Czy Akt o AI UE dotyczy kancelarii prawnych?

Tak. Każda organizacja, która wdraża lub rozwija systemy AI w UE, podlega Aktowi o AI UE. Jeśli Twoja kancelaria używa narzędzi AI do przeglądu dokumentów, analizy umów, badań prawnych lub obsługi klientów, jesteś 'podmiotem wdrażającym' w rozumieniu rozporządzenia i musisz spełnić określone obowiązki w zależności od poziomu ryzyka danego systemu AI.

Od kiedy Akt o AI UE obowiązuje firmy doradcze?

Akt o AI UE wszedł w życie 1 sierpnia 2024 r. Zakazane praktyki AI są egzekwowalne od 2 lutego 2025 r. Obowiązki dotyczące modeli AI ogólnego przeznaczenia (ChatGPT, Copilot, Claude) obowiązują od 2 sierpnia 2025 r. Pełne egzekwowanie wszystkich przepisów, w tym wymogów dla systemów AI wysokiego ryzyka, rozpoczyna się 2 sierpnia 2026 r.

Jakie kary grożą za naruszenie Aktu o AI UE?

Kary mogą sięgać 35 mln EUR lub 7% globalnego rocznego obrotu za zakazane praktyki AI, 15 mln EUR lub 3% za naruszenia dotyczące systemów wysokiego ryzyka oraz 7,5 mln EUR lub 1% za podanie nieprawdziwych informacji. Dla MŚP i startupów obowiązują proporcjonalne limity.

Akt o AI UE: Przewodnik compliance dla firm doradczych [2026]

Akt o sztucznej inteligencji UE (EU AI Act) to pierwsze na świecie kompleksowe rozporządzenie dotyczące AI. Weszło w życie 1 sierpnia 2024 r., z obowiązkami wdrażanymi etapami do 2027 r. Dla firm doradczych konsekwencje są zarówno bezpośrednie (wasze własne narzędzia AI są teraz regulowane), jak i pośrednie (wasi klienci będą potrzebować pomocy w nawigowaniu tych przepisów).

Ten przewodnik obejmuje to, co kancelarie prawne, firmy konsultingowe i biura rachunkowe muszą wiedzieć. Bez teorii prawnej. Praktyczne wymagania, terminy i kroki do podjęcia.

Spis treści

Czego wymaga Akt o AI UE
Kluczowe terminy dla firm doradczych
Klasyfikacja ryzyka narzędzi, których już używacie
Wasze obowiązki jako podmiotu wdrażającego
AI ogólnego przeznaczenia: ChatGPT, Copilot, Claude
Wskazówki sektorowe
Lista kontrolna compliance w 10 krokach
Kary i egzekwowanie
5 częstych nieporozumień
Co zrobić w tym kwartale

73%

kancelarii w UE korzysta z narzędzi AI, ale nie ma formalnych polityk użytkowania

Ankieta CCBE, 2025

Sierp. 2025

Obowiązki GPAI już obowiązują (ChatGPT, Claude, Copilot)

Akt o AI UE art. 51-56

35 mln €

maksymalna kara za zakazane praktyki AI (lub 7% globalnego obrotu)

Akt o AI UE art. 99

1. Czego wymaga Akt o AI UE

Akt o AI UE klasyfikuje systemy AI w czterech poziomach ryzyka. Każdy poziom niesie inne obowiązki. Rozporządzenie dotyczy każdego, kto rozwija lub wdraża systemy AI w UE, niezależnie od siedziby dostawcy.

Dla firm doradczych najważniejszą rolą jest podmiot wdrażający (deployer): podmiot, który używa systemu AI pod swoją kontrolą. Jeśli wasza firma korzysta z Harvey, Luminance, Kira, CoCounsel lub nawet ChatGPT do pracy z klientami, jesteście podmiotem wdrażającym.

