AI Act obowiązuje w pełni od 2 sierpnia 2026 r., nakładając obowiązki na przedsiębiorców rozwijających, wdrażających lub korzystających z systemów AI. tym także modeli ogólnego przeznaczenia jak ChatGPT czy Copilot. Regulacja wymaga klasyfikacji ryzyka, dokumentacji i nadzoru, a w połączeniu z RODO – oceny przetwarzania danych osobowych w algorytmach. Ten przewodnik pokazuje, jak dostosować software house, SaaS czy firmę developerską do AI Act i RODO – legalnie i bez wysokich kar.
Kluczowe daty AI Act dla firm IT w 2026
Od 2 lutego 2025 r. obowiązują zakazy praktyk nieakceptowalnego ryzyka (np. biometria w czasie rzeczywistym) oraz obowiązek AI literacy – szkolenia dla zespołów o ryzykach AI.
Od 2 sierpnia 2025 r. modele GPAI (generative AI) muszą być transparentne: dokumentacja techniczna, raportowanie incydentów, szacunek praw autorskich.
2 sierpnia 2026 r. – pełne obowiązki dla systemów wysokiego ryzyka (high-risk AI): ocena zgodności, zarządzanie ryzykiem, nadzór ludzki, rejestracja w bazie UE – dotyczy np. AI w rekrutacji, scoringu kredytowym czy oprogramowaniu krytycznym dla IT. Do 2027 r. dla systemów zintegrowanych z produktami regulowanymi (np. medtech).
Obowiązki firmy IT jako dostawcy i użytkownika AI
Firmy IT jako dostawcy (providers) modeli GPAI lub high-risk muszą przygotować dokumentację techniczną (logi, dane treningowe, ślad audytowy) i zapewnić nadzór ludzki nad automatyzacją.
Użytkownicy profesjonalni (deployers, np. software house używający Copilot do kodowania) monitorują systemy, informują interaktorów o AI, przechowują logi i raportują incydenty do dostawcy.
Importerzy/dystrybutorzy sprawdzają zgodność przed wprowadzeniem na rynek UE. W Polsce nadzór prowadzi minister cyfryzacji i UODO przy naruszeniach RODO.
Powiązanie AI Act z RODO – podwójny compliance
AI Act nie zastępuje RODO: jeśli AI przetwarza dane osobowe, stosuj DPIA (ocena skutków dla ochrony danych), rejestr czynności przetwarzania i zgody. Wyjątki: badania stronniczości AI z danymi wrażliwymi lub piaskownice regulacyjne zmieniające cel przetwarzania.
W software house: przy trenowaniu modeli na danych klientów – anonimizuj dane (art. 25 RODO), oceń ryzyko stronniczości i zapewnij prawo do wyjaśnienia decyzji AI.
Checklista wdrożeniowa dla firmy IT (2026)
- Klasyfikuj systemy AI: zakazane (np. social scoring), high-risk (rekrutacja, cybersecurity), GPAI, minimalne ryzyko. Oceń wg załącznika III AI Act.
- Dokumentuj wszystko: techniczna dokumentacja, logi użyć, polityka AI literacy dla dev teamu.
- Wdrażaj nadzór: human oversight – developerzy mogą korygować wyniki AI; informuj użytkowników o interakcji z AI.
- Integruj z RODO: DPIA dla AI z danymi osobowymi, polityka retencji danych treningowych, klauzule w umowach z klientami o zgodności AI Act/RODO.
- Szkolenia i monitoring: obowiązkowe AI literacy; coroczny audyt ryzyka, raporty incydentów.
- Umowy IT: dodaj zapisy o zgodności AI Act w umowach B2B (odpowiedzialność za modele GPAI, gwarancje dokumentacji).
Ryzyka i kary – co grozi software house w Polsce
Kary do 7% globalnego obrotu (lub 35 mln EUR) za high-risk bez certyfikacji; do 3% za GPAI bez transparentności. Reputacyjne straty: klienci korpo wymagają „AI Act Ready” w przetargach 2026. Korzyści: przewaga na rynku UE, piaskownice regulacyjne, zaufanie klientów.
Jak Kancelaria IT pomoże w compliance AI Act + RODO
Nasz zespół prawników, radców i działu IT pozwala na kompleksowy audyt: od klasyfikacji ryzyka po politykę AI i wzory umów dla SaaS/software house. Skontaktuj się: doradzimy wdrożenie checklisty, przeprowadzimy szkolenie AI literacy i przygotujemy dokumentację pod 2 sierpnia 2026.
Zapraszamy do kontaktu przez formularz na naszej stronie.
