Wróć do artykułów
7 min czytania

AI Act - obowiązki firm i kluczowe terminy wdrożenia

Praktyczny przewodnik po AI Act dla firm. Klasyfikacja ryzyka, obowiązki dostawców i wdrażających, harmonogram do 2027, kary i piaskownice regulacyjne.

AI Act regulacje AI compliance AI w biznesie prawo
AI Act - obowiązki firm i kluczowe terminy wdrożenia

AI Act to pierwsze na świecie kompleksowe rozporządzenie regulujące sztuczną inteligencję. Weszło w życie 1 sierpnia 2024 roku, ale jego przepisy stosowane są fazowo - od zakazów obowiązujących już od lutego 2025 po pełne wymogi dla systemów wysokiego ryzyka w sierpniu 2026. Dla firm działających na rynku europejskim to nie abstrakcyjna regulacja - to konkretne obowiązki z konkretnymi karami sięgającymi 35 mln EUR.

Jako osoba doradzająca firmom w zakresie AI widzę, że wielu menedżerów albo nie zna szczegółów rozporządzenia, albo nie wie, jak przełożyć je na praktyczne działania. Ten artykuł ma wypełnić tę lukę - bez prawniczego żargonu, z naciskiem na to, co firma musi zrobić i do kiedy.

Cztery poziomy ryzyka - fundament całego systemu

AI Act przyjmuje podejście oparte na ryzyku. Im wyższe ryzyko systemu AI, tym surowsze obowiązki.

Ryzyko niedopuszczalne - bezwzględny zakaz

Art. 5 AI Act zakazuje praktyk AI uznanych za niedopuszczalne. Zakazy obowiązują od 2 lutego 2025 roku i obejmują:

  • Manipulację podprogową lub wprowadzającą w błąd, powodującą istotną szkodę
  • Wykorzystywanie podatności związanych z wiekiem, niepełnosprawnością lub sytuacją społeczno-ekonomiczną
  • Scoring społeczny - ocenianie osób na podstawie zachowań prowadzące do krzywdzącego traktowania
  • Klasyfikację biometryczną na podstawie cech wrażliwych (rasa, poglądy polityczne, orientacja seksualna)
  • Rozpoznawanie emocji w miejscu pracy i szkołach (z wyjątkiem celów medycznych)
  • Nieukierunkowane zbieranie danych twarzy z internetu lub monitoringu
  • Zdalną identyfikację biometryczną w czasie rzeczywistym w przestrzeniach publicznych (z wąskimi wyjątkami dla organów ścigania)

Naruszenie tych zakazów grozi karą do 35 mln EUR lub 7% globalnego rocznego obrotu - zależnie od tego, co jest wyższe.

Ryzyko wysokie - najsurowsze wymogi

Systemy AI stosowane w krytycznych obszarach wymienionych w załączniku III podlegają pełnym wymogom. Kluczowe obszary to:

  • Zatrudnienie - rekrutacja, filtrowanie CV, monitorowanie pracowników, decyzje o awansach i zwolnieniach
  • Usługi finansowe - ocena zdolności kredytowej, scoring ubezpieczeniowy
  • Edukacja - systemy decydujące o przyjęciu do szkół, oceniające wyniki
  • Infrastruktura krytyczna - zarządzanie dostawami wody, gazu, energii
  • Egzekwowanie prawa - ocena ryzyka recydywy, analiza dowodów
  • Migracja - rozpatrywanie wniosków azylowych i wizowych

Warto pamiętać, że systemy AI profilujące osoby fizyczne są zawsze klasyfikowane jako wysokiego ryzyka, bez wyjątków. Jeśli Twoja firma wykorzystuje AI w którejkolwiek z tych dziedzin, musisz traktować to jak priorytet compliance. Więcej o praktycznym podejściu do klasyfikacji ryzyka opisuję w artykule o metodzie oceny ryzyka AI.

