Wróć do bloga
ai-actregulacje-aiprawo-aicomplianceunia-europejska

AI Act w Polsce — co zmienia dla firm

Dowiedz się, jak AI Act wpłynie na polskie firmy. Poznaj nowe obowiązki, kary do 35 mln euro i terminy wdrożenia regulacji AI w Unii Europejskiej.

Zespół VITA
AI Act w Polsce — co zmienia dla firm

AI Act w Polsce to rewolucja prawna, która już teraz wpływa na sposób funkcjonowania firm wykorzystujących sztuczną inteligencję. Od 1 sierpnia 2024 roku obowiązują pierwsze przepisy, a do 2027 roku wszystkie regulacje AI będą w pełni wdrożone. Polskie firmy muszą przygotować się na nowe obowiązki compliance, procedury audytowe i potencjalne kary sięgające 35 milionów euro lub 7% rocznego obrotu.

Czym jest AI Act i kiedy wchodzi w życie

Akt w sprawie sztucznej inteligencji (AI Act) to pierwsze na świecie kompleksowe regulacje AI na poziomie krajowym. Unia Europejska AI ustanowiła te przepisy w czerwcu 2024 roku, tworząc jednolite ramy prawne dla wszystkich państw członkowskich, w tym Polski.

Harmonogram wdrażania

Wdrożenie AI Act przebiega etapami:

  • 1 sierpnia 2024 — zakaz systemów AI o niedopuszczalnym ryzyku
  • 2 lutego 2025 — obowiązki dla modeli AI ogólnego przeznaczenia
  • 2 sierpnia 2025 — wymogi dla systemów wysokiego ryzyka w niektórych sektorach
  • 2 sierpnia 2026 — pełne wdrożenie dla systemów wysokiego ryzyka
  • 2 sierpnia 2027 — obowiązki dla systemów AI w produktach regulowanych

Zakres terytorialny

Akt AI obowiązuje wszystkie firmy:

  • Oferujące systemy AI na rynku UE
  • Świadczące usługi AI użytkownikom w UE
  • Używające systemów AI, jeśli wyniki są wykorzystywane w UE

To oznacza, że również polskie firmy eksportujące do krajów trzecich mogą podlegać tym regulacjom.

Klasyfikacja systemów AI według poziomu ryzyka

AI Act dzieli systemy sztucznej inteligencji na cztery kategorie ryzyka, każda z różnymi wymaganiami prawymi.

Systemy o niedopuszczalnym ryzyku (zakazane)

Od sierpnia 2024 roku zakazane są systemy AI, które:

  • Wykorzystują techniki podprogowe manipulujące zachowaniem
  • Oceniają społecznie osoby fizyczne (social scoring)
  • Identyfikują emocje w miejscach pracy lub szkołach
  • Kategoryzują osoby według danych biometrycznych

Systemy wysokiego ryzyka

Ta kategoria obejmuje AI używaną w:

  • Infrastrukturze krytycznej (transport, energia)
  • Edukacji (ocenianie, przyjęcia na studia)
  • Zarządzaniu zasobami ludzkimi (rekrutacja, ocena pracowników)
  • Usługach publicznych (świadczenia socjalne, kontrole graniczne)
  • Organach ścigania (ocena ryzyka przestępczości)
  • Migracji i azylu (weryfikacja dokumentów)
  • Wymiarze sprawiedliwości (wspomaganie decyzji sądowych)

Systemy ograniczonego ryzyka

Wymagają przede wszystkim transparentności — użytkownicy muszą wiedzieć, że wchodzą w interakcję z AI. Dotyczy to:

  • Chatbotów i asystentów wirtualnych
  • Systemów generujących treści (deepfake, syntezę obrazu)
  • Systemów rozpoznawania emocji

Systemy minimalnego ryzyka

Bez szczególnych ograniczeń, ale nadal podlegają ogólnym przepisom o ochronie danych i prawach konsumentów.

Nowe obowiązki dla polskich firm

Polskie firmy wykorzystujące AI muszą dostosować się do szeregu nowych wymogów prawnych.

Dostawcy systemów wysokiego ryzyka

Firmy tworzące lub modyfikujące systemy AI wysokiego ryzyka muszą:

1. Wdrożyć system zarządzania ryzykiem

  • Identyfikacja i analiza znanych i przewidywalnych zagrożeń
  • Szacowanie i ocena ryzyka związanego z przewidywanym zastosowaniem
  • Adopcja odpowiednich środków zarządzania ryzykiem

2. Zapewnić jakość danych

  • Sprawdzenie zestawów danych pod kątem odpowiednich właściwości statystycznych
  • Sprawdzenie potencjalnych błędów, luk i nieprawidłowości
  • Identyfikacja możliwych stronniczości

3. Prowadzić dokumentację techniczną

  • Opis ogólny systemu
  • Szczegółowy opis elementów systemu
  • Informacje o monitorowaniu, funkcjonowaniu i kontroli
  • Opis procedur zarządzania ryzykiem
  • Wszelkie zmiany wprowadzone w systemie

