Wróć do bloga
ai actrodocomplianceprawo aiunia europejska

AI Act 2026 — co każda firma musi wiedzieć

Od sierpnia 2026 AI Act w pełni obowiązuje. Jakie obowiązki na firmy, kategorie ryzyka, kary do 7% obrotu — kompletny przewodnik dla polskich przedsiębiorców.

Zespół VITA

AI Act (Rozporządzenie UE 2024/1689) to pierwsza na świecie kompleksowa regulacja sztucznej inteligencji. Wchodzi w życie etapami — do 2 sierpnia 2026 wszystkie przepisy są w pełni stosowane, w tym obowiązki dla firm używających AI. Jeśli Twoja firma korzysta z ChatGPT, Claude, systemów AI w HR, marketingu albo obsłudze klienta — dotyczy Cię bezpośrednio.

Dlaczego AI Act powstał?

Unia Europejska chciała:

  • Zharmonizować przepisy w 27 krajach — zamiast 27 różnych regulacji
  • Chronić obywateli przed szkodliwymi systemami AI (manipulacja, dyskryminacja)
  • Wspierać innowacje przez jasne reguły gry
  • Zbudować zaufanie do AI w biznesie i administracji

Polska przyjęła AI Act bez zmian — to rozporządzenie unijne, obowiązuje wprost.

Harmonogram wejścia w życie

  • 2 lutego 2025: zakaz praktyk zakazanych
  • 2 maja 2025: obowiązki dostawców modeli GPAI (GPT, Claude, Gemini)
  • 2 sierpnia 2025: obowiązki dla high-risk AI dotyczące praw podstawowych
  • 2 sierpnia 2026: pełne stosowanie — wszystkie obowiązki dla firm
  • 2 sierpnia 2027: obowiązki dla produktów obarczonych AI (zabawki, urządzenia medyczne)

Kategorie ryzyka AI Act

1. Ryzyko niedopuszczalne — ZAKAZANE

Od lutego 2025 zakazane są:

  • Social scoring przez władze publiczne (jak w Chinach)
  • Manipulacja podświadoma wykorzystująca słabości osób (dzieci, osoby starsze, niepełnosprawne)
  • Rozpoznawanie emocji w miejscu pracy i szkole (z wyjątkiem bezpieczeństwa medycznego)
  • Biometryczna klasyfikacja ludzi po rasie, poglądach politycznych, orientacji
  • Real-time facial recognition w przestrzeni publicznej (z małymi wyjątkami służb)
  • Predyjcne profilowanie przestępczości bazujące tylko na osobowości

Dla firm: większości nie dotyczy — chyba że prowadzisz działalność w obszarach monitoringu, HR z analizą emocji, marketingu manipulacyjnego.

2. Ryzyko wysokie — ŚCISŁE OBOWIĄZKI

Kategorie wysokiego ryzyka (Załącznik III AI Act):

  • Rekrutacja i HR — selekcja CV, ewaluacja pracowników
  • Edukacja — oceny, dostęp do uczelni
  • Zdrowie — diagnostyka medyczna
  • Finanse — scoring kredytowy, ubezpieczenia
  • Administracja publiczna — świadczenia, decyzje urzędowe
  • Sądownictwo — wspieranie decyzji sądowych
  • Infrastruktura krytyczna — energetyka, woda, transport

Jeśli używasz AI w tych obszarach, obowiązki są rygorystyczne:

  • System zarządzania ryzykiem
  • Dokumentacja techniczna
  • Logowanie i nadzór człowieka
  • Ocena zgodności (CE marking)
  • Rejestracja w europejskiej bazie AI
  • Informacja o użyciu AI dla osób dotkniętych decyzją

3. Ryzyko ograniczone — OBOWIĄZEK TRANSPARENTNOŚCI

Dla systemów:

  • Chatboty — użytkownik musi wiedzieć, że rozmawia z AI, nie z człowiekiem
  • Generowane treści (deepfake, artykuły AI) — oznaczenie jako "wygenerowane przez AI"
  • Rozpoznawanie emocji (poza zakazanymi kontekstami)
  • Biometria (w bezpiecznych kontekstach)

4. Ryzyko minimalne — DOBROWOLNE KODEKSY

Większość zastosowań AI (spam filter, rekomendacje, autokorekta). Zero obowiązków — zachęca się do dobrowolnych kodeksów.

Obowiązki dla firm używających AI (użytkownicy)

Obowiązek 1: Literacy — wiedza o AI

Wszyscy pracownicy używający AI muszą być przeszkoleni w zakresie:

  • Jak działa AI (podstawy)
  • Ryzyka związane z używaniem
  • Właściwe promptowanie
  • Weryfikacja wyników AI (halucynacje)

Co to oznacza praktycznie: dokumentacja szkoleń, wewnętrzne kursy, regularne odświeżanie wiedzy.

Obowiązek 2: Nadzór człowieka

Jeśli AI wspiera decyzje dotyczące ludzi (rekrutacja, kredyty, medyczne), ZAWSZE:

  • Człowiek ma możliwość zweryfikowania i zmiany decyzji
  • Osoba zainteresowana ma prawo do wyjaśnienia decyzji
  • AI nie działa "na autopilocie" w ważnych sprawach

Obowiązek 3: Informacja dla osób dotkniętych

Jeśli AI analizuje czyjeś dane (np. CV kandydata), musisz go poinformować:

  • Że używasz AI
  • W jakim celu
  • Jakie dane przetwarzasz
  • Jak zakwestionować decyzję

Obowiązek 4: Monitorowanie i logowanie

Dla systemów wysokiego ryzyka:

  • Logi działań AI przez min. 6 miesięcy
  • Monitoring jakości decyzji
  • Raportowanie incydentów do władz

Obowiązek 5: Oznaczanie treści AI

Od sierpnia 2026 wszystkie treści wygenerowane przez AI (teksty, obrazy, wideo, audio) muszą być oznaczone jako takie, gdy:

  • Są publikowane dla szerokiej publiki
  • Mogą być pomylone z treściami ludzkimi
  • Dotyczą osób rzeczywistych (deepfake)

AI Act a ChatGPT, Claude, Gemini

Dostawcy modeli GPAI (General Purpose AI) mają swoje obowiązki:

  • OpenAI, Anthropic, Google — muszą publikować dokumentację techniczną, respektować prawo autorskie, informować o ryzyku
  • Modele o systemowym ryzyku (GPT-5, Claude Opus) — dodatkowe testy bezpieczeństwa, oceny wpływu, cybersecurity

Dla firm to oznacza: używanie tych modeli jest legalne, ale musisz znać ich ograniczenia (okno kontekstu, daty treningu, znane słabości).

Kary za naruszenia

AI Act to jedne z najwyższych kar w UE:

  • Praktyki zakazane: do 35 mln euro lub 7% globalnego obrotu (wyższe wygrywa)
  • Niespełnienie obowiązków dla high-risk: do 15 mln euro lub 3% obrotu
  • Niedostarczenie informacji władzom: do 7,5 mln euro lub 1% obrotu

Przykład: duża firma z obrotem 1 mld zł, praktyka zakazana = kara do 70 mln zł.

Kto nadzoruje AI Act w Polsce?

Kluczowe organy:

  • Komisja Rozwoju i Ochrony Sztucznej Inteligencji (w powstaniu)
  • Ministerstwo Cyfryzacji — koordynacja krajowa
  • UODO — naruszenia ochrony danych związane z AI
  • UOKiK — praktyki manipulacyjne dla konsumentów
  • PUODO — współpraca międzynarodowa

European AI Office (Komisja Europejska) — główny regulator na poziomie UE.

Checklist zgodności dla firmy — 8 kroków

Krok 1: Audyt AI w firmie

Spisz wszystkie miejsca, gdzie używacie AI:

  • ChatGPT/Claude dla tekstów
  • Midjourney/DALL-E dla obrazów
  • AI w HR (ATS, screening)
  • Chatbot na stronie
  • AI w marketingu (kreacje, segmentacja)
  • AI w analityce (Google Analytics 4)

Krok 2: Klasyfikacja ryzyka

Dla każdego systemu AI określ kategorię: zakazana / wysoka / ograniczona / minimalna.

Krok 3: Umowy z dostawcami

Zweryfikuj zgodność dostawców AI z AI Act:

  • Czy mają dokumentację techniczną?
  • Czy publikują informacje o ryzyku?
  • Czy respektują prawa autorskie w danych treningowych?

Krok 4: Polityka AI w firmie

Napisz dokument, który reguluje:

  • Jakie narzędzia AI są dozwolone
  • Jakie dane można wrzucać
  • Jakie są procesy weryfikacji wyników
  • Kto odpowiada za zgodność

Krok 5: Szkolenia pracowników

Wszyscy używający AI przechodzą szkolenie z:

  • AI Literacy (podstawy AI)
  • Bezpieczeństwo danych
  • Etyka w AI
  • Weryfikacja wyników

Krok 6: System nadzoru

Wyznacz osobę odpowiedzialną za compliance AI (często łączone z rolą IOD od RODO).

Krok 7: Logowanie i monitoring

Wdróż system logów działań AI (szczególnie dla high-risk).

Krok 8: Coroczny audyt

Raz w roku — pełny audyt systemów AI, aktualizacja dokumentacji, sprawdzenie zmian w przepisach.

Przykłady praktyczne

Przykład 1: E-commerce używa ChatGPT do opisów produktów

Kategoria: ryzyko minimalne. Obowiązki: brak formalnych. Dobra praktyka: weryfikacja przez człowieka.

Przykład 2: HR używa AI do selekcji CV

Kategoria: ryzyko wysokie. Obowiązki: pełne — dokumentacja, nadzór człowieka, informacja dla kandydatów, logi.

Przykład 3: Chatbot na stronie sklepu

Kategoria: ryzyko ograniczone. Obowiązek: informacja, że to bot ("Rozmawiasz z asystentem AI").

Przykład 4: Firma używa AI do generowania wideo marketingowych z twarzami aktorów

Kategoria: ryzyko ograniczone + obowiązek oznaczenia deepfake. Bez oznaczenia kara.

AI Act vs RODO — jak się łączą?

RODO dotyczy danych osobowych. AI Act dotyczy systemów AI. Często się pokrywają:

  • AI używa danych → RODO
  • AI podejmuje decyzje o osobach → AI Act (+ RODO)
  • AI profiluje osoby → oba

W praktyce: firma musi spełnić OBOWIĄZKI Z OBU. Najczęściej IOD od RODO przejmuje też obowiązki compliance AI.

FAQ

Czy AI Act dotyczy jednoosobowej firmy? Tak, jeśli używa AI. Obowiązki są skalowane do ryzyka — mikrofirma używająca ChatGPT do maili ma niewielkie obowiązki.

Czy AI Act blokuje używanie ChatGPT? Nie. ChatGPT jest legalny w UE — ale używający go muszą przestrzegać obowiązków transparentności, nadzoru i informacji.

Czy muszę zatrudnić compliance officera? Formalnie nie, ale dla firm >50 osób albo używających high-risk AI — polecane. Dla mikrofirm wystarczy właściciel znający przepisy.

Co jeśli AI zrobi błąd, który szkodzi klientowi? Odpowiedzialność ma firma używająca AI, nie dostawca (OpenAI, Anthropic). Dlatego nadzór człowieka jest kluczowy.

Czy AI Act ma zasięg globalny? Tak, jak RODO. Dotyczy każdej firmy oferującej usługi AI w UE albo wpływającej na obywateli UE — nawet z USA, Indii, Chin.

Podsumowanie

AI Act to nie przeszkoda — to rama, która zwiększa zaufanie do AI i eliminuje skrajne praktyki. Większość firm spełni wymagania przez proste procedury: polityka AI, szkolenia, dokumentacja. Jeśli chcesz systematycznie zrozumieć AI Act wraz z RODO i praktycznym wdrożeniem w polskiej firmie, sprawdź kurs RODO i AI: Ochrona Danych w Erze AI z gotowymi szablonami dokumentów.

Udostępnij artykuł

FacebookTwitter / XLinkedIn

Powiązane artykuły

Lokalne LLM w firmie — jak zacząć z Ollama w 2026

Twoje dane nigdy nie opuszczają serwera. Ollama + Llama 3 / Mistral / Bielik — praktyczny przewodnik po lokalnym AI w polskiej firmie.

DPIA dla AI — kiedy obowiązkowa i jak ją zrobić w 2026

Używasz AI w firmie? Część systemów wymaga Oceny Skutków (DPIA) — bez niej kara do 20 mln euro. Sprawdź, kiedy DPIA jest obowiązkowa i jak ją wykonać.

RODO i AI — jak legalnie używać ChatGPT w polskiej firmie

Czy wolno wrzucać dane klientów do ChatGPT? Jak prawnie korzystać z AI w firmie? Kompletny przewodnik po RODO, AI Act i praktycznych wdrożeniach 2026.

Polecane kursy

Umowy gospodarcze w praktyce

Praktyczny kurs przygotowywania i negocjowania umów gospodarczych z gotowymi szablonami i przykładami dla przedsiębiorców.

Prawo gospodarcze publiczne

Kompleksowy kurs o regulacjach prawnych w działalności gospodarczej - koncesje, zezwolenia, kontrole i relacje z administracją.

Prawo administracyjne w biznesie

Praktyczne aspekty prawa administracyjnego w prowadzeniu działalności gospodarczej. Postępowania, decyzje, odwołania i kontrole.