Cztery poziomy ryzyka:

Niedopuszczalne ryzyko: Całkowity zakaz. Social scoring, rozpoznawanie emocji w miejscu pracy (z wąskimi wyjątkami), techniki manipulacyjne. Egzekwowalne od lutego 2025 r.
Wysokie ryzyko: Dozwolone, ale ściśle regulowane. Wymagana ocena zgodności, dokumentacja, nadzór ludzki i przejrzystość. Pełne egzekwowanie od sierpnia 2026 r.
Ograniczone ryzyko: Tylko obowiązki przejrzystości. Użytkownicy muszą być informowani o interakcji z AI lub o treściach generowanych przez AI.
Minimalne ryzyko: Brak konkretnych obowiązków. Zalecane dobrowolne kodeksy postępowania.

2. Kluczowe terminy dla firm doradczych

1 sierpnia 2024

Akt o AI UE wchodzi w życie

Oficjalna publikacja. 24-miesięczny okres przejściowy dla większości przepisów.

2 lutego 2025

Zakazane praktyki egzekwowalne

Zakazane systemy AI muszą zostać wycofane. Dotyczy social scoringu, manipulacyjnej AI i większości form rozpoznawania emocji w miejscu pracy.

2 sierpnia 2025

Obowiązki dotyczące modeli GPAI

Dostawcy modeli AI ogólnego przeznaczenia (OpenAI, Anthropic, Google, Microsoft) muszą spełnić wymogi przejrzystości i dokumentacji. Podmioty wdrażające muszą zapewnić, że ich korzystanie z tych narzędzi spełnia zasady przejrzystości.

2 sierpnia 2026

Pełne egzekwowanie

Wszystkie przepisy egzekwowalne, w tym wymogi dla systemów AI wysokiego ryzyka. Oceny zgodności, systemy zarządzania ryzykiem i zarządzanie jakością muszą być wdrożone.

2 sierpnia 2027

Koniec ochrony dla istniejących systemów

Systemy AI już obecne na rynku lub w eksploatacji przed sierpniem 2026 mają dodatkowy rok na osiągnięcie pełnej zgodności.

Dlaczego to ważne teraz: Obowiązki GPAI (sierpień 2025) już obowiązują. Jeśli wasza firma korzysta z ChatGPT, Claude, Copilot lub innych narzędzi AI ogólnego przeznaczenia, powinniście już mieć wdrożone środki przejrzystości. Termin dla systemów wysokiego ryzyka (sierpień 2026) jest za 5 miesięcy.

3. Klasyfikacja ryzyka narzędzi, których już używacie

Poziom ryzyka zależy od przypadku użycia, nie od samego narzędzia. Ten sam system AI może być minimalnym ryzykiem w jednym kontekście i wysokim w innym.

Narzędzie AI / Przypadek użycia	Poziom ryzyka	Uzasadnienie
Przegląd dokumentów AI (Harvey, Luminance, Kira)	Ograniczone	Wyszukiwanie i analiza wspomagane przez AI. Człowiek podejmuje ostateczną decyzję. Obowiązek przejrzystości wobec klientów.
Tworzenie umów przez AI	Ograniczone	AI generuje treści, które człowiek weryfikuje przed dostarczeniem. Obowiązuje przejrzystość.
AI dla decyzji HR (zatrudnianie, awanse)	Wysokie	Załącznik III wyraźnie wymienia AI w zatrudnieniu i zarządzaniu pracownikami. Wymagana pełna zgodność wysokiego ryzyka.
Ocena kredytowa / analiza finansowa AI	Wysokie	Wymienione w Załączniku III. Wymagana ocena zgodności.
Chatboty do obsługi klientów	Ograniczone	Konieczne ujawnienie, że użytkownik rozmawia z systemem AI.
Badania prawne AI (Westlaw AI, CoCounsel)	Minimalne	Narzędzie wewnętrzne wspierające profesjonalistów. Brak bezpośredniego wpływu na klientów.
Automatyczna księgowość / rozliczenia podatkowe AI	Ograniczone	Generuje wyniki weryfikowane przez człowieka. Przy autonomicznych decyzjach podatkowych potencjalnie wysokie ryzyko.
Rozpoznawanie emocji w rozmowach kwalifikacyjnych	Zakazane	Rozpoznawanie emocji w miejscu pracy/edukacji jest zakazane. Od lutego 2025 r.
Due diligence wspomagane AI	Ograniczone	AI analizuje dokumenty, człowiek decyduje. Może eskalować, jeśli AI autonomicznie ocenia transakcje.
Analiza predykcyjna wyników spraw	Wysokie (potencjalnie)	Przy użyciu w wymiarze sprawiedliwości lub wpływie na decyzje sądowe podlega Załącznikowi III.

4. Wasze obowiązki jako podmiotu wdrażającego

Nawet gdy nie rozwijacie AI (tylko korzystacie z narzędzi innych), Akt o AI UE nakłada na podmioty wdrażające konkretne obowiązki.

Dla wszystkich poziomów ryzyka

Przejrzystość wobec osób fizycznych: Gdy wyniki AI wpływają na kogoś, ta osoba musi być poinformowana o użyciu AI (art. 50).
Kompetencje AI: Zapewnijcie, że wasi pracownicy mają wystarczające zrozumienie używanych systemów AI. To wymóg prawny (art. 4).

Dla systemów AI wysokiego ryzyka

Nadzór ludzki: Wyznaczcie wykwalifikowane osoby do nadzoru nad działaniem systemu AI (art. 14).
Jakość danych wejściowych: Zapewnijcie, że dane wprowadzane do systemu AI są istotne i reprezentatywne (art. 10).
Prowadzenie rejestrów: Utrzymujcie logi działania systemu AI (art. 12).
Ocena wpływu na prawa podstawowe: Dla podmiotów publicznych i niektórych prywatnych wymagana FRIA (art. 27).
Monitoring: Monitorujcie działanie i zgłaszajcie poważne incydenty (art. 72).
Informowanie pracowników: Pracownicy pracujący z AI wysokiego ryzyka lub dotknięci przez nie muszą być informowani (art. 26(7)).

5. AI ogólnego przeznaczenia: ChatGPT, Copilot, Claude

Modele AI ogólnego przeznaczenia (GPAI) mają własną ścieżkę regulacyjną (Tytuł IIIa). Od sierpnia 2025 r. dostawcy GPAI muszą:

Publikować dokumentację techniczną i publiczne podsumowanie
Wdrożyć polityki zgodności z prawem autorskim
Identyfikować i łagodzić ryzyka systemowe (dla modeli z oznaczeniem ryzyka systemowego)

Jako podmiot wdrażający narzędzia GPAI, wasze obowiązki różnią się od obowiązków dostawcy. Musicie:

Informować klientów i kontrahentów, gdy treści generowane przez AI są używane w materiałach.
Utrzymywać wewnętrzne polityki użytkowania, dokumentujące zatwierdzone narzędzia, cele i zabezpieczenia.
Szkolić zespół w zakresie odpowiedzialnego użytkowania, ograniczeń i obowiązkowej weryfikacji ludzkiej.
Weryfikować zgodność dostawcy. Jeśli wasz dostawca GPAI nie może wykazać zgodności, dzielicie ryzyko odpowiedzialności.

Praktyczna konsekwencja: Jeśli korzystacie z ChatGPT Enterprise, Microsoft Copilot, Claude lub podobnych narzędzi, powinniście już mieć pisemną politykę użytkowania AI, program szkoleniowy i klauzule ujawniające w umowach z klientami. Od sierpnia 2025 r. to nie najlepsza praktyka, lecz wymóg prawny.

6. Wskazówki sektorowe

Kancelarie prawne

Tajemnica zawodowa: Narzędzia AI w chmurze oznaczają, że dane klientów opuszczają wasze systemy. Zaktualizujcie polityki prywatności i umowy powierzenia przetwarzania danych.
Przepisy korporacyjne: Izby adwokackie w całej Europie wydają uzupełniające wytyczne. CCBE opublikował stanowisko w 2025 r. Sprawdźcie wytyczne waszej krajowej izby.
Ryzyko odpowiedzialności: Analiza prawna generowana przez AI, której prawnik nie zweryfikował, tworzy odpowiedzialność. Wymogi przejrzystości Aktu o AI dodają warstwę regulacyjną do istniejących obowiązków zawodowych.
Nowa szansa biznesowa: Doradztwo compliance AI Act, przegląd umów AI, przygotowanie FRIA i konsulting governance AI to rozwijające się obszary praktyki.

