90% organizacji używających AI to podmioty wdrażające integrujące modele stron trzecich — OpenAI, Anthropic, Azure AI lub narzędzia SaaS AI. Zrozum swoje obowiązki: co dostawca musi Ci zapewnić, co musisz robić i kiedy sam stajesz się dostawcą.
Rzeczywistość Zewnętrznych Systemów AI: Większość Organizacji to Podmioty Wdrażające
Większość europejskich organizacji używających AI to ani OpenAI, ani Mistral, ani laboratorium badawcze. Integrują istniejące modele — poprzez API, platformę SaaS, komponent Azure AI lub wtyczkę narzędzia biznesowego. Salesforce Einstein, Copilot dla Microsoft 365, chatbot HR oparty na dużym modelu językowym, rozwiązanie scoringu kredytowego zakupione od wyspecjalizowanego dostawcy: we wszystkich tych przypadkach jesteś podmiotem wdrażającym systemu AI zbudowanego przez kogoś innego.
To stanowisko zajmuje zdecydowana większość organizacji dotkniętych EU AI Act. Niesie precyzyjne obowiązki — różne od obowiązków dostawcy, ale niebanalne. Może się też ewoluować: jeżeli modyfikujesz system lub odsprzedajesz go, Twój status prawny zmienia się.
Zrozumienie swojej pozycji w łańcuchu wartości AI to pierwszy krok w każdym wysiłku na rzecz zgodności.
Twoje Obowiązki jako Podmiot Wdrażający
Obowiązki podmiotu wdrażającego różnią się w zależności od poziomu ryzyka używanego systemu AI.
Dla Systemów AI Wysokiego Ryzyka (Annex III)
Jeżeli wdrażasz zewnętrzny system AI kwalifikujący się jako wysokiego ryzyka (ocena zdolności kredytowej, identyfikacja biometryczna, przesiewanie rekrutacyjne, zarządzanie infrastrukturą krytyczną itp.), Twoje obowiązki na podstawie Art. 26 to:
1. Postępuj zgodnie z instrukcjami użytkowania Używaj systemu wyłącznie dla jego zamierzonego przeznaczenia i zgodnie z instrukcjami, które dostawca musi dostarczyć. Używanie systemu AI wysokiego ryzyka poza jego zwalidowanym zakresem to naruszenie zgodności, nawet jeżeli jesteś tylko podmiotem wdrażającym.
2. Przypisz nadzór człowieka Wyznacz osobę fizyczną posiadającą kompetencje, uprawnienia i zasoby do sprawowania znaczącego nadzoru człowieka nad wynikami systemu AI. Ta osoba musi być w stanie zrozumieć, co system robi, wykrywać anomalie i nadpisywać lub zatrzymywać system w razie potrzeby.
3. Zapewnij jakość danych wejściowych Zapewnij, że dane wprowadzane do systemu są odpowiednie, wystarczająco reprezentatywne i właściwe dla zamierzonego przeznaczenia w Twoim konkretnym kontekście wdrożenia. System zwalidowany na jednej populacji może działać inaczej na Twojej — to jest Twoje ryzyko do zarządzania.
4. Monitoruj działanie i wykrywaj anomalie Aktywnie monitoruj działanie systemu pod kątem anomalii, nieoczekiwanych wyników lub pogorszenia wydajności. To nie jest odpowiedzialność dostawcy w czasie wdrożenia — jest Twoja.
5. Przechowuj logi Aktywuj i przechowuj automatyczne logi generowane przez system przez okres wymagany przez Rozporządzenie (i wszelką regulację sektorową, która może mieć zastosowanie). Nie wyłączaj rejestrowania, aby zaoszczędzić miejsce.
6. Zgłaszaj poważne incydenty Jeżeli powziąłeś wiadomość o poważnym incydencie lub awarii — takim, który spowodował lub mógłby spowodować śmierć, poważną szkodę, naruszenie praw podstawowych lub znaczne uszkodzenie mienia — niezwłocznie powiadom dostawcę. W niektórych przypadkach (szczególnie gdzie wdrożenie obejmuje usługi skierowane do publiczności lub działania powiązane z egzekwowaniem prawa) może być również wymagane bezpośrednie zgłoszenie do krajowego organu nadzoru rynku.
