PL | ES | EN

AI Act for entrepreneurs

We help implement AI in line with regulations to protect the business, management board, and product growth pace.

AI Act for entrepreneurs

Marki, z którymi pracowaliśmy

1koszyk
Adresowo
AnyPark
Atomstore
Autopay
Baselinker
BMG Goworowski
Booksy
Booste
Bratna
Cashbene
Codility
DPay
EasySend
Fenalabs
Fenige
FiberPay
Happy Birds
HotPay
idoPay
Juo
Lendi
LitPay
Patronite
Payland Net
Paymove
PayPo
Paytree
PlanetPay
PLNY LALA
PragmaGO
PushPushGo
Quicko
Ready4S
Shoper
SkyShop
Slowtico
TubaPay
VIMONI Smart Payment Services
Visiona
Wealthon
WP Desk
WP Sklep

zakres AI Act: role, ryzyko i sankcje

Najpierw ustalamy, czy organizacja jest providerem, deployerem, importerem/dystrybutorem czy fine-tunerem, a dopiero potem dobieramy właściwy model wdrożenia.

AI Act działa eksterytorialnie: jeśli system AI działa na rynku UE albo jego output jest wykorzystywany w UE, regulacja może mieć zastosowanie niezależnie od kraju siedziby podmiotu.

Provider

Tworzy lub zleca stworzenie systemu AI i wprowadza go na rynek pod własną marką.

Najszerszy zakres obowiązków i dokumentacji.

Deployer

Używa systemu AI w działalności zawodowej i odpowiada za sposób operacyjnego wykorzystania.

Kluczowe: nadzór ludzki, monitoring, FRIA w wymaganych przypadkach.

Importer / Dystrybutor

Wprowadza do UE systemy AI spoza Unii albo dalej je dystrybuuje.

Wymaga kontroli łańcucha dostaw i dokumentacji producenta.

Fine-tuner

Dostosowuje model foundation do konkretnego zastosowania biznesowego.

W praktyce może przejąć status providera nowego systemu.

Profilowanie w Annex III = zawsze high-risk. System AI z Annex III, który profiluje osoby fizyczne, nie korzysta z wyjątku z art. 6 ust. 3.

Prohibited

Praktyki niedopuszczalne (np. social scoring, manipulacja podprogowa, część zastosowań biometrii).

Konsekwencja: natychmiastowe wycofanie i najwyższa ekspozycja sankcyjna.

High-risk

Systemy wpływające na prawa podstawowe, bezpieczeństwo lub istotne decyzje o osobach.

Konsekwencja: pełny pakiet wymogów z art. 8-17 i ocena zgodności.

Limited-risk

Chatboty, deepfake, systemy generatywne i inne obszary transparentności.

Konsekwencja: obowiązki informacyjne i oznaczanie treści AI.

Minimal-risk

Brak dedykowanych obowiązków sektorowych poza AI literacy i dobrymi praktykami governance.

Konsekwencja: proporcjonalny model kontroli i szkolenia użytkowników.

Sankcje: jak ocenić ekspozycję zarządu i spółki

  • Do 35 mln EUR lub 7% globalnego obrotu - za praktyki zakazane.
  • Do 15 mln EUR lub 3% globalnego obrotu - za naruszenia wymogów systemów high-risk.
  • Do 20 mln EUR lub 4% globalnego obrotu - m.in. za naruszenia obowiązków transparentności.

Stan prawny/materiał: 19 lutego 2026 r.

klasyfikacja ryzyka i GPAI

Klasyfikacja decyduje o budżecie, tempie wdrożenia i poziomie odpowiedzialności organizacji. Największy koszt to błędna kwalifikacja systemu.

Prohibited

Wykrywamy praktyki, które trzeba wyłączyć z użycia, aby nie wejść w obszar bezpośredniego naruszenia art. 5.

High-risk

Mapujemy system do wymogów art. 8-17, including conformity assessment, logowanie, nadzór ludzki i kontrolę jakości.

Limited-risk

Projektujemy transparentność dla chatbotów, treści syntetycznych i interfejsów, które oddziałują na użytkownika.

Minimal-risk

Budujemy lekkie governance: AI register, zasady użycia i mechanizm zgłaszania incydentów/shadow AI.

Checklista transparentności

Chatbot

Użytkownik musi wiedzieć, że komunikuje się z AI.

Deepfake / treść syntetyczna

Treści wymagają czytelnego oznaczenia i zasad publikacji.

Watermarking

Dla treści generatywnych przygotowujemy techniczne i operacyjne standardy oznaczania.

wdrożenie AI Act: etapy 0-9

Pracujemy na pełnej sekwencji etapów 0-9. Każdy etap kończy się konkretnym artefaktem, który można pokazać regulatorowi, audytorowi i zarządowi.

Etap 0

Stosowalność i role

Deliverable
  • Cel: ustalić, czy organizacja podlega AI Act i w jakiej roli.
  • Co robimy: AI inventory lite, kwalifikacja use-case'ów i mapowanie ról regulacyjnych.

AI Inventory + Karta kwalifikacyjna organizacji

Etap 1

Klasyfikacja i praktyki zakazane

Deliverable
  • Cel: określić poziom ryzyka każdego systemu AI i wyeliminować praktyki zakazane.
  • Co robimy: analiza Annex III, weryfikacja art. 5, kwalifikacja profilowania i mapowanie obowiązków transparentności.

Legal Classification Memo + Risk Categorisation Matrix + GPAI Status Report

Etap 2

High-risk obligations

Deliverable
  • Cel: zbudować pełną zgodność systemów wysokiego ryzyka.
  • Co robimy: risk management, data governance, technical documentation, human oversight, cybersecurity i conformity assessment.

High-Risk Compliance Pack + EU Declaration ścieżka

Etap 3

GPAI

Deliverable
  • Cel: ustalić i wdrożyć obowiązki dla modeli foundation i integratorów GPAI.
  • Co robimy: Annex XI/XII, copyright policy, summary danych treningowych, a przy systemic risk także ewaluacje i raportowanie incydentów.

GPAI Compliance Pack

Etap 4

Transparentność

Deliverable
  • Cel: wdrożyć wymagane komunikaty dla użytkowników i odbiorców treści AI.
  • Co robimy: projekt notice'ów dla chatbotów i deepfake, standard watermarkingu i procedury publikacji.

Transparency Notice Pack + Watermarking Specification

Etap 5

Governance deployera i FRIA

Deliverable
  • Cel: ustawić odpowiedzialność wewnętrzną i model zarządzania AI.
  • Co robimy: AI Officer/Committee, polityki użycia i zakupów, vendor due diligence, FRIA dla wymaganych obszarów.

AI Governance Framework + FRIA Report

Etap 6

Integracja regulacyjna

Deliverable
  • Cel: połączyć AI Act z istniejącymi obowiązkami sektorowymi i cyber.
  • Co robimy: spięcie z RODO, DORA, NIS2, MiCA/PSD2/AML oraz CRA/DSA i uporządkowanie jednego backlogu compliance.

Regulatory Alignment Matrix + Cross-Compliance Roadmap

Etap 7

AI literacy

Deliverable
  • Cel: zapewnić kompetencje zespołów zgodnie z art. 4 AI Act.
  • Co robimy: matryca szkoleń dla zarządu, compliance, tech, HR, sales i całej organizacji.

AI Literacy Program + rejestr szkoleń + certyfikaty

Etap 8

Post-market i incydenty

Deliverable
  • Cel: utrzymać zgodność po uruchomieniu systemu w produkcji.
  • Co robimy: post-market monitoring, incident reporting, kwartalne raporty i change impact assessment.

Post-Market Monitoring Plan + Incident Reporting Procedure

Etap 9

Audyt i przewaga rynkowa

Deliverable
  • Cel: przejść od checklisty compliance do trwałej przewagi w sprzedaży i due diligence.
  • Co robimy: audit readiness, przygotowanie do kontroli, wsparcie certyfikacyjne i komunikacja AI trust.

Annual AI Audit Report + Compliance Evidence Pack

harmonogram AI Act

W planowaniu budżetu i priorytetów liczą się konkretne daty. Poniżej punkty, które najczęściej determinują kolejność projektu wdrożeniowego.

