Cztery miesiące. Tyle zostało do 2 sierpnia 2026 roku, kiedy Unia Europejska zacznie egzekwować wymagania AI Act wobec systemów sztucznej inteligencji wysokiego ryzyka. Dotyczy to rekrutacji, scoringu kredytowego, edukacji, triage medycznego – i wielu innych obszarów, w których polskie firmy już teraz używają AI. Kary sięgają 35 milionów euro lub 7% światowego obrotu. A polska ustawa wyznaczająca organ nadzorczy jeszcze nie istnieje.
Oto co wiesz, co powinieneś wiedzieć i co możesz zrobić zanim deadline dotrze do Twojej firmy.
- Czym jest EU AI Act i kogo dotyczy w Polsce?
- Co już obowiązuje od lutego 2025 – zakazy absolutne
- Sierpień 2026: systemy wysokiego ryzyka pod lupą
- Kary: do 35 mln EUR albo 7% obrotu
- Co z polskim organem nadzorczym?
- Praktyczna checklista: co zrobić teraz
- FAQ – Najczęstsze pytania o EU AI Act w Polsce
- Podsumowanie
Czym jest EU AI Act i kogo dotyczy w Polsce?
EU AI Act (rozporządzenie 2024/1689) to europejskie prawo regulujące systemy sztucznej inteligencji – pierwsze tego rodzaju na świecie, z twardymi zakazami i obowiązkami dokumentacyjnymi. Obowiązuje od 1 sierpnia 2024 roku – ale jego przepisy wchodzą w życie etapami, co sprawia, że wiele firm jeszcze nie zdaje sobie sprawy z zakresu swoich obowiązków.
Kluczowa zasada: AI Act stosuje się do każdej firmy, która wprowadza system AI na rynek UE lub używa AI w decyzjach dotyczących osób przebywających na terenie Unii. Siedziba firmy w Polsce, USA czy Singapurze nie ma znaczenia. Jeśli Twój klient jest w UE – podlegasz AI Act.
Dla polskich firm oznacza to, że:
- korzystasz z narzędzi AI od firm spoza UE (OpenAI, Google, Anthropic) – i ty jako “deployer” masz własne obowiązki
- budujesz własne systemy AI do użytku wewnętrznego lub dla klientów – jesteś “providerem” z pełnym zestawem wymagań
- kupujesz gotowe oprogramowanie z AI wbudowanym (np. systemy HR, CRM z AI scoring) – odpowiadasz za sprawdzenie, czy dostawca jest zgodny z przepisami
EU AI Act to rozporządzenie UE, nie dyrektywa – nie wymaga implementacji krajowej i stosuje się wprost od dnia wejścia w życie. Każda firma działająca na rynku polskim i europejskim podlega tym przepisom bez żadnych lokalnych “ulg” czy opóźnień.
Co już obowiązuje od lutego 2025 – zakazy absolutne
Od 2 lutego 2025 roku obowiązuje artykuł 5 AI Act – lista praktyk AI, które są całkowicie zakazane. Zero wyjątków, nawet dla celów badawczych.
Zakazy dotyczą przede wszystkim:
Manipulacji podprogowej i eksploatacji podatności – systemy AI, które wpływają na zachowanie ludzi poniżej progu świadomości lub wykorzystują słabości (wiek, niepełnosprawność, sytuacja ekonomiczna) do szkodliwych decyzji. To bezpośrednio dotyczy systemów rekomendacji w e-commerce i aplikacjach mobilnych.
Scoringu społecznego – ocenianie osób na podstawie ich zachowań społecznych lub cech osobowości przez podmioty publiczne. Praktyka powszechna w Chinach, zakazana w całej UE.
Rozpoznawania emocji w pracy i edukacji – systemy AI analizujące emocje pracowników lub uczniów. Jeśli Twoja firma testuje narzędzia do “analizy zaangażowania” pracowników przez kamerę – to już jest nielegalne.
Biometrycznej kategoryzacji – wnioskowanie o rasie, orientacji seksualnej, poglądach politycznych lub przynależności związkowej na podstawie danych biometrycznych.
Tworzenia baz twarzy ze scrapingu – pobieranie zdjęć twarzy z internetu lub CCTV bez zgody w celu tworzenia baz do rozpoznawania twarzy. Pamiętasz aferę z Clearview AI? Dokładnie ten typ działania.
Komisja Europejska opublikowała wytyczne do tych zakazów 4 lutego 2025 roku – dzień przed ich wejściem w życie.
Jeśli Twoja firma korzysta z jakiegokolwiek z powyższych rozwiązań – powinna je natychmiast wyłączyć lub przeprojectować.
Sierpień 2026: systemy wysokiego ryzyka pod lupą
2 sierpnia 2026 to data, na którą większość firm powinna być już przygotowana. Od tego dnia egzekwowane są wymagania dla systemów AI “wysokiego ryzyka” – i to jest kategoria, która dotyczy znacznie większej liczby firm niż się wydaje.
AI Act definiuje 8 kategorii systemów wysokiego ryzyka (Załącznik III):
Dla polskich firm szczególnie istotne są trzy kategorie:
Zatrudnienie – jeśli używasz AI do selekcji CV, rankowania kandydatów, oceny wydajności pracowników lub podejmowania decyzji o zwolnieniach – to system wysokiego ryzyka. Popularne narzędzia HR z “AI matching” trafiają w tę kategorię.
Finanse i usługi esencjonalne – scoring kredytowy, ocena zdolności ubezpieczeniowej, decyzje o zasiłkach i świadczeniach społecznych. Banki i instytucje finansowe działające w Polsce muszą być gotowe.
Edukacja – AI decydujące o przyjęciach, egzaminach, ocenianiu lub kwalifikacjach zawodowych. Systemy adaptacyjne w e-learningu wchodzą w tę kategorię gdy wpływają na certyfikację.
Wymagania compliance dla systemów wysokiego ryzyka:
- udokumentowany system zarządzania ryzykiem AI
- pełna dokumentacja techniczna systemu
- rejestracja w unijnej bazie danych AI (prowadzonej przez Komisję)
- zapewniony nadzór ludzki nad decyzjami AI
- ocena zgodności (w niektórych kategoriach przez zewnętrzną jednostkę)
Kary: do 35 mln EUR albo 7% obrotu
EU AI Act ma jeden z najostrzejszych reżimów sankcji ze wszystkich europejskich regulacji – ostrzejszy niż RODO.
| Naruszenie | Kara maksymalna |
|---|---|
| Zakazane praktyki (Art. 5) | 35 mln EUR lub 7% światowego obrotu |
| Wymagania dla systemów wysokiego ryzyka | 15 mln EUR lub 3% obrotu |
| Podanie błędnych informacji organom | 7,5 mln EUR lub 1% obrotu |
Ważna zasada dla małych i średnich firm: dla startupów i MŚP stosuje się niższą z dwóch wartości (procent obrotu lub kwota stała). Dla dużych korporacji – wyższą. To pewna ulga, ale nie znosi odpowiedzialności.
Kary za zakazane praktyki (Art. 5) są egzekwowalne od lutego 2025. Kary za systemy wysokiego ryzyka – od 2 sierpnia 2026.
Warto tu zauważyć: dla porównania, maksymalna kara RODO to 20 mln EUR lub 4% obrotu. AI Act idzie o krok dalej w przypadku naruszeń zakazów absolutnych.
Co z polskim organem nadzorczym?
To jest część, która dla polskich firm jest zarówno dobrą, jak i potencjalnie kłopotliwą wiadomością.
Polska powołuje KRiBSI (Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji) jako główny organ nadzorczy – jest to rozwiązanie wyjątkowe, bo Polska jest jednym z zaledwie dwóch krajów UE (obok Litwy), które zdecydowały się na jeden centralny organ dla całego AI Act zamiast rozpraszania kompetencji między różne ministerstwa.
Problemem jest jednak to, że polska ustawa o systemach AI – wyznaczająca KRiBSI i procedury egzekucji – nie została jeszcze uchwalona na dzień dzisiejszy. Projekt z czerwca 2025 był aktualizowany w lutym 2026, ale legislacja wciąż się nie zakończyła.
UODO (Urząd Ochrony Danych Osobowych) chciał mieć realne prawa decyzyjne w sprawach AI dotyczących danych osobowych (co jest logiczne, bo RODO i AI Act mocno się zazębiają), ale w aktualnym projekcie zachował jedynie rolę doradczą.
Co to oznacza praktycznie: brak polskiej ustawy nie zwalnia firm z obowiązków wynikających z AI Act (to rozporządzenie UE, stosuje się wprost). Oznacza natomiast, że krajowa egzekucja może być opóźniona – ale egzekucja bezpośrednia przez Komisję Europejską dla modeli GPAI startuje w sierpniu 2026 bez żadnych warunków.
Praktyczna checklista: co zrobić teraz
Cztery miesiące to wystarczająco dużo czasu, żeby przeprowadzić audyt i wdrożyć podstawowe wymagania. Za mało, żeby zbudować wszystko od zera.
Krok 1: Mapa AI w Twojej organizacji Spisz wszystkie systemy AI, których używasz lub budujesz. Obejmuje to narzędzia kupione od zewnętrznych dostawców. Dla każdego systemu określ: kto jest “provider” (twórca), kto jest “deployer” (użytkownik), i w jakiej kategorii ryzyka się mieści.
Krok 2: Weryfikacja zakazów (Art. 5) Sprawdź, czy żaden z Twoich systemów nie należy do kategorii zakazanych. Szczególna uwaga: systemy do analizy emocji pracowników, jakiekolwiek biometryczne kategoryzowanie, scrapowanie twarzy.
Krok 3: Ocena systemów wysokiego ryzyka Dla każdego systemu z Załącznika III oceń, czy Twoja firma jest dostawcą czy wdrażającym. Dostawcy mają więcej obowiązków (pełna dokumentacja techniczna, rejestracja w bazie EU AI). Wdrażający muszą żądać dokumentacji od dostawców i zapewnić nadzór ludzki.
Krok 4: Dokumentacja i zarządzanie ryzykiem Zacznij budować dokumentację techniczną dla systemów wysokiego ryzyka. Wymagania są szczegółowe – cel systemu, dane treningowe, metodologia walidacji, procedury monitorowania.
Krok 5: Szkolenia Od 2 lutego 2025 obowiązuje wymóg “AI literacy”. Pracownicy używający systemów AI muszą mieć odpowiednią wiedzę do świadomego korzystania z tych narzędzi. To nie jest wymóg certyfikacyjny, ale musi być udokumentowany.
Kurs n8n 2.0 · Kodożercy
Automatyzacja to dziś jedna z najbardziej poszukiwanych umiejętności
Firmy szukają ludzi którzy łączą procesy z narzędziami AI. Kurs n8n 2.0 na Kodożercach da Ci praktyczne umiejętności – od webhooków po agenty AI – które możesz pokazać już jutro.
Zobacz program kursu →
FAQ – Najczęstsze pytania o EU AI Act w Polsce
Czy EU AI Act dotyczy małych firm i startupów?
Tak, EU AI Act dotyczy każdej firmy bez względu na wielkość – jeśli budujesz lub wdrażasz systemy AI dla użytkowników w UE. Dla MŚP i startupów przewidziano jednak łagodniejsze obliczanie kar. Stosuje się niższą z dwóch wartości (procent obrotu lub kwota stała), podczas gdy dla dużych firm stosuje się wyższą. Wiele szczegółowych wymagań dla systemów wysokiego ryzyka jest też proporcjonalnych do skali działalności.
Kiedy dokładnie polskie firmy muszą być gotowe na AI Act?
Zakazy z Artykułu 5 obowiązują od 2 lutego 2025 – jeśli korzystasz z zakazanych praktyk, powinieneś je wyłączyć już teraz. Wymagania dla modeli AI ogólnego przeznaczenia (GPAI) obowiązują od 2 sierpnia 2025 – dotyczy to głównie dostawców dużych modeli. Wymagania dla systemów wysokiego ryzyka (rekrutacja, finanse, edukacja) wchodzą w pełni 2 sierpnia 2026.
Czy korzystanie z ChatGPT lub Claude w firmie podlega AI Act?
Korzystanie z ChatGPT lub Claude jako narzędzia pomocniczego przez pracowników (pisanie treści, podsumowania, analiza) zazwyczaj nie kwalifikuje się jako system wysokiego ryzyka. Natomiast jeśli zintegrujesz API tych modeli we własnym systemie do podejmowania decyzji (rekrutacja, scoring, ocena klientów) – stajesz się “deployer” systemu wysokiego ryzyka i masz swoje obowiązki compliance.
Co grozi za brak rejestracji systemu wysokiego ryzyka w unijnej bazie?
Brak rejestracji w unijnej bazie danych AI to naruszenie wymagań dla systemów wysokiego ryzyka. Maksymalna kara to 15 mln EUR lub 3% światowego obrotu rocznego. Baza danych jest prowadzona przez Komisję Europejską i publicznie dostępna – organy nadzoru mogą sprawdzić brak wpisu bez specjalnych audytów.
Jakie systemy AI używane przez polskie firmy najczęściej trafiają do kategorii wysokiego ryzyka?
Najczęstsze przypadki w polskich firmach to: systemy do automatycznego przeglądania CV i rankowania kandydatów, narzędzia do oceny wydajności pracowników oparte na danych, systemy scoringu kredytowego i oceny ryzyka ubezpieczeniowego, chatboty decyzyjne w instytucjach finansowych, a także platformy e-learningowe z AI, które wpływają na oceny i certyfikacje.
Podsumowanie
EU AI Act to nie przyszłość – to teraźniejszość. Zakazy absolutne obowiązują od lutego 2025, wymagania dla modeli AI ogólnego przeznaczenia od sierpnia 2025. Pełna egzekucja systemów wysokiego ryzyka startuje 2 sierpnia 2026. Polskie firmy mają cztery miesiące, żeby przeprowadzić audyt swoich systemów AI, zidentyfikować te zaliczane do kategorii wysokiego ryzyka i zbudować wymaganą dokumentację. Polska ustawa wyznaczająca krajowy organ nadzorczy wciąż nie jest uchwalona, ale AI Act jako rozporządzenie UE stosuje się wprost – niezależnie od stanu krajowej legislacji. Firmy, które zaczną przygotowania teraz, będą miały przewagę konkurencyjną nad tymi, które zostawią to na lipiec.
