Obowiązki z EU AI Act: kto musi zrobić co i kiedy
Jedna strona, która mapuje każdy obowiązek na Twoją kategorię ryzyka, rolę i wielkość firmy — na bazie finalnego, obowiązującego tekstu AI Act po zmianach Digital Omnibus.
Stan prawny na: 14 lipca 2026
Skąd biorą się obowiązki
Trzy pytania, które determinują wszystko
1.
Jaka kategoria ryzyka systemu?
Zakazane, wysokie ryzyko, ograniczone ryzyko (Art. 50), minimalne ryzyko — plus osobne reguły dla modeli GPAI. To decyduje, KTÓRE obowiązki w ogóle istnieją.
2.
Jaka rola Twojej firmy?
Dostawca (budujesz i wprowadzasz system na rynek) czy podmiot stosujący (używasz go zawodowo). To decyduje, KTO wykonuje który obowiązek.
3.
Jak duża jest Twoja firma?
Mikro, MŚP, SMC czy duża. Wielkość NIE zmienia zakresu obowiązków — tylko formę (uproszczone szablony) i wysokość kar.
Wielkość firmy nigdy nie zwalnia z obowiązku. 2-osobowy startup będący dostawcą systemu wysokiego ryzyka ma te same obowiązki merytoryczne co korporacja — dostaje tylko uproszczone formularze i niższe kary.
Dostawca czy podmiot stosujący?
Twoja rola decyduje o pakiecie obowiązków
Dostawca (provider)
Rozwija system AI (lub zleca rozwój) i wprowadza go na rynek lub do użytku pod własną nazwą.
Przykłady: software house sprzedający AI do scoringu kredytowego; startup z chatbotem SaaS.
Podmiot stosujący (deployer)
Używa systemu AI w ramach działalności zawodowej (użytek osobisty jest poza zakresem).
Przykłady: firma przesiewająca CV z pomocą AI; bank używający kupionego scoringu.
Pułapka zmiany roli (Art. 25)
Podmiot stosujący staje się dostawcą — z pełnym pakietem dostawcy — gdy podpisuje system własną marką, dokonuje istotnej modyfikacji systemu wysokiego ryzyka albo zmienia jego przeznaczenie tak, że staje się wysokiego ryzyka. Fine-tuning modelu pod własny produkt to często istotna modyfikacja.
Macierz obowiązków
Obowiązki według kategorii ryzyka i roli
Zastosowania z Annex III (rekrutacja, scoring kredytowy, edukacja, biometria…) lub komponenty bezpieczeństwa produktów regulowanych (Annex I). Termin: 2 gru 2027 (Annex III) / 2 sie 2028 (Annex I).
Dostawca
- Obowiązkowy
System zarządzania ryzykiem
Art. 9
- Obowiązkowy
Dokumentacja zarządzania danymi
Art. 10
- Obowiązkowy
Dokumentacja techniczna (Annex IV; uproszczona dla MŚP/startupów/SMC)
Art. 11
- Obowiązkowy
Automatyczne rejestrowanie zdarzeń (logi)
Art. 12/19
- Obowiązkowy
Instrukcja użytkowania dla podmiotów stosujących
Art. 13
- Obowiązkowy
Nadzór ludzki zaprojektowany w systemie
Art. 14
- Obowiązkowy
Dokładność, odporność i cyberbezpieczeństwo
Art. 15
- Obowiązkowy
System zarządzania jakością (proporcjonalny dla MŚP/SMC)
Art. 17
- Obowiązkowy
Ocena zgodności (Annex III: zwykle kontrola wewnętrzna)
Art. 43
- Obowiązkowy
Deklaracja zgodności UE
Art. 47
- Obowiązkowy
Oznakowanie CE
Art. 48
- Obowiązkowy
Rejestracja w bazie danych UE (Annex III)
Art. 49(1)
- Obowiązkowy
Plan monitorowania po wprowadzeniu na rynek
Art. 72
- Warunkowy
Działania korygujące + zgłaszanie poważnych incydentów
Art. 20/73
- Obowiązkowy
Środki wspierające kompetencje AI personelu
Art. 4
Podmiot stosujący
- Obowiązkowy
Używanie zgodnie z instrukcją dostawcy (dokumenty procurementowe!)