Ryzyko ograniczone - obowiązki przejrzystości

Art. 50 AI Act nakłada obowiązki transparentności na systemy takie jak chatboty i generatory treści:

  • Chatboty muszą informować użytkowników o interakcji z AI
  • Treści generowane przez AI (deepfake’i) muszą być oznaczone w formacie czytelnym maszynowo
  • Tekst generowany przez AI publikowany w celach informacyjnych wymaga ujawnienia sztucznego pochodzenia
  • Systemy rozpoznawania emocji muszą informować osoby objęte działaniem

Ryzyko minimalne - bez dodatkowych wymogów

Większość systemów AI na rynku UE - filtry spamu, gry, systemy rekomendacji - pozostaje nieuregulowana. Zachęca się jedynie do stosowania dobrowolnych kodeksów postępowania (art. 95).

Obowiązki firm - co musisz wdrożyć?

AI Act rozróżnia role i przypisuje im różne obowiązki.

Obowiązki dostawców systemów AI wysokiego ryzyka

Jeśli Twoja firma rozwija system AI i wprowadza go na rynek, art. 16 nakłada obowiązek:

  • Wdrożenia systemu zarządzania ryzykiem obejmującego cały cykl życia
  • Zapewnienia zarządzania danymi treningowymi (reprezentatywne, wolne od błędów)
  • Sporządzenia dokumentacji technicznej wykazującej zgodność
  • Zaprojektowania systemu umożliwiającego nadzór ludzki
  • Przeprowadzenia oceny zgodności przed wprowadzeniem na rynek
  • Umieszczenia oznaczenia CE i rejestracji w bazie danych UE
  • Wdrożenia systemu zarządzania jakością (art. 17)

Obowiązki podmiotów wdrażających

Większość firm pełni rolę “podmiotu wdrażającego” (deployer) - wykorzystuje systemy AI w ramach działalności zawodowej. Art. 26 wymaga:

  • Stosowania systemów zgodnie z instrukcjami dostawcy
  • Wyznaczenia osób odpowiedzialnych za nadzór ludzki z odpowiednimi kompetencjami
  • Monitorowania działania systemów AI i informowania dostawców o ryzykach
  • Przechowywania logów przez co najmniej 6 miesięcy
  • Informowania pracowników i ich przedstawicieli przed wdrożeniem AI wysokiego ryzyka w miejscu pracy
  • Przeprowadzenia DPIA tam, gdzie jest to wymagane
  • Przeprowadzenia oceny skutków dla praw podstawowych (art. 27) w przypadku podmiotów publicznych

Podstawowy obowiązek z art. 4 dotyczy każdej firmy: zapewnienie wystarczającego poziomu kompetencji AI u personelu. To obowiązuje już od lutego 2025 - i dotyczy wszystkich, nie tylko firm wdrażających systemy wysokiego ryzyka. Warto sprawdzić nasze szkolenia AI dla firm, które pomagają spełnić ten wymóg.

Harmonogram - kluczowe daty

DataCo wchodzi w życie
1 sierpnia 2024Rozporządzenie wchodzi w życie
2 lutego 2025Zakazy praktyk AI (art. 5) + obowiązek kompetencji AI (art. 4)
2 sierpnia 2025Obowiązki dot. modeli GPAI, wyznaczanie organów nadzoru, reżim kar
2 sierpnia 2026Wymogi dla systemów wysokiego ryzyka (zał. III) + obowiązki transparentności (art. 50)
2 sierpnia 2027Pełne zastosowanie do systemów AI wbudowanych w produkty regulowane

Kluczowa data dla większości firm to 2 sierpnia 2026 - wtedy wchodzą w życie wymogi dla systemów wysokiego ryzyka i obowiązki oznaczania treści AI. Firmy wdrażające AI w rekrutacji, finansach czy obsłudze klienta muszą do tego czasu spełnić pełne wymogi compliance.

