PL | ES | EN

AI Act for entrepreneurs

We help implement AI in line with regulations to protect the business, management board, and product growth pace.

AI Act for entrepreneurs

Marki, z którymi pracowaliśmy

1koszyk
Adresowo
AnyPark
Atomstore
Autopay
Baselinker
BMG Goworowski
Booksy
Booste
Bratna
Cashbene
Codility
DPay
EasySend
Fenalabs
Fenige
FiberPay
Happy Birds

zakres AI Act: role, ryzyko i sankcje

Najpierw ustalamy, czy organizacja jest providerem, deployerem, importerem/dystrybutorem czy fine-tunerem, a dopiero potem dobieramy właściwy model wdrożenia.

AI Act działa eksterytorialnie: jeśli system AI działa na rynku UE albo jego output jest wykorzystywany w UE, regulacja może mieć zastosowanie niezależnie od kraju siedziby podmiotu.

Provider

Tworzy lub zleca stworzenie systemu AI i wprowadza go na rynek pod własną marką.

Najszerszy zakres obowiązków i dokumentacji.

Deployer

Używa systemu AI w działalności zawodowej i odpowiada za sposób operacyjnego wykorzystania.

Kluczowe: nadzór ludzki, monitoring, FRIA w wymaganych przypadkach.

Importer / Dystrybutor

Wprowadza do UE systemy AI spoza Unii albo dalej je dystrybuuje.

Wymaga kontroli łańcucha dostaw i dokumentacji producenta.

Fine-tuner

Dostosowuje model foundation do konkretnego zastosowania biznesowego.

W praktyce może przejąć status providera nowego systemu.

Profilowanie w Annex III = zawsze high-risk. System AI z Annex III, który profiluje osoby fizyczne, nie korzysta z wyjątku z art. 6 ust. 3.

Prohibited

Praktyki niedopuszczalne (np. social scoring, manipulacja podprogowa, część zastosowań biometrii).

Konsekwencja: natychmiastowe wycofanie i najwyższa ekspozycja sankcyjna.

High-risk

Systemy wpływające na prawa podstawowe, bezpieczeństwo lub istotne decyzje o osobach.

Konsekwencja: pełny pakiet wymogów z art. 8-17 i ocena zgodności.

Limited-risk

Chatboty, deepfake, systemy generatywne i inne obszary transparentności.

Konsekwencja: obowiązki informacyjne i oznaczanie treści AI.

Minimal-risk

Brak dedykowanych obowiązków sektorowych poza AI literacy i dobrymi praktykami governance.

Konsekwencja: proporcjonalny model kontroli i szkolenia użytkowników.

Sankcje: jak ocenić ekspozycję zarządu i spółki

  • Do 35 mln EUR lub 7% globalnego obrotu - za praktyki zakazane.
  • Do 15 mln EUR lub 3% globalnego obrotu - za naruszenia wymogów systemów high-risk.
  • Do 20 mln EUR lub 4% globalnego obrotu - m.in. za naruszenia obowiązków transparentności.

Stan prawny/materiał: 19 lutego 2026 r.

klasyfikacja ryzyka i GPAI

Klasyfikacja decyduje o budżecie, tempie wdrożenia i poziomie odpowiedzialności organizacji. Największy koszt to błędna kwalifikacja systemu.

Prohibited

Wykrywamy praktyki, które trzeba wyłączyć z użycia, aby nie wejść w obszar bezpośredniego naruszenia art. 5.

High-risk

Mapujemy system do wymogów art. 8-17, including conformity assessment, logowanie, nadzór ludzki i kontrolę jakości.

Limited-risk

Projektujemy transparentność dla chatbotów, treści syntetycznych i interfejsów, które oddziałują na użytkownika.

Minimal-risk

Budujemy lekkie governance: AI register, zasady użycia i mechanizm zgłaszania incydentów/shadow AI.

Checklista transparentności

Chatbot

Użytkownik musi wiedzieć, że komunikuje się z AI.