7. Ocena wpływu na prawa podstawowe (organy publiczne) Jeżeli jesteś organem publicznym lub podmiotem prywatnym wdrażającym systemy AI w obszarach mogących wpływać na prawa podstawowe (opieka zdrowotna, usługi społeczne, edukacja, egzekwowanie prawa), przed wdrożeniem musisz przeprowadzić Ocenę wpływu na prawa podstawowe (Art. 27).
Dla Systemów AI Wyłącznie Przejrzystości (Art. 50)
Jeżeli wdrażasz chatbota, system treści generowanych przez AI lub narzędzie do rozpoznawania emocji, które nie jest wysokiego ryzyka, ale podlega obowiązkom przejrzystości Art. 50, musisz:
- Informować użytkowników, że wchodzą w interakcję z systemem AI (Art. 50 ust. 1)
- Zapewnić, że treści generowane przez AI są technicznie oznaczane (Art. 50 ust. 4) tam, gdzie dotyczy
- Informować narażone osoby, gdy używane jest rozpoznawanie emocji lub kategoryzacja biometryczna (Art. 50 ust. 2–3)
Te obowiązki mają zastosowanie nawet gdy używasz zewnętrznego API lub narzędzia SaaS. Dostawca odpowiada za wbudowanie zdolności technicznej; Ty odpowiadasz za jej aktywowanie i zapewnienie, że ujawnienie rzeczywiście dociera do użytkowników.
Dla Systemów AI Minimalnego Ryzyka
Brak konkretnych obowiązków prawnych wynikających z EU AI Act. Mają zastosowanie dobrowolne kodeksy postępowania. Dobre praktyki zarządzania nadal zalecają podstawową dokumentację używanych systemów AI i okresowy przegląd ich wydajności.
Czego Żądać od Zewnętrznego Dostawcy AI
Twoja zdolność do wypełnienia obowiązków podmiotu wdrażającego zależy bezpośrednio od tego, co daje Ci dostawca. EU AI Act wymaga od dostawców systemów AI wysokiego ryzyka dostarczenia konkretnych informacji — a dostawcy modeli GPAI mają równoległe obowiązki dokumentacyjne. Użyj tej listy kontrolnej przy nabywaniu zewnętrznego AI:
Dla Każdego Systemu AI
- Opis systemu: Co robi system, jakie dane wejściowe pobiera, jakie wyniki produkuje i na jakie decyzje może wpływać?
- Zamierzone przeznaczenie: Dla których dokładnie przypadków użycia system został zaprojektowany, zwalidowany i zatwierdzony?
- Znane ograniczenia: W jakich warunkach system działa słabo? Które populacje, języki lub typy danych wykraczają poza jego zwalidowany zakres?
- Instrukcje użytkowania: Pełny zestaw instrukcji, które dostawca musi dostarczyć na podstawie Art. 13 dla systemów wysokiego ryzyka
Specjalnie dla Systemów Wysokiego Ryzyka
- Deklaracja Zgodności lub podsumowanie wyników oceny zgodności
- Dokumentacja zarządzania ryzykiem — jakie ryzyka zostały zidentyfikowane i jak zostały ograniczone?
- Wyniki testowania uprzedzeń i sprawiedliwości — jakie cechy chronione były testowane, jakie metryki były używane i jakie wyniki uzyskano?
- Metryki wydajności — dokładność, wskaźniki fałszywych pozytywnych/negatywnych i disagregowana wydajność według odpowiednich grup demograficznych
- Możliwość rejestrowania — potwierdzenie, że system generuje logi wymagane przez Art. 12 i instrukcje dotyczące dostępu i przechowywania
- Proces powiadamiania o incydentach — z kim skontaktować się, w jakim terminie i jakim kanałem w przypadku poważnego incydentu
- Polityka aktualizacji — jak dostawca powiadamia o istotnych aktualizacjach i jaka ponowna walidacja jest wymagana po aktualizacjach?
Dla Modeli GPAI (Dostęp do API i Modeli Bazowych)
- Karta modelu lub podsumowanie techniczne — możliwości, ograniczenia, podsumowanie danych do trenowania, wyniki ewaluacji
- Oświadczenie o zgodności z prawem autorskim — jak dostawca odnosi się do prawa autorskiego dla danych do trenowania i wyników
- Polityka dopuszczalnego użycia — jakie przypadki użycia są zakazane przez dostawcę i co się dzieje, jeżeli je naruszysz?