Art. 26(1)
- Obowiązkowy
Przydzielenie nadzoru ludzkiego kompetentnym osobom
Art. 26(2)
- Warunkowy
Jakość danych wejściowych — gdy je kontrolujesz
Art. 26(4)
- Obowiązkowy
Monitorowanie działania, zawieszenie użycia przy problemach
Art. 26(5)
- Obowiązkowy
Przechowywanie logów co najmniej 6 miesięcy
Art. 26(6)
- Warunkowy
Poinformowanie pracowników przed wdrożeniem w miejscu pracy
Art. 26(7)
- Warunkowy
Rejestracja w bazie UE — tylko organy publiczne
Art. 49(3)
- Obowiązkowy
Informowanie osób dotkniętych decyzjami systemu
Art. 26(11)
- Warunkowy
FRIA — tylko wybrane podmioty (patrz sekcja FRIA)
Art. 27
- Warunkowy
Zgłoszenie incydentu dostawcy i organowi
Art. 26(5)
- Obowiązkowy
Środki wspierające kompetencje AI personelu
Art. 4
Kategorie się sumują: system wysokiego ryzyka będący jednocześnie np. chatbotem ma ZARÓWNO pakiet high-risk, JAK I obowiązki przejrzystości z Art. 50.
Najczęstsze nieporozumienie
FRIA — kto naprawdę musi
Ocena skutków dla praw podstawowych (Art. 27) NIE dotyczy każdego podmiotu stosującego system wysokiego ryzyka. Jest obowiązkowa tylko dla czterech grup:
Podmioty prawa publicznego
Urzędy, uczelnie publiczne, szpitale publiczne
Podmioty prywatne świadczące usługi publiczne
Prywatni operatorzy edukacji, ochrony zdrowia, transportu publicznego
Stosujący AI do scoringu kredytowego (Annex III 5(b))
Banki, fintechy, firmy leasingowe
Stosujący AI w ubezpieczeniach na życie i zdrowotnych (Annex III 5(c))
Ubezpieczyciele wyceniający ryzyko życia lub zdrowia
Prywatna firma używająca AI do rekrutacji (Annex III pkt 4) NIE robi FRIA — ma tylko pakiet Art. 26 dla podmiotów stosujących.
Status praktyczny: oficjalny szablon FRIA od AI Office (Art. 27(5)) wciąż NIE został opublikowany — a jego brak nie zawiesza obowiązku. Kreator FRIA w Attestii pokrywa już dziś sześć obowiązkowych elementów z Art. 27(1).
Wielkość firmy
Co wielkość zmienia — a czego nie zmienia nigdy
| Kategoria | Pracownicy | Obrót |
|---|---|---|
| Mikroprzedsiębiorstwo | < 10 | ≤ 2 mln EUR |
| MŚP | < 250 | ≤ 50 mln EUR |
| SMC (small mid-cap) | < 750 | ≤ 150 mln EUR |
| Duża firma | pozostałe | — |
Co wielkość zmienia (finalny Digital Omnibus)
- Uproszczona dokumentacja techniczna (Art. 11) — MŚP + startupy + SMC
- Proporcjonalne wdrożenie QMS (Art. 17(2)) — wprost MŚP + SMC; w pełni uproszczony QMS (Art. 63) tylko dla MŚP bez podmiotów partnerskich/powiązanych
- Kary (Art. 99): dla MŚP/startupów NIŻSZA z kwoty lub % obrotu
- Priorytetowy dostęp do piaskownic regulacyjnych dla MŚP/startupów
Czego wielkość nie zmienia nigdy
- Klasyfikacji ryzyka — scoring kredytowy jest wysokiego ryzyka niezależnie, czy robi go startup czy bank
- Listy obowiązków — dostawca-MŚP nadal potrzebuje QMS, zarządzania ryzykiem, deklaracji, CE, rejestracji
- Terminów
- Zakazów z Art. 5
Terminy
Kiedy który obowiązek zaczyna obowiązywać
Daty poniżej odzwierciedlają finalny Digital Omnibus (w mocy od lipca 2026) i są czytane z tego samego źródła, które zasila dashboard Attestii.
