Warunkowy
  • Informowanie osób dotkniętych decyzjami systemu

    Art. 26(11)

    Obowiązkowy
  • FRIA — tylko wybrane podmioty (patrz sekcja FRIA)

    Art. 27

    Warunkowy
  • Zgłoszenie incydentu dostawcy i organowi

    Art. 26(5)

    Warunkowy
  • Środki wspierające kompetencje AI personelu

    Art. 4

    Obowiązkowy

Kategorie się sumują: system wysokiego ryzyka będący jednocześnie np. chatbotem ma ZARÓWNO pakiet high-risk, JAK I obowiązki przejrzystości z Art. 50.

Najczęstsze nieporozumienie

FRIA — kto naprawdę musi

Ocena skutków dla praw podstawowych (Art. 27) NIE dotyczy każdego podmiotu stosującego system wysokiego ryzyka. Jest obowiązkowa tylko dla czterech grup:

Podmioty prawa publicznego

Urzędy, uczelnie publiczne, szpitale publiczne

Podmioty prywatne świadczące usługi publiczne

Prywatni operatorzy edukacji, ochrony zdrowia, transportu publicznego

Stosujący AI do scoringu kredytowego (Annex III 5(b))

Banki, fintechy, firmy leasingowe

Stosujący AI w ubezpieczeniach na życie i zdrowotnych (Annex III 5(c))

Ubezpieczyciele wyceniający ryzyko życia lub zdrowia

Prywatna firma używająca AI do rekrutacji (Annex III pkt 4) NIE robi FRIA — ma tylko pakiet Art. 26 dla podmiotów stosujących.
Zakres FRIA: kto musi ją przeprowadzić, a kto nie — przykład prywatnej firmy używającej AI do rekrutacji

Status praktyczny: oficjalny szablon FRIA od AI Office (Art. 27(5)) wciąż NIE został opublikowany — a jego brak nie zawiesza obowiązku. Kreator FRIA w Attestii pokrywa już dziś sześć obowiązkowych elementów z Art. 27(1).

Wielkość firmy

Co wielkość zmienia — a czego nie zmienia nigdy

KategoriaPracownicyObrót
Mikroprzedsiębiorstwo< 10≤ 2 mln EUR
MŚP< 250≤ 50 mln EUR
SMC (small mid-cap)< 750≤ 150 mln EUR
Duża firmapozostałe

Co wielkość zmienia (finalny Digital Omnibus)

  • Uproszczona dokumentacja techniczna (Art. 11) — MŚP + startupy + SMC
  • Proporcjonalne wdrożenie QMS (Art. 17(2)) — wprost MŚP + SMC; w pełni uproszczony QMS (Art. 63) tylko dla MŚP bez podmiotów partnerskich/powiązanych
  • Kary (Art. 99): dla MŚP/startupów NIŻSZA z kwoty lub % obrotu
  • Priorytetowy dostęp do piaskownic regulacyjnych dla MŚP/startupów

Czego wielkość nie zmienia nigdy

  • Klasyfikacji ryzyka — scoring kredytowy jest wysokiego ryzyka niezależnie, czy robi go startup czy bank
  • Listy obowiązków — dostawca-MŚP nadal potrzebuje QMS, zarządzania ryzykiem, deklaracji, CE, rejestracji
  • Terminów
  • Zakazów z Art. 5

Terminy

Kiedy który obowiązek zaczyna obowiązywać

Daty poniżej odzwierciedlają finalny Digital Omnibus (w mocy od lipca 2026) i są czytane z tego samego źródła, które zasila dashboard Attestii.

  1. Obowiązuje

    Zakazy Art. 5 + kompetencje AI (Art. 4)

    Praktyki zakazane wyłączone z rynku; obowiązek wspierania kompetencji AI personelu dotyczy każdego systemu AI.

  2. Obowiązuje

    Obowiązki modeli GPAI

    Dokumentacja, polityka praw autorskich i podsumowanie danych treningowych dla dostawców modeli ogólnego przeznaczenia.

  3. Nadchodzi

    Przejrzystość Art. 50

    Informowanie o rozmowie z AI, znakowanie treści syntetycznych, oznaczanie deepfake'ów. NIE przesunięty przez Digital Omnibus.

  4. Nadchodzi

    Koniec grace na watermarking + zakaz CSAM/NCII

    Systemy GenAI wprowadzone na rynek przed 2 sie 2026 muszą znakować treści maszynowo; zaczyna obowiązywać nowy zakaz z Art. 5.

  5. Nadchodzi

    Krajowe piaskownice regulacyjne AI

    Obowiązek państw członkowskich (co najmniej jedna operacyjna piaskownica) — nie obowiązek firm.