- Warunki przetwarzania danych — jak dostawca obsługuje Twoje dane wejściowe? Czy są używane do dalszego trenowania?
Kiedy Stajesz się Dostawcą
Art. 25 EU AI Act jest kluczowy dla użytkowników zewnętrznego AI: definiuje, kiedy podmiot wdrażający przechodzi do statusu dostawcy i przyjmuje wszystkie obowiązki dostawcy.
Stajesz się dostawcą gdy:
1. Istotnie Modyfikujesz System AI Wysokiego Ryzyka
Jeżeli weźmiesz system AI wysokiego ryzyka i dokonasz istotnych zmian wykraczających poza zamierzenia dostawcy — zmieniając model, ponownie trenując na swoich danych, zmieniając logikę podstawową — jesteś teraz dostawcą nowego lub istotnie zmodyfikowanego systemu. Wszystkie obowiązki dostawcy mają zastosowanie: ocena zgodności, dokumentacja techniczna, oznakowanie CE, rejestracja w unijnej bazie danych AI.
Kluczowe pytanie: Czy Twoja personalizacja to „użycie w zamierzonych parametrach" czy „opracowanie nowej możliwości"? Dostrajanie modelu na danych domenowych może, ale nie musi, być istotną modyfikacją, zależnie od stopnia zmiany i tego, czy wpływa na profil ryzyka.
2. Zmieniasz Zamierzone Przeznaczenie na Wysokie Ryzyko
Jeżeli weźmiesz system niesklasyfikowany jako wysokiego ryzyka i wdrożysz go dla przypadku użycia wysokiego ryzyka — używając ogólnego klasyfikatora tekstu do podejmowania decyzji o zatrudnieniu — zmieniłeś zamierzone przeznaczenie w sposób uruchamiający klasyfikację wysokiego ryzyka. Stajesz się dostawcą systemu AI wysokiego ryzyka i musisz spełniać wszystkie obowiązki dostawcy dla tego wdrożenia.
3. Wprowadzasz System do Obrotu Pod Własną Nazwą
Jeżeli kupujesz lub licencjonujesz system AI i odsprzedajesz go lub oferujesz innym jako własny produkt (white-labelling), wprowadzasz go do obrotu pod własną nazwą i stajesz się dostawcą. Jest to powszechne w sektorze SaaS: integrowanie modelu strony trzeciej w swojej własnej ofercie produktowej czyni Cię dostawcą dla tego produktu.
4. Dokonujesz Poważnych Zmian w Modelu GPAI
Jeżeli weźmiesz model GPAI i dokonasz poważnych modyfikacji jego możliwości lub przypadku użycia — poza dostrajaniem w ramach zamierzonych parametrów dostawcy — możesz stać się dostawcą nowego modelu GPAI z własnymi obowiązkami z rozdziału V.
Umowne Zabezpieczenia dla Podmiotów Wdrażających
Ponieważ Twoja zgodność zależy od tego, co daje Ci dostawca, Twoje umowy z zewnętrznymi dostawcami AI są kluczowym narzędziem zgodności. Kluczowe klauzule do uwzględnienia:
Prawa Informacyjne
- Prawo do otrzymywania i regularnie aktualizowanej wersji instrukcji użytkowania
- Prawo do dostępu do deklaracji zgodności i podsumowania oceny zgodności
- Prawo do otrzymywania wyników testowania uprzedzeń i metryk wydajności
- Prawo do otrzymywania dokumentacji istotnych aktualizacji modelu przed wdrożeniem
Zarządzanie Incydentami
- Obowiązek dostawcy do powiadamiania Cię o wszelkich poważnych incydentach lub podatnościach, o których się dowie, w określonym terminie
- Jasny kanał i proces dla Ciebie do zgłaszania incydentów dostawcy
- Zobowiązanie dostawcy do współpracy z Twoimi dochodzeniami incydentów i zapytaniami regulacyjnymi
Prawa do Audytu
- Prawo do audytu lub do otrzymywania raportów audytowych dotyczących zgodności dostawcy z obowiązkami EU AI Act
- Prawo do żądania zaktualizowanej dokumentacji w przypadku znaczących zmian
Obowiązki Aktualizacji
- Dostawca musi powiadamiać Cię przed wdrożeniem istotnych aktualizacji systemu AI
- Dostawca musi doradzać, czy aktualizacja stanowi istotną modyfikację wymagającą ponownej walidacji
- Ciągłość dokumentacji — zaktualizowana dokumentacja techniczna musi być dostarczana z każdą istotną aktualizacją
Alokacja Odpowiedzialności
- Jasność, która strona odpowiada za które obowiązki na podstawie Art. 25
- Odszkodowanie za straty wynikające z niezgodności dostawcy z obowiązkami dostawcy
- Postanowienia o ograniczeniu odpowiedzialności, które nie podważają Twojej zdolności do wypełnienia obowiązków regulacyjnych
Rynek Narzędzi AI dla Dostawców: Na Co Zwracać Uwagę
Rynek narzędzi i usług AI szybko ewoluuje, a stan zgodności dostawców z EU AI Act znacznie się różni:
- Główni dostawcy chmury i AI (Microsoft, Google, AWS, OpenAI, Anthropic) zainwestowali znacznie w zarządzanie AI i dokumentację zgodności GPAI. Ich warunki świadczenia usług i karty modeli dostarczają więcej informacji niż większość innych dostawców.
- Specjalistyczni pionowi dostawcy AI (HR tech, legal tech, fintech, healthtech) są na różnym etapie gotowości do EU AI Act. Wiele z nich to MŚP, które nie w pełni mapowały jeszcze swoich obowiązków.
- AI wbudowany w narzędzia SaaS (funkcje AI w CRM, ERP, narzędziach produktywnościowych) mogą nie być marketingowane jako „produkty AI" — ale jeżeli podejmują lub wpływają na istotne decyzje dotyczące jednostek, obowiązki EU AI Act mają zastosowanie.
Zespoły ds. zamówień powinny dodawać screening zgodności EU AI Act do należytej staranności dostawców — prosząc dostawców o zaświadczenie o ich statusie zgodności, dostarczenie dokumentacji conformity dla systemów wysokiego ryzyka i zobowiązanie do bieżącej wymiany informacji w miarę rozwoju krajobrazu regulacyjnego.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Tak, jako podmioty wdrażające. Dostawca API (OpenAI, Anthropic) jest dostawcą modelu GPAI i nosi obowiązki GPAI. Jeżeli budujesz aplikację na bazie ich API i udostępniasz ją użytkownikom, stajesz się dostawcą tej aplikacji (systemu AI). Masz obowiązki podmiotu wdrażającego wobec bazowego modelu GPAI i obowiązki dostawcy dla własnego systemu AI.
Dla systemów AI wysokiego ryzyka: dostawca (jako dostawca) musi dostarczyć instrukcje użytkowania (Art. 13) i podsumowanie oceny zgodności lub deklarację zgodności. Dla modeli GPAI: dostawcy muszą dostarczyć dokumentację techniczną i informacje niezbędne do zgodności niższego szczebla. Żądaj umownie: opisu systemu, znanych ograniczeń, wyników testowania uprzedzeń, metryk wydajności i procedur zgłaszania incydentów.
Umownie możesz alokować odpowiedzialność między stronami — ale odpowiedzialność regulacyjna nie może być przekazana umową. Jeżeli wdrażasz system AI wysokiego ryzyka, masz obowiązki podmiotu wdrażającego niezależnie od umowy. Używaj umów, aby zapewnić, że dostawca daje Ci to, czego potrzebujesz do wypełnienia swoich obowiązków, nie do ucieczki od nich.
EU AI Act ma zastosowanie do systemów AI wprowadzanych do obrotu europejskiego niezależnie od miejsca siedziby dostawcy. Dostawcy spoza UE muszą wyznaczyć upoważnionego przedstawiciela w UE (Art. 22), który ma te same obowiązki prawne co dostawca z siedzibą w UE. Weryfikuj, że dostawca ma upoważnionego przedstawiciela przed wdrożeniem jego systemu AI.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.