EU AI Act dla polskich firm: co wchodzi w życie w 2026 i jak się przygotować
Zdjęcie ilustracyjne
EU AI Act dla polskich firm: co wchodzi w życie w 2026 i jak się przygotować
EU AI Act to pierwszy na świecie kompleksowy akt prawny regulujący systemy sztucznej inteligencji. Obowiązuje od 1 sierpnia 2024, ale kluczowe wymogi dla większości firm wchodzą w życie dopiero 2 sierpnia 2026 — za nieco ponad 3 miesiące w momencie publikacji tego tekstu.
Jeśli Twoja firma używa AI (a w praktyce większość już używa — nawet jeśli to tylko chatbot na stronie lub narzędzie HR do analizy CV), ten tekst jest dla Ciebie.
Dlaczego to Cię dotyczy, nawet jeśli nie jesteś firmą AI
Największy mit o EU AI Act: że dotyczy tylko producentów modeli AI (OpenAI, Anthropic, Google). W rzeczywistości regulacja obejmuje cały łańcuch wartości: producentów, dystrybutorów, importerów i użytkowników (deployerów) systemów AI.
Jeśli Twoja firma:
- używa chatbota na stronie, który doradza klientom w wyborze produktu,
- automatyzuje screening CV w rekrutacji,
- wykorzystuje AI do scoringu kredytowego lub oceny wniosków ubezpieczeniowych,
- stosuje systemy predykcyjne w HR (rotacja, wynagrodzenia, awanse),
- wdraża AI w diagnostyce medycznej lub wsparciu decyzji klinicznych,
…to jesteś deployerem i masz obowiązki pod EU AI Act.
4 kategorie ryzyka — gdzie jest Twoja firma?
EU AI Act klasyfikuje systemy AI według 4 poziomów ryzyka:
1. Ryzyko nieakceptowalne (zakazane od 2 lutego 2025)
Te systemy są zakazane w UE bez wyjątków:
- Social scoring obywateli przez rządy (w stylu chińskiego systemu punktów społecznych),
- AI manipulujące psychologicznie poza świadomością użytkownika w sposób krzywdzący,
- AI wykorzystujące słabości dzieci / osób niepełnosprawnych / osób starszych do manipulacji,
- Predykcyjne profilowanie kryminalne oparte wyłącznie na cechach osobowości,
- Zbieranie twarzy z internetu / CCTV do tworzenia baz rozpoznawania twarzy,
- Biometryczna kategoryzacja ujawniająca rasę, orientację, przekonania polityczne (z wyjątkami dla służb),
- Rozpoznawanie emocji w miejscu pracy i edukacji (z wyjątkami medycznymi / bezpieczeństwa).
Polska rzeczywistość: większość polskich firm nie dotyka tej kategorii. Ale warto przejrzeć systemy HR (monitoring emocji pracowników, predykcja lojalności) — tu granica bywa cienka.
2. Ryzyko wysokie (główne wymogi od 2 sierpnia 2026)
Te systemy mogą być stosowane, ale wymagają pełnej zgodności: zarządzanie ryzykiem, data governance, transparentność, nadzór człowieka, dokumentacja techniczna, logowanie, testy, ocena zgodności przed wdrożeniem, rejestracja w bazie UE.
Kategoria obejmuje AI stosowane m.in. w:
- HR: rekrutacja, screening CV, decyzje o awansie / zwolnieniu, monitoring wydajności,
- Edukacja: automatyczne ocenianie egzaminów, decyzje o przyjęciu na studia,
- Ochrona zdrowia: diagnostyka, wsparcie decyzji klinicznych, triaging pacjentów,
- Usługi finansowe: scoring kredytowy, ocena wniosków ubezpieczeniowych (część systemów),
- Infrastruktura krytyczna: transport, energetyka, woda,
- Wymiar sprawiedliwości i migracja: wsparcie decyzji sędziowskich, ocena wniosków wizowych,
- Biometryka: identyfikacja osób na odległość (poza kategorią zakazaną).
