Informacje ze świata IT 7 min czytania

AI Act w Polsce – co musi wiedzieć Twoja firma w 2026

Unia Europejska uchwaliła pierwsze na świecie kompleksowe prawo regulujące sztuczną inteligencję – AI Act. Choć największe obowiązki dotykają korporacje i dostawców systemów AI, małe i średnie firmy również muszą się przygotować. Sprawdź, co czeka Twoją firmę przed sierpniem 2026 roku.

Czym jest AI Act i kiedy zaczyna obowiązywać?

AI Act (oficjalnie: Rozporządzenie UE 2024/1689 w sprawie sztucznej inteligencji) to pierwszy na świecie kompleksowy akt prawny regulujący projektowanie, wprowadzanie na rynek i użytkowanie systemów sztucznej inteligencji. Rozporządzenie weszło w życie 1 sierpnia 2024 roku, jednak jego przepisy wdrażane są etapami:

  • Luty 2025 – zakaz stosowania zabronionych praktyk AI (m.in. systemy manipulacji podprogowej i biometrycznej kategoryzacji)
  • Sierpień 2025 – obowiązki dla dostawców modeli AI ogólnego przeznaczenia (GPAI), takich jak GPT czy Gemini
  • Sierpień 2026 – główne przepisy dla systemów AI wysokiego ryzyka i obowiązki użytkowników końcowych
  • Sierpień 2027 – przepisy dla systemów AI w obszarach krytycznych (infrastruktura, bankowość, transport)

Jako rozporządzenie UE, AI Act obowiązuje bezpośrednio we wszystkich państwach członkowskich – również w Polsce – bez potrzeby osobnej implementacji do prawa krajowego. Oznacza to, że przepisy dotyczą Twojej firmy niezależnie od tego, czy polski ustawodawca zdąży uchwalić dodatkowe regulacje krajowe.

System klasyfikacji ryzyka – gdzie jest Twoja firma?

AI Act dzieli systemy AI na cztery kategorie ryzyka. To, do której należy system, który stosujesz lub dostarczasz, decyduje o zakresie Twoich obowiązków i potencjalnych karach:

  • Ryzyko niedopuszczalne (zakaz) – systemy całkowicie zakazane w UE. Przykłady: scoring społeczny przez władze publiczne, manipulacja podprogowa, biometryczna kategoryzacja według przekonań politycznych lub orientacji seksualnej.
  • Wysokie ryzyko – systemy AI używane w obszarach takich jak rekrutacja, zarządzanie pracownikami, decyzje kredytowe, edukacja czy infrastruktura krytyczna. Wymagają rygorystycznej dokumentacji, testowania i rejestracji w unijnej bazie danych.
  • Ograniczone ryzyko – systemy wymagające zachowania przejrzystości wobec użytkownika. Chatboty muszą informować rozmówcę, że kontaktuje się z AI, a nie z człowiekiem.
  • Minimalne ryzyko – większość popularnych zastosowań AI (filtry spamu, rekomendacje produktów, analiza danych). Brak szczególnych obowiązków prawnych.

Większość typowych narzędzi AI stosowanych w MŚP – asystenci tekstowi, narzędzia do analizy, generatory treści – mieści się w kategorii minimalnego lub ograniczonego ryzyka. Jednak jeśli Twoja firma używa AI w procesach rekrutacji, oceny pracowników lub podejmowania decyzji finansowych, możesz znaleźć się w kategorii wysokiego ryzyka z pełnym zestawem obowiązków.

Obowiązki MŚP jako użytkowników systemów AI

AI Act rozróżnia dwie główne role: dostawcę (firma tworząca lub modyfikująca system AI) i użytkownika – po angielsku deployer – czyli firmę stosującą gotowy system AI w swojej działalności. Większość MŚP będzie pełnić rolę użytkownika. Wiąże się to z mniejszymi, ale realnymi obowiązkami:

  1. Weryfikacja dostawcy – przed wdrożeniem systemu AI wysokiego ryzyka użytkownik musi sprawdzić, czy dostawca spełnił wymagania AI Act i czy system jest zarejestrowany w unijnej bazie EU AI Database.
  2. Ocena wpływu na prawa podstawowe (FRIA) – firmy stosujące AI wysokiego ryzyka w określonych zastosowaniach muszą przed uruchomieniem systemu przeprowadzić ocenę ryzyka dla praw podstawowych.
  3. Monitorowanie i zgłaszanie incydentów – użytkownicy systemów AI wysokiego ryzyka mają obowiązek monitorowania działania systemu i zgłaszania poważnych incydentów dostawcy oraz organowi nadzoru.
  4. Przejrzystość wobec pracowników – jeśli AI wspiera lub podejmuje decyzje dotyczące pracowników (oceny, monitoring pracy), muszą oni zostać o tym wyraźnie poinformowani.
  5. Przechowywanie logów – logi działania systemów AI wysokiego ryzyka należy archiwizować przez co najmniej 6 miesięcy.

Dla systemów ograniczonego ryzyka, takich jak chatbot na stronie firmy, wystarczy zapewnić wyraźne oznaczenie, że użytkownik rozmawia z AI. Prosta adnotacja w interfejsie w zupełności wystarczy.

Zakazane praktyki AI – czego absolutnie nie wolno

Od lutego 2025 roku w całej UE obowiązuje zakaz stosowania określonych praktyk AI uznanych za fundamentalnie sprzeczne z prawami człowieka. Naruszenia w tym obszarze grożą najwyższymi karami przewidzianymi w AI Act. Warto wiedzieć, co jest bezwzględnie zabronione:

  • Systemy manipulacji podprogowej – AI wpływająca na decyzje i zachowania ludzi poniżej progu ich świadomości, np. ukryte komunikaty dźwiękowe lub wizualne w reklamach.
  • Wykorzystywanie podatności osób – AI celowo eksploatująca słabości konkretnych grup (osoby starsze, niepełnosprawne, w trudnej sytuacji finansowej) w celu zmiany ich zachowania ze szkodą dla nich.
  • Scoring społeczny obywateli – systemy oceniania ludzi przez władze publiczne na podstawie ich zachowania w różnych kontekstach życia społecznego, znane z praktyk stosowanych w Chinach.
  • Biometryczna kategoryzacja w czasie rzeczywistym – masowe rozpoznawanie twarzy w przestrzeni publicznej przez organy ścigania (z wąskimi wyjątkami).
  • Rozpoznawanie emocji w miejscu pracy i edukacji – systemy analizujące stan emocjonalny pracowników lub uczniów, z wyjątkiem zastosowań medycznych i bezpieczeństwa.

Dobra wiadomość: większości MŚP te zakazy nie będą bezpośrednio dotyczyć. Niemniej warto znać te granice, by świadomie oceniać narzędzia AI, które rozważasz do wdrożenia w swojej firmie.

Jak przygotować firmę na wejście AI Act w życie?

Sierpień 2026 to mniej niż pół roku. Oto konkretne kroki, które powinna podjąć każda firma MŚP korzystająca z narzędzi AI:

  1. Zinwentaryzuj narzędzia AI – stwórz listę wszystkich systemów AI używanych w firmie: asystenci (Microsoft Copilot, ChatGPT, Gemini), narzędzia do analizy, chatboty na stronie, systemy rekrutacyjne czy automatyzacja procesów.
  2. Oceń kategorię ryzyka – dla każdego narzędzia sprawdź, do której kategorii ryzyka należy. Dokumentacja dostawcy powinna to wskazywać – jeśli nie wskazuje, to sygnał ostrzegawczy.
  3. Przejrzyj umowy z dostawcami AI – upewnij się, że dostawca spełnia wymagania AI Act i oferuje odpowiednie gwarancje w umowie. Microsoft, Google, OpenAI i inne duże firmy już aktualizują warunki swoich usług.
  4. Zadbaj o przejrzystość komunikacji – jeśli używasz chatbotów lub wirtualnych asystentów w kontakcie z klientami lub pracownikami, wyraźnie informuj, że to AI.
  5. Przeszkol pracowników – AI Act nakłada obowiązek zapewnienia tak zwanej AI literacy, czyli podstawowych kompetencji w zakresie AI, pracownikom obsługującym systemy sztucznej inteligencji. Nawet krótkie, 2-godzinne szkolenie spełnia ten wymóg.
  6. Skonsultuj się z doradcą IT – jeśli masz wątpliwości co do kategorii ryzyka lub zakresu obowiązków, warto przeprowadzić profesjonalny audyt narzędzi AI przed sierpniem 2026.

Dobra wiadomość: AI Act przewiduje uproszczone ścieżki dla MŚP i startupów, w tym łatwiejszy dostęp do regulacyjnych środowisk testowych i obniżone opłaty rejestracyjne dla małych firm.

Kary i nadzór – kto będzie kontrolował przestrzeganie prawa?

W Polsce organem nadzorczym odpowiedzialnym za egzekwowanie AI Act będzie wyznaczony krajowy organ – decyzje w tej sprawie są jeszcze finalizowane, ale prawdopodobnym kandydatem pozostaje Urząd Ochrony Danych Osobowych (UODO) lub nowo powołana instytucja. Na poziomie UE koordynację zapewnia Europejskie Biuro ds. Sztucznej Inteligencji (EU AI Office), powołane w Brukseli w 2024 roku.

Kary finansowe są zróżnicowane w zależności od rodzaju naruszenia:

  • Do 35 mln EUR lub 7% globalnych obrotów – za stosowanie zakazanych praktyk AI (wyższy próg obowiązuje)
  • Do 15 mln EUR lub 3% globalnych obrotów – za naruszenie przepisów dotyczących systemów wysokiego ryzyka
  • Do 7,5 mln EUR lub 1,5% globalnych obrotów – za podanie nieprawdziwych informacji organom nadzoru

Dla małych firm kary są proporcjonalne – organy nadzoru mogą stosować niższe progi, uwzględniając wielkość i możliwości finansowe firmy. Niemniej ignorowanie AI Act to realne ryzyko: RODO udowodniło, że europejskie regulacje są egzekwowane serio, a pierwsze kontrole w Polsce mogą pojawić się już jesienią 2026 roku.

Masz pytania dotyczące zgodności Twojej firmy z AI Act? Skontaktuj się z zespołem NovaSys – przeprowadzimy audyt narzędzi AI i pomożemy wdrożyć wymagane procedury zanim przepisy wejdą w życie.

Kategorie ryzyka AI Act – obowiązki użytkownika w skrócie
Kategoria ryzykaPrzykłady zastosowań w MŚPGłówne obowiązki użytkownikaKara za naruszenie
Niedopuszczalne (zakaz)Scoring pracowników wg danych wrażliwych, manipulacja podprogowaZakaz stosowania – brak wyjątkówDo 35 mln EUR / 7% obrotów
Wysokie ryzykoRekrutacja AI, ocena wyników pracowników, systemy kredytoweRejestracja, FRIA, monitorowanie, archiwizacja logówDo 15 mln EUR / 3% obrotów
Ograniczone ryzykoChatbot na stronie firmy, wirtualny asystentObowiązek informowania użytkownika, że kontaktuje się z AIDo 7,5 mln EUR / 1,5% obrotów
Minimalne ryzykoFiltry spamu, rekomendacje, analiza danych sprzedażowychBrak szczególnych obowiązków prawnychBrak kar

Nie wiesz, czy Twoja firma jest gotowa na AI Act?

Zespół NovaSys przeprowadzi audyt narzędzi AI używanych w Twojej firmie, oceni kategorię ryzyka i pomoże wdrożyć wymagane procedury przed sierpniem 2026. Działaj teraz – czas nagli, a kary są poważne.

Zamów audyt IT Bezpłatna konsultacja