4. Prowadzić logi systemowe

  • Automatyczne rejestrowanie zdarzeń w czasie rzeczywistym
  • Okres przechowywania minimum 6 miesięcy
  • Dostęp dla użytkowników i organów nadzoru

Użytkownicy systemów wysokiego ryzyka

Polskie firmy używające (ale nie tworzące) systemów AI wysokiego ryzyka mają obowiązek:

  • Nadzorować funkcjonowanie systemu AI zgodnie z instrukcjami użytkowania
  • Monitorować działanie w oparciu o logi generowane automatycznie
  • Przechowywać logi przez okres określony w instrukcjach (minimum 6 miesięcy)
  • Przeprowadzać ocenę wpływu na prawa podstawowe przed wdrożeniem

Importerzy i dystrybutorzy

Firmy importujące systemy AI z krajów trzecich lub dystrybuujące je w Polsce muszą:

  • Sprawdzać zgodność z wymaganiami AI Act
  • Przechowywać deklarację zgodności UE przez 10 lat
  • Zapewniać współpracę z organami nadzoru
  • Informować dostawców o niezgodnościach

Procedury compliance i audyt

Wdrożenie AI Act Polska wymaga od firm ustanowienia kompleksowych procedur zgodności.

Ocena zgodności

Systemy wysokiego ryzyka muszą przejść procedurę oceny zgodności, która obejmuje:

1. Ocena wewnętrzna przez dostawcę

  • Sprawdzenie zgodności z wymaganiami technicznymi
  • Weryfikacja dokumentacji i procedur
  • Testowanie systemu

2. Deklaracja zgodności UE

  • Dokument potwierdzający zgodność z AI Act
  • Wymaga podpisu osoby upoważnionej
  • Musi towarzyszyć systemowi AI przez cały okres użytkowania

3. Oznakowanie CE

  • Obowiązkowe dla systemów wysokiego ryzyka
  • Umieszczane na produkcie lub w dokumentacji
  • Oznacza zgodność z wymaganiami UE

Systemy monitorowania

Firmy muszą ustanowić systemy monitorowania po wprowadzeniu na rynek, które obejmują:

  • Plan monitorowania określający procedury systematycznego zbierania danych
  • Analizę działania systemu w warunkach rzeczywistego użytkowania
  • Raportowanie poważnych incydentów organom nadzoru
  • Aktualizację systemów w przypadku identyfikacji problemów

System kar i egzekwowanie prawa

AI Act przewiduje jedne z najwyższych kar administracyjnych w prawie UE.

Struktura kar pieniężnych

Kary za naruszenia regulacji AI wynoszą:

Naruszenia zakazów (systemy niedopuszczalnego ryzyka):

  • Do 35 000 000 EUR lub 7% całkowitego rocznego obrotu na całym świecie

Naruszenia obowiązków dla systemów wysokiego ryzyka:

  • Do 15 000 000 EUR lub 3% całkowitego rocznego obrotu na całym świecie

Przekazywanie nieprawdziwych informacji:

  • Do 7 500 000 EUR lub 1,5% całkowitego rocznego obrotu na całym świecie

Inne naruszenia:

  • Do 1 500 000 EUR lub 0,3% całkowitego rocznego obrotu na całym świecie

Organy nadzoru w Polsce

W Polsce nadzór nad przestrzeganiem AI Act sprawują:

Urząd Ochrony Danych Osobowych (UODO)

  • Główny organ nadzoru dla większości systemów AI
  • Kompetencje w zakresie kar i egzekwowania prawa
  • Współpraca z europejskimi organami nadzoru

Organy sektorowe

  • Urząd Komunikacji Elektronicznej (dla telekomunikacji)
  • Komisja Nadzoru Finansowego (dla sektora finansowego)
  • Urząd Transportu Kolejowego (dla kolei)

Ważne: Firmy mogą się spodziewać kontroli już w 2025 roku. Organy nadzoru będą sprawdzać przede wszystkim dokumentację, procedury i systemy monitorowania.

Praktyczne kroki dla polskich firm

Wdrożenie wymogów AI Act wymaga systematycznego podejścia i konkretnych działań.

Audyt obecnych systemów AI

Krok 1: Inwentaryzacja

  • Zidentyfikuj wszystkie systemy AI używane w firmie
  • Sklasyfikuj je według poziomu ryzyka
  • Określ role (dostawca, użytkownik, importer, dystrybutor)

Krok 2: Analiza gap

  • Porównaj obecne procedury z wymogami AI Act
  • Zidentyfikuj braki w dokumentacji
  • Oceń potrzeby szkoleniowe zespołu

Plan działań compliance

Do lutego 2025:

  • Przygotuj dokumentację dla modeli AI ogólnego przeznaczenia
  • Wdróż procedury transparentności dla systemów ograniczonego ryzyka
  • Rozpocznij szkolenia zespołu ds. compliance

Do sierpnia 2025:

  • Ustanów systemy zarządzania ryzykiem
  • Przygotuj dokumentację techniczną dla systemów wysokiego ryzyka
  • Wdróż procedury logowania i monitorowania

Do sierpnia 2026:

  • Przeprowadź ocenę zgodności dla wszystkich systemów wysokiego ryzyka
  • Uzyskaj oznakowanie CE gdzie wymagane
  • Ustanów pełny system monitorowania po wprowadzeniu na rynek

Dokumentacja i procedury

Niezbędne dokumenty:

  • Polityka zarządzania systemami AI
  • Procedury oceny ryzyka dla systemów AI
  • Instrukcje użytkowania dla użytkowników wewnętrznych
  • Plan monitorowania i raportowania incydentów
  • Deklaracje zgodności UE (gdzie wymagane)

Szkolenia zespołu:

  • Podstawy AI Act dla zarządu i kierowników
  • Szczegółowe szkolenia dla zespołów IT i compliance
  • Warsztaty praktyczne dla użytkowników systemów AI

Chcesz pogłębić wiedzę o przepisach RODO w kontekście AI i nauczyć się praktycznego compliance? Sprawdź nasz kurs RODO i AI: Ochrona Danych w Erze AI. Dowiesz się, jak łączyć wymogi ochrony danych osobowych z nowymi regulacjami AI Act. Skorzystaj z kodu BLOG15 i zaoszczędź 15% na całym kursie. To praktyczna wiedza, która przyda się każdemu, kto pracuje z AI w firmie.

Najczęściej zadawane pytania

Czy mała firma również podlega AI Act?

Tak, AI Act Polska nie przewiduje wyłączeń ze względu na wielkość firmy. Jeśli używasz systemów AI, które są klasyfikowane jako wysokiego ryzyka lub sprzedajesz produkty AI na terenie UE, podlegasz tym regulacjom niezależnie od tego, czy jesteś jednoosobową działalnością gospodarczą, czy korporacją.

Jakie kary grożą za nieprzestrzeganie AI Act?

Kary są bardzo wysokie i wynoszą do 35 milionów euro lub 7% rocznego obrotu firmy na całym świecie (wybierana jest wyższa kwota). Za mniejsze naruszenia kary mogą wynosić od 1,5 miliona euro do 15 milionów euro, w zależności od rodzaju naruszenia.

Czy chatboty na stronie internetowej podlegają AI Act?

Tak, chatboty są klasyfikowane jako systemy AI ograniczonego ryzyka. Musisz poinformować użytkowników, że rozmawiają z AI, a nie z człowiekiem. To wymóg transparentności, który obowiązuje już od sierpnia 2024 roku.

Kiedy muszę przeprowadzić ocenę zgodności?

Ocena zgodności jest wymagana dla systemów AI wysokiego ryzyka przed wprowadzeniem ich na rynek lub do użytku. Terminy różnią się w zależności od sektora: dla większości systemów to sierpień 2025-2026, dla niektórych produktów regulowanych to sierpień 2027.

Czy mogę korzystać z systemów AI spoza UE?

Tak, możesz korzystać z systemów AI od dostawców spoza UE, ale jako użytkownik nadal podlegasz obowiązkom wynikającym z AI Act. Dostawca z kraju trzeciego musi wyznaczyć przedstawiciela upoważnionego w UE i zapewnić zgodność z europejskimi regulacjami AI.

Udostępnij artykuł

FacebookTwitter / XLinkedIn

Powiązane artykuły

Czy można używać ChatGPT w pracy zgodnie z RODO

Czy można używać ChatGPT w pracy zgodnie z RODO

Poznaj prawne aspekty wykorzystania ChatGPT w firmie. Sprawdź, jak korzystać z AI zgodnie z RODO i chronić dane osobowe w organizacji.

DPIA dla AI — kiedy obowiązkowa i jak ją zrobić w 2026

Używasz AI w firmie? Część systemów wymaga Oceny Skutków (DPIA) — bez niej kara do 20 mln euro. Sprawdź, kiedy DPIA jest obowiązkowa i jak ją wykonać.

AI Act 2026 — co każda firma musi wiedzieć

Od sierpnia 2026 AI Act w pełni obowiązuje. Jakie obowiązki na firmy, kategorie ryzyka, kary do 7% obrotu — kompletny przewodnik dla polskich przedsiębiorców.

Polecane kursy

Umowy gospodarcze w praktyce

Praktyczny kurs przygotowywania i negocjowania umów gospodarczych z gotowymi szablonami i przykładami dla przedsiębiorców.

Prawo gospodarcze publiczne

Kompleksowy kurs o regulacjach prawnych w działalności gospodarczej - koncesje, zezwolenia, kontrole i relacje z administracją.

Prawo administracyjne w biznesie

Praktyczne aspekty prawa administracyjnego w prowadzeniu działalności gospodarczej. Postępowania, decyzje, odwołania i kontrole.