2 sierpnia 2026 to data, którą każdy CEO i CIO polskiej firmy powinien mieć zapisaną w kalendarzu na czerwono. Tego dnia zaczyna w pełni obowiązywać większość przepisów AI Act — unijnego rozporządzenia, które reguluje użycie sztucznej inteligencji w biznesie. Kary za naruszenie sięgają 35 mln EUR lub 7% światowego rocznego obrotu. Większość polskich firm jeszcze nie zaczęła przygotowań, mimo że czasu na poważne działanie zostało niewiele.
W tym artykule przechodzę przez konkretny plan działania dla polskiej firmy B2B: co musi zrobić, kiedy, za jakie zadania odpowiada kto, i jak nie zostać ukaranym. Artykuł dla CEO, zarządów, CIO, DPO i prawników wewnętrznych firm średniej wielkości. Kontekst rozszerzam w powiązanym tekście o ryzykach wdrożenia AI w firmie.
Co to jest AI Act i dlaczego 2 sierpnia 2026 jest tak ważny
AI Act (Rozporządzenie UE 2024/1689) to pierwsza na świecie kompleksowa regulacja sztucznej inteligencji. Obowiązuje bezpośrednio we wszystkich państwach członkowskich UE (bez potrzeby implementacji do polskiego prawa) i stosuje zasadę ekstraterytorialności: dotyczy każdej firmy, której system AI jest używany na rynku UE, niezależnie od tego, gdzie firma ma siedzibę.
Data 2 sierpnia 2026 to moment, w którym przestaje obowiązywać większość okresów przejściowych. Od tego dnia:
- Wszystkie obowiązki dla systemów wysokiego ryzyka są w pełni egzekwowalne.
- Obowiązki dla modeli ogólnego przeznaczenia (GPAI) wprowadzone rok wcześniej są teraz weryfikowane.
- Kary administracyjne mogą być nakładane w pełnej wysokości.
- Organy nadzoru (w Polsce prawdopodobnie UODO lub nowo powołany urząd) zaczynają aktywne kontrole.
Do 2 sierpnia 2026 firmy miały czas na dostosowanie. Po tej dacie regulatorzy przestają tłumaczyć i zaczynają egzekwować. W Polsce to mniej niż 4 miesiące.
Kalendarz wchodzenia w życie AI Act
| Data | Co wchodzi w życie |
|---|---|
| 1 sierpnia 2024 | AI Act wchodzi w życie formalnie |
| 2 lutego 2025 | Zakazy praktyk niedopuszczalnych (social scoring, manipulacja emocjonalna, predykcyjne policing, biometryczna identyfikacja w czasie rzeczywistym) |
| 2 sierpnia 2025 | Obowiązki dla modeli ogólnego przeznaczenia (GPAI) — dostawcy modeli typu GPT-4, Claude, Gemini |
| 2 sierpnia 2026 | Pełne stosowanie pozostałych przepisów, w tym większości dla systemów wysokiego ryzyka |
| 2 sierpnia 2027 | Końcowe przepisy dla systemów wysokiego ryzyka w produktach regulowanych (medyczne, motoryzacyjne, dźwigi) |
Kogo dotyczy AI Act — role i obowiązki
AI Act nakłada obowiązki na cztery role. Większość polskich firm występuje w co najmniej jednej:
Provider (dostawca)
Firma, która tworzy lub rozwija system AI i wprowadza go na rynek UE pod własną marką. Najwięcej obowiązków. W Polsce: firmy software'owe tworzące własne modele lub aplikacje AI.
Deployer (użytkownik)
Firma, która używa systemu AI w swojej działalności zawodowej — nawet jeśli system kupiła od zewnętrznego dostawcy. To większość polskich firm. Firma używająca ChatGPT do obsługi klienta jest deployerem.
Importer
Firma, która wprowadza na rynek UE system AI z kraju trzeciego. Dotyczy dystrybutorów modeli nieunijnych.
Distributor
Firma, która udostępnia system AI na rynku UE — np. marketplace'y, partnerzy handlowi.
Klasyfikacja ryzyka — co musi zrobić każda kategoria
AI Act dzieli systemy AI na cztery kategorie ryzyka. Klasyfikacja determinuje obowiązki:
1. Praktyki niedopuszczalne (ZAKAZ od 2 lutego 2025)
Nie wolno używać w firmie pod żadnym pozorem:
- Systemów social scoring (ocena obywateli na podstawie zachowania).
- Predykcyjnego profilowania kryminalnego.
- Manipulacji emocjonalnej wykorzystującej luki poznawcze osób.
- Biometrycznej identyfikacji w czasie rzeczywistym w przestrzeni publicznej.
- Rozpoznawania emocji w miejscu pracy lub edukacji.
- Kategoryzacji biometrycznej w celu wywodzenia wrażliwych cech.
2. Systemy wysokiego ryzyka
Najwięcej obowiązków. Kategorie obejmują:
- Systemy w rekrutacji i HR (skrining CV, ocena pracowników).
- Systemy scoringu kredytowego i oceny zdolności kredytowej.
- Systemy medyczne podejmujące decyzje o pacjencie.
- Systemy edukacyjne oceniające uczniów.
- Systemy w wymiarze sprawiedliwości i organach ścigania.
- Systemy biometrycznej identyfikacji (poza zakazanymi).
- Systemy w zarządzaniu infrastrukturą krytyczną.
Obowiązki: system zarządzania ryzykiem, dokumentacja techniczna, rejestry logów, ludzki nadzór, ocena zgodności przed wprowadzeniem na rynek, rejestracja w unijnej bazie danych.
3. Ograniczone ryzyko (transparentność)
Obowiązek informowania użytkownika, że ma do czynienia z AI:
- Chatboty obsługi klienta — klient musi wiedzieć, że rozmawia z AI.
- Deepfake i generowane treści — muszą być oznaczone.
- Systemy rozpoznawania emocji (gdy dopuszczone).
- Systemy kategoryzacji biometrycznej (gdy dopuszczone).
4. Minimalne ryzyko
Żadnych szczególnych obowiązków. Dotyczy: spam filterów, gier AI, systemów rekomendacji produktów w e-commerce, asystentów edycyjnych (jak wbudowane AI w Wordzie). To 80% typowych zastosowań w biznesie B2B.
GPAI — modele ogólnego przeznaczenia w firmie
Od 2 sierpnia 2025 obowiązują przepisy dla modeli ogólnego przeznaczenia (GPAI — General-Purpose AI): GPT-4, Claude, Gemini, Llama, Mistral. Obowiązki spoczywają na dostawcach modeli — nie na firmach, które z nich korzystają. OpenAI, Anthropic, Google muszą:
- Publikować dokumentację techniczną.
- Respektować prawa autorskie.
- Publikować streszczenie danych treningowych.
- Dla GPAI o "ryzyku systemowym" (największe modele): dodatkowe testy i zgłoszenie do Komisji.
Co to oznacza dla polskiej firmy używającej ChatGPT Enterprise lub Claude Team: formalnie nie masz obowiązków GPAI — masz obowiązek deployera stosującego GPAI w swoim procesie. Czyli: jeśli używasz Claude do wewnętrznej automatyzacji, musisz udokumentować jak i po co. Jeśli używasz Claude w systemie HR do skriningu CV, dodatkowo musisz spełnić obowiązki wysokiego ryzyka.
Checklist: co zrobić do 2 sierpnia 2026
Konkretna, minimalna lista zadań, które polska firma B2B powinna zamknąć w ciągu 3-4 miesięcy. Rozszerzenie tej listy w osobnym artykule o polityce AI w firmie.
Krok 1: Audyt obecnego użycia AI (tydzień 1-2)
- ☐ Zmapuj wszystkie systemy AI używane w firmie (narzędzia oficjalne + shadow AI).
