AI Act readiness
Co zarząd powinien mieć gotowe przed 2 sierpnia 2026
To nie jest porada prawna. To memo decyzyjne o systemach, danych, ryzyku wdrożeniowym i pytaniach, które warto zabrać do zarządu, prawnika albo dostawcy.
Krótka odpowiedź
2 sierpnia 2026 jest dla zarządu datą, przed którą warto mieć uporządkowany obraz systemów AI, ról, dostawców, transparentności i odpowiedzialności. Nie należy jednak traktować jej jako prostej daty dla wszystkich obowiązków wysokiego ryzyka: harmonogram AI Act jest stopniowy, a po porozumieniu Digital Omnibus z 7 maja 2026 część terminów high-risk może się przesunąć po formalnym przyjęciu zmian.
Najbezpieczniejszy zarządczo ruch to nie czekać na ostatnią interpretację prawną, tylko zbudować gotowość operacyjną: inventory, właścicieli, ścieżkę eskalacji, ekran praktyk zakazanych, transparentność Article 50 i zestaw pytań do dostawców.
Kiedy to ma znaczenie
Ta notatka ma sens, jeśli firma używa lub kupuje systemy AI w procesach sprzedaży, obsługi klienta, HR, finansów, dokumentów, compliance, analityki albo automatyzacji decyzji. Zarząd nie musi znać każdego modelu, ale powinien widzieć, gdzie AI dotyka danych, ludzi, decyzji i odpowiedzialności.
Test decyzyjny
| Pytanie zarządu | Minimalna odpowiedź przed rozmową o ryzyku | Co zwykle blokuje decyzję |
|---|---|---|
| Jakie systemy AI są już używane? | Lista systemów, owner, dostawca, cel użycia, status wdrożenia. | Shadow AI, brak ownera, narzędzia kupione przez pojedyncze zespoły. |
| Czy użycie może być zakazane albo wymagać transparentności? | Ekran Article 5 i Article 50 dla każdego istotnego use case’u. | Mylenie chatbotów, scoringu, analityki i generowania treści w jednym worku. |
| Kto odpowiada za output? | Owner biznesowy, reviewer, ścieżka eskalacji i fallback. | Założenie, że odpowiedzialność zostaje u dostawcy. |
| Jakie dowody ma dostawca? | Dokumentacja, instrukcje użycia, informacje o danych, ograniczeniach i monitoringu. | Deck sprzedażowy zamiast materiału operacyjnego. |
Dowody do zebrania
- Inventory systemów AI i automatyzacji, także tych kupionych poza centralnym IT.
- Wstępne przypisanie ról: provider, deployer, importer, distributor albo użytkownik wewnętrzny.
- Ekran praktyk zakazanych i sytuacji transparentności, szczególnie direct AI interaction, deepfake, treści syntetyczne i public-interest generated text.
- Lista dostawców, umów, instrukcji użycia, miejsc przetwarzania danych i ograniczeń systemu.
- Dowód AI literacy: kto został przeszkolony, czego dotyczyło szkolenie i jak jest utrzymywane.
- Ścieżka eskalacji incydentów, reklamacji, błędnych outputów i zatrzymania systemu.
Czerwone flagi
- Firma ma politykę AI, ale nie ma listy systemów AI.
- Zarząd słyszy o “AI Act compliance”, ale nie widzi granic systemów ani ownerów.
- Dostawca opisuje model, ale nie pokazuje danych wejściowych, ograniczeń, instrukcji użycia ani mechaniki kontroli.
- High-risk jest traktowane jak etykieta prawna bez sprawdzenia realnego kontekstu użycia.
- Transparentność wobec użytkownika jest odkładana, bo “to tylko asystent”.
Czego nie wyciągać jako wniosku
To memo nie rozstrzyga formalnej klasyfikacji prawnej systemu i nie zastępuje pracy kancelarii. Nie oznacza też, że każda prywatna firma musi mieć publiczny rejestr wszystkich narzędzi AI. Chodzi o zarządczy obraz ryzyka i dowodów, zanim temat stanie się pilny, kosztowny albo sporny.