AI Act — obowiązki firm używających AI od sierpnia 2026

1. Czym jest AI Act?

AI Act (Rozporządzenie (EU) 2024/1689) to pierwsze na świecie horyzontalnie obejmujące prawo regulujące systemy sztucznej inteligencji. Zostało opublikowane w Dzienniku Urzędowym UE 12 lipca 2024 r. i weszło w życie 1 sierpnia 2024 r.

Rozporządzenie obejmuje każdą firmę, która: dostarcza systemy AI na rynek UE (dostawca), wdraża systemy AI w swojej działalności (deployer/wdrażający), importuje lub dystrybuuje systemy AI. Dotyczy zarówno firm z UE, jak i spoza UE — jeśli ich systemy AI oddziałują na osoby w Unii.

Co to jest "system AI" w rozumieniu AI Act?

AI Act definiuje system AI jako oparte na maszynach narzędzie, które dla danego zestawu celów może generować wyniki (predykcje, rekomendacje, decyzje, treści) wpływające na środowisko fizyczne lub wirtualne. Dotyczy to chatbotów, modeli rekomendacyjnych, systemów rozpoznawania obrazów, narzędzi do rekrutacji opartych na AI, scoringu kredytowego i setek innych zastosowań.

2. Harmonogram stosowania — krok po kroku

Data	Co wchodzi w życie
1 sierpnia 2024	Wejście w życie rozporządzenia AI Act. Rozpoczęcie 36-miesięcznego okresu przejściowego dla większości przepisów.
2 lutego 2025	Zakazy systemów AI niedopuszczalnego ryzyka — stosowanie zakazanych praktyk AI jest już nielegalne od tej daty.
2 maja 2025	Kodeksy postępowania dla modeli AI ogólnego przeznaczenia (GPAI) — wytyczne dla dostawców modeli takich jak GPT, Gemini, Claude.
2 sierpnia 2026	PEŁNE stosowanie AI Act — obowiązki dla systemów AI wysokiego ryzyka (Anneks III), wymogi przezroczystości dla systemów ograniczonego ryzyka, przepisy dotyczące nadzoru rynkowego i organów krajowych.
2 sierpnia 2027	Systemy AI wbudowane w produkty bezpieczeństwa (maszyny, urządzenia medyczne, pojazdy) — objęte przepisami z 3-letnim opóźnieniem.

Do 2 sierpnia 2026 pozostało mało czasu

Firmy, które wdrażają systemy AI wysokiego ryzyka, mają mniej niż 3 miesiące na zakończenie procesu oceny zgodności i rejestracji w bazie EU. Wdrożenie wymogów — dokumentacja techniczna, nadzór ludzki, testy przed wprowadzeniem na rynek — zajmuje minimum kilka miesięcy.

3. Cztery kategorie ryzyka systemów AI

AI Act stosuje podejście oparte na ryzyku — im wyższe ryzyko szkody dla ludzi, tym surowsze wymagania. Wyróżnia się cztery poziomy:

Kategoria	Opis	Wymogi
Niedopuszczalne	Systemy AI zagrażające prawom podstawowym, manipulujące ludźmi, stosujące scoring społeczny, real-time biometria w przestrzeni publicznej	Całkowity zakaz. Kara do 35 mln EUR lub 7% obrotu.
Wysokie ryzyko	Systemy wymienione w Anneksie III: zatrudnienie, edukacja, kredyty, infrastruktura krytyczna, ściganie przestępstw, migracja, wymiar sprawiedliwości	Ocena zgodności, rejestracja w EU AI Database, dokumentacja techniczna, nadzór ludzki, logi audytu
Ograniczone ryzyko	Chatboty, deepfakes, systemy generujące treści — ryzyko manipulacji lub wprowadzenia w błąd	Obowiązki przezroczystości: użytkownik musi wiedzieć, że rozmawia z AI lub ogląda treść wygenerowaną przez AI
Minimalne ryzyko	Filtry antyspamowe, gry AI, narzędzia rekomendacyjne bez znaczącego wpływu na prawa lub bezpieczeństwo osób	Brak obowiązkowych wymagań. Dobrowolne kodeksy postępowania.

4. Zakazane praktyki AI (obowiązują od 2 lutego 2025)

Art. 5 AI Act wymienia systemy AI, których stosowanie jest całkowicie zakazane na terenie UE. Zakazy weszły w życie już 2 lutego 2025 r. — jeśli Twoja firma używa któregokolwiek z poniższych, jesteś już poza prawem.