Deepfake / treść syntetyczna

Treści wymagają czytelnego oznaczenia i zasad publikacji.

Watermarking

Dla treści generatywnych przygotowujemy techniczne i operacyjne standardy oznaczania.

wdrożenie AI Act: etapy 0-9

Pracujemy na pełnej sekwencji etapów 0-9. Każdy etap kończy się konkretnym artefaktem, który można pokazać regulatorowi, audytorowi i zarządowi.

Etap 0

Stosowalność i role

Deliverable
  • Cel: ustalić, czy organizacja podlega AI Act i w jakiej roli.
  • Co robimy: AI inventory lite, kwalifikacja use-case'ów i mapowanie ról regulacyjnych.

AI Inventory + Karta kwalifikacyjna organizacji

Etap 1

Klasyfikacja i praktyki zakazane

Deliverable
  • Cel: określić poziom ryzyka każdego systemu AI i wyeliminować praktyki zakazane.
  • Co robimy: analiza Annex III, weryfikacja art. 5, kwalifikacja profilowania i mapowanie obowiązków transparentności.

Legal Classification Memo + Risk Categorisation Matrix + GPAI Status Report

Etap 2

High-risk obligations

Deliverable
  • Cel: zbudować pełną zgodność systemów wysokiego ryzyka.
  • Co robimy: risk management, data governance, technical documentation, human oversight, cybersecurity i conformity assessment.

High-Risk Compliance Pack + EU Declaration ścieżka

Etap 3

GPAI

Deliverable
  • Cel: ustalić i wdrożyć obowiązki dla modeli foundation i integratorów GPAI.
  • Co robimy: Annex XI/XII, copyright policy, summary danych treningowych, a przy systemic risk także ewaluacje i raportowanie incydentów.

GPAI Compliance Pack

Etap 4

Transparentność

Deliverable
  • Cel: wdrożyć wymagane komunikaty dla użytkowników i odbiorców treści AI.
  • Co robimy: projekt notice'ów dla chatbotów i deepfake, standard watermarkingu i procedury publikacji.

Transparency Notice Pack + Watermarking Specification

Etap 5

Governance deployera i FRIA

Deliverable
  • Cel: ustawić odpowiedzialność wewnętrzną i model zarządzania AI.
  • Co robimy: AI Officer/Committee, polityki użycia i zakupów, vendor due diligence, FRIA dla wymaganych obszarów.

AI Governance Framework + FRIA Report

Etap 6

Integracja regulacyjna

Deliverable
  • Cel: połączyć AI Act z istniejącymi obowiązkami sektorowymi i cyber.
  • Co robimy: spięcie z RODO, DORA, NIS2, MiCA/PSD2/AML oraz CRA/DSA i uporządkowanie jednego backlogu compliance.

Regulatory Alignment Matrix + Cross-Compliance Roadmap

Etap 7

AI literacy

Deliverable
  • Cel: zapewnić kompetencje zespołów zgodnie z art. 4 AI Act.
  • Co robimy: matryca szkoleń dla zarządu, compliance, tech, HR, sales i całej organizacji.

AI Literacy Program + rejestr szkoleń + certyfikaty

Etap 8

Post-market i incydenty

Deliverable
  • Cel: utrzymać zgodność po uruchomieniu systemu w produkcji.
  • Co robimy: post-market monitoring, incident reporting, kwartalne raporty i change impact assessment.

Post-Market Monitoring Plan + Incident Reporting Procedure

Etap 9

Audyt i przewaga rynkowa

Deliverable
  • Cel: przejść od checklisty compliance do trwałej przewagi w sprzedaży i due diligence.
  • Co robimy: audit readiness, przygotowanie do kontroli, wsparcie certyfikacyjne i komunikacja AI trust.

Annual AI Audit Report + Compliance Evidence Pack

harmonogram AI Act

W planowaniu budżetu i priorytetów liczą się konkretne daty. Poniżej punkty, które najczęściej determinują kolejność projektu wdrożeniowego.