- ☐ Zidentyfikuj dostawców, lokalizację danych, wersje (darmowe vs Enterprise).
- ☐ Dla każdego systemu ustal czy to inhouse (provider) czy używany gotowy (deployer).
Krok 2: Klasyfikacja ryzyka każdego systemu (tydzień 3-4)
- ☐ Dla każdego użycia AI — określ kategorię ryzyka (niedopuszczalne / wysokie / ograniczone / minimalne).
- ☐ Dla systemów wysokiego ryzyka — szczegółowa analiza wymogów rozdziału III AI Act.
- ☐ Dla systemów ograniczonego ryzyka — lista mechanizmów informowania użytkownika.
Krok 3: Polityka AI i dokumentacja (tydzień 5-6)
- ☐ Polityka AI w firmie spisana i zatwierdzona przez zarząd.
- ☐ Rejestr systemów AI (wewnętrzny ROPC-podobny dokument).
- ☐ Oceny ryzyka (Algorithmic Impact Assessment) dla wszystkich systemów wysokiego ryzyka.
- ☐ DPIA aktualizowane w powiązaniu z AI Act.
Krok 4: Obowiązki informacyjne (tydzień 7-8)
- ☐ Chatboty oznaczone jako AI.
- ☐ Treści generowane przez AI (artykuły, grafiki) — informacja dla odbiorcy.
- ☐ Klauzule o AI w umowach z klientami i podwykonawcami.
Krok 5: Zarządzanie (tydzień 9-10)
- ☐ Wyznacz AI Officera (może być poszerzenie roli DPO).
- ☐ Procedura zatwierdzania nowych systemów AI.
- ☐ Procedura zgłaszania incydentów.
- ☐ Proces audytów wewnętrznych.
Krok 6: Szkolenia (tydzień 11-12)
- ☐ Szkolenie "AI Literacy" dla wszystkich pracowników (obowiązek z art. 4 AI Act).
- ☐ Szkolenia specjalistyczne dla zespołów pracujących z systemami wysokiego ryzyka.
- ☐ Podpisane potwierdzenia zapoznania się z polityką AI.
Krok 7: Dokumentacja techniczna (tydzień 13-15)
- ☐ Dla systemów wysokiego ryzyka — pełna dokumentacja techniczna zgodnie z Załącznikiem IV AI Act.
- ☐ Logi przechowywania i monitoring.
- ☐ Mechanizmy ludzkiego nadzoru udokumentowane i wdrożone.
Krok 8: Audyt końcowy (tydzień 16)
- ☐ Przegląd zgodności przez prawnika lub audytora zewnętrznego.
- ☐ Raport gotowości na zarząd.
- ☐ Plan aktualizacji (rewizja co 6 miesięcy).
Kary i organ nadzoru w Polsce
Wysokość kar (art. 99 AI Act)
- Do 35 mln EUR lub 7% światowego rocznego obrotu — za zakazane praktyki.
- Do 15 mln EUR lub 3% obrotu — za pozostałe naruszenia obowiązków.
- Do 7,5 mln EUR lub 1,5% obrotu — za dostarczenie niepoprawnych informacji regulatorowi.
Dla MŚP stosuje się zasadę proporcjonalności — kara nie może prowadzić do niewypłacalności. Ale "proporcjonalna" kara dla firmy z obrotem 50 mln zł może wynosić 500 tys. - 1,5 mln zł. To nadal poważna kwota.
Organ nadzoru w Polsce
Polska była jednym z ostatnich państw UE, które wyznaczyły organ. W 2026 obowiązki nadzoru nad AI Act realizuje Urząd Ochrony Danych Osobowych (UODO) w zakresie dotyczącym przetwarzania danych osobowych, oraz — częściowo — nowa Komisja ds. Rozwoju i Bezpieczeństwa Sztucznej Inteligencji przy Ministerstwie Cyfryzacji. Struktura jest w trakcie finalizacji.
