Artykuł 26 — Obowiązki podmiotów stosujących wysokiego ryzyka systemy AI (Ustawa o AI UE)

Artykuł 26 Rozporządzenia (UE) 2024/1689 — Obowiązki podmiotów stosujących wysokiego ryzyka systemy AI. Oficjalny tekst, praktyczna interpretacja, kluczowe obowiązki i implikacje dla zgodności.

Podsumowanie oficjalnego tekstu

Artykuł 26 Rozporządzenia (UE) 2024/1689 określa obowiązki spoczywające na podmiotach stosujących — tych, którzy wdrażają systemy AI wysokiego ryzyka — i jest zawarty w Tytule III, Rozdziale 3 Ustawy. Artykuł stanowi, że podmioty stosujące muszą podejmować odpowiednie środki techniczne i organizacyjne, aby zapewnić, że używają takich systemów zgodnie z instrukcjami użytkowania dostarczonymi przez dostawcę (Artykuł 26(1)). Podmioty stosujące są zobowiązane do przypisania zadania nadzoru ludzkiego osobom posiadającym niezbędne kompetencje, szkolenie i uprawnienia do skutecznego jego wykonywania (Artykuł 26(2)).

Gdy podmioty stosujące określają cel użytkowania lub wywierają znaczący wpływ na działanie systemu AI, ponoszą zwiększone obowiązki odpowiadające roli dostawcy. Podmioty stosujące muszą monitorować działanie systemu AI wysokiego ryzyka na podstawie instrukcji użytkowania i, w stosownych przypadkach, informować dostawcę o zidentyfikowanych ryzykach (Artykuł 26(5)). Nie mogą używać systemu w sposób sprzeczny z tymi instrukcjami ani wywierać presji na personel, która mogłaby zagrozić właściwemu nadzorowi.

Artykuł 26(7) wymaga od podmiotów stosujących przechowywania automatycznie generowanych dzienników przez system AI wysokiego ryzyka w zakresie, w jakim takie dzienniki są pod ich kontrolą, przez okres odpowiedni do zamierzonego celu i obowiązujących przepisów sektorowych, ale nie krótszy niż sześć miesięcy. Artykuł 26(9) nakłada obowiązek na podmioty stosujące będące organami publicznymi i niektórych prywatnych operatorów przeprowadzenia i udokumentowania oceny wpływu na prawa podstawowe przed wdrożeniem oraz jej rejestracji w bazie danych UE ustanowionej na podstawie Art. 71.

Co to oznacza w praktyce

Artykuł 26 bezpośrednio dotyczy każdej organizacji, która integruje system AI wysokiego ryzyka w swoich działaniach, nie będąc jednocześnie jego twórcą ani pierwotnym dostawcą. Typowi podmioty stosujące to szpitale korzystające z narzędzi diagnostycznych wspomaganych AI, pracodawcy stosujący AI do selekcji rekrutacyjnej, banki używające silników scoringowych AI do oceny kredytów oraz organy publiczne stosujące AI do decyzji o prawie do świadczeń.

Konkretnie, podmiot stosujący musi zacząć od dokładnego zapoznania się z instrukcjami użytkowania dostawcy i ich wdrożenia — stanowią one punkt wyjścia dla zgodności. Przed uruchomieniem podmiot stosujący musi zidentyfikować, który pracownik lub zespół ponosi odpowiedzialność za nadzór i zapewnić, że mają szkolenie i uprawnienia do interweniowania, wstrzymywania lub nadpisywania wyników systemu. Wywieranie presji w celu ignorowania lub obchodzenia mechanizmów nadzoru jest wyraźnie zabronione.

W trakcie działania podmiot stosujący musi zachowywać dzienniki generowane przez system. Dla banku wdrażającego model ryzyka kredytowego stron trzecich oznacza to zachowanie zautomatyzowanych dzienników decyzji przez co najmniej sześć miesięcy i zapewnienie ich dostępności do kontroli lub inspekcji regulacyjnej. Jeśli system zaczyna generować nieoczekiwane wyniki lub jest zaangażowany w incydent powodujący lub potencjalnie powodujący szkodę, podmiot stosujący musi natychmiast eskalować do dostawcy i, w razie konieczności, do krajowego organu nadzorczego.