  6. Nadchodzi

    Wysokie ryzyko Annex III (standalone)

    Rekrutacja, scoring kredytowy, edukacja, biometria — pełne pakiety dostawcy i podmiotu stosującego, w tym FRIA tam, gdzie dotyczy.

  7. Nadchodzi

    Wysokie ryzyko Annex I (wbudowane w produkty)

    AI jako komponenty bezpieczeństwa produktów regulowanych; produkty machinery wyłączone.

Która sytuacja to Ty?

Sześć typowych sytuacji

Ograniczone ryzyko · dostawca
Startup 15 osób z chatbotem SaaS do obsługi klienta

Informacja, że użytkownik rozmawia z AI (Art. 50(1)) + znakowanie treści, jeśli je generuje; kompetencje AI zespołu. Bez QMS, bez deklaracji, bez FRIA.

Termin: 2 sie 2026

Wysokie ryzyko · stosujący
Firma 200 osób kupuje AI do przesiewania CV

Pakiet Art. 26: instrukcja od dostawcy (procurement!), nadzór ludzki, monitoring, logi 6 mies., poinformowanie pracowników i kandydatów. BEZ FRIA (prywatna firma, nie 5(b)/(c)).

Termin: 2 gru 2027

Wysokie ryzyko · dostawca · MŚP
Software house 40 osób buduje scoring kredytowy

Pełny pakiet Art. 16: zarządzanie ryzykiem, danymi, UPROSZCZONA dokumentacja techniczna, QMS, ocena zgodności, deklaracja UE, CE, rejestracja w bazie UE, plan post-market monitoring.

Termin: 2 gru 2027 · reguła kar MŚP

Wysokie ryzyko · stosujący · FRIA
Bank wdraża kupiony scoring kredytowy

Pakiet Art. 26 + FRIA przed pierwszym użyciem + notyfikacja wyników organowi; koordynacja z DPIA z RODO.

Termin: 2 gru 2027

Minimalne ryzyko · stosujący
Firma używa ChatGPT/Copilot do pracy biurowej

Kompetencje AI (polityka użycia + szkolenie). Uwaga na drift: użycie LLM do decyzji o pracownikach przenosi Cię do scenariusza B.

Kompetencje AI: obowiązują już teraz

Pułapka Art. 25
Startup robi fine-tuning open-source LLM i sprzedaje jako produkt HR

Staje się DOSTAWCĄ systemu wysokiego ryzyka — pełny pakiet ze scenariusza C, nie E.

Termin: 2 gru 2027

Polska

Polska ustawa wdrożeniowa i KRiBSI

Po parlamencie — czeka na podpis prezydenta

Polska jest jednym z pierwszych państw UE z gotową ustawą wdrożeniową (ustawa o systemach sztucznej inteligencji). Sejm uchwalił ją 11 czerwca 2026; wchodzi w życie 14 dni od publikacji w Dzienniku Ustaw.

  • KRiBSI — krajowy organ nadzoru rynku AI i pojedynczy punkt kontaktowy wobec instytucji UE; kontrole i skargi obywateli
  • Krajowe piaskownice regulacyjne dla firm
  • Krajowe procedury i kary egzekwujące AI Act w Polsce

Ściąga

Niezbędne vs opcjonalne

Zawsze niezbędne (każda firma, już dziś)

  • Kompetencje AI (Art. 4) — środki wspierające kompetencje personelu
  • Sprawdzenie systemu pod kątem zakazów z Art. 5
  • Znajomość swojej roli: dostawca czy podmiot stosujący

Niezbędne zależnie od kategorii i roli

  • Dostawca high-risk → pełny pakiet Art. 16 (9 typów dokumentów)
  • Stosujący high-risk → pakiet Art. 26; FRIA tylko dla czterech grup
  • Chatboty, treści generowane, deepfaki → zawiadomienie o przejrzystości Art. 50

Formalnie opcjonalne, praktycznie warto

  • Dokumenty procurementu AI — bez instrukcji od dostawcy nie spełnisz Art. 26(1)
  • Wewnętrzny rejestr systemów AI z klasyfikacją — dowód należytej staranności
  • Code of Practice on Transparency (finalny, 10 cze 2026) — dobrowolna ścieżka zgodności z Art. 50(2)/(4)

Od lektury do audit-ready w kilka dni

Attestia klasyfikuje Twoje systemy AI, pilnuje każdego terminu z tej strony i generuje wszystkie 12 typów dokumentów — self-serve, bez konsultantów.

Attestia to narzędzie automatyzujące zgodność, a nie porada prawna. Wszystkie materiały skonsultuj z wykwalifikowanym doradcą.