Od czego zacząć przygotowania do EU AI Act?

Od inwentaryzacji: spisz, gdzie w firmie używasz AI, i przypisz każdy przypadek użycia do poziomu ryzyka według rozporządzenia. Obowiązki zależą od kategorii, więc bez tej klasyfikacji nie wiesz, czego od ciebie wymaga prawo.

Czy EU AI Act dotyczy małej firmy, która tylko korzysta z gotowych narzędzi AI?

Może dotyczyć — zakres zależy od roli (dostawca czy podmiot wdrażający) i od tego, do czego system jest używany, a nie od wielkości firmy. Część obowiązków, na przykład przejrzystość wobec użytkownika, obejmuje też podmioty korzystające z gotowych systemów. Konkretny zakres sprawdź w tekście rozporządzenia.

Przewodnik

Decyzje i porównania

EU AI Act dla firm: jak uporządkować wiedzę i dane, żeby być gotowym

EU AI Act dla firm to obowiązki zależne od poziomu ryzyka: przejrzystość, dokumentacja, nadzór człowieka i ład nad danymi. Uporządkowana wiedza ułatwia zgodność.

EU AI Act przypisuje obowiązki do poziomu ryzyka systemu — najpierw ustal, w której kategorii jest twój przypadek użycia.
Cztery praktyczne wymogi powtarzają się niezależnie od branży: przejrzystość, prowadzenie dokumentacji, nadzór człowieka i ład nad danymi.
Uporządkowany, wersjonowany zbiór wiedzy firmy (Company Knowledge File) sprawia, że zgodność jest artefaktem, który się utrzymuje, a nie jednorazowym zrywem.

EU AI Act dla firm w skrócie

EU AI Act (Akt o sztucznej inteligencji) nakłada na firmy obowiązki zależne od poziomu ryzyka systemu AI, a nie od jego nazwy czy modnego określenia. W praktyce sprowadza się to do czterech rzeczy, które rozporządzenie wymaga od systemów objętych zakresem: przejrzystości wobec użytkownika, prowadzenia dokumentacji i rejestrów zdarzeń, nadzoru człowieka oraz ładu nad danymi. Przygotowanie nie polega na jednorazowym audycie przed terminem — polega na tym, żeby wiedza i dane firmy były uporządkowane na tyle, że zgodność staje się artefaktem, który się utrzymuje.

Ten przewodnik jest dla osób decyzyjnych w MŚP i przedsiębiorstwach, które wdrażają lub kupują AI i chcą wiedzieć, co Akt o AI praktycznie od nich wymaga oraz jak przygotować się bez paniki tuż przed terminem.

Najpierw ustal poziom ryzyka

Oś rozporządzenia to podejście oparte na ryzyku: im większe zagrożenie, jakie system AI stwarza dla zdrowia, bezpieczeństwa i praw podstawowych, tym surowsze obowiązki. Zanim cokolwiek wdrożysz dokumentacyjnie, musisz ustalić, do której kategorii należy twój przypadek użycia.

W uproszczeniu rozporządzenie wyróżnia:

Ryzyko niedopuszczalne — zastosowania zakazane (system w ogóle nie może działać w Unii).
Wysokie ryzyko — dozwolone, ale obwarowane najszerszym zestawem wymogów (dokumentacja, jakość danych, nadzór człowieka, rejestry).
Ograniczone ryzyko — głównie obowiązki przejrzystości: użytkownik ma wiedzieć, że ma do czynienia z AI lub z treścią wygenerowaną przez AI.
Minimalne ryzyko — większość codziennych zastosowań, bez dodatkowych obowiązków z samego Aktu.

Klasyfikacja jest punktem, od którego zależy wszystko inne. Ten sam model językowy może być przypadkiem minimalnego ryzyka w jednym procesie i wysokiego w drugim — liczy się zastosowanie, nie technologia. Konkretne progi, definicje i listę zastosowań wysokiego ryzyka określa sam tekst rozporządzenia (między innymi załączniki), dlatego graniczne przypadki należy zawsze potwierdzać u źródła lub z prawnikiem.