Firmy konsultingowe

Doradztwo w strategii AI: Jeśli doradzacie klientom we wdrażaniu AI, wasze rekomendacje muszą uwzględniać Akt o AI UE.
Analityka wewnętrzna: AI do analiz rynkowych i prezentacji zwykle podlega minimalnemu lub ograniczonemu ryzyku, ale polityki użytkowania są nadal wymagane.
Zastosowania HR: AI do oceny talentów, planowania zatrudnienia lub zarządzania wydajnością to terytorium wysokiego ryzyka.

Biura rachunkowe i firmy audytorskie

AI w procedurach audytu: AI do analizy sprawozdań finansowych podlega ograniczonemu ryzyku, gdy audytor zachowuje uprawnienia decyzyjne.
Automatyczna zgodność podatkowa: Jeśli AI autonomicznie składa deklaracje, może to eskalować do wysokiego ryzyka. Utrzymujcie kontrolę ludzką we wszystkich decyzjach powierniczych.
KSeF: W Polsce obowiązkowy Krajowy System e-Faktur (od lutego 2026 r.) tworzy możliwości dla narzędzi AI do compliance, ale te również muszą spełniać wymogi Aktu o AI.

7. Lista kontrolna compliance w 10 krokach

1
Zinwentaryzujcie wszystkie systemy AI w użyciu
Sporządźcie listę każdego narzędzia AI, którego firma używa. Od platform enterprise po indywidualne konta ChatGPT. Włącznie z shadow IT. Czego nie znacie, tego nie możecie dostosować do przepisów.
2
Sklasyfikujcie każdy system według poziomu ryzyka
Przyporządkujcie każde narzędzie do jego przypadku użycia i określcie poziom ryzyka. Poziom ryzyka wynika z przypadku użycia, nie z samego narzędzia.
3
Sprawdźcie, czy nie ma zakazanych zastosowań
Potwierdźcie, że żaden system AI nie jest używany do social scoringu, rozpoznawania emocji w pracy lub innych zakazanych praktyk. Egzekwowalne od lutego 2025 r.
4
Opracujcie lub zaktualizujcie politykę użytkowania AI
Zdokumentujcie zatwierdzone narzędzia, dozwolone przypadki użycia, wymagane zabezpieczenia i zakazane użycia. Przeglądajcie kwartalnie.
5
Wdrożcie środki przejrzystości
Zaktualizujcie umowy z klientami, regulaminy i komunikację wewnętrzną, aby ujawnić użycie AI. Chatboty potrzebują wyraźnego oznaczenia „AI". Dla materiałów wspomaganych AI dodajcie klauzule ujawniające.
6
Ustalcie protokoły nadzoru ludzkiego
Dla każdego systemu AI zdefiniujcie, kto weryfikuje wyniki, jak weryfikuje i jakie ma uprawnienia do nadpisania. Dla systemów wysokiego ryzyka wyznaczcie osoby z odpowiednimi kwalifikacjami.
7
Przeprowadźcie szkolenie z kompetencji AI
Artykuł 4 wymaga, aby wszyscy pracownicy korzystający z systemów AI mieli wystarczające zrozumienie. To oznacza ustrukturyzowane szkolenia, nie tylko okólnik.
8
Zweryfikujcie przetwarzanie danych i prywatność
Narzędzia AI przetwarzające dane osobowe muszą spełniać zarówno Akt o AI, jak i RODO. Zaktualizujcie umowy powierzenia i oceny skutków dla prywatności.
9
Zweryfikujcie zgodność dostawcy
Zażądajcie dokumentacji zgodności od dostawców narzędzi AI. Dla modeli GPAI potwierdźcie, że dostawca opublikował wymaganą dokumentację techniczną.
10
Uruchomcie monitoring i raportowanie incydentów
Ustalcie procesy wykrywania awarii, stronniczych wyników lub incydentów bezpieczeństwa. Dla systemów wysokiego ryzyka zgłaszajcie poważne incydenty dostawcy i organowi krajowemu.

