← Wróć do artykułów
Regulacje 13 marca 2026 · 14 min

AI Act 2026 — co musi zrobić Twoja firma? Praktyczny przewodnik

Rozporządzenie (UE) 2024/1689 — znane jako AI Act — to pierwszy na świecie kompleksowy akt prawny regulujący sztuczną inteligencję. Jeśli Twoja firma korzysta z ChatGPT, narzędzi rekrutacyjnych opartych na AI, oceny zdolności kredytowej lub jakiegokolwiek innego systemu AI, ten artykuł wyjaśnia, co musisz zrobić przed 2 sierpnia 2026 — datą, kiedy większość obowiązków wchodzi w życie.

Uwaga: Obowiązek szkolenia pracowników z AI literacy obowiązuje już od 2 lutego 2025 r. Jeśli Twoja firma korzysta z AI i nie przeprowadziła szkoleń — naruszenie już występuje.

Harmonogram wdrażania AI Act

AI Act wchodzi w życie stopniowo. Część obowiązków już obowiązuje, inne zaczną obowiązywać w sierpniu 2026 lub później. Oto kluczowe daty:

  • 1 sierpnia 2024 — AI Act wchodzi w życie
  • 2 lutego 2025 — zakaz systemów zakazanych (art. 5) + obowiązek AI literacy (art. 4)
  • 2 sierpnia 2025 — obowiązki dostawców modeli GPAI (art. 53–55), zasady governance, państwa członkowskie wyznaczają właściwe organy
  • 2 sierpnia 2026systemy AI wysokiego ryzyka z Annex III, obowiązki transparentności (art. 50), pełne uprawnienia egzekucyjne (w tym kary na poziomie UE dla dostawców GPAI — art. 101)
  • 2 sierpnia 2027 — systemy AI wysokiego ryzyka będące komponentami bezpieczeństwa produktów regulowanych prawem sektorowym UE (Annex I), np. wyroby medyczne, lotnictwo cywilne, maszyny. Także ostateczny termin zgodności dla modeli GPAI już obecnych na rynku przed sierpniem 2025

Pulsująca czerwona kropka obok daty 2 sierpnia 2026 nie jest przypadkowa — to najważniejszy termin dla większości firm. Od tego dnia systemy AI wysokiego ryzyka (rekrutacja, ocena zdolności kredytowej, diagnostyka medyczna i inne z Annex III) muszą spełniać pełne wymagania regulacyjne. Jeśli jednak Twój system AI jest wbudowany w produkt regulowany (np. wyrób medyczny lub system lotniczy), Twój termin to 2 sierpnia 2027.

Kogo dotyczy AI Act?

AI Act ma zasięg eksterytorialny — analogiczny do RODO. Dotyczy każdej firmy, która:

  • Dostarcza systemy AI wprowadzane na rynek UE (provider)
  • Wdraża i używa systemy AI na terenie UE (deployer)
  • Importuje lub dystrybuuje systemy AI w UE
  • Produkuje produkty integrujące systemy AI
  • Jest poza UE, ale output jej systemu AI jest wykorzystywany w UE

W praktyce: jeśli Twoja firma korzysta z ChatGPT, Copilota, narzędzia do automatyzacji marketingu lub jakiegokolwiek innego systemu opartego na AI — AI Act Cię dotyczy. Pytanie brzmi: w jakim zakresie.

Provider vs. Deployer — kluczowe rozróżnienie

Provider (dostawca) — tworzy, rozwija lub udostępnia system AI. Np. OpenAI, firma tworząca narzędzie rekrutacyjne oparte na AI.

Deployer (podmiot wdrażający) — używa systemu AI w swojej działalności. Np. firma HR korzystająca z narzędzia do screeningu CV, bank używający oceny zdolności kredytowej AI.

Producent produktu — integruje system AI w produkcie sprzętowym i wprowadza go na rynek pod własną nazwą.

Większość firm to deployer — używają gotowych narzędzi AI. Ale jeśli fine-tunujesz model lub budujesz własne rozwiązanie AI dla klientów, możesz być jednocześnie providerem. Jeśli działasz spoza UE, musisz wyznaczyć upoważnionego przedstawiciela z siedzibą w UE.

Klasyfikacja ryzyka — fundament AI Act

AI Act klasyfikuje systemy AI w czterech kategoriach ryzyka. Od kategorii zależy zakres obowiązków.

Kategoria Przykłady Konsekwencje
Zakazane Social scoring, manipulacja podprogowa, zdalna identyfikacja biometryczna w czasie rzeczywistym w przestrzeni publicznej dla organów ścigania (z wąskimi wyjątkami), scraping twarzy do baz rozpoznawania, rozpoznawanie emocji w pracy/szkole (z wyjątkiem celów medycznych lub bezpieczeństwa) Całkowity zakaz. Kary do 35 mln EUR lub 7% obrotu
Wysokie ryzyko Rekrutacja/HR AI, ocena zdolności kredytowej, diagnostyka medyczna, edukacja/ocenianie, infrastruktura krytyczna, dostęp do usług publicznych Pełna zgodność: dokumentacja techniczna, zarządzanie ryzykiem, nadzór ludzki, rejestracja w bazie EU
Ograniczone ryzyko Chatboty, generowanie treści (tekst, obraz), deepfake Obowiązek transparentności: informowanie użytkownika o interakcji z AI, oznaczanie treści wygenerowanych przez AI
Minimalne ryzyko Filtry spamu, systemy rekomendacji produktów, gry Brak dodatkowych obowiązków (dobrowolne kodeksy postępowania)

Ważne niuanse dotyczące systemów zakazanych:

Zdalna identyfikacja biometryczna w czasie rzeczywistym w miejscach publicznych jest zakazana dla organów ścigania, ale art. 5 ust. 1 lit. h) przewiduje wąskie wyjątki — np. celowe poszukiwanie konkretnych zaginionych osób, zapobieżenie konkretnemu i bezpośredniemu zagrożeniu życia lub lokalizacja podejrzanych o poważne przestępstwa. Użycie poza organami ścigania lub w przestrzeniach niepublicznych może być klasyfikowane jako wysokie ryzyko, a nie zakazane.

Rozpoznawanie emocji w miejscu pracy i w placówkach edukacyjnych jest zakazane na mocy art. 5 ust. 1 lit. f), ale z wyraźnym wyjątkiem dla systemów używanych do celów medycznych lub bezpieczeństwa (np. monitorowanie zmęczenia kierowcy lub samopoczucia pacjenta).

Systemy wysokiego ryzyka — Annex III

To najważniejsza kategoria z perspektywy compliance. Annex III AI Act wymienia 8 obszarów, w których systemy AI są automatycznie klasyfikowane jako wysokie ryzyko:

  1. Identyfikacja biometryczna — systemy rozpoznawania twarzy, odcisków palców, głosu (poza jednorazową weryfikacją)
  2. Infrastruktura krytyczna — zarządzanie ruchem drogowym, dostawy wody/gazu/energii
  3. Edukacja i szkolenia — systemy oceniania, kierowanie uczniów, wykrywanie plagiatów
  4. Zatrudnienie i HR — screening CV, ranking kandydatów, monitorowanie pracowników, decyzje o awansie/zwolnieniu
  5. Usługi publiczne i prywatne — ocena zdolności kredytowej, ocena ryzyka ubezpieczeniowego, ustalanie cen, kwalifikacja do świadczeń
  6. Egzekwowanie prawa — profilowanie, ocena ryzyka recydywy, analiza dowodów
  7. Zarządzanie migracją i kontrola granic — analiza wniosków wizowych, wykrywanie ryzyka
  8. Wymiar sprawiedliwości i procesy demokratyczne — systemy wspierające interpretację prawa

Jeśli Twoja firma używa AI w rekrutacji, ocenie finansowej, diagnostyce medycznej lub edukacji — z dużym prawdopodobieństwem masz do czynienia z systemem wysokiego ryzyka.

Uwaga: System mieszczący się w domenie Annex III nie jest automatycznie systemem wysokiego ryzyka, jeśli wykonuje jedynie wąskie zadanie proceduralne lub przygotowawcze (art. 6 ust. 3). Ale ciężar dowodu leży po Twojej stronie — a klasyfikacja musi być udokumentowana i udostępniona regulatorom na żądanie.

Obowiązki dla systemów wysokiego ryzyka

Firma wdrażająca system AI wysokiego ryzyka (deployer) musi zapewnić:

  • Nadzór ludzki (art. 14) — wyznaczenie osób kompetentnych do nadzorowania systemu, zdolnych do interwencji i wyłączenia
  • System zarządzania ryzykiem (art. 9) — ciągła identyfikacja, analiza i mitygacja ryzyk związanych z AI
  • Dokumentacja techniczna (art. 11) — prowadzenie dokumentacji obejmującej cel systemu, dane treningowe, metryki wydajności
  • Rejestrowanie operacji (art. 12) — automatyczne logowanie operacji systemu umożliwiające audyt
  • Transparentność (art. 13) — zapewnienie, że system jest wystarczająco zrozumiały dla użytkowników
  • Ocena wpływu na prawa podstawowe (art. 27) — wymagana przed wdrożeniem systemu
  • Rejestracja w bazie EU (art. 49) — systemy wysokiego ryzyka muszą być zarejestrowane

Providerzy mają dodatkowe obowiązki: ocenę zgodności, oznakowanie CE, system zarządzania jakością, monitorowanie po wprowadzeniu do obrotu i raportowanie poważnych incydentów.

