Administracja i Back-office

AI Act i systemy starsze: co zmienia się dla firm w 2025?

Firmy z działającymi systemami AI mogą nie mieć obowiązku przebudowy. Dowiedz się, kiedy wchodzi nowy reżim, co to istotna modyfikacja i jak się przygotować do…

Redakcja · 12 lipca 2026
A vintage typewriter outdoors displaying "AI ethics" on paper, symbolizing tradition meets technology.
Fot. Markus Winkler / Pexels · Pexels License

Firmy z działającymi systemami sztucznej inteligencji nie będą musiały automatycznie przebudowywać ich od podstaw po wejściu w życie nowych wymogów AI Act — ale pod jednym warunkiem: system nie może ulec istotnej modyfikacji. To kluczowe rozróżnienie, które decyduje o tym, czy przedsiębiorstwo korzysta z ochrony okresu przejściowego, czy musi natychmiast dostosować się do nowych regulacji unijnych.

Unijny ustawodawca wprowadził tę zasadę, aby nie zmuszać firm do natychmiastowego wycofywania lub kosztownego przebudowywania legalnie działających rozwiązań. Jednocześnie chciał uniknąć sytuacji, w której stare produkty mogłyby być dowolnie rozbudowywane bez nowych obowiązków. Granica przebiega precyzyjnie: między dalszym korzystaniem z tego samego rozwiązania a zmianą, która istotnie ingeruje w jego konstrukcję lub przeznaczenie.

Co to jest istotna modyfikacja w praktyce?

Istotna modyfikacja to zmiana dokonana po wprowadzeniu systemu na rynek lub oddaniu go do użytku, której nie przewidziano w pierwotnej ocenie zgodności i która wpływa na zgodność z wymogami dla systemów wysokiego ryzyka albo zmienia jego ocenione wcześniej przeznaczenie.

Nie każda aktualizacja oprogramowania oznacza automatyczne wejście w pełny reżim AI Act. Zwykła poprawka techniczna, usunięcie błędu czy aktualizacja bezpieczeństwa to normalne działania utrzymaniowe — znaczenie będzie miała skala i skutek zmiany.

Inaczej sytuacja wygląda, gdy firma zmienia sposób działania modelu, rozszerza zakres analizowanych danych, dodaje nowe funkcje decyzyjne albo zaczyna używać systemu w obszarze, do którego pierwotnie nie był przeznaczony. Szczególnie istotna może być zmiana celu zastosowania. Narzędzie stworzone do porządkowania dokumentów nie może być bezrefleksyjnie przekształcone w system oceniający kandydatów do pracy, klientów ubiegających się o usługi lub osoby korzystające ze świadczeń publicznych.

Nowe zasady dla typów i modeli systemów

Przyjęty w 2026 r. AI Omnibus wprowadził ważne doprecyzowanie okresu przejściowego. Znaczenie ma typ i model systemu, a nie tylko pojedynczy egzemplarz.

Jeżeli co najmniej jedna jednostka określonego typu i modelu systemu wysokiego ryzyka została legalnie wprowadzona na rynek albo oddana do użytku przed właściwą datą graniczną, kolejne jednostki tego samego typu i modelu mogą korzystać z okresu przejściowego — pod warunkiem zachowania niezmienionej konstrukcji systemu.

To istotne dla producentów, którzy przed datą rozpoczęcia stosowania nowych wymogów sprzedali pierwsze egzemplarze określonego rozwiązania, a następnie nadal dostarczają ten sam produkt. Sam fakt wyprodukowania kolejnej jednostki po dacie wejścia wymogów nie musi jeszcze oznaczać utraty ochrony okresu przejściowego. Jednak po istotnej zmianie konstrukcji — obowiązek pełnego przestrzegania odpowiednich przepisów AI Act dotyczących systemów wysokiego ryzyka, w tym wymogów związanych z oceną zgodności.

Zmieniony kalendarz wdrażania — nowe terminy

Przesunięcie terminów komplikuje sytuację przedsiębiorstw. Pierwotnie wiele wymogów dla systemów wysokiego ryzyka miało być stosowanych od 2 sierpnia 2026 r. Po wielomiesięcznych pracach nad AI Omnibus Rada UE ostatecznie zatwierdziła akt 29 czerwca 2026 r., przesuwając terminy:

Typ systemuPierwotny terminNowy termin
Samodzielne systemy wysokiego ryzyka (zatrudnienie, edukacja, infrastruktura, usługi, organy ścigania)2 sierpnia 2026 r.2 grudnia 2027 r.
Systemy będące produktami lub elementami bezpieczeństwa (urządzenia, maszyny)2 sierpnia 2026 r.2 sierpnia 2028 r.
Modele AI ogólnego przeznaczenia2 sierpnia 2025 r.
Zakazy niedopuszczalnych praktyk2 lutego 2025 r.

Co to oznacza: firmy mają więcej czasu na przygotowanie, ale nie mogą czekać biernie. Część wymogów obowiązuje już teraz.

Jak się przygotować: dokumentacja zmian systemu

Dla przedsiębiorstw kluczowe będzie ustalenie, jakie systemy AI rzeczywiście funkcjonują w organizacji. Sama lista zakupionych licencji może nie wystarczyć. Trzeba ustalić datę wdrożenia, pierwotne przeznaczenie, kolejne aktualizacje, zakres zmian oraz to, kto podejmował decyzję o rozszerzeniu funkcji.

Problem pojawia się wtedy, gdy system przez kilka lat był stopniowo rozbudowywany bez prowadzenia pełnej dokumentacji zmian. Firma może mieć wówczas trudność z wykazaniem, czy nadał używa tego samego rozwiązania, czy doszło już do modyfikacji wpływającej na jego status prawny.