Podmioty stosujące w sektorze publicznym i prywatne firmy świadczące usługi publiczne muszą wykonać dodatkowy krok: formalna ocena wpływu na prawa podstawowe musi zostać ukończona i zarejestrowana w bazie danych UE przed aktywacją systemu. Ocena ta musi identyfikować przewidywalne skutki dla praw takich jak zakaz dyskryminacji, prywatność i rzetelny proces prawny, oraz dokumentować środki łagodzące.

Podmioty stosujące, które wykraczają poza swoje instrukcje — przez przeznaczenie systemu do innego przypadku użycia lub istotną modyfikację jego konfiguracji — ryzykują reklasyfikację jako dostawcy na podstawie Art. 25, co pociąga za sobą pełen zakres obowiązków dostawcy, w tym ocenę zgodności.

Kluczowe obowiązki

Przestrzegaj instrukcji użytkowania: Wdrażaj i używaj systemu AI wysokiego ryzyka ściśle zgodnie z instrukcjami dostawcy; każde użytkowanie poza zamierzonym celem powoduje potencjalną reklasyfikację jako dostawcy.
Zapewnij kompetentny nadzór ludzki: Wyznacz osoby posiadające niezbędne kompetencje, szkolenie i uprawnienia do skutecznego nadzoru ludzkiego; nie nakazuj ani nie zachęcaj personelu do omijania funkcji nadzorczych.
Monitoruj i zgłaszaj ryzyko i incydenty: Stale monitoruj wydajność systemu; niezwłocznie powiadamiaj dostawcę i, w stosownych przypadkach, właściwy organ nadzoru rynku o każdym poważnym ryzyku lub incydencie zidentyfikowanym podczas użytkowania.
Przechowuj automatycznie generowane dzienniki: Zachowuj dzienniki produkowane przez system AI przez minimum sześć miesięcy lub dłużej, jeśli wymagają tego obowiązujące przepisy prawa lub sektorowe, w zakresie, w jakim te dzienniki są pod kontrolą podmiotu stosującego.
Przeprowadź i zarejestruj ocenę wpływu na prawa podstawowe: Podmioty stosujące będące organami publicznoprawnymi i prywatni operatorzy świadczący usługi publiczne muszą ukończyć udokumentowaną ocenę wpływu na prawa podstawowe i zarejestrować ją w bazie danych UE przed wdrożeniem.
Informuj i chroń pracowników objętych: Gdy system jest używany w kontekstach zatrudnienia, podmioty stosujące muszą informować przedstawicieli pracowników i zainteresowane osoby zgodnie z obowiązującym prawem Unii i krajowym przed wdrożeniem.

Związek z innymi artykułami

Artykuł 26 należy czytać w powiązaniu z kilkoma wzajemnie powiązanymi przepisami. Art. 25 definiuje, kiedy podmiot stosujący jest reklasyfikowany jako dostawca — próg, który podmioty stosujące muszą aktywnie monitorować, gdy modyfikują lub przekształcają system. Art. 13 (Przejrzystość i udostępnianie informacji podmiotom stosującym) reguluje, co dostawca musi przekazać za pośrednictwem instrukcji użytkowania, bezpośrednio kształtując wygląd zgodności z Artykułem 26(1). Art. 14 (Nadzór ludzki) opisuje wymagania techniczne, które dostawcy muszą wbudować w systemy, aby umożliwić podmiotom stosującym wypełnianie obowiązków nadzorczych na podstawie Artykułu 26(2).

Art. 71 (Baza danych UE) stanowi podstawę wymogu rejestracji nałożonego na publiczne podmioty stosujące przez Artykuł 26(9). Art. 73 (Zgłaszanie poważnych incydentów) uzupełnia Artykuł 26(5), opisując proceduralne ramy dla powiadomień o incydentach. W kontekstach zatrudnienia Artykuł 26(6) krzyżuje się z Dyrektywą 2002/14/WE w sprawie informowania i konsultowania pracowników. Dla podmiotów stosujących w regulowanych sektorach — finansach, zdrowiu, transporcie — sektorowe prawo Unii może nakładać dodatkowe lub nakładające się obowiązki wchodzące w interakcję z podstawą Artykułu 26.

