AI Act (Artificial Intelligence Act) bez chaosu – co firmy muszą wiedzieć i zrobić w 2026 roku
AI Act (Artificial Intelligence Act) nie jest regulacją przeznaczoną wyłącznie dla producentów zaawansowanych modeli językowych. Dotyczy również firm, które korzystają z chatbotów, generatorów opisów produktów, systemów rekrutacyjnych, scoringu, syntetycznych lektorów, automatycznej analizy danych lub narzędzi wspierających decyzje o klientach i pracownikach.
Rozporządzenie UE 2024/1689 jest wdrażane etapami. Część obowiązków już działa, kolejne zaczną być stosowane w sierpniu 2026 roku, a dla wybranych systemów wysokiego ryzyka Komisja Europejska komunikuje późniejsze terminy. Dlatego wdrożenia nie należy zaczynać od kupienia szkolenia ani pobrania gotowej polityki AI. Najpierw trzeba ustalić, gdzie firma faktycznie używa sztucznej inteligencji i co robią te narzędzia.
Stan prawny na 16 lipca 2026 roku: artykuł uwzględnia obowiązujące rozporządzenie oraz harmonogram komunikowany przez Komisję po porozumieniu politycznym dotyczącym uproszczenia przepisów. Przy wdrożeniu systemów wysokiego ryzyka należy dodatkowo sprawdzić aktualny tekst opublikowany w Dzienniku Urzędowym UE.
Czym jest AI Act i kogo naprawdę dotyczy
AI Act nie reguluje każdej funkcji opartej na algorytmach w ten sam sposób. Zakres obowiązków zależy od tego, kto oferuje system, kto go używa, do czego został przeznaczony i czy jego wynik może wpływać na bezpieczeństwo, prawa człowieka lub ważne decyzje.
Co oznacza Artificial Intelligence Act w prostym języku
Artificial Intelligence Act jest unijnym rozporządzeniem ustanawiającym wspólne zasady tworzenia, udostępniania i profesjonalnego używania systemów AI. Konstrukcja przepisów opiera się na ryzyku. Im poważniejszy może być wpływ narzędzia na zdrowie, bezpieczeństwo, prawa podstawowe lub dostęp do ważnych usług, tym bardziej rozbudowane są wymagania.
Nie liczy się wyłącznie technologia zastosowana w produkcie. Ten sam model może pomagać pracownikowi w poprawianiu stylu wiadomości i nie wywoływać dużego ryzyka, a po połączeniu z systemem automatycznie oceniającym kandydatów do pracy wejść w znacznie bardziej restrykcyjny obszar. Komisja wskazuje, że klasyfikacja zależy od intended purpose, czyli funkcji, konkretnego celu i warunków używania systemu.
Czy AI Act dotyczy każdej firmy korzystającej z AI
Nie każda firma będzie miała takie same obowiązki, ale bardzo wiele organizacji znajdzie się w zakresie regulacji. Przepisy obejmują podmioty prywatne i publiczne, które wprowadzają system AI lub model ogólnego przeznaczenia na rynek UE, oddają system do używania albo wykorzystują go na terenie Unii.
Oznacza to, że sklep internetowy korzystający z chatbota, pracodawca używający programu do analizy CV i agencja tworząca realistyczne materiały reklamowe za pomocą AI mogą podlegać odmiennym wymaganiom. Firma nie wypada z zakresu tylko dlatego, że kupiła gotową usługę SaaS i nie tworzy własnego modelu. Może występować jako podmiot stosujący system, a sposób jego konfiguracji nadal ma znaczenie.
Czy regulacja obejmuje firmy spoza Unii Europejskiej
Tak. AI Act może dotyczyć również przedsiębiorstw mających siedzibę poza UE. Znaczenie ma między innymi to, czy ich system jest oferowany na rynku unijnym, używany w Unii lub wpływa na osoby znajdujące się na jej terytorium.
Polska firma kupująca amerykańskie albo azjatyckie narzędzie nie powinna więc ograniczać due diligence do ceny, funkcjonalności i poziomu dostępności usługi. Trzeba ustalić, czy dostawca przekazuje informacje potrzebne do prawidłowego używania systemu, jak rozdziela odpowiedzialność, jak obsługuje incydenty oraz czy wspiera wymagane oznaczanie i dokumentowanie wyników.
Provider, deployer, importer i distributor – jak rozpoznać swoją rolę
Rola przedsiębiorcy nie wynika z nazwy stanowiska ani branży. Trzeba sprawdzić, co organizacja rzeczywiście robi