Scoring społeczny (social scoring) Systemy oceniające lub klasyfikujące osoby fizyczne na podstawie ich zachowań społecznych lub cech osobistych — prowadzące do niekorzystnego traktowania w niezwiązanych kontekstach
Manipulacja podprogowa i techniki nieświadomej manipulacji AI wykorzystująca techniki poniżej progu świadomości człowieka, aby wpłynąć na jego zachowanie w sposób mogący wyrządzić szkodę
Wykorzystywanie słabości szczególnych grup Systemy AI celowo wykorzystujące wiek (dzieci, osoby starsze), niepełnosprawność lub trudną sytuację ekonomiczną w celu wpłynięcia na zachowanie ze szkodą dla osoby
Biometryczna identyfikacja w czasie rzeczywistym w przestrzeni publicznej Rozpoznawanie twarzy i innych cech biometrycznych przez organy ścigania w czasie rzeczywistym — z bardzo wąskimi wyjątkami (poszukiwanie zaginionych dzieci, zagrożenia terrorystyczne)
Biometryczna kategoryzacja według cech chronionych Systemy wnioskujące o poglądach politycznych, przynależności związkowej, wierze religijnej, orientacji seksualnej lub rasie na podstawie danych biometrycznych
Przewidywanie przestępstw oparte wyłącznie na profilowaniu Systemy oceniające ryzyko popełnienia przestępstwa przez osobę wyłącznie na podstawie jej profilu, cech osobistych lub danych historycznych bez konkretnych faktów
Bazy danych rozpoznawania twarzy budowane bez celowej zgody Masowe pozyskiwanie danych biometrycznych (np. ze zdjęć w internecie lub z kamer CCTV) do budowania baz danych identyfikacji twarzy

5. Systemy AI wysokiego ryzyka — Anneks III

Anneks III AI Act wymienia osiem obszarów zastosowań AI, które są uznane za wysokie ryzyko i podlegają pełnym obowiązkom zgodności od 2 sierpnia 2026 r.

Obszar	Przykłady systemów AI wysokiego ryzyka
Biometria	Systemy weryfikacji tożsamości, rozpoznawanie emocji, kategoryzacja biometryczna (z wyjątkiem zakazanych)
Infrastruktura krytyczna	AI zarządzająca sieciami energetycznymi, wodnymi, transportowymi, cyfrowymi — komponenty bezpieczeństwa
Edukacja i szkolenia zawodowe	Systemy decydujące o dostępie do edukacji, selekcja kandydatów, ocena uczniów, monitorowanie na egzaminach
Zatrudnienie i zarządzanie pracownikami	Systemy rekrutacji (screening CV, chatboty rekrutacyjne), ocena wydajności pracowników, systemy monitorowania, awanse i zwolnienia
Usługi publiczne i prywatne — dostęp	Scoring kredytowy, ocena ryzyka ubezpieczeniowego, kwalifikowalność do świadczeń społecznych, ocena zdolności do spłaty kredytu
Ściganie przestępstw	Ocena ryzyka recydywy, przewidywanie przestępstw, analiza poligraficzna, narzędzia dochodzeniowe
Zarządzanie migracją i granicami	Ocena ryzyka przy wnioskach o wizę/azyl, wykrywanie zagrożeń na granicach, weryfikacja autentyczności dokumentów
Wymiar sprawiedliwości i procesy demokratyczne	Systemy wspomagające sędziów w wydawaniu wyroków, ocena dowodów, wpływ na wyniki wyborów

Uwaga na systemy HR oparte na AI

Systemy rekrutacyjne AI to jeden z najczęstszych przypadków wysokiego ryzyka w firmach. Jeśli Twoja firma używa narzędzi do automatycznego screeningu CV, chatbotów do pierwszych rozmów kwalifikacyjnych lub systemów oceny kandydatów opartych na AI — podlegasz wymaganiom Anneksu III od 2 sierpnia 2026. Dotyczy to zarówno firm budujących takie narzędzia, jak i firm, które je wdrażają.

6. Obowiązki firm — dostawca vs wdrażający

AI Act rozróżnia dwie główne role w ekosystemie AI. Twoje obowiązki zależą od tego, którą rolę pełnisz:

Dostawca (provider) — budujesz lub wprowadzasz AI na rynek

Dokumentacja techniczna systemu AI Opis architektury, danych treningowych, metodologii walidacji, ograniczeń i przeznaczonego zastosowania
Ocena zgodności przed wprowadzeniem na rynek Dla większości systemów wysokiego ryzyka: wewnętrzna ocena zgodności. Dla niektórych (np. biometria, infrastruktura krytyczna): certyfikacja przez notyfikowaną jednostkę trzecią
Rejestracja w EU AI Database Wpis do ogólnounijnej bazy danych systemów AI wysokiego ryzyka (portal EASA/KE) przed wprowadzeniem na rynek lub oddaniem do użytku
Oznakowanie CE i deklaracja zgodności System AI wysokiego ryzyka musi posiadać oznakowanie CE potwierdzające zgodność z AI Act i innymi mającymi zastosowanie przepisami unijnymi
Plan monitorowania po wprowadzeniu na rynek System zbierania i analizowania danych o działaniu AI po wdrożeniu, z procedurą reagowania na incydenty i raportowania do organu nadzorczego

