To mapa regulacji, nie porada prawna. Opisujemy konstrukcję ról z tekstu rozporządzenia. Jaką rolę pełni Twoja firma wobec konkretnego systemu i jakie obowiązki z niej wynikają — rozstrzyga prawnik. Data ostatniej weryfikacji treści: lipiec 2026.
AI Act przypisuje obowiązki nie firmom jako takim, lecz rolom wobec konkretnego systemu — a dwie główne role to dostawca (kto system rozwija i wprowadza na rynek) oraz podmiot stosujący (kto systemu używa w ramach swojej działalności, ang. deployer). Ta sama firma może być dostawcą jednego systemu i stosującym pięciu innych. Najczęstsza pomyłka polskich firm brzmi: „nie budujemy AI, więc AI Act nas nie dotyczy” — myli ona brak roli dostawcy z brakiem jakiejkolwiek roli.
Piąta gałąź huba AI Act jest o roli, w której — statystycznie — siedzi każdy czytelnik webflux: firma kupuje narzędzia z AI, wdraża agentów, podpina chatboty. I jest zarazem stroną-mostem do huba Agentic Enterprise, bo — uprzedzając puentę — obowiązki stosującego okazują się regulacyjnym odbiciem tego, co tam opisaliśmy jako zwykłą organizacyjną higienę.
Dwie role i winda między nimi
Dostawca rozwija system lub zleca jego rozwój i wprowadza go na rynek albo do użytku pod własną nazwą. Podmiot stosujący używa systemu w ramach działalności zawodowej (użytek prywatny jest poza tą rolą). Rozdzielenie jest funkcjonalne, nie branżowe — nie ma znaczenia, czy jesteś software house’em, czy hurtownią śrub; znaczenie ma, co robisz z konkretnym systemem.
I tu uwaga konstrukcyjna, którą mapa musi postawić grubą czcionką, bo dotyczy realnego scenariusza z naszego podwórka: między rolami jest winda i jeździ w górę. Rozporządzenie przewiduje sytuacje, w których stosujący zaczyna być traktowany jak dostawca — m.in. gdy firmuje system własną nazwą lub znakiem, albo dokonuje w nim istotnych modyfikacji. Dla świata, który opisujemy na webflux, to nie jest teoretyczna klauzula: firma, która bierze model, dokłada własne instrukcje, narzędzia i markę, i wystawia klientom „naszego agenta” — robi dokładnie ruchy, o które ta winda się ociera. Czy konkretna konfiguracja przekracza próg — to ocena prawna; mapa mówi tyle: im więcej własnego brandu i modyfikacji na cudzym systemie, tym mocniej to pytanie trzeba zadać, zanim zada je ktoś inny.
Obowiązki stosującego — mapa piętrami piramidy
Rola stosującego nie niesie jednego pakietu obowiązków — niesie różne, zależnie od piętra piramidy, na którym stoi używany system:
Na piętrze minimalnym — brak dodatkowych obowiązków z AI Act (co, przypominamy, nie uchyla RODO i reszty prawa). Z jednym wyjątkiem przekrojowym, obowiązującym od lutego 2025 niezależnie od piętra: AI literacy — zapewnienie, by osoby obsługujące systemy AI w firmie miały do tego odpowiednie kompetencje. To najczęściej pomijany obowiązek całego rozporządzenia, bo nie ma daty w przyszłości, którą można by odhaczać w kalendarzu — on już jest.
Na piętrze przejrzystości — obowiązki ujawniania opisane w gałęziach o chatbotach i treściach generowanych: część adresowana wprost do stosujących (deepfake, niektóre publikacje), część do dostawców, ale z konfiguracją w rękach stosującego. Termin: 2 sierpnia 2026.
Na piętrze wysokiego ryzyka — pełna lista obowiązków stosującego, od grudnia 2027: używanie systemu zgodnie z instrukcją dostawcy, zapewnienie nadzoru człowieka przez osoby kompetentne i umocowane, kontrola nad danymi wejściowymi (na ile stosujący ma nad nimi władzę), monitorowanie działania i zgłaszanie incydentów, przechowywanie logów, informowanie osób, wobec których system jest używany — a w określonych przypadkach ocena skutków dla praw podstawowych. Listę podajemy dla mapy terenu; które pozycje i jak dotyczą konkretnego wdrożenia — rozmowa z prawnikiem, najlepiej z inwentarzem systemów w ręku.
Puenta mostu: regulacja jako odbicie higieny
Teraz obiecany most. Przeczytaj tę listę z wysokiego ryzyka jeszcze raz — i zestaw ją z tym, co w Agentic Enterpriseopisaliśmy miesiące przed jakąkolwiek datą z tego huba, z powodów czysto praktycznych:
Nadzór człowieka przez osoby kompetentne i umocowane — to progi autonomii i human-in-the-loop z governance. Monitorowanie działania i logi — to observability i logi podpisane tożsamością agenta. Zgłaszanie incydentów — to cztery pytania incydentu i karta agenta. Wiedza, jakich systemów się używa i kto za nie odpowiada — to rejestr floty. Kompetencje osób obsługujących — to AI literacy, zanim ktokolwiek nazwał to obowiązkiem.
Wniosek, który stawiamy jako obserwację inżynierską, nie prawną: organizacja, która wdrożyła higienę z Agentic Enterprise, nie jest przez to „zgodna z AI Act” — ale ma zbudowaną infrastrukturę, na której zgodność się opiera, i rozmowa z prawnikiem zaczyna się u niej o kilka pięter wyżej. Regulacja i dobra praktyka znowu okazały się zbieżne — jak przy przejrzystości chatbotów i UX, tylko w większej skali. To nie przypadek: przepisy o wysokim ryzyku kodyfikują w dużej mierze to, co odpowiedzialne organizacje robią z autonomicznymi systemami z własnego interesu.
Notatki przed konsultacją
- Inwentarz systemów z przypisaniem roli: dla każdego używanego systemu AI — kto jest dostawcą, a jaka jest nasza rola; osobno zaznacz systemy, które firmujemy własną marką lub istotnie modyfikujemy (kandydaci do pytania o windę).
- Piętro każdego systemu: według piramidy — robocze przypisanie do weryfikacji prawnej, nie samodzielna diagnoza.
- Stan AI literacy: kto u nas obsługuje systemy AI i jakie ma do tego przygotowanie — obowiązek bez przyszłej daty.
- Stan higieny z Agentic Enterprise: rejestr, właściciele, logi, progi — bo to jest posag, z którym wchodzi się w każdą rozmowę o zgodności.
Powtórka obiecana we wstępie huba: nic powyżej nie jest poradą prawną. Role, piętra i windy to konstrukcja z tekstu rozporządzenia — przypisanie Twojej firmy do ról i obowiązków wymaga analizy prawnej. Idź na nią z inwentarzem i posagiem.










