Gotowość na AI Act (readiness): przegląd firmy w 6 krokach
Gotowość na AI Act, po angielsku AI Act readiness, to po prostu odpowiedź na pytanie, czy Twoja firma wie, które obowiązki z AI Act jej dotyczą i czy jest na nie przygotowana. Nie chodzi o certyfikat ani o gruby projekt wdrożeniowy, tylko o uporządkowany przegląd. Dobra wiadomość jest taka, że da się go zrobić w sześciu krokach, a większość z nich to praca organizacyjna, nie prawnicza.
Poniżej opisujemy prosty przegląd gotowości, który można przejść samodzielnie. Na końcu pokazujemy, jak skrócić go do dwóch minut skanem, a potem pogłębić pełnym audytem.
Krok 1: Zrób spis systemów AI
Zacznij od inwentaryzacji. Wypisz, z jakich narzędzi AI korzysta firma: chatboty, generatory treści i grafik, systemy wspierające rekrutację, scoring, analitykę. Przy każdym zanotuj, kto jest dostawcą i w którym procesie narzędzie działa. Bez tej listy nie da się ocenić ryzyka, bo nie wiadomo, co oceniać.
Krok 2: Ustal swoją rolę
AI Act inaczej traktuje dostawcę systemu, a inaczej podmiot, który go tylko stosuje. Większość firm w Polsce jest podmiotem stosującym gotowe narzędzia, co oznacza lżejszy, ale nie zerowy zestaw obowiązków. Jeśli jednak firma sama tworzy lub istotnie modyfikuje system, może stać się dostawcą. To rozróżnienie opisujemy w artykule o tym, kogo dotyczy AI Act.
Krok 3: Zaklasyfikuj ryzyko
Do każdego systemu z listy przypisz kategorię ryzyka:
- Zakazane praktyki z art. 5, których nie wolno stosować.
- Wysokie ryzyko z załącznika III, na przykład rekrutacja czy ocena zdolności kredytowej.
- Ograniczone ryzyko, czyli obowiązki przejrzystości z art. 50, na przykład dla chatbotów i treści generowanych przez AI.
- Minimalne ryzyko, gdzie AI Act nie nakłada szczególnych obowiązków.
Klasyfikacja bywa trudna na granicy kategorii, dlatego w spornych przypadkach lepiej ją potwierdzić, niż zgadywać.
Krok 4: Przypisz terminy
Do każdego systemu dopisz właściwą datę. Przejrzystość z art. 50 to 2 sierpnia 2026 r., a obowiązki dla systemów wysokiego ryzyka z załącznika III to 2 grudnia 2027 r. po przesunięciu przez Digital Omnibus. Pełny kalendarz znajdziesz w artykule o tym, kiedy AI Act wchodzi w życie. Dzięki temu widać, co jest pilne, a co można rozłożyć w czasie.
Krok 5: Zadbaj o kompetencje zespołu
Art. 4 wymaga, by osoby korzystające z AI rozumiały narzędzia, których używają. W praktyce to krótkie szkolenie i prosta polityka AI w firmie, która mówi, z czego wolno korzystać i na jakich zasadach. Ten krok obowiązuje już od 2 lutego 2025 r., więc warto zacząć od niego.
Krok 6: Uporządkuj przejrzystość i dokumentację
Na koniec sprawdź rzeczy widoczne na zewnątrz i te na papierze: czy chatbot informuje, że jest AI, czy treści generowane przez AI są oznaczane tam, gdzie wymaga tego art. 50, czy jest nadzór człowieka nad ważnymi decyzjami i czy istnieje choćby prosty rejestr używanych systemów. To te elementy najczęściej wychodzą podczas kontroli i najłatwiej je poprawić z wyprzedzeniem.
Jak skrócić ten przegląd
Kroki od pierwszego do trzeciego można wstępnie zrobić za Ciebie. Darmowy skan strony w 2 minuty sprawdza 3 publiczne sygnały ryzyka AI Act, bez rejestracji, i podpowiada, gdzie szukać dalej. Pełny audyt z raportem idzie głębiej: przypisuje kategorie ryzyka i terminy do konkretnych systemów oraz wskazuje, co zrobić w pierwszej kolejności. To najszybszy sposób, żeby przejść od listy pytań do listy zadań.
Najczęstsze pytania (FAQ)
Czym jest gotowość na AI Act?
To stan, w którym firma wie, które systemy AI stosuje, jaką ma wobec nich rolę, do jakiej kategorii ryzyka należą i jakie terminy oraz obowiązki się z tym wiążą. Gotowość osiąga się przez uporządkowany przegląd, a nie przez pojedynczy certyfikat.
Czy mała firma musi przygotować się do AI Act?
Tak, jeśli korzysta z narzędzi AI. Zakres obowiązków zależy od roli i kategorii ryzyka, ale nawet zwykłe używanie chatbota czy generatora treści wiąże się z przejrzystością z art. 50 od 2 sierpnia 2026 r. i z kompetencjami z art. 4.
Od czego zacząć przegląd gotowości?
Od inwentaryzacji systemów AI i ustalenia roli, czyli czy firma jest dostawcą, czy podmiotem stosującym. Dopiero na tej podstawie da się sensownie zaklasyfikować ryzyko i przypisać terminy.
Ile czasu zajmuje sprawdzenie gotowości?
Wstępny sygnał daje darmowy skan strony w 2 minuty. Pełny przegląd sześciu kroków dla całej firmy to zwykle kilka godzin pracy, a pełny audyt z raportem skraca go, bo klasyfikację i terminy dostajesz gotowe.
Źródła
- Rozporządzenie (UE) 2024/1689 (AI Act), m.in. art. 3, 4, 5, 6, 50 i 113 – EUR-Lex
- Przesunięte terminy wysokiego ryzyka po nowelizacji: Gibson Dunn
Sprawdź swoją firmę pod AI Act
Bezpłatny skan strony: 3 publiczne sygnały ryzyka w 2 minuty, bez rejestracji.
Zrób darmowy skanTen artykuł to analiza edukacyjna, przygotowana z pomocą AI pod nadzorem człowieka, nie porada prawna. Sporne przypadki wymagają konsultacji z radcą prawnym.