- Obowiązuje
Zakazy Art. 5 + kompetencje AI (Art. 4)
Praktyki zakazane wyłączone z rynku; obowiązek wspierania kompetencji AI personelu dotyczy każdego systemu AI.
- Obowiązuje
Obowiązki modeli GPAI
Dokumentacja, polityka praw autorskich i podsumowanie danych treningowych dla dostawców modeli ogólnego przeznaczenia.
- Nadchodzi
Przejrzystość Art. 50
Informowanie o rozmowie z AI, znakowanie treści syntetycznych, oznaczanie deepfake'ów. NIE przesunięty przez Digital Omnibus.
- Nadchodzi
Koniec grace na watermarking + zakaz CSAM/NCII
Systemy GenAI wprowadzone na rynek przed 2 sie 2026 muszą znakować treści maszynowo; zaczyna obowiązywać nowy zakaz z Art. 5.
- Nadchodzi
Krajowe piaskownice regulacyjne AI
Obowiązek państw członkowskich (co najmniej jedna operacyjna piaskownica) — nie obowiązek firm.
- Nadchodzi
Wysokie ryzyko Annex III (standalone)
Rekrutacja, scoring kredytowy, edukacja, biometria — pełne pakiety dostawcy i podmiotu stosującego, w tym FRIA tam, gdzie dotyczy.
- Nadchodzi
Wysokie ryzyko Annex I (wbudowane w produkty)
AI jako komponenty bezpieczeństwa produktów regulowanych; produkty machinery wyłączone.
Która sytuacja to Ty?
Sześć typowych sytuacji
Polska
Polska ustawa wdrożeniowa i KRiBSI
Polska jest jednym z pierwszych państw UE z gotową ustawą wdrożeniową (ustawa o systemach sztucznej inteligencji). Sejm uchwalił ją 11 czerwca 2026; wchodzi w życie 14 dni od publikacji w Dzienniku Ustaw.
- KRiBSI — krajowy organ nadzoru rynku AI i pojedynczy punkt kontaktowy wobec instytucji UE; kontrole i skargi obywateli
- Krajowe piaskownice regulacyjne dla firm
- Krajowe procedury i kary egzekwujące AI Act w Polsce
Ściąga
Niezbędne vs opcjonalne
Zawsze niezbędne (każda firma, już dziś)
- Kompetencje AI (Art. 4) — środki wspierające kompetencje personelu
- Sprawdzenie systemu pod kątem zakazów z Art. 5
- Znajomość swojej roli: dostawca czy podmiot stosujący
Niezbędne zależnie od kategorii i roli
- Dostawca high-risk → pełny pakiet Art. 16 (9 typów dokumentów)
- Stosujący high-risk → pakiet Art. 26; FRIA tylko dla czterech grup
- Chatboty, treści generowane, deepfaki → zawiadomienie o przejrzystości Art. 50
Formalnie opcjonalne, praktycznie warto
- Dokumenty procurementu AI — bez instrukcji od dostawcy nie spełnisz Art. 26(1)
- Wewnętrzny rejestr systemów AI z klasyfikacją — dowód należytej staranności
- Code of Practice on Transparency (finalny, 10 cze 2026) — dobrowolna ścieżka zgodności z Art. 50(2)/(4)
Od lektury do audit-ready w kilka dni
Attestia klasyfikuje Twoje systemy AI, pilnuje każdego terminu z tej strony i generuje wszystkie 12 typów dokumentów — self-serve, bez konsultantów.
Attestia to narzędzie automatyzujące zgodność, a nie porada prawna. Wszystkie materiały skonsultuj z wykwalifikowanym doradcą.