Cztery wymogi, które powtarzają się niezależnie od branży

Dla systemów objętych zakresem (zwłaszcza wysokiego ryzyka) powraca ten sam zestaw praktycznych obowiązków. Opisuję je tu funkcjonalnie — dokładne brzmienie i numery artykułów sprawdź w rozporządzeniu.

Przejrzystość

Użytkownik ma wiedzieć, kiedy wchodzi w interakcję z systemem AI, a w wielu przypadkach także, że treść została wygenerowana lub zmieniona przez AI. Dla firmy oznacza to konkretną decyzję projektową: opisać, co dany agent robi, na jakich danych działa i gdzie są jego granice.

Prowadzenie dokumentacji i rejestrów zdarzeń

Rozporządzenie wymaga od systemów wysokiego ryzyka automatycznego rejestrowania zdarzeń przez cały okres działania — to obowiązek prowadzenia rejestrów (record-keeping) opisany w art. 12. W praktyce chodzi o ślad, który pozwala odtworzyć, co system zrobił i na jakich danych, oraz zweryfikować to po fakcie. Jest to jeden z nielicznych wymogów, który da się od razu przełożyć na strukturę plików: dziennik zdarzeń i zapis transformacji danych.

Nadzór człowieka

Systemy wysokiego ryzyka mają być zaprojektowane tak, by człowiek mógł je nadzorować — rozumieć ich działanie, wychwycić błąd i w razie potrzeby przerwać działanie. To bezpośrednie przełożenie zasady człowiek w pętli na wymóg prawny: nie wystarczy, że człowiek teoretycznie może zareagować — proces musi mu to realnie umożliwiać.

Ład nad danymi

Dane używane do trenowania, walidacji i testowania mają spełniać wymogi jakości i być zarządzane w sposób ograniczający błędy i stronniczość. Tu Akt spotyka się z ochroną danych: jeśli system przetwarza dane osobowe, obowiązki z RODO i z Aktu trzeba spełnić równolegle. Punktem wyjścia jest świadomość, jakie dane wchodzą do systemu, skąd pochodzą i kto za nie odpowiada.

Uwaga na terminy

Rozporządzenie weszło w życie i jest stosowane etapami — różne grupy obowiązków zaczynają obowiązywać w różnych datach, rozłożonych na kilka lat. Najgłośniejszy termin dotyczy obowiązków dla systemów wysokiego ryzyka, ale kalendarz jest złożony i obejmuje też wcześniejsze etapy (m.in. zakazane praktyki) oraz późniejsze wyjątki. Ponieważ daty i progi bywają doprecyzowywane wytycznymi organów unijnych, nie podaję ich tu jako pewnika — konkretny termin dla twojego przypadku ustal w aktualnym tekście rozporządzenia i wytycznych. Praktyczny wniosek jest niezależny od dokładnej daty: im wcześniej uporządkujesz wiedzę i dane, tym mniejszy zryw na koniec.

Co musisz zrobić — praktyczna lista

Lista kontrolna, która porządkuje przygotowanie niezależnie od wielkości firmy:

Zinwentaryzuj AI. Spisz każdy przypadek, w którym firma używa AI — także gotowe narzędzia i te wdrożone „przy okazji”. Tu często wychodzi shadow AI, czyli użycie poza wiedzą organizacji.
Sklasyfikuj ryzyko. Przypisz każdy przypadek użycia do poziomu ryzyka. Obowiązki zależą od kategorii, więc to krok zerowy, nie ostatni.
Ustal swoją rolę. Sprawdź, czy w danym systemie jesteś dostawcą, czy podmiotem wdrażającym — od tego zależy, które obowiązki spoczywają na tobie.
Zapewnij przejrzystość. Tam, gdzie wymagana, opisz wobec użytkownika, że działa AI, oraz udokumentuj cel, dane wejściowe i granice każdego agenta.
Włącz rejestry zdarzeń. Dla systemów objętych wymogiem prowadź dziennik zdarzeń i zapis transformacji danych (art. 12), tak by dało się odtworzyć działanie po fakcie.
Zaprojektuj nadzór człowieka. Upewnij się, że człowiek realnie może wychwycić błąd i przerwać działanie tam, gdzie to potrzebne.
Uporządkuj dane. Wiedz, jakie dane wchodzą do systemu, skąd pochodzą i kto za nie odpowiada; pilnuj jakości i minimalizacji.
Wpisz to w lekki ład nad AI. Krótka, utrzymywalna polityka i jasne role są warte więcej niż gruby dokument w szufladzie.
Weryfikuj u źródła. Graniczne przypadki, terminy i progi potwierdzaj w tekście rozporządzenia lub z prawnikiem — ten przewodnik jest informacyjny, nie zastępuje porady prawnej.

Jak uporządkowana wiedza firmy zamienia zgodność w artefakt

Większość firm podchodzi do zgodności jak do egzaminu: nadrabianie tuż przed terminem, dokumentacja sklejana ręcznie, a po przejściu odłożona do szuflady. Problem w tym, że systemy AI się zmieniają, a wraz z nimi dane i przypadki użycia, więc taka dokumentacja dezaktualizuje się niemal natychmiast.

Inne podejście traktuje wiedzę firmy jako uporządkowany, wersjonowany zbiór — w naszej metodyce nazywamy go Company Knowledge File (CKF). To jeden przenośny pakiet, w którym wiedza, dane, słownik pojęć i ślad audytowy żyją razem i mają historię zmian. Kiedy wiedza jest tak zorganizowana, część wymogów Aktu przestaje być osobnym projektem dokumentacyjnym, a staje się produktem ubocznym porządku:

Rejestr źródeł i opis danych odpowiadają na pytania o ład nad danymi.
Dziennik zdarzeń i zapis transformacji to gotowy ślad pod wymóg prowadzenia rejestrów (art. 12).
Opis każdego agenta — cel, dane wejściowe, granice — wspiera wymóg przejrzystości.
Punkty akceptacji przez człowieka wpisują nadzór wprost w proces.

To metoda porządkowania wiedzy, a nie deklaracja „jesteśmy zgodni z EU AI Act”. Zgodność zawsze zależy od konkretnego systemu, jego klasyfikacji i aktualnego brzmienia przepisów. Chodzi o to, żeby gdy przyjdzie pytanie audytora albo zmiana w systemie, odpowiedź była artefaktem, który już istnieje i się utrzymuje — a nie zrywem od zera.

Jeśli chcesz przejść od listy kontrolnej do uporządkowanej wiedzy, którą da się utrzymywać, zacznij od inwentaryzacji AI i klasyfikacji ryzyka, a dopiero potem dokładaj dokumentację. To kolejność, w której zgodność jest skutkiem porządku, a nie odwrotnie.

Pojęcia w tym przewodniku

Masz konkretny proces, transakcję albo wąskie gardło? Opisz swój przypadek.

Opisz swój przypadek Zobacz, jak pomagamy

Najczęstsze pytania

Od czego zacząć przygotowania do EU AI Act?: Od inwentaryzacji: spisz, gdzie w firmie używasz AI, i przypisz każdy przypadek użycia do poziomu ryzyka według rozporządzenia. Obowiązki zależą od kategorii, więc bez tej klasyfikacji nie wiesz, czego od ciebie wymaga prawo.
Czy EU AI Act dotyczy małej firmy, która tylko korzysta z gotowych narzędzi AI?: Może dotyczyć — zakres zależy od roli (dostawca czy podmiot wdrażający) i od tego, do czego system jest używany, a nie od wielkości firmy. Część obowiązków, na przykład przejrzystość wobec użytkownika, obejmuje też podmioty korzystające z gotowych systemów. Konkretny zakres sprawdź w tekście rozporządzenia.