Polska rzeczywistość: jeśli Twoja firma stosuje AI w HR (a coraz więcej średnich firm to robi), prawdopodobnie masz przynajmniej jeden system wysokiego ryzyka. Sierpień 2026 to twardy termin.
3. Ryzyko ograniczone
Chatboty, systemy generujące treść (deepfake, syntetyczna mowa), systemy rozpoznawania emocji (poza zakazanymi kontekstami).
Główny obowiązek: transparentność. Użytkownik musi wiedzieć, że wchodzi w interakcję z AI. Treści generowane przez AI (teksty, obrazy, wideo) muszą być oznaczone jako wygenerowane maszynowo.
Polska rzeczywistość: jeśli masz chatbota na stronie, musisz jasno oznaczyć, że to AI. Jeśli używasz generatorów AI do tekstów marketingowych, a szczególnie do wizerunków osób (deepfake), oznaczenie jest obowiązkowe.
4. Ryzyko minimalne
Wszystko inne: filtry antyspamowe, AI w grach wideo, rekomendacje produktów e-commerce, asystenci gramatyki. Brak specyficznych obowiązków pod EU AI Act (chociaż RODO nadal obowiązuje).
Kluczowe daty — harmonogram wdrożenia
| Data | Co wchodzi w życie |
|---|---|
| 1 sierpnia 2024 | EU AI Act w mocy (oficjalne obowiązywanie) |
| 2 lutego 2025 | Zakazy dla ryzyka nieakceptowalnego + obowiązek szkolenia z AI literacy dla pracowników deployerów |
| 2 sierpnia 2025 | Obowiązki dla GPAI (general-purpose AI — modeli fundamentowych) + kary + wyznaczenie krajowego organu |
| 2 sierpnia 2026 | Wymogi dla systemów wysokiego ryzyka (pełna zgodność) |
| 2 sierpnia 2027 | Wymogi dla systemów wbudowanych w produkty regulowane (medical devices, samochody, zabawki) |
Kary — ile to kosztuje?
Sankcje są skonstruowane na wzór RODO, ale wyższe:
- Ryzyko nieakceptowalne: do 35 mln € lub 7% rocznego obrotu światowego (to więcej niż RODO, które stoi na 4%),
- Naruszenie obowiązków dla high-risk AI: do 15 mln € lub 3%,
- Dostarczenie nieprawdziwych informacji organom: do 7,5 mln € lub 1%.
Dla małych i średnich firm (SME) — niższa z dwóch kwot. Dla dużych — wyższa.
Co zrobić teraz — 6-krokowy plan dla polskich firm
Krok 1: Inwentaryzacja AI (teraz)
Zrób listę WSZYSTKICH miejsc, gdzie Twoja firma używa AI — własnych wdrożeń, zewnętrznych usług (SaaS), chatbotów, narzędzi HR, marketing automation, analytics. Dla każdego: cel użycia, dane wejściowe, wpływ na klienta/pracownika, dostawca.
Większość firm po tym kroku dowiaduje się, że ma 2-3× więcej systemów AI niż zakładała.
Krok 2: Klasyfikacja ryzyka (do czerwca 2026)
Dla każdego systemu z Kroku 1 — przypisz kategorię ryzyka. Jeśli wątpliwy przypadek (np. chatbot doradzający produkty: ograniczone? minimalne?) — konsultuj z doradcą prawnym lub compliance officerem.
Krok 3: AI literacy training (obowiązek od lutego 2025)
Pracownicy używający AI muszą mieć odpowiednie kompetencje. Nie ma ustalonego formatu, ale dokumentuj szkolenia. Minimum: ogólne zrozumienie, jak działa AI, jakie są ryzyka i ograniczenia, jak rozpoznać błąd AI.
