AI Act compliance firmy: 92 dni na działanie
CFO firmy dostaje pismo z Urzędu Ochrony Danych Osobowych — nie z pytaniem, lecz z informacją o wszczęciu postępowania. AI Act UE wszedł w fazę aktywnej egzekucji, a organy nadzoru w Polsce mają już narzędzia i mandat, żeby działać. Prezesi i dyrektorzy finansowi firm w Warszawie i Wrocławiu, którzy wciąż traktują zgodność z AI Act jako zadanie dla działu prawnego, właśnie popełniają błąd, który za kilka miesięcy pojawi się w rachunku wyników — nie w notatce ze spotkania zarządu.
Czego organy nadzoru szukają jako pierwsze — i dlaczego większość firm w Polsce nie jest gotowa
AI Act nie jest dyrektywą wymagającą transpozycji do prawa krajowego. To rozporządzenie obowiązujące bezpośrednio, a 2026 rok oznacza aktywne kontrole, nie kolejny okres przejściowy. Firmy z sektorów finansowego, logistycznego i produkcyjnego znajdują się w pierwszej grupie ryzyka, ze względu na klasyfikację systemów AI jako wysokiego ryzyka, która uruchamia pełen reżim obowiązków dokumentacyjnych i nadzorczych.
Organy nadzoru zaczynają od dokumentacji. Konkretnie: czy firma potrafi pokazać rejestr systemów AI, ocenę ryzyka i dowód nadzoru ludzkiego nad decyzjami automatycznymi. Brak tych dokumentów stanowi samodzielną podstawę do nałożenia kary, bez konieczności udowadniania szkody po stronie użytkownika końcowego.
Paradoks polega na tym, że zgodność AI z regulacjami UE to obszar, w którym wiele firm ma poczucie, że „coś robią", bo wdrożyły RODO, bo zatrudniają prawnika, bo korzystają z zewnętrznego dostawcy systemu AI. Żadna z tych okoliczności nie zastępuje własnej klasyfikacji ryzyka ani własnego rejestru systemów, a Urząd Ochrony Danych Osobowych coraz częściej koordynuje swoje działania z organami nadzoru AI Act, co oznacza, że luki w obu obszarach mogą być egzekwowane równolegle. Jak wskazuje badanie gotowości compliance z 2024 roku, zaledwie 26,2% firm aktywnie rozpoczęło przygotowania do AI Act według stanu na wrzesień 2024 roku, a blisko połowa nie podjęła poważnych działań w ogóle.
To prosty rachunek. Kary sięgają 35 mln euro lub 7% globalnego obrotu, dla spółki z przychodem 200 mln zł oznacza to ekspozycję finansową, która natychmiast przenosi rozmowę z poziomu prawnego na poziom zarządczy. CFO nie może być informowany post factum.
Osobiste obowiązki prezesa i CFO, czego nie można oddelegować do prawnika ani do działu IT
Inwentaryzacja systemów AI w firmie musi odbywać się z udziałem zarządu. Nie działu IT. Zarządu. Każdy system podejmujący lub wspierający decyzje dotyczące pracowników, klientów lub procesów kredytowych (w tym agenci AI obsługujący automatyzację procesów biznesowych) wymaga klasyfikacji według poziomów ryzyka AI Act, a odpowiedzialność za tę klasyfikację spoczywa na kierownictwie, nie na dostawcy technologii, który system dostarczył.
Podział ról jest konkretny. Prezes odpowiada za politykę zarządzania AI i nadzór nad systemami wysokiego ryzyka. CFO zatwierdza budżet na compliance i raportuje ekspozycję regulacyjną do rady nadzorczej. Żadna z tych ról nie może być w całości przekazana zewnętrznemu doradcy, i żaden zewnętrzny doradca nie weźmie za nią odpowiedzialności prawnej.
Umowy z dostawcami AI wymagają natychmiastowego przeglądu. AI Act nakłada obowiązek weryfikacji, czy kontrakty z integratorami i dostawcami modeli zawierają klauzule dotyczące przejrzystości, danych treningowych i odpowiedzialności za błędne decyzje systemu. Większość umów podpisanych przed 2025 rokiem tych klauzul nie ma, i ta luka nie jest problemem prawnika, lecz decyzją do podjęcia przez zarząd w ciągu najbliższych tygodni.
Bo RODO i AI Act działają równolegle, nie zamiennie. Firma z wdrożonym RODO nie jest automatycznie zgodna z AI Act. Wymagana jest odrębna ocena skutków dla praw podstawowych (FRIA) dla systemów wysokiego ryzyka, co w praktyce oznacza nowy projekt, nie aktualizację istniejącej dokumentacji. Organizacje szacują nawet do 40% wzrostu obciążeń compliance przy dostosowaniu systemów AI do wymogów rozporządzenia, liczba, która powinna pojawić się w każdej wewnętrznej analizie budżetowej przed końcem trzeciego kwartału.
Firmy z siedzibą w Warszawie działające w sektorze finansowym podlegają podwójnemu nadzorowi: KNF oraz organu nadzoru AI Act. Systemy AI używane do scoringu kredytowego lub oceny ryzyka ubezpieczeniowego muszą spełniać wymogi obu reżimów jednocześnie, a niespójność namędzy nimi jest najczęstszym źródłem kar. We Wrocławiu z kolei firmy produkcyjne i logistyczne często nie zdają sobie sprawy, że systemy monitorowania wydajności pracowników klasyfikują się jako wysokie ryzyko i uruchamiają pełen reżim obowiązków dokumentacyjnych, niezależnie od tego, czy ktoś w zarządzie o tym wie.
Trzeba jednak uczciwie zaznaczyć jedno ograniczenie tej perspektywy: nie każda firma będzie w stanie zrealizować pełny program compliance w 90 dni, szczególnie jeśli wdrożenie agentów AI w firmie odbyło się bez wcześniejszego audytu architektonicznego, a integracja systemów legacy z nowymi komponentami AI nie była poprzedzona oceną ryzyka regulacyjnego. W takich przypadkach priorytetyzacja ma większą wartość niż kompletność.
Plan działania na 91 dni: etapy, które decydują o tym, czy kontroler zastaje porządek czy chaos
Pierwsze 31 dni to diagnoza i klasyfikacja. Zewnętrzny audyt inwentaryzacji systemów AI, nie wewnętrzny, brak obiektywizmu to argument, którego organy nadzoru używają przeciw firmie. Wynikiem tego etapu jest pisemna klasyfikacja ryzyka każdego systemu oraz lista luk w dokumentacji z priorytetami finansowymi. Bez tego dokumentu każdy kolejny krok jest działaniem w ciemno.
Dni 31–60 to remediacja krytyczna. Na tym etapie wdraża się lub aktualizuje procedury nadzoru ludzkiego nad decyzjami wysokiego ryzyka, podpisuje aneksy do umów z dostawcami AI zawierające klauzule zgodności, a przede wszystkim uruchamia rejestr systemów AI w formacie akceptowanym przez organ nadzoru. To właśnie o ten dokument kontroler pyta w pierwszej kolejności. Równolegle należy zadbać o AI literacy w organizacji, AI Act wprost nakłada obowiązek zapewnienia pracownikom odpowiedniego poziomu wiedzy o systemach, z którymi pracują, i ten wymóg dotyczy zarówno użytkowników operacyjnych, jak i kadry zarządzającej. Integracja systemów IT z AI realizowana na tym etapie powinna być poprzedzona weryfikacją, czy architektura techniczna nie generuje nowych luk compliance w trakcie wdrożenia.
Ostatni miesiąc (dni 61–90) to gotowość na kontrolę. Wewnętrzna symulacja postępowania regulacyjnego z udziałem prezesa, CFO i prawnika. Formalne wyznaczenie osoby odpowiedzialnej za compliance AI z zakresem obowiązków i budżetem. Ustalony cykl kwartalnych przeglądów, bo organy nadzoru oceniają nie tylko stan na dziś, lecz dowód ciągłego zarządzania ryzykiem. Jak wskazują praktyczne wytyczne dotyczące AI Act 2026, termin 2 sierpnia 2026 dla systemów wysokiego ryzyka (Annex III) nie jest orientacyjny.
A jeśli CFO pyta o uzasadnienie finansowe: koszt projektu compliance realizowanego planowo jest od dwóch do czterech razy niższy niż koszt remediacji po wszczęciu postępowania. Ta proporcja powinna pojawić się w prezentacji dla rady nadzorczej, zanim pojawi się w raporcie biegłego rewidenta.
Analiza potencjału AI dla przedsiębiorstw oraz automatyzacja procesów biznesowych realizowane bez równoległego projektu compliance nie zmniejszają ryzyka, w wielu przypadkach je zwiększają, bo każdy nowo wdrożony system AI rozszerza zakres odpowiedzialności regulacyjnej firmy. Dotyczy to również zobowiązań ESG: coraz więcej inwestorów instytucjonalnych i funduszy private equity traktuje gotowość compliance AI jako element oceny ładu korporacyjnego, nie jako kwestię wyłącznie prawną.
Jedyna miara, która ma znaczenie przed końcem września 2026, to odpowiedź na pytanie: czy firma potrafi dziś pokazać kontrolerowi kompletny rejestr systemów AI, klasyfikację ryzyka i dowód nadzoru ludzkiego? Jeśli odpowiedź brzmi „nie wiem", to właśnie jest punkt startowy, nie powód do odroczenia decyzji.