Wdrażający (deployer) — używasz AI w swojej działalności

Zapewnienie nadzoru ludzkiego (human oversight) Wdrożenie procedur pozwalających personelowi monitorować, rozumieć, interweniować i, w razie potrzeby, zatrzymać działanie systemu AI wysokiego ryzyka
Ocena wpływu na prawa podstawowe Przed wdrożeniem systemu AI wysokiego ryzyka w sektorze publicznym lub przy usługach ogólnodostępnych: udokumentowana ocena wpływu na prawa osób
Przechowywanie logów z automatycznym generowaniem Logi audytowe tworzone przez system AI należy przechowywać przez okres odpowiedni dla przeznaczenia (min. 6 miesięcy dla systemów bezpieczeństwa)
Informowanie użytkowników i pracowników Osoby wchodzące w interakcję z systemem AI muszą być poinformowane, że mają do czynienia z AI (dotyczy chatbotów, systemów rekomendacji, systemów decyzyjnych)
Zgłaszanie poważnych incydentów Poważne incydenty z udziałem systemu AI wysokiego ryzyka (szkody dla zdrowia, praw, bezpieczeństwa) muszą być zgłaszane do krajowego organu nadzorczego i dostawcy

7. Kary za naruszenia

Kary przewidziane w AI Act są porównywalne z karami RODO i plasują się wśród najsurowszych w prawie UE:

Naruszenie	Maksymalna kara
Stosowanie zakazanych systemów AI (art. 5)	35 000 000 EUR lub 7% całkowitego rocznego obrotu — wyższa z kwot
Naruszenie obowiązków dla systemów wysokiego ryzyka	15 000 000 EUR lub 3% całkowitego rocznego obrotu — wyższa z kwot
Podanie nieprawdziwych informacji organom nadzorczym	7 500 000 EUR lub 1% całkowitego rocznego obrotu
MŚP i startupy	Niższy próg: kara obliczana od rocznego obrotu lub kwot stałych — whichever is lower (art. 99 ust. 5)

Organ nadzorczy w Polsce

Polska musiała wyznaczyć krajowy organ nadzorczy ds. AI (national competent authority) do 2 sierpnia 2025 r. Na moment pisania artykułu trwają prace legislacyjne nad wyznaczeniem organu — prawdopodobnie będzie to Ministerstwo Cyfryzacji lub dedykowany urząd. Do czasu wyznaczenia funkcje nadzorcze przejmuje UODO dla systemów AI przetwarzających dane osobowe.

8. Jak sprawdzić zgodność swojej firmy

Dla większości firm pierwszym krokiem jest inwentaryzacja systemów AI — identyfikacja wszystkich narzędzi AI używanych w organizacji i przypisanie ich do kategorii ryzyka.

Zinwentaryzuj wszystkie systemy AI w firmie

Uwzględnij nie tylko własne rozwiązania IT, ale też narzędzia SaaS (chatboty, narzędzia rekrutacyjne, analitykę predykcyjną, automatyzację marketingu). Pytaj dostawców, czy ich produkt spełnia definicję systemu AI z AI Act.

Oceń kategorię ryzyka każdego systemu

Sprawdź, czy system AI mieści się w Anneksie III (wysokie ryzyko) lub art. 5 (zakaz). Skorzystaj z narzędzia aiact.saaslab.pl — checklista prowadzi Cię przez pytania klasyfikacyjne dla każdego systemu.

Ustal rolę: dostawca, wdrażający, dystrybutor czy importer

Twoje obowiązki zależą od roli. Firmy będące jednocześnie dostawcą i wdrażającym (budują i używają własne AI) mają kumulatywne wymagania — muszą spełnić obowiązki obu ról.

Wdróż wymagane środki dla systemów wysokiego ryzyka

Dokumentacja techniczna, ocena zgodności, nadzór ludzki, logi audytowe — każde wymaganie wymaga udokumentowanego wdrożenia. Brak dokumentacji = brak zgodności, nawet jeśli technicznie system spełnia wymagania.

Zarejestruj systemy wysokiego ryzyka w EU AI Database

Rejestracja odbywa się przez portal Komisji Europejskiej. Termin: przed wprowadzeniem systemu na rynek lub oddaniem do użytku — a w każdym razie przed 2 sierpnia 2026.

Dobra wiadomość dla większości MŚP

Jeśli Twoja firma używa AI wyłącznie do wewnętrznych narzędzi produktywności (generowanie treści, tłumaczenia, asysty kodowania), filtrów antyspamowych lub prostych chatbotów obsługi klienta — z dużym prawdopodobieństwem masz do czynienia z kategorią minimalnego ryzyka. Brak obowiązkowych wymagań. Warto jednak przeprowadzić formalną inwentaryzację, żeby mieć to udokumentowane.

Sprawdź zgodność z AI Act — checklista online

Narzędzie aiact.saaslab.pl przeprowadzi Cię przez klasyfikację systemów AI, identyfikację obowiązków i wygeneruje raport gotowości zgodności dla Twojej firmy.

Sprawdź zgodność z AI Act →

Bez rejestracji karty płatniczej. Dostęp podstawowy bezpłatny.