przejdź
przejdź
  2. Serwis Prawny
  3. Ochrona danych
  4. Audyt zgodności z AI Act w 2026 roku - co musisz wiedzieć?

Audyt zgodności z AI Act w 2026 roku - co musisz wiedzieć?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 ustanawiające zharmonizowane przepisy dotyczące sztucznej inteligencji wprowadza niezwykle rygorystyczny system regulacyjny oparty na poziomie ryzyka. Od 2026 roku przedsiębiorstwa zaczną podlegać pełnym obowiązkom dla systemów AI, co oznacza, że profesjonalny audyt zgodności z AI Act stanie się nieodzownym narzędziem weryfikacji procesów technologicznych. Szczególna odpowiedzialność spocznie na barkach działów IT, które muszą zadbać o bezbłędne wdrożenie, nadzór i utrzymanie oprogramowania w granicach wyznaczonych przez nowe unijne prawo.

Klasyfikacja systemu AI jako punkt wyjścia audytu

Podstawowym elementem audytu jest prawidłowa kwalifikacja systemu AI do jednej z kategorii określonych w rozporządzeniu. AI Act przewiduje system klasyfikacji obejmujący:

  • systemy AI zakazane,
  • systemy AI wysokiego ryzyka,
  • systemy AI podlegające obowiązkom przejrzystości,
  • pozostałe systemy AI.

Dla celów audytu kluczowe znaczenie ma ustalenie, czy dany system stanowi system AI wysokiego ryzyka w rozumieniu rozporządzenia, w szczególności poprzez odniesienie do przypadków wskazanych w załączniku III. Od tej kwalifikacji zależy zakres obowiązków regulacyjnych.

Przykład 1.

Spółka XYZ sp. z o.o. wdraża system AI służący do wspomagania rekrutacji pracowników, który kwalifikuje się jako system wysokiego ryzyka zgodnie z załącznikiem III. W toku audytu ustalono, że dostawca nie wdrożył systemu monitorowania po wprowadzeniu do obrotu oraz nie prowadzi rejestru zdarzeń umożliwiającego analizę działania systemu. Jak powinna zareagować spółka?

System nie może być stosowany bezpiecznie i w zgodzie z AI Act – stąd do czasu uzupełnienia tych elementów i przeprowadzenia pełnej oceny zgodności spółka powinna powstrzymać się od jego wdrożenia i stosowania.

Audyt zgodności z AI Act

Rozporządzenie wprowadza rozróżnienie pomiędzy podmiotami uczestniczącymi w łańcuchu wartości systemów AI, w szczególności dostawcą oraz podmiotem stosującym. Audyt zgodności wymaga jednoznacznego ustalenia roli organizacji, ponieważ zakres obowiązków jest zróżnicowany.

Dostawca jest podmiotem, który opracowuje system AI lub zleca jego opracowanie i wprowadza go do obrotu lub oddaje do użytku pod własną nazwą lub znakiem towarowym. Podmiot stosujący to natomiast podmiot wykorzystujący system AI w ramach swojej działalności.

Rozróżnienie to ma fundamentalne znaczenie, ponieważ większość obowiązków regulacyjnych w odniesieniu do systemów wysokiego ryzyka spoczywa na dostawcy, natomiast podmiot stosujący zobowiązany jest do korzystania z systemu zgodnie z instrukcjami oraz do zapewnienia określonych warunków jego użycia.

Obowiązki dostawcy systemu AI wysokiego ryzyka

W przypadku systemów AI wysokiego ryzyka dostawca zobowiązany jest do spełnienia szeregu wymogów określonych w rozporządzeniu. Audyt powinien obejmować weryfikację, czy wdrożono wszystkie wymagane elementy.

W szczególności należy zbadać, czy ustanowiono system zarządzania ryzykiem obejmujący cały cykl życia systemu AI. System ten powinien mieć charakter ciągły i obejmować identyfikację, analizę oraz minimalizację ryzyk związanych z użytkowaniem systemu.

Kolejnym elementem jest zarządzanie danymi i ich jakością. Wymaga się, aby zbiory danych wykorzystywane do trenowania, walidacji i testowania były odpowiednie, reprezentatywne oraz wolne od błędów i uprzedzeń w zakresie, w jakim jest to możliwe.

Audyt powinien również objąć dokumentację techniczną, która musi umożliwiać ocenę zgodności systemu z rozporządzeniem. Dokumentacja ta powinna obejmować opis systemu, jego przeznaczenie, architekturę oraz dane wykorzystane w procesie jego tworzenia.

Istotnym obowiązkiem jest także prowadzenie rejestrów zdarzeń (logów), które umożliwiają monitorowanie działania systemu oraz odtworzenie jego funkcjonowania.

Rozporządzenie wymaga ponadto zapewnienia odpowiedniego poziomu przejrzystości oraz dostarczenia instrukcji użytkowania, które umożliwią właściwe korzystanie z systemu.

System AI wysokiego ryzyka musi być zaprojektowany w sposób umożliwiający skuteczny nadzór człowieka. Oznacza to, że musi istnieć możliwość ingerencji w jego działanie oraz zapobiegania skutkom niepożądanym.

Dodatkowo system musi spełniać wymagania dotyczące dokładności, odporności oraz cyberbezpieczeństwa.