2 lutego 2025

Start zakazu praktyk niedopuszczalnych (art. 5) oraz obowiązku AI literacy (art. 4).

2 sierpnia 2025

Wejście obowiązków dla dostawców GPAI i uruchomienie mechanizmów nadzorczych.

2 sierpnia 2026

Kluczowy deadline: szeroki zakres obowiązków dla high-risk i transparentności oraz pełniejszy enforcement.

2 sierpnia 2027

Dalsze obowiązki dla systemów high-risk z Annex I i domknięcie przejściowych reżimów GPAI.

31 grudnia 2030

Granica czasowa dla wybranych wielkoskalowych systemów z Annex X.

Stan prawny/materiał: 19 lutego 2026 r.

integracja AI Act z innymi regulacjami

Jedno wdrożenie cross-regulatory jest tańsze i bezpieczniejsze niż prowadzenie równoległych silosów compliance.

AI Act + RODO

Łączymy AI Risk Assessment z DPIA, profilowaniem i art. 22 RODO, aby uniknąć rozjazdu między privacy a AI governance.

AI Act + DORA

Wpinamy systemy AI do ICT risk management, testów odporności i planów ciągłości operacyjnej.

AI Act + NIS2

Synchronizujemy cyberbezpieczeństwo, zarządzanie łańcuchem dostaw oraz raportowanie incydentów.

AI Act + MiCA / PSD2 / AML

Dla fintechów klasyfikujemy AI w procesach scoringu, AML/KYC i fraud detection jako potencjalnie high-risk.

AI Act + CRA / DSA

Porządkujemy wymagania cyber produktu i transparentności algorytmów w kanałach platformowych.

governance AI i AI literacy

Skuteczne wdrożenie AI Act wymaga stałej struktury decyzyjnej, polityk operacyjnych i matrycy kompetencji dla całej organizacji.

Struktura odpowiedzialności

  • AI Officer lub AI Committee na poziomie zarządu
  • RACI dla decyzji produktowych, legal i bezpieczeństwa
  • Regularny reporting ryzyk AI do zarządu

Pakiet polityk

  • AI Governance Policy
  • AI Acceptable Use Policy
  • AI Procurement Policy
  • AI Vendor Assessment Framework

Vendor Assessment Framework

  1. Ocena roli dostawcy i podziału odpowiedzialności AI Act
  2. Weryfikacja dokumentacji technicznej, logowania i nadzoru ludzkiego
  3. Ocena kontraktowa (SLA, IP, odpowiedzialność, incident clauses)
  4. Decyzja go/no-go i monitoring po wdrożeniu

AI literacy matrix

Group
Zakres
Format
Zarząd
Odpowiedzialność, mapa ryzyk strategicznych, decyzje inwestycyjne.
Warsztat 4-8h
Compliance / Legal
Klasyfikacja, sankcje, FRIA, integracja z RODO i nadzorem.
Szkolenie 16h
Tech / ML
Risk management, dokumentacja, testy, logowanie, cyber.
Szkolenie 16h
HR / Sales
Rekrutacja high-risk, zakazane praktyki, transparentność komunikacji.
Warsztat 4-8h
Wszyscy pracownicy
Podstawy AI literacy, shadow AI, zgłaszanie incydentów.
E-learning 2-4h

Jeśli masz już polityki, dopinamy je do jednego modelu operacyjnego i porządkujemy dowody zgodności pod kontrolę regulatora.

Umów kwalifikację projektu

Skontaktuj się w sprawie AI Act

Podczas pierwszej rozmowy kwalifikujemy etap projektu: diagnoza, wdrożenie high-risk albo utrzymanie zgodności po uruchomieniu systemu.

AI Act practice is led by:

Tomasz Klecor

Tomasz Klecor

Managing Partner

FinTech navigator. Lawyer.

+48 797 711 924
info@legalgeek.pl

Opisz etap projektu

Napisz, czy potrzebujesz diagnozy AI Act, projektu wdrożenia high-risk, czy modelu post-market i audytu rocznego.

Your data will be processed in accordance with our privacy policy