Regulacja

AI Act 2026 — co realnie zmienia dla Twojej firmy

Praktyczny przewodnik dla zarządów: 4 fazy wdrożenia (2025-2028), 4 poziomy ryzyka, kary, relacja z RODO. Co możesz zrobić już teraz i kiedy potrzebujesz wsparcia. To nie porada prawna, to opis krajobrazu regulacyjnego.

1. Co to jest AI Act i kogo dotyczy

AI Act (Rozporządzenie UE 2024/1689) to pierwsze na świecie kompleksowe prawo regulujące sztuczną inteligencję. Weszło w życie 1 sierpnia 2024 roku. Obowiązki stosowane są w fazach — część działa już teraz, część dochodzi w 2026 i 2027.

2 lutego 2025

Phase 1 — działa od ponad roku

Zakaz praktyk AI niedopuszczalnego ryzyka: social scoring, masowa biometria w czasie rzeczywistym, manipulacja behawioralna. Plus obowiązek AI Literacy dla pracowników.

2 sierpnia 2025

Phase 2 — działa od kilku miesięcy

Obowiązki dla dostawców modeli GPAI (general-purpose AI): dokumentacja techniczna, transparentność, copyright. Kary administracyjne weszły w życie.

2 sierpnia 2026

Phase 3 — najbliższy ważny punkt kontrolny

Systemy wysokiego ryzyka (Annex III): HR, scoring kredytowy, edukacja, infrastruktura krytyczna, migracja. Pełen reżim dokumentacji, audytów, nadzoru człowieka.

Uwaga: Digital Omnibus (proponowany 19 listopada 2025) może przesunąć te zobowiązania na 2 grudnia 2027 — politiczne porozumienie osiągnięte w maju 2026, ale do dnia formalnej adopcji obowiązuje data 2.08.2026. Stan obecny śledzimy na bieżąco.

2 sierpnia 2027 / 2028

Phase 4 — produkty regulowane

Systemy AI wbudowane w produkty objęte przepisami bezpieczeństwa (medical devices, windy, maszyny, zabawki). Dłuższe okresy przejściowe ze względu na cykle produktowe.

AI Act dotyczy Twojej firmy, jeśli:

Używasz systemów AI do oceny pracowników (HR, scoring wydajności, screening CV)
Wykorzystujesz AI w scoringu kontrahentów (kredytowy, ryzyka, anti-fraud)
Stosujesz AI w logistyce krytycznej lub infrastrukturze
Oferujesz klientom chatboty albo asystentów — obowiązek informowania że to AI
Używasz AI generatywnej do treści, obrazów, materiałów — obowiązek oznaczania

2. Cztery poziomy ryzyka

Niedopuszczalne ryzyko

Zakazane

Social scoring, manipulacja behawioralna, masowa identyfikacja biometryczna w czasie rzeczywistym.

Wysokie ryzyko

Pełna regulacja

HR, scoring kredytowy, edukacja, infrastruktura krytyczna. Wymagana dokumentacja, audyty, nadzór człowieka.

Ograniczone ryzyko

Obowiązek informacyjny

Chatboty, deepfake, generatywna AI. Użytkownik musi wiedzieć, że ma do czynienia z AI.

Minimalne ryzyko

Bez ograniczeń

Filtry antyspamowe, AI w grach, większość zastosowań biurowych. Bez dodatkowych obowiązków.

3. Shadow AI — najczęściej ignorowane ryzyko

Według dostępnych raportów rynkowych, około 2/3 pracowników używa AI poza formalnym nadzorem firmy. W praktyce: praca na prywatnych kontach, niezatwierdzone narzędzia, środowiska w których firma nie wie gdzie dane są przetwarzane i kto ma do nich dostęp.

To ryzyko na trzech poziomach:

Wyciek danych — know-how, cenniki, dane klientów trafiają do publicznych modeli i mogą zostać użyte do treningu
Brak kontroli jakości — halucynacje AI trafiają w komunikacji do klientów bez weryfikacji
Niezgodność z AI Act — przepisy wymagają udokumentowanego nadzoru. Shadow AI go nie ma

W ramach Audytu Wstępnego albo Pełnego Audytu zawsze inwentaryzujemy Shadow AI w firmie klienta i wdrażamy politykę użycia + zamknięte środowisko Enterprise / lokalny RAG.

4. RODO a AI Act — relacja

AI Act nie zastępuje RODO. Obie regulacje obowiązują równolegle. Jeśli system AI przetwarza dane osobowe, musi spełniać oba zestawy wymagań.

RODO reguluje przetwarzanie danych osobowych — podstawę prawną, cel, czas, prawa osoby
AI Act reguluje sam system — dokumentację, transparentność, nadzór człowieka, monitoring

W projektach z danymi osobowymi pracujemy z radcą prawnym (dr hab. Monika Przybylska) — to nie dodatek, to standardowy element wdrożenia.

5. Kary — co realnie grozi

Niedopuszczalne praktyki (zakazane systemy): kara do 35 mln EUR lub 7% globalnego obrotu (wyższa z kwot)
Naruszenia dot. systemów wysokiego ryzyka: do 15 mln EUR lub 3% obrotu
Podanie nieprawdziwych informacji organom nadzorczym: do 7.5 mln EUR lub 1% obrotu

Kary są wymierzane administracyjnie, nie sądowo. Brak należytej staranności zarządu w nadzorze nad AI może też skutkować osobistą odpowiedzialnością członków zarządu (art. 293 KSH dla spółek z o.o., art. 483 KSH dla S.A.).

6. Co zrobić teraz (bez nas)

Zrób inwentaryzację: jakie narzędzia AI używają Twoi pracownicy i do czego
Zidentyfikuj systemy AI, które mogą wymagać klasyfikacji wysokiego ryzyka (HR, rekrutacja, ocena pracowników, decyzje wpływające na ludzi)
Wprowadź minimalną politykę: czego nie wolno wprowadzać do publicznych modeli (dane osobowe, wrażliwe, klienta)
Wyznacz osobę odpowiedzialną za AI w firmie (nawet na pół etatu) — własną albo zewnętrzną
Jeśli używasz chatbotów — sprawdź czy informują użytkownika, że to AI

7. Kiedy potrzebujesz nas

Możemy pomóc, jeśli:

Nie wiesz gdzie zacząć i potrzebujesz Diagnozy Wstępnej (bezpłatna), Audytu Wstępnego (3 900 zł) albo Pełnego Audytu (25 000–35 000 zł) z konkretną decyzją
Twoja firma używa systemów AI w HR, rekrutacji, ocenie pracowników lub decyzjach wpływających na ludzi — i nie masz dokumentacji
Chcesz wdrożyć AI bezpiecznie — od strony danych, prawa i adopcji zespołów jednocześnie
Potrzebujesz Zewnętrznego Dyrektora ds. AI, który raportuje do zarządu i odpowiada za zgodność

8. Zastrzeżenie

Ten dokument nie jest poradą prawną. Opisuje naszą metodykę i ogólny krajobraz regulacyjny. Konkretne obowiązki Twojej firmy zależą od skali, branży, używanych systemów i danych. W projektach klientów pracujemy z radcą prawnym specjalizującym się w prawie nowych technologii — każdy projekt ma indywidualną analizę zgodności.

Aktualnym oficjalnym źródłem jest pełny tekst rozporządzenia: Rozporządzenie UE 2024/1689 (eur-lex.europa.eu).

Sprawdzimy gdzie Twoja firma stoi z AI Act

W ramach Diagnozy Wstępnej (bezpłatna) albo Audytu Wstępnego (3 900 zł) zorientujemy się, czy AI Act stwarza dla Ciebie ryzyko i co konkretnie trzeba zrobić.

Umów rozmowę