2 lutego 2025

Start zakazu praktyk niedopuszczalnych (art. 5) oraz obowiązku AI literacy (art. 4).

2 sierpnia 2025

Wejście obowiązków dla dostawców GPAI i uruchomienie mechanizmów nadzorczych.

2 sierpnia 2026

Kluczowy deadline: szeroki zakres obowiązków dla high-risk i transparentności oraz pełniejszy enforcement.

2 sierpnia 2027

Dalsze obowiązki dla systemów high-risk z Annex I i domknięcie przejściowych reżimów GPAI.

31 grudnia 2030

Granica czasowa dla wybranych wielkoskalowych systemów z Annex X.

Stan prawny/materiał: 19 lutego 2026 r.

integracja AI Act z innymi regulacjami

Jedno wdrożenie cross-regulatory jest tańsze i bezpieczniejsze niż prowadzenie równoległych silosów compliance.

AI Act + RODO

Łączymy AI Risk Assessment z DPIA, profilowaniem i art. 22 RODO, aby uniknąć rozjazdu między privacy a AI governance.

AI Act + DORA

Wpinamy systemy AI do ICT risk management, testów odporności i planów ciągłości operacyjnej.

AI Act + NIS2

Synchronizujemy cyberbezpieczeństwo, zarządzanie łańcuchem dostaw oraz raportowanie incydentów.

AI Act + MiCA / PSD2 / AML

Dla fintechów klasyfikujemy AI w procesach scoringu, AML/KYC i fraud detection jako potencjalnie high-risk.

AI Act + CRA / DSA

Porządkujemy wymagania cyber produktu i transparentności algorytmów w kanałach platformowych.

governance AI i AI literacy

Skuteczne wdrożenie AI Act wymaga stałej struktury decyzyjnej, polityk operacyjnych i matrycy kompetencji dla całej organizacji.

Struktura odpowiedzialności

  • AI Officer lub AI Committee na poziomie zarządu
  • RACI dla decyzji produktowych, legal i bezpieczeństwa
  • Regularny reporting ryzyk AI do zarządu

Pakiet polityk

  • AI Governance Policy
  • AI Acceptable Use Policy
  • AI Procurement Policy
  • AI Vendor Assessment Framework

Vendor Assessment Framework

  1. Ocena roli dostawcy i podziału odpowiedzialności AI Act
  2. Weryfikacja dokumentacji technicznej, logowania i nadzoru ludzkiego
  3. Ocena kontraktowa (SLA, IP, odpowiedzialność, incident clauses)
  4. Decyzja go/no-go i monitoring po wdrożeniu

AI literacy matrix

Group
Zakres
Format
Zarząd
Odpowiedzialność, mapa ryzyk strategicznych, decyzje inwestycyjne.
Warsztat 4-8h
Compliance / Legal
Klasyfikacja, sankcje, FRIA, integracja z RODO i nadzorem.
Szkolenie 16h
Tech / ML
Risk management, dokumentacja, testy, logowanie, cyber.
Szkolenie 16h
HR / Sales
Rekrutacja high-risk, zakazane praktyki, transparentność komunikacji.
Warsztat 4-8h
Wszyscy pracownicy
Podstawy AI literacy, shadow AI, zgłaszanie incydentów.
E-learning 2-4h

Jeśli masz już polityki, dopinamy je do jednego modelu operacyjnego i porządkujemy dowody zgodności pod kontrolę regulatora.

Umów kwalifikację projektu

Skontaktuj się w sprawie AI Act

Podczas pierwszej rozmowy kwalifikujemy etap projektu: diagnoza, wdrożenie high-risk albo utrzymanie zgodności po uruchomieniu systemu.

AI Act practice is led by:

Tomasz Klecor

Tomasz Klecor

Managing Partner

FinTech navigator. Lawyer.

+48 797 711 924
info@legalgeek.pl

Opisz etap projektu

Napisz, czy potrzebujesz diagnozy AI Act, projektu wdrożenia high-risk, czy modelu post-market i audytu rocznego.

Your data will be processed in accordance with our privacy policy