AI literacy — obowiązek, który już obowiązuje

Art. 4 AI Act nakłada obowiązek zapewnienia odpowiedniego poziomu wiedzy o AI (AI literacy) wśród pracowników. Ten obowiązek obowiązuje od 2 lutego 2025 r. — dotyczy wszystkich firm korzystających z AI, niezależnie od kategorii ryzyka.

W praktyce oznacza to, że firma powinna:

  1. Zidentyfikować, którzy pracownicy korzystają z systemów AI
  2. Przeprowadzić szkolenia dostosowane do roli i kontekstu użycia
  3. Udokumentować przeprowadzone szkolenia
  4. Aktualizować wiedzę w miarę wdrażania nowych narzędzi AI

AI literacy to nie jednorazowa formalność — to ciągły proces. Brak szkoleń to naruszenie, które już dziś może stanowić podstawę do sankcji.

Kary za naruszenie AI Act

AI Act przewiduje trzy poziomy kar, zależne od wagi naruszenia:

Naruszenie Kara max MŚP / startupy
Systemy zakazane (art. 5) 35 mln EUR lub 7% obrotu (kwota wyższa) Kwota niższa
Systemy wysokiego ryzyka, inne obowiązki operatorów, transparentność 15 mln EUR lub 3% obrotu (kwota wyższa) Kwota niższa
Podanie nieprawdziwych informacji organom 7,5 mln EUR lub 1% obrotu (kwota wyższa) Kwota niższa

Wyjaśnienie zasad dla MŚP: Standardowo kara to wyższa z dwóch kwot — stałej lub procentu obrotu. Dla MŚP i startupów zasada jest odwrócona — kara jest ograniczona do niższej z dwóch kwot. To istotna ulga, a nie jedynie „proporcjonalne obniżenie."

Kary wymierzane są przez krajowe organy nadzoru. Kary na poziomie UE dla dostawców modeli GPAI na mocy art. 101 (do 15 mln EUR lub 3% obrotu) obowiązują od 2 sierpnia 2026.

Modele GPAI — dodatkowe obowiązki od sierpnia 2025

Jeśli Twoja firma dostarcza model AI ogólnego przeznaczenia (General-Purpose AI), od 2 sierpnia 2025 musisz spełniać dodatkowe obowiązki z art. 53–55 AI Act:

  • Prowadzić dokumentację techniczną modelu
  • Zapewnić transparentność wobec dostawców downstream
  • Wdrożyć politykę zgodności z prawem autorskim UE
  • Opublikować podsumowanie danych treningowych (wg szablonu Komisji)

Modele o ryzyku systemowym (powyżej 10²⁵ FLOP, zgodnie z art. 51) mają jeszcze surowsze obowiązki — testy adversarialne, raportowanie incydentów i środki cyberbezpieczeństwa (art. 55).

Okres przejściowy: Modele GPAI obecne na rynku przed 2 sierpnia 2025 korzystają z okresu przejściowego — pełna zgodność wymagana jest do 2 sierpnia 2027. Dostawcy muszą jednak wykazać, że aktywnie podejmują kroki w kierunku zgodności w tym okresie.

Praktyczny plan wdrożenia — 7 kroków

Nie musisz wdrażać wszystkiego naraz. Oto priorytetyzowany plan działania:

Krok 1: Inwentaryzacja systemów AI (teraz)

Sporządź rejestr wszystkich systemów AI używanych w firmie. Dla każdego systemu określ: dostawcę, cel użycia, dane wejściowe/wyjściowe, kto z niego korzysta. Bez tego nie możesz ocenić ryzyka.

Krok 2: Klasyfikacja ryzyka (teraz)

Dla każdego systemu z rejestru określ kategorię ryzyka (zakazany / wysoki / ograniczony / minimalny). Porównaj z listą z Annex III. Pamiętaj, że system z domeny Annex III może nie kwalifikować się jako wysoki ryzyko, jeśli wykonuje jedynie wąskie zadanie proceduralne — ale udokumentuj swoje rozumowanie. W razie wątpliwości — skonsultuj się z prawnikiem.

Krok 3: AI literacy (natychmiast — obowiązek już obowiązuje)

Przeszkol pracowników korzystających z AI. Szkolenie powinno obejmować: podstawy działania AI, ograniczenia narzędzi, obowiązki wynikające z AI Act, politykę firmy dotyczącą AI. Komisja Europejska opublikowała wytyczne Q&A dotyczące zakresu szkoleń z AI literacy.

Krok 4: Nadzór ludzki i procedury (Q2 2026)

Wyznacz osoby odpowiedzialne za nadzór nad systemami AI wysokiego ryzyka. Opracuj procedury interwencji i wyłączania systemu.