Dla przedsiębiorcy najbezpieczniejszym rozwiązaniem jest prowadzenie historii zmian systemu. W praktyce znaczenie mogą mieć:

  • Umowy z dostawcą (data wdrożenia, pierwotny zakres)
  • Dokumentacja wersji (changelog, historia aktualizacji)
  • Instrukcje użytkowania (pierwotne przeznaczenie)
  • Zakres nowych funkcji (co zostało dodane i kiedy)
  • Wyniki testów (jak zmiana wpłynęła na działanie)
  • Decyzje o zmianie sposobu wykorzystania (protokoły, notatki)

Bez takich informacji ustalenie, czy okres przejściowy nadal przysługuje, może być znacznie trudniejsze — zarówno dla samej firmy, jak i dla organów kontrolnych.

Szczególna kontrola systemów o zmienionej roli

Szczególnej kontroli wymagają systemy, które zaczęły pełnić funkcje odmienne od pierwotnych. Zmiana nie musi polegać na stworzeniu zupełnie nowego programu. Czasami wystarczy połączenie istniejącego narzędzia z nowym źródłem danych, wdrożenie dodatkowego modelu lub rozszerzenie jego roli z funkcji doradczej na funkcję wpływającą na decyzje dotyczące konkretnych osób.

Najczęstsze scenariusze, które mogą stanowić istotną modyfikację:

  • Zmiana źródła danych: system analizował dane wewnętrzne, a teraz korzysta z danych zewnętrznych
  • Rozszerzenie funkcji: z narzędzia wspierającego decyzje stał się narzędziem podejmującym decyzje
  • Zmiana obszaru zastosowania: z HR na obsługę klienta, z wewnętrznych procesów na zewnętrzne
  • Integracja z innymi systemami: połączenie kilku narzędzi w jeden zautomatyzowany proces

Już obowiązujące wymogi — nie czekaj na 2027 r.

Nie oznacza to jednak, że do przesunętych dat przedsiębiorstwa mogą ignorować AI Act. Część jego przepisów obowiązuje już dziś:

  • Od 2 lutego 2025 r.: zakazy dotyczące niedopuszczalnych praktyk AI (np. systemy manipulujące, dyskryminujące) oraz obowiązki związane z kompetencjami w zakresie sztucznej inteligencji
  • Od 2 sierpnia 2025 r.: część przepisów dotyczących modeli AI ogólnego przeznaczenia (takie jak ChatGPT, Claude)

Firmy powinny już teraz przeanalizować, czy ich systemy nie naruszają zakazów, i upewnić się, że zespoły mają wymaganą wiedzę na temat AI.

Praktyczne kroki dla małych firm

Dla przedsiębiorstwa najlepiej jest teraz:

  1. Zidentyfikować wszystkie systemy AI — nie tylko te oficjalnie kupione, ale i wdrożone ad hoc
  2. Ustalić datę wdrożenia — kiedy system zaczął działać
  3. Udokumentować pierwotne przeznaczenie — do czego został stworzony
  4. Zebrać historię zmian — wszystkie aktualizacje, rozszerzenia funkcji, zmiany zastosowania
  5. Ocenić, czy doszło do istotnej modyfikacji — czy system zmienił się istotnie
  6. Przygotować plan dostosowania — jeśli modyfikacja była istotna, zaplanować wdrożenie wymogów
  7. Wdrożyć już obowiązujące wymogi — zwłaszcza zakazy niedopuszczalnych praktyk

Przygotowanie się teraz, zanim terminy się zbliżą, da firmie przewagę i uniknie kosztownych pospieszczonych działań w ostatniej chwili.

Najczęstsze pytania

Czy moja firma musi przebudować system AI, który kupiliśmy przed AI Act?

Nie automatycznie. Jeśli system nie uległ istotnej modyfikacji (zmiana konstrukcji lub przeznaczenia), może korzystać z okresu przejściowego. Jednak każda poważna zmiana funkcji lub zastosowania może wymagać pełnego dostosowania do nowych wymogów.

Co to jest istotna modyfikacja w kontekście AI Act?

Istotna modyfikacja to zmiana dokonana po wdrożeniu systemu, której nie przewidziano w pierwotnej ocenie zgodności i która wpływa na zgodność z wymogami dla systemów wysokiego ryzyka lub zmienia jego przeznaczenie. Zwykłe aktualizacje bezpieczeństwa lub poprawki błędów się nie liczą.

Kiedy musimy dostosować się do nowych wymogów AI Act?

Terminy zależą od typu systemu: dla samodzielnych systemów wysokiego ryzyka — do 2 grudnia 2027 r., dla systemów będących produktami sektorowymi — do 2 sierpnia 2028 r. Jednak niektóre wymogi (zakazy niedopuszczalnych praktyk) obowiązują już od 2 lutego 2025 r.

Jaką dokumentację powinniśmy prowadzić, aby udowodnić okres przejściowy?

Kluczowe to historia zmian systemu: data wdrożenia, pierwotne przeznaczenie, umowy z dostawcą, dokumentacja wersji, zakres nowych funkcji, wyniki testów i decyzje o zmianie sposobu wykorzystania. Bez tego trudno będzie wykazać status prawny systemu.

Czy rozszerzenie funkcji istniejącego systemu AI to istotna modyfikacja?

Zależy od skali. Zwykła aktualizacja czy dodanie małej funkcji zwykle nie kwalifikuje się. Ale zmiana z funkcji doradczej na decyzyjną, połączenie z nowym źródłem danych lub zastosowanie w zupełnie innym obszarze (np. z oceny dokumentów na ocenę kandydatów) — to już istotna modyfikacja.

Na podstawie: Gazeta Prawna. Tekst opracowany redakcyjnie.