Kary finansowe - trójstopniowy system

Art. 99 AI Act wprowadza trzy poziomy kar:

  • Do 35 mln EUR lub 7% obrotu - za naruszenie zakazów z art. 5 (praktyki niedopuszczalne)
  • Do 15 mln EUR lub 3% obrotu - za inne naruszenia obowiązków
  • Do 7,5 mln EUR lub 1% obrotu - za dostarczanie nieprawdziwych informacji organom

Dla MŚP i startupów kary ograniczone są do niższej z kwot - stałej lub procentowej. To istotne udogodnienie, ale nadal są to kwoty, które mogą zagrozić egzystencji mniejszej firmy.

Dla porównania - rzeczywiste kary GDPR w kontekście AI już padają. Włochy nałożyły na OpenAI 15 mln EUR, a Holandia na Uber 290 mln EUR za transfer danych. Więcej o tych przypadkach opisuję w artykule o incydentach AI w firmach.

Wsparcie dla MŚP - piaskownice regulacyjne

AI Act nie tylko nakłada obowiązki - wprowadza też mechanizmy wspierające mniejsze firmy:

  • Każde państwo członkowskie musi ustanowić co najmniej jedną piaskownicę regulacyjną do 2 sierpnia 2026 (art. 57)
  • MŚP mają priorytetowy dostęp do piaskownic, dedykowane kanały komunikacji i proporcjonalne opłaty za ocenę zgodności
  • UE przeznaczyła ponad 220 mln EUR na obiekty testowe i eksperymentalne

Polska implementacja - co wiemy?

Ministerstwo Cyfryzacji opublikowało projekt ustawy o systemach sztucznej inteligencji w październiku 2024 i poprawioną wersję w lutym 2025. Główne elementy:

  • Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI) jako organ nadzoru wzorowany na KNF
  • UODO jako dodatkowy organ nadzorczy w obszarach wymiaru sprawiedliwości i policji
  • Piaskownica regulacyjna i mechanizm interpretacji indywidualnych
  • Fundusz AI o wartości ok. 1 mld PLN (235 mln EUR)

Na koniec 2025 ustawa nie została jeszcze uchwalona - Polska nie dotrzymała terminu 2 sierpnia 2025 na wyznaczenie organu nadzoru. To nie zwalnia firm z obowiązków wynikających bezpośrednio z rozporządzenia - AI Act stosuje się bezpośrednio, bez potrzeby krajowej implementacji.

Co zrobić teraz? Praktyczny plan działania

Na podstawie doświadczeń z konsultacji strategicznych rekomendowany trzyetapowy plan:

Etap 1 - Inwentaryzacja (teraz)

  • Zmapuj wszystkie systemy AI w organizacji
  • Sklasyfikuj poziom ryzyka każdego systemu
  • Zidentyfikuj, czy jesteś dostawcą czy podmiotem wdrażającym

Etap 2 - Minimum compliance (Q1-Q2 2026)

  • Zbuduj politykę AI z wymaganymi modułami
  • Przeprowadź szkolenia kompetencyjne (obowiązek z art. 4 już obowiązuje)
  • Wdróż procedurę zgłaszania incydentów

Etap 3 - Pełna zgodność (do sierpnia 2026)

  • Dla systemów wysokiego ryzyka: dokumentacja techniczna, DPIA, nadzór ludzki
  • Oznaczanie treści generowanych przez AI
  • Informowanie pracowników przed wdrożeniem AI w miejscu pracy

Firmy, które zaczną teraz, mają czas na iteracyjne doskonalenie. Te, które będą czekać na ostatni moment - ryzykują niezgodność i kary.

Potrzebujesz wsparcia w przygotowaniu organizacji do wymogów AI Act? Sprawdź nasze szkolenia AI dla firm lub umów się na konsultację strategiczną.

Tworzę polityki AI dla firm

Generator Polityki AI tworzy gotowy dokument dostosowany do branży i skali firmy - za darmo, bez rejestracji.

Generator Polityki AI Umów konsultację