Krok 5: Dokumentacja i zarządzanie ryzykiem (Q2 2026)

Przygotuj dokumentację techniczną, ocenę ryzyka i procedury testowania. Dla deployerów — zapewnij, że dostawca dostarcza wymaganą dokumentację.

Krok 6: Przegląd umów z dostawcami AI (Q2 2026)

Sprawdź, czy umowy z dostawcami AI (OpenAI, Microsoft, Google, dostawcy narzędzi HR/finanse) uwzględniają wymogi AI Act — w szczególności dostęp do dokumentacji, obowiązki informacyjne i podział odpowiedzialności.

Krok 7: Rejestracja i monitoring (do 02.08.2026)

Zarejestruj systemy wysokiego ryzyka w bazie EU. Wdróż bieżący monitoring zgodności.

Sprawdź gotowość Twojej firmy na AI Act

Bezpłatny AI Act Quick Scan — odpowiedz na pytania i otrzymaj raport klasyfikacji ryzyka, lista kontrolna gotowości i wzór rejestru systemów AI. 10 minut, bez zobowiązań.

Sprawdź gotowość na AI Act →
lub umów rozmowę z radcą prawnym

Digital Omnibus on AI — czy AI Act zostanie złagodzony?

19 listopada 2025 Komisja Europejska opublikowała Digital Omnibus on AI — celowaną nowelizację rozporządzenia proponującą uproszczenia we wdrażaniu AI Act. Kluczowe propozycje obejmują:

  • Wydłużenie terminów dla systemów wysokiego ryzyka: Stosowanie obowiązków z Annex III byłoby uzależnione od gotowości zharmonizowanych standardów, z ostatecznym terminem 2 grudnia 2027 (zamiast sierpnia 2026). Dla AI wbudowanego w produkty regulowane: 2 sierpnia 2028 (zamiast sierpnia 2027).
  • Rozszerzenie ulg dla MŚP: Uproszczenia regulacyjne dostępne obecnie dla MŚP zostałyby rozszerzone na małe spółki o średniej kapitalizacji (SMC).
  • Uproszczona dokumentacja i governance: Uproszczone wymagania systemu zarządzania jakością, złagodzone obowiązki rejestracji w bazie EU dla systemów wykonujących wąskie zadania, bardziej elastyczny reżim monitorowania po wprowadzeniu do obrotu.
  • Scentralizowane egzekwowanie: EU AI Office uzyskałoby wyłączne kompetencje nadzorcze nad niektórymi systemami AI, w tym opartymi na modelach GPAI i wbudowanymi w bardzo duże platformy internetowe.
  • Szersze wykorzystanie piaskownic regulacyjnych i testów w warunkach rzeczywistych.

Czekanie z wdrożeniem na Digital Omnibus nie jest jednak wskazane. Omnibus to propozycja Komisji, która musi przejść pełne negocjacje legislacyjne z Parlamentem Europejskim i Radą. Na początku 2026 prezydencja cypryjska Rady zaproponowała już istotne zmiany w swoich tekstach kompromisowych, a europosłowie sygnalizują dalszą debatę. Nawet po przyjęciu Omnibus nie wyeliminuje podstawowych obowiązków — koryguje terminy i procedury, zachowując fundamentalną architekturę AI Act.

Obecne obowiązki — AI literacy, zakaz systemów zakazanych, wymogi dla modeli GPAI — już obowiązują i nie są objęte Omnibusem. Zacznij wdrażanie teraz.

Podsumowanie

AI Act to regulacja, której nie da się zignorować — szczególnie jeśli Twoja firma korzysta z AI w rekrutacji, finansach, diagnostyce medycznej lub edukacji. Kluczowe wnioski:

  • AI literacy już obowiązuje — szkolenia pracowników to priorytet nr 1
  • 2 sierpnia 2026 — termin dla systemów wysokiego ryzyka (Annex III); 2 sierpnia 2027 — dla AI w produktach regulowanych (Annex I)
  • Inwentaryzacja i klasyfikacja — zrób teraz, żeby wiedzieć, jakie obowiązki Cię dotyczą
  • Kary są realne — do 35 mln EUR za systemy zakazane, do 15 mln EUR za naruszenia high-risk (MŚP płacą niższą z dwóch kwot)
  • Nie czekaj na Digital Omnibus — fundamenty AI Act nie zmienią się, a obecne obowiązki są już egzekwowalne

Potrzebujesz pomocy prawnej z AI Act?

Skorzystaj z bezpłatnego AI Act Quick Scan lub umów konsultację z radcą prawnym specjalizującym się w prawie technologicznym.

AI Act Quick Scan — za darmo →

Powiązane artykuły

Autor: Przemysław Kołakowski · Radca Prawny (WA-13427) · Harbor Legal