System zarządzania jakością

Dostawca systemu AI wysokiego ryzyka zobowiązany jest do wdrożenia systemu zarządzania jakością obejmującego wszystkie aspekty związane z projektowaniem, rozwojem oraz nadzorem nad systemem.

Audyt powinien weryfikować, czy system ten obejmuje:

  • strategie zgodności,
  • procedury zarządzania zmianą,
  • procedury testowania i walidacji,
  • mechanizmy monitorowania działania systemu.

Ocena zgodności i oznakowanie CE

Przed wprowadzeniem systemu AI wysokiego ryzyka do obrotu lub oddaniem go do użytku dostawca zobowiązany jest przeprowadzić procedurę oceny zgodności.

W zależności od charakteru systemu ocena ta może mieć charakter wewnętrzny lub wymagać udziału jednostki notyfikowanej. Po pozytywnym zakończeniu procedury dostawca sporządza deklarację zgodności UE oraz umieszcza oznakowanie CE.

Audyt powinien potwierdzić, że procedura ta została przeprowadzona zgodnie z wymogami rozporządzenia.

Obowiązki podmiotu stosującego

Podmiot stosujący system AI wysokiego ryzyka zobowiązany jest do korzystania z niego zgodnie z instrukcjami dostawcy oraz do zapewnienia odpowiedniego nadzoru człowieka.

Ponadto podmiot stosujący powinien monitorować działanie systemu oraz informować dostawcę o poważnych incydentach lub nieprawidłowościach.

W określonych przypadkach podmiot stosujący zobowiązany jest również do przeprowadzenia oceny wpływu na prawa podstawowe przed rozpoczęciem stosowania systemu.

Monitorowanie po wprowadzeniu do obrotu i raportowanie incydentów

AI Act wprowadza obowiązek monitorowania systemów AI wysokiego ryzyka po ich wprowadzeniu do obrotu lub oddaniu do użytku. Dostawca zobowiązany jest do wdrożenia systemu monitorowania po wprowadzeniu do obrotu, który umożliwia zbieranie i analizowanie danych dotyczących funkcjonowania systemu.

W przypadku wystąpienia poważnego incydentu lub naruszenia przepisów dostawca zobowiązany jest do jego zgłoszenia właściwym organom.

Audyt powinien obejmować weryfikację istnienia i funkcjonowania tych mechanizmów.

Rejestracja systemów AI

W odniesieniu do określonych systemów AI wysokiego ryzyka przewidziano obowiązek ich rejestracji w unijnej bazie danych. Audyt powinien ustalić, czy obowiązek ten ma zastosowanie oraz czy został spełniony.

Obowiązki dotyczące przejrzystości

AI Act przewiduje szczególne obowiązki przejrzystości w odniesieniu do określonych kategorii systemów AI, w tym systemów wchodzących w interakcję z osobami fizycznymi, systemów generujących treści syntetyczne oraz systemów rozpoznawania emocji.

Audyt powinien uwzględniać, czy obowiązki te zostały wdrożone w odpowiednim zakresie.

Lista kontrolna dla działu IT

Audyt zgodności z AI Act powinien obejmować w szczególności:

  • klasyfikację systemu AI,
  • identyfikację roli organizacji,
  • weryfikację systemu zarządzania ryzykiem,
  • ocenę jakości danych,
  • analizę dokumentacji technicznej,
  • weryfikację mechanizmów nadzoru człowieka,
  • sprawdzenie zgodności z wymaganiami dotyczącymi dokładności i bezpieczeństwa,
  • ocenę procedur monitorowania po wdrożeniu,
  • weryfikację obowiązków raportowych,
  • analizę obowiązków przejrzystości.

Podsumowanie

Audyt zgodności z AI Act w 2026 roku stanowi kluczowy element zarządzania ryzykiem prawnym związanym z wykorzystaniem systemów sztucznej inteligencji. Rozporządzenie wprowadza rozbudowany system obowiązków, którego spełnienie wymaga ścisłej współpracy działów prawnych i IT.

Zapewnienie zgodności wymaga nie tylko wdrożenia odpowiednich procedur, lecz także ich ciągłego monitorowania oraz dokumentowania. W praktyce oznacza to konieczność budowy systemu compliance, który obejmuje cały cykl życia systemu AI i uwzględnia zarówno wymagania techniczne, jak i prawne.

Polecamy:

KSeF, czyli Krajowy System e-Faktur

Cyfryzacja dokumentacji pracowniczej
Maj 2026
14
Czwartek
  • Dzień ustawowo wolny od pracy
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • Dzień ustawowo wolny od pracy
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Zastrzeżenie PESEL – jakie niesie konsekwencje?
  3. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  4. Które podmioty obejmuje nowa ustawa o krajowym systemie cyberbezpieczeństwa?
  5. RODO - czyli jakie dane podlegają ochronie danych osobowych?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Cyfryzacja dokumentacji pracowniczej

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

HR Workshop Week 2026: Trzy dni intensywnej praktyki dla branży HR
SEO Vibes Summit ’26 już w maju – ruszyła promocja Last Call na wszystkie bilety!
semKRK#24 BIG już 3 czerwca! Bądź z nami w Starej Zajezdni
Między faktem a fałszem: jak weryfikować rzeczywistość w cyfrowym świecie? XXVI Kongres Public Relations w Rzeszowie
Handel pod presją kosztów, regulacji i technologii. Przed nami 8. Kongres Nowoczesnej Dystrybucji Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów