AI Act Check - 10 kroków do zgodności z AI Act
29.06.2026 | SZTUCZNA INTELIGENCJA (AI)
Wprowadzenie
Od początku roku w kolejnych numerach AI Flash omawialiśmy najważniejsze zagadnienia związane z AI Act – od obowiązków dostawców modeli AI ogólnego przeznaczenia, przez systemy wysokiego ryzyka, zakazane praktyki, AI Governance, AI Literacy, aż po umowy dotyczące wdrożeń AI.
Z naszych rozmów z klientami wynika jednak, że wiele organizacji nadal zadaje sobie jedno podstawowe pytanie: Od czego właściwie zacząć przygotowania do AI Act?
Dobra wiadomość jest taka, że większość organizacji nie musi wdrażać wszystkich wymogów jednocześnie. Kluczowe jest uporządkowanie działań i rozpoczęcie od właściwej diagnozy.
Dlatego ostatni przedwakacyjny numer AI Flash poświęcamy praktycznej checkliście. To zestaw dziesięciu kroków, które pozwolą ocenić stopień przygotowania organizacji do nowych obowiązków oraz zaplanować działania na kolejne miesiące.
1. Sprawdź, czy w Twojej organizacji wykorzystywana jest sztuczna inteligencja
To pytanie wydaje się oczywiste, jednak praktyka pokazuje coś zupełnie innego. W wielu organizacjach odpowiedź brzmi: „nie korzystamy z AI”, podczas gdy w rzeczywistości pracownicy codziennie wykorzystują:
- Microsoft Copilot,
- ChatGPT,
- Gemini,
- Claude,
- narzędzia AI w systemach CRM,
- funkcje AI w pakietach biurowych,
- rozwiązania AI wykorzystywane przez działy HR, marketingu czy sprzedaży.
Pierwszym krokiem powinno być zatem stworzenie listy wszystkich narzędzi AI wykorzystywanych w organizacji – zarówno tych wdrożonych centralnie, jak i używanych oddolnie przez pracowników
2. Określ swoją rolę zgodnie z AI Act
To jeden z najczęściej pomijanych etapów. AI Act przewiduje różne role uczestników rynku, m.in.:
- dostawca (provider),
- deployer (użytkownik systemu AI),
- importer,
- dystrybutor,
- podmiot dokonujący istotnej modyfikacji systemu.
Od prawidłowego określenia swojej roli zależy zakres obowiązków wynikających z rozporządzenia. Warto pamiętać, że organizacja może jednocześnie pełnić kilka ról – np. być deployerem jednego systemu AI i dostawcą innego rozwiązania rozwijanego pod własną marką.
3. Zidentyfikuj systemy wysokiego ryzyka
Nie każdy system AI podlega takim samym wymaganiom. Dlatego kolejnym krokiem powinno być ustalenie, czy w organizacji wykorzystywane są systemy kwalifikowane jako high-risk AI.
Najczęściej będą to rozwiązania wykorzystywane m.in. w:
- rekrutacji,
- zarządzaniu pracownikami,
- ocenie zdolności kredytowej,
- ochronie zdrowia,
- edukacji,
- infrastrukturze krytycznej.
Jeżeli organizacja korzysta z takich systemów, konieczne będzie wdrożenie dodatkowych obowiązków wynikających z AI Act.
4. Ogranicz Shadow AI
Jednym z największych wyzwań organizacyjnych pozostaje Shadow AI, czyli korzystanie z narzędzi AI bez wiedzy lub zgody organizacji. Najczęściej obejmuje ono:
- publiczne modele generatywne,
- nieautoryzowane wtyczki AI,
- automatyzacje tworzone przez pracowników,
- aplikacje wykorzystujące AI instalowane lokalnie.
Przeprowadzenie inwentaryzacji oraz wdrożenie zasad korzystania z AI pozwala znacząco ograniczyć to ryzyko.
5. Zweryfikuj obowiązki informacyjne
AI Act nakłada obowiązki dotyczące przejrzystości, które mogą obejmować m.in.:
- chatboty,
- treści generowane przez AI,
- systemy rozpoznawania emocji,
- deepfake'i.
Warto sprawdzić, czy organizacja prawidłowo realizuje obowiązki informacyjne wobec klientów, pracowników i użytkowników końcowych.
6. Zadbaj o AI Literacy
Od 2 lutego 2025 r. obowiązuje art. 4 AI Act, który zobowiązuje dostawców i użytkowników systemów AI do podejmowania działań zapewniających odpowiedni poziom wiedzy i kompetencji osób korzystających z AI.
Oznacza to, że organizacja powinna zadbać o:
- szkolenia,
- polityki korzystania z AI,
- budowanie świadomości ryzyk,
- rozwój kompetencji pracowników.
AI Literacy nie ogranicza się do znajomości narzędzi – obejmuje również rozumienie ograniczeń AI, zasad bezpieczeństwa oraz odpowiedzialnego wykorzystania systemów.
7. Przygotuj AI Governance
Skuteczne wdrożenie AI wymaga jasno określonych zasad zarządzania. W praktyce oznacza to konieczność:
- przypisania odpowiedzialności,
- stworzenia rejestru systemów AI,
- opracowania procedur,
- monitorowania zgodności,
- zarządzania incydentami.
AI Governance pozwala uporządkować wykorzystanie AI w organizacji i ograniczyć ryzyko związane z niekontrolowanym wdrażaniem nowych narzędzi.
8. Zweryfikuj umowy z dostawcami AI
Zakup AI to nie zakup zwykłego oprogramowania. Przed podpisaniem umowy warto zweryfikować m.in.:
- odpowiedzialność za output AI,
- zasady przetwarzania danych,
- prawa do treści generowanych przez AI,
- zgodność z AI Act,
- możliwość audytu,
- procedury bezpieczeństwa.
Dobrze przygotowana umowa może znacząco ograniczyć ryzyko prawne i biznesowe.
9. Opracuj dokumentację wewnętrzną
AI Act wymaga nie tylko zgodnego korzystania z AI, ale również wykazania, że organizacja podejmuje odpowiednie działania. Warto przygotować m.in.:
- AI Use Policy,
- procedurę wdrażania nowych narzędzi AI,
- zasady korzystania z modeli generatywnych,
- procedurę oceny ryzyka,
- rejestr systemów AI,
- plan reagowania na incydenty.
Dobrze opracowana dokumentacja ułatwia zarządzanie AI i stanowi istotny element wykazania zgodności.
10. Traktuj zgodność z AI Act jako proces
Wdrożenie AI Act nie jest jednorazowym projektem. Systemy AI rozwijają się bardzo dynamicznie, podobnie jak praktyka rynkowa oraz wytyczne organów nadzorczych. Dlatego organizacja powinna regularnie:
- przeglądać wykorzystywane systemy AI,
- aktualizować polityki i procedury,
- szkolić pracowników,
- monitorować zmiany regulacyjne,
- weryfikować nowe ryzyka.
Zgodność z AI Act będzie procesem ciągłym, podobnie jak zgodność z RODO czy regulacjami z zakresu cyberbezpieczeństwa.
Dodatek specjalny: praktyczna lista kontrolna
Zakończenie lektury AI Flash to dobry moment, aby sprawdzić, jak wygląda stopień przygotowania Państwa organizacji do wymogów AI Act.
Dlatego do tego numeru przygotowaliśmy praktyczną listę kontrolną, która pozwala w uporządkowany sposób zweryfikować najważniejsze obszary zgodności z rozporządzeniem.
Mamy nadzieję, że lista kontrolna stanie się praktycznym narzędziem wspierającym przygotowanie Państwa organizacji do stosowania AI Act.
Zachęcamy do zapoznania się z listą kontrolną.
Jak możemy pomóc?
Jeżeli podczas wypełniania listy kontrolnej zidentyfikowali Państwo obszary wymagające uporządkowania lub dodatkowej analizy, nasi eksperci – Damian Chudzik i Ewelina Michalska pozostają do dyspozycji.