Harmonogram zgodności

Ustawa o AI UE weszła w życie 1 sierpnia 2024 r., a obowiązki stosuje się zgodnie z harmonogramem fazowym. Przepisy dotyczące zakazanych praktyk AI stały się stosowane 2 lutego 2025 r. Obowiązki dotyczące modeli AI ogólnego przeznaczenia stały się stosowane 2 sierpnia 2025 r.

Artykuł 26, jako obowiązek mający zastosowanie do systemów AI wysokiego ryzyka wymienionych w Załączniku III, staje się stosowany 2 sierpnia 2026 r. dla większości systemów wysokiego ryzyka, z przedłużonym terminem 2 sierpnia 2027 r. dla systemów AI wysokiego ryzyka w obszarach zatrudnienia, edukacji i dostępu do podstawowych usług, gdzie ma zastosowanie istniejące unijne prawodawstwo harmonizacyjne (systemy wymienione w Załączniku I). Podmioty stosujące powinny zatem traktować 2 sierpnia 2026 r. jako główny termin zgodności dla gotowości operacyjnej, wyznaczenia nadzoru ludzkiego, infrastruktury przechowywania dzienników i procedur oceny wpływu na prawa podstawowe, jednocześnie rozpoczynając prace przygotowawcze natychmiast, aby zapewnić wystarczający czas na zarządzanie, przegląd zamówień i szkolenie personelu.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Kto kwalifikuje się jako podmiot stosujący na podstawie Artykułu 26 Ustawy o AI UE?

Podmiot stosujący to każda osoba fizyczna lub prawna, organ publiczny, agencja lub inny podmiot, który używa wysokiego ryzyka systemu AI na własną odpowiedzialność, z wyjątkiem przypadków, gdy system jest używany w ramach czysto osobistej, nieprofesjonalnej działalności. Obejmuje to przedsiębiorstwa, instytucje publiczne i operatorów integrujących wysokiego ryzyka AI stron trzecich w swoich przepływach pracy.

Jaki jest podstawowy obowiązek podmiotu stosującego na podstawie Artykułu 26?

Podmioty stosujące muszą wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić, że używają systemów AI wysokiego ryzyka zgodnie z instrukcjami użytkowania dostarczonymi przez dostawcę. Muszą również przypisać nadzór ludzki wykwalifikowanym osobom, monitorować wydajność i zawieszać użytkowanie, jeśli zidentyfikują ryzyko.

Czy podmioty stosujące muszą przeprowadzać ocenę wpływu na prawa podstawowe?

Tak. Artykuł 26(9) wymaga od podmiotów stosujących, które są organami regulowanymi przez prawo publiczne lub prywatnymi operatorami świadczącymi usługi publiczne, przeprowadzenia oceny wpływu na prawa podstawowe przed wdrożeniem niektórych systemów AI wysokiego ryzyka. Ocena ta musi być zarejestrowana w bazie danych UE przed wdrożeniem.

Co się dzieje, gdy podmiot stosujący odkryje poważny incydent?

Na podstawie Artykułu 26(5) podmioty stosujące muszą niezwłocznie poinformować dostawcę i, w stosownych przypadkach, właściwy organ nadzoru rynku. Jeśli podmiot stosujący nie może skontaktować się z dostawcą, musi powiadomić organ bezpośrednio. Obowiązek stosuje się, gdy podmiot stosujący ma podstawy, by sądzić, że system stwarza ryzyko lub spowodował poważny incydent.

Czy podmioty stosujące są odpowiedzialne za ocenę zgodności systemu AI?

Nie. Ocena zgodności leży w gestii dostawcy na podstawie Art. 43. Podmioty stosujące są odpowiedzialne za prawidłowe użytkowanie zgodnie z instrukcjami dostawcy, odpowiedni nadzór ludzki, zarządzanie danymi dla danych wejściowych, które kontrolują, oraz obowiązki sprawozdawcze. Jednak podmioty stosujące, które w istotny sposób modyfikują system, mogą nabyć obowiązki dostawcy.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.