Najczęstsze błędy firm
- "To nas nie dotyczy, bo nie tworzymy AI." Dotyczy — jako deployera. Użycie gotowych narzędzi też podlega AI Act.
- "Mamy RODO, to starczy." RODO i AI Act to różne reżimy. Część obowiązków się pokrywa, ale AI Act dodaje dokumentację techniczną, nadzór ludzki i klasyfikację ryzyka.
- "Zostawmy to prawnikom, oni to ogarną." AI Act wymaga zaangażowania IT, HR, operacji, a nie tylko prawników. To projekt cross-funkcjonalny.
- "Poczekamy aż nas skontrolują." Pierwsze kary spodziewane są w ciągu 12 miesięcy od pełnego stosowania. Po 2 sierpnia 2026 ryzyko rośnie gwałtownie.
- "Znajdziemy luki i obejdziemy." AI Act ma zapisaną zasadę "substance over form" — liczy się jak AI realnie działa, nie jak jest opisany.
- "Nasz CRM nie jest systemem AI." Jeśli CRM używa ML do scoringu leadów albo rekomendacji, to wchodzi w zakres. Sprawdź.
- "Zrobimy to w ostatniej chwili." Realny harmonogram to 3-6 miesięcy dla średniej firmy. Mniej to ryzyko błędów.
Jeśli potrzebujesz pomocy w audycie AI i przygotowaniu firmy do AI Act, zajmujemy się tym od strony procesowej i technologicznej. Zobacz nasze usługi automatyzacji AI lub napisz do nas.
FAQ
Kiedy wchodzi w życie AI Act w Polsce?
AI Act (Rozporządzenie UE 2024/1689) wszedł w życie 1 sierpnia 2024 i jest stosowany w całej UE, w tym w Polsce, z kilkoma deadline'ami: 2 lutego 2025 — zakazy praktyk niedopuszczalnych, 2 sierpnia 2025 — obowiązki dla modeli ogólnego przeznaczenia (GPAI), 2 sierpnia 2026 — pełne stosowanie większości przepisów, 2 sierpnia 2027 — końcowe przepisy dla systemów wysokiego ryzyka w produktach regulowanych.
Czy AI Act dotyczy małej polskiej firmy?
Tak, jeśli firma używa systemów AI na rynku UE, nawet jako deployer (firma, która wdraża gotowy system AI w swoich procesach). Mała firma stosująca ChatGPT do obsługi klienta jest deployerem. Zakres obowiązków zależy od klasyfikacji ryzyka systemu. Dla większości zastosowań (marketing, automatyzacja back-office) obowiązki są minimalne — ale ich znajomość i podstawowa dokumentacja są wymagane.
Jakie są kary za naruszenie AI Act?
Trzy poziomy kar: za stosowanie zakazanych praktyk AI — do 35 mln EUR lub 7% światowego rocznego obrotu (którakolwiek kwota wyższa). Za naruszenie pozostałych obowiązków — do 15 mln EUR lub 3% obrotu. Za dostarczenie niepoprawnych informacji regulatorowi — do 7,5 mln EUR lub 1,5% obrotu. W Polsce organem nadzoru będzie prawdopodobnie UODO lub nowo powołany urząd.
Czy używanie ChatGPT w firmie wymaga zgodności z AI Act?
Zależy od sposobu użycia. Jeśli ChatGPT używany jest do zadań o ryzyku niskim lub minimalnym (marketing, edycja tekstu, analiza danych wewnętrznych) — obowiązki są ograniczone: polityka AI w firmie, świadomość pracowników, logowanie użycia. Jeśli ChatGPT podejmuje decyzje wpływające na osoby (rekrutacja, ocena zdolności kredytowej, decyzje medyczne) — wchodzi w kategorię wysokiego ryzyka i wymaga pełnej zgodności.