Krok 4: Transparentność (dla chatbotów / AI-generated content — teraz)
Dodaj widoczne oznaczenia: „Asystent AI", „Treść wygenerowana przez AI". Upewnij się, że deepfake / syntetyczne obrazy osób są oznaczone.
Krok 5: Compliance dla high-risk (do sierpnia 2026)
Dla systemów wysokiego ryzyka — przeprowadź ocenę zgodności zgodnie z Załącznikiem III. To obejmuje: risk management system, data governance, dokumentację techniczną, rejestr zdarzeń, nadzór człowieka, ocenę wpływu na prawa podstawowe (FRIA), rejestrację w bazie UE.
To duża praca. Jeśli masz system HR AI — zacznij teraz, nie w lipcu 2026.
Krok 6: Integracja z innymi regulacjami
EU AI Act nie zastępuje RODO ani sektorowych regulacji. Jeśli jesteś w healthcare — musisz pogodzić go z MDR i RODO Art. 9. Jeśli w finansach — z DORA, PSD2/PSD3 i rekomendacjami KNF. Zrób jeden zintegrowany rejestr zgodności, nie trzy osobne.
Pułapki, na które warto uważać
Pułapka 1: „Nie produkujemy AI, nie dotyczy nas". Dotyczy — jeśli używasz AI kogokolwiek innego, jesteś deployerem.
Pułapka 2: „Mamy już RODO". Pomaga, ale nie wystarcza. EU AI Act wymaga osobnych artefaktów (techniczna dokumentacja AI, FRIA, rejestracja w bazie UE dla high-risk).
Pułapka 3: „Kupimy system gotowy i dostawca to załatwi". Dostawca ma swoje obowiązki, ale Ty jako deployer też. Twoje obowiązki dotyczą m.in. jak używasz systemu w Twoim kontekście, jakie dane podajesz, kto nadzoruje wyniki.
Pułapka 4: „Zaczniemy w lipcu 2026". Dla high-risk w średniej firmie przygotowanie to 6-12 miesięcy roboty. Teraz jest właściwy moment.
Jak możemy pomóc
W Why Consulting prowadzimy audyty zgodności AI zorientowane na działanie — nie na papier. Typowy deliverable:
- Mapa systemów AI Twojej firmy z klasyfikacją ryzyka,
- Gap analiza vs wymogi EU AI Act per system,
- Plan zgodności z harmonogramem i właścicielami,
- Szkolenie AI literacy dla pracowników używających AI,
- Integracja z RODO i regulacjami sektorowymi (healthcare / finance / retail).
Typowy projekt: 6-8 tygodni dla średniej firmy (50-300 pracowników, 5-15 systemów AI).
Czytaj też:
- Polityka AI Why Consulting — jak sami stosujemy Responsible AI,
- Why-TRANSFORM — pakiet kompleksowej transformacji obejmujący zgodność AI,
- Metodologia ROI — jak liczymy zwrot z projektów AI compliance.
Masz system AI i nie wiesz, w której kategorii ryzyka się znajduje? Umów 30-minutową bezpłatną konsultację — pomożemy zaklasyfikować i zaplanować kolejne kroki.
Typowa inwestycja
STARTER 15K / 30d · TRANSFORM 35K / 60–90d · SCALE od 25K/mies
Ciekawi Cię potencjał ROI w Twojej branży?
Wypróbuj nasz kalkulator ROI i zobacz zakresy zwrotu z inwestycji dopasowane do pakietu.
Mateusz Solecki
Founder & Lead Consultant
Twórca Why Consulting i metodologii 5D. 12+ lat doświadczenia w transformacji biznesowej, strategii i technologii. Łączy wiedzę konsultingową z AI-first podejściem, osobiście prowadząc każdy projekt.
Więcej wartościowej wiedzy?
Zapisz się na newsletter i otrzymuj najnowsze strategie transformacji, realizacje i narzędzia AI prosto na email.