8. Kary i egzekwowanie

Naruszenie	Maksymalna kara
Zakazane praktyki AI (art. 5)	35 mln EUR lub 7% globalnego rocznego obrotu
Obowiązki systemów AI wysokiego ryzyka	15 mln EUR lub 3% globalnego rocznego obrotu
Podanie nieprawdziwych informacji organom	7,5 mln EUR lub 1% globalnego rocznego obrotu

Dla MŚP obowiązują proporcjonalne limity. Jednak dla większości firm doradczych szkody wizerunkowe wynikające z braku zgodności mogą przewyższyć kary finansowe. Kancelaria prawna przyłapana na nieodpowiedzialnym użyciu AI ryzykuje utratę zaufania klientów i postępowania dyscyplinarne.

9. Pięć częstych nieporozumień

Nieporozumienie 1: „Używamy tylko ChatGPT, więc nie jesteśmy regulowani."

Nieprawda. Korzystanie z ChatGPT czyni was podmiotem wdrażającym system GPAI. Obowiązki przejrzystości mają zastosowanie.

Nieporozumienie 2: „Akt o AI dotyczy deweloperów AI, nie użytkowników."

Rozporządzenie tworzy obowiązki zarówno dla dostawców (deweloperów), jak i podmiotów wdrażających (użytkowników). Obowiązki podmiotów wdrażających są lżejsze, ale prawnie wiążące.

Nieporozumienie 3: „Nasz dostawca AI zajmuje się zgodnością."

Dostawcy realizują obowiązki dostawcy. Obowiązki podmiotu wdrażającego (przejrzystość, nadzór ludzki, szkolenia, raportowanie incydentów) należą do was.

Nieporozumienie 4: „Pełne egzekwowanie dopiero w 2026."

Częściowo prawda. Zakazane praktyki od lutego 2025 r. Obowiązki GPAI od sierpnia 2025 r. Wysokie ryzyko od sierpnia 2026 r. Jeśli dziś korzystacie z narzędzi GPAI, powinniście już być zgodni.

Nieporozumienie 5: „To dotyczy tylko firm w UE."

Akt o AI ma zasięg eksterytorialny. Jeśli wyniki waszego systemu AI są używane w UE, rozporządzenie ma zastosowanie, niezależnie od siedziby firmy.

10. Co zrobić w tym kwartale

Dokończcie inwentaryzację AI (1 tydzień). Najwyższy priorytet. Czego nie znacie, tym nie możecie zarządzać.
Opublikujcie politykę użytkowania AI (2 tygodnie). Nawet podstawowa polityka stawia was przed większością firm.
Zaktualizujcie umowy z klientami (1 tydzień). Dodajcie klauzule ujawniające użycie AI.
Zaplanujcie szkolenie z kompetencji AI (ciągłe). Zacznijcie od 2-godzinnej sesji. Powtarzajcie kwartalnie.
Zidentyfikujcie systemy AI wysokiego ryzyka (2 tygodnie). Jeśli istnieją (najczęściej w HR), rozpocznijcie proces oceny zgodności.

Firmy, które ruszą pierwsze, zdefiniują standard. W każdym cyklu regulacyjnym pierwsi wyznaczają poziom tego, co oznacza „rozsądna zgodność". Spóźnieni przejmują standard, nie mając wpływu na jego kształt. Dla firm doradczych, gdzie zaufanie jest produktem, postrzeganie jako lidera odpowiedzialnego użycia AI tworzy przewagę konkurencyjną trudną do odtworzenia.

Oceńcie gotowość AI waszej firmy

Nasze 3-minutowe badanie identyfikuje luki w zgodności i tworzy spersonalizowany plan działania.

Rozpocznij badanie

Akt o AI UE: Przewodnik compliance dla firm doradczych