Sierpień 2026. Za kilka miesięcy w pełni zaczyna obowiązywać EU AI Act - pierwsza na świecie kompleksowa regulacja sztucznej inteligencji. Kary: do 35 milionów euro lub 7% globalnego obrotu.
Jeśli Twoja firma używa AI (a w 2026 roku prawie każda używa), musisz wiedzieć co się zmienia.
Co to jest EU AI Act
Rozporządzenie Parlamentu Europejskiego i Rady uchwalone 13 czerwca 2024, weszło w życie 1 sierpnia 2024. Nie dyrektywa - rozporządzenie. Oznacza to, że obowiązuje bezpośrednio w każdym kraju EU, w tym w Polsce. Bez implementacji do prawa krajowego. Bez czekania na Sejm.
Pełna nazwa: Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence. W skrócie: AI Act.
Cel: zapewnić że AI używane w Europie jest bezpieczne, transparentne i szanuje prawa obywateli. Nie chodzi o zakaz AI. Chodzi o reguły gry.
Harmonogram - co kiedy wchodzi
EU AI Act nie wchodzi naraz. Poszczególne obowiązki włączają się etapami.
Luty 2025 (już obowiązuje): Zakazy - systemy AI które manipulują zachowaniem, social scoring, rozpoznawanie emocji w miejscu pracy i szkołach. Obowiązek AI literacy - firmy muszą zapewnić że pracownicy rozumieją AI z którego korzystają.
Sierpień 2025 (już obowiązuje): Wymogi dla modeli GPAI (General Purpose AI - jak GPT-4, Claude, Gemini). Dostawcy modeli muszą udostępnić dokumentację techniczną, politykę praw autorskich, podsumowanie danych treningowych.
Sierpień 2026 (zbliża się): Pełne zastosowanie dla większości obowiązków. High-risk AI systems z Aneksu III (np. HR, credit scoring, edukacja, wymiar sprawiedliwości) muszą mieć: ocenę ryzyka, system zarządzania jakością, dokumentację techniczną, rejestrację w europejskiej bazie danych. Wymogi transparentności w pełni obowiązują.
Sierpień 2027: High-risk AI systems wbudowane w produkty pod regulacjami bezpieczeństwa (Aneks I - zabawki, samochody, urządzenia medyczne) muszą spełnić pełne wymogi z CE marking. To rozszerzony okres przejściowy dla tej kategorii.
Kary - ile to kosztuje gdy się nie dostosujesz
EU AI Act przewiduje trzy poziomy kar. To nie są kwoty symboliczne.
| Naruszenie | Kara max | % obrotu |
|---|---|---|
| Naruszenie zakazów (manipulacja, social scoring) | 35 mln EUR | 7% |
| Naruszenie wymogów (high-risk, GPAI, transparentność) | 15 mln EUR | 3% |
| Podanie błędnych informacji organom nadzoru | 7.5 mln EUR | 1% |
Dla MŚP i startupów kary są proporcjonalnie niższe - ale nadal bolesne. Firma z obrotem 10 mln PLN rocznie: kara do 700 000 PLN (7%) za najpoważniejsze naruszenia.
Dla porównania: GDPR przewiduje kary do 20 mln EUR lub 4% obrotu. AI Act idzie dalej.
Czy Twoja firma używa "high-risk AI"?
Tu jest kluczowe pytanie. AI Act dzieli systemy AI na kategorie ryzyka. Od tego zależy ile obowiązków masz.
### Niedopuszczalne ryzyko (zakazane)
- Manipulacja podprogowa zachowaniem
- Social scoring przez władze publiczne
- Rozpoznawanie emocji w pracy i szkołach
- Biometryczna identyfikacja w czasie rzeczywistym w miejscach publicznych (z wyjątkami)
Jeśli Twoja firma robi cokolwiek z tej listy - musisz natychmiast przestać.
### Wysokie ryzyko (heavy regulation)
- HR i rekrutacja: AI które sortuje CV, ocenia kandydatów, scoruje aplikacje
- Decyzje finansowe: credit scoring, ocena zdolności kredytowej, pricing ubezpieczeń
- Edukacja i egzaminy: AI oceniające uczniów, systemy kwalifikacyjne
- Zdrowie: diagnostyka wspierana AI, systemy wspomagania decyzji klinicznych
- Wymiar sprawiedliwości: AI wspomagające decyzje sądowe, ocena ryzyka recydywy
- Infrastruktura krytyczna: zarządzanie ruchem, sieciami energetycznymi
High-risk AI wymaga: oceny ryzyka, dokumentacji technicznej, systemu zarządzania jakością, monitorowania po wdrożeniu, rejestracji w bazie EU, CE marking. To dużo pracy i kosztów.
