O czym jest ten artykuł (TL;DR)
2 sierpnia 2026 roku w pełni wchodzą w życie najważniejsze przepisy AI Act dla firm — unijnego rozporządzenia regulującego użycie sztucznej inteligencji. Wbrew obiegowym opiniom, AI Act dotyczy nie tylko gigantów technologicznych. Jeśli używasz ChatGPT do filtrowania CV, masz chatbota obsługującego klientów lub wdrożyłeś jakikolwiek system AI wpływający na decyzje wobec ludzi — przepisy AI Act obejmują również Ciebie.
W tym artykule pokażę, jakie obowiązki wynikające z AI Act czekają polskie firmy MŚP, co realnie trzeba zrobić przed sierpniem 2026 i kiedy AI w Twojej firmie może być sklasyfikowane jako „system wysokiego ryzyka”.
Czym jest AI Act i kogo dotyczy?
AI Act (rozporządzenie Parlamentu Europejskiego i Rady UE 2024/1689) to pierwsze na świecie kompleksowe prawo regulujące sztuczną inteligencję. Działa bezpośrednio we wszystkich 27 państwach UE — nie wymaga implementacji do prawa krajowego. To oznacza, że niezależnie od tego, czy polska ustawa wykonawcza zostanie uchwalona na czas, przepisy AI Act obowiązują Cię od 2 sierpnia 2026 roku.
Pełną treść rozporządzenia znajdziesz w Dzienniku Urzędowym Unii Europejskiej. Warto też śledzić oficjalny portal AI Act Komisji Europejskiej, gdzie publikowane są wytyczne i FAQ dla przedsiębiorców.
Cztery kategorie ryzyka w AI Act
AI Act dla firm wprowadza podział systemów AI na cztery kategorie:
- Praktyki zakazane (już od lutego 2025) — np. social scoring obywateli, manipulacja zachowaniem podprogowym
- Systemy wysokiego ryzyka — m.in. rekrutacja, scoring kredytowy, edukacja, infrastruktura krytyczna
- Systemy o ograniczonym ryzyku — chatboty, deepfakes (obowiązek transparentności wobec użytkownika)
- Minimalne ryzyko — gry, filtry antyspamowe (brak dodatkowych obowiązków z AI Act)
Czy Twoja firma jest „użytkownikiem systemu wysokiego ryzyka”?
To kluczowe pytanie dla każdej firmy analizującej zgodność z AI Act. Nawet jeśli nie tworzysz AI, a tylko z niej korzystasz, możesz być sklasyfikowany jako „deployer” (użytkownik wdrażający) — i mieć konkretne obowiązki wynikające z AI Act.
Co kwalifikuje firmę jako użytkownika systemu wysokiego ryzyka wg AI Act:
- Używasz ChatGPT do automatycznego skanowania i rankingowania CV kandydatów
- Masz wdrożony system oceny pracowników oparty na danych i algorytmach AI
- Stosujesz AI do scoringu klientów (np. ocena ryzyka kontrahenta, scoring kredytowy)
- Używasz narzędzi predykcyjnych w bankowości lub ubezpieczeniach
- Zautomatyzowałeś triage zapytań klientów w sektorze medycznym lub edukacyjnym
Co NIE kwalifikuje się jako system wysokiego ryzyka w rozumieniu AI Act:
- Pracownicy używają ChatGPT do pisania treści, podsumowań, tłumaczeń, analiz
- Firma używa AI do generowania grafik marketingowych lub postów social media
- Standardowy chatbot odpowiadający na zapytania ofertowe (musi tylko informować użytkownika, że rozmawia z AI)
- Automatyzacje procesów biznesowych oparte na Make.com czy n8n, które nie podejmują decyzji wpływających na prawa człowieka
Konkretne obowiązki wynikające z AI Act dla Firm i użytkowników systemów wysokiego ryzyka
Od 2 sierpnia 2026 roku, jeśli Twoja firma używa systemu AI wysokiego ryzyka, AI Act nakłada na Ciebie sześć kluczowych obowiązków:
1. Transparentność wobec osób, których dotyczy decyzja AI
Osoby, których dotyczy decyzja podjęta lub wsparta przez AI, muszą o tym wiedzieć. Kandydat do pracy musi być poinformowany, że jego CV było analizowane przez system AI. Klient musi wiedzieć, że jego wniosek kredytowy był oceniany algorytmem.
2. Nadzór ludzki (human oversight)
AI Act wymaga, żeby system nie działał całkowicie autonomicznie w sprawach wpływających na prawa człowieka. Musi istnieć możliwość zatrzymania działania AI i przejęcia decyzji przez człowieka — tzw. „human in the loop”.
3. Dokumentacja techniczna systemu AI
Trzeba prowadzić dokumentację: jakie dane były używane do trenowania modelu, jakie testy bezpieczeństwa przeprowadzono, jakie są znane ograniczenia systemu i jak są mitygowane.
4. Logowanie zdarzeń (audit trail)
System AI wysokiego ryzyka musi automatycznie logować swoje działania, żeby umożliwić późniejszy audyt przez organy nadzorcze. AI Act precyzuje minimalne wymagania dotyczące zakresu i okresu przechowywania logów.
5. Rejestracja w unijnej bazie danych EU AI
Niektóre systemy AI wysokiego ryzyka muszą być zarejestrowane w publicznie dostępnej unijnej bazie danych systemów AI. To wymóg bezpośrednio wynikający z AI Act dla firm.
6. Zarządzanie ryzykiem (risk management)
Trzeba mieć udokumentowane procedury identyfikacji, oceny i mitygacji ryzyk związanych z wdrożonym systemem AI — zarówno przed wdrożeniem, jak i w trakcie eksploatacji.
Kary za naruszenie AI Act — porównywalne z RODO i wyższe
AI Act przewiduje sankcje, które powinny przykuć uwagę każdego zarządu:
| Rodzaj naruszenia | Kara maksymalna |
|---|---|
| Praktyki zakazane (np. social scoring) | 35 mln EUR lub 7% globalnego obrotu |
| Naruszenia dot. systemów wysokiego ryzyka | 15 mln EUR lub 3% obrotu |
| Wprowadzanie w błąd organów nadzorczych | 7,5 mln EUR lub 1% obrotu |
Dla MŚP i startupów stosowana jest niższa z dwóch wartości — to pewna ulga, ale odpowiedzialność prawna i ryzyko reputacyjne pozostają.
W Polsce organem nadzorczym ma być Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI) — przewidziana w projekcie ustawy. Komisja będzie miała prawo do audytów: dostępu do dokumentów, systemów IT, baz danych, środowisk chmurowych oraz przesłuchiwania pracowników.
Plan minimum na 3 miesiące — co zrobić przed 2 sierpnia 2026
Oto konkretny plan działania dla firmy, która chce być zgodna z AI Act:
Krok 1: Inwentaryzacja systemów AI w firmie
Wypisz wszystkie miejsca, gdzie firma używa AI — od ChatGPT przez chatboty po automatyzacje procesów. Często okazuje się, że jest tego więcej niż się wydaje. Uwzględnij też narzędzia SaaS, które „pod maską” używają modeli AI.
Krok 2: Klasyfikacja ryzyka wg AI Act dla firm
Dla każdego systemu odpowiedz: czy podejmuje decyzje wpływające na prawa człowieka? Czy dotyczy obszarów z Załącznika III AI Act (rekrutacja, finanse, edukacja, biometria, infrastruktura krytyczna, ściganie przestępstw, migracja, wymiar sprawiedliwości)?
Krok 3: Przeszkol pracowników (obowiązek AI literacy)
Obowiązek „AI literacy” wynikający z AI Act obowiązuje już od lutego 2025 — pracownicy muszą rozumieć ryzyka i ograniczenia systemów AI których używają. Krótkie szkolenie (2-3 godziny) wystarczy dla większości firm MŚP.
Krok 4: Wprowadź transparentność w komunikacji z klientem
Tam gdzie używasz AI w komunikacji z klientem, dodaj jasną informację: „Tę odpowiedź wygenerowała sztuczna inteligencja”. To wymóg AI Act dla systemów o ograniczonym ryzyku — chatbotów i asystentów głosowych.
Krok 5: Zapewnij nadzór ludzki nad kluczowymi procesami
Każdy proces oparty na AI, który wpływa na decyzje wobec ludzi, musi mieć punkt kontrolny — moment, w którym człowiek może zaingerować i zmienić decyzję systemu.
Krok 6: Udokumentuj użycie AI w firmie
Spisz: jakie systemy AI używasz, do czego służą, jakie dane przetwarzają i jak są kontrolowane. Ten dokument to Twoja podstawowa tarcza na wypadek audytu KRiBSI.
Czy automatyzacje procesów biznesowych podlegają AI Act dla firm?
To pytanie zadaje mi większość klientów rozważających wdrożenie automatyzacji w firmie. Odpowiedź jest niuansowana, ale w praktyce: większość automatyzacji procesowych dla MŚP nie kwalifikuje się jako system wysokiego ryzyka w rozumieniu AI Act.
Automatyzacja, która agreguje dane do raportu, automatycznie odpisuje na maile według reguł, synchronizuje dane między CRM a ERP, czy generuje faktury — to nie są systemy wpływające na prawa człowieka. Nie ma tu więc pełnego pakietu obowiązków AI Act wysokiego ryzyka.
Co innego automatyzacja, która podejmuje decyzję wobec konkretnej osoby — np. automatycznie odrzuca wniosek kredytowy, kwalifikuje pacjenta do triage medycznego, czy decyduje o awansie pracownika. Tu już wchodzi pełny reżim wysokiego ryzyka z AI Act.
Podsumowanie
AI Act to nie zagrożenie — to ramy gry, które trzeba znać. Dla większości polskich MŚP wymagania sprowadzają się do trzech rzeczy:
- Transparentność wobec klientów i pracowników, których dotyczą decyzje AI
- Nadzór ludzki nad procesami opartymi na AI
- Podstawowa dokumentacja używanych systemów AI
Firmy, które wdrożą te zasady w ciągu najbliższych miesięcy, nie tylko unikną kar wynikających z AI Act dla firm, ale zbudują zaufanie u klientów coraz bardziej świadomych regulacji dotyczących sztucznej inteligencji.
Jeśli wdrażasz lub planujesz wdrożyć automatyzacje i agentów AI w swojej firmie i chcesz mieć pewność, że są zgodne z AI Act — umów się na bezpłatną konsultację. Wspólnie przejdziemy przez Twoje procesy i ocenimy, które wymagają dodatkowej uwagi.
Disclaimer: Ten artykuł ma charakter informacyjny i nie stanowi porady prawnej. W sprawach kluczowych decyzji compliance skonsultuj się z prawnikiem specjalizującym się w prawie nowych technologii.