### Ograniczone ryzyko (transparentność)
- Chatboty: użytkownik musi wiedzieć że rozmawia z AI
- Deepfake i generowane obrazy: treści AI muszą być oznaczone
- Systemy generujące tekst (np. automatyczne artykuły): muszą informować że treść pochodzi od AI
- Systemy rozpoznawania emocji lub kategoryzacji biometrycznej: użytkownicy muszą być poinformowani
### Minimalne / brak ryzyka
- Wewnętrzny chatbot do bazy wiedzy firmy
- AI do tłumaczeń i podsumowań spotkań
- Filtr spamu
- Automatyczne tagowanie dokumentów
Większość firm w Polsce używa AI z kategorii "minimalne ryzyko". Chatbot wewnętrzny, podsumowania, tłumaczenia. Tu wymagania są minimalne: podstawowa dokumentacja i transparentność.
Ale jeśli Twój dział HR używa AI do selekcji CV - to high-risk. Jeśli Twój bank używa AI do oceny kredytowej - high-risk. Tu obowiązki rosną dramatycznie.
Jak się przygotować - 4 kroki
### Krok 1: Audyt AI w firmie
Zrób listę. Jakie systemy AI używasz? Kto ich używa? Do czego? Jakie dane przetwarzają?
Nie chodzi tylko o oficjalne narzędzia. Chodzi też o shadow IT - pracownicy którzy używają ChatGPT, Copilot, Midjourney na własną rękę. To bardzo powszechne zjawisko w polskich firmach i większość zespołów nie ma kontroli nad tym ile i jakich narzędzi AI faktycznie używa personel.
Lista powinna zawierać:
- Nazwa narzędzia / systemu AI
- Dostawca (OpenAI, Google, self-hosted)
- Cel użycia (chatbot, analiza, scoring, generowanie treści)
- Typ danych wejściowych (dane osobowe, dane firmowe, dane publiczne)
- Gdzie przetwarzane (USA, EU, on-premise)
- Kto ma dostęp
### Krok 2: Klasyfikacja ryzyka
Na podstawie audytu - przypisz każdemu systemowi kategorię ryzyka. Zakazane, wysokie, ograniczone, minimalne.
Jeśli masz coś z kategorii "zakazane" - wyłącz natychmiast. Jeśli masz "wysokie ryzyko" - zaplanuj budżet i czas na compliance (miesiące pracy, nie dni).
### Krok 3: Dokumentacja
Dla każdego systemu AI przygotuj:
- Opis systemu i jego celu
- Ocena ryzyka (dla high-risk) z informacją o danych wejściowych i wyjściowych
- Procedura nadzoru ludzkiego
- Plan monitorowania po wdrożeniu
Dla systemów "minimalne ryzyko" wystarczy podstawowa dokumentacja. Dla "high-risk" - pełna dokumentacja techniczna z CE marking.
### Krok 4: Rozważ self-hosting
Self-hosted AI (modele na własnym serwerze w EU) upraszcza compliance w kilku wymiarach:
- Dane nie opuszczają EU - eliminujesz problem transferu danych do USA
- Pełne logi i audit trail - wiesz kto co wpisał i kiedy
- Kontrola nad modelem - wiesz jaki model działa i jak jest skonfigurowany
- Łatwiejsze spełnienie Art. 17 GDPR (prawo do usunięcia) i niezależność od dostawcy
To nie znaczy że self-hosting automatycznie daje compliance. Ale daje narzędzia do jego osiągnięcia. ChatGPT w chmurze tych narzędzi nie daje.
Co zrobić do sierpnia 2026
Masz kilka miesięcy. Oto minimum:
Teraz: Przeprowadź audyt AI w firmie. Zidentyfikuj shadow IT. Sprawdź czy używasz high-risk AI.
Kwiecień-Maj: Przygotuj dokumentację dla systemów AI które zostajesz. Przeszkol pracowników (AI literacy - to już obowiązuje od lutego 2025).
Czerwiec-Lipiec: Jeśli masz high-risk AI - rozpocznij procedurę zgodności (ocena ryzyka, dokumentacja techniczna, rejestracja). Rozważ migrację wrażliwych danych z cloud AI do self-hosted.
Sierpień: Pełne zastosowanie. Bądź gotowy na kontrole.
Nie czekaj do lipca. Proces compliance trwa tygodnie, nie dni.
---
Nie wiesz czy Twoje AI jest zgodne z EU AI Act? Przeprowadzimy darmowy audyt AI w Twojej firmie. Sprawdź Prywatne AI dla firm.
---
Disclaimer prawny: Ten artykuł ma charakter informacyjny i nie stanowi porady prawnej. EU AI Act to złożona regulacja, a klasyfikacja konkretnego systemu AI (high-risk, limited-risk, minimal-risk) wymaga indywidualnej oceny. Przed wdrożeniem systemów AI skonsultuj się z prawnikiem specjalizującym się w regulacjach UE. Harmonogram i interpretacje mogą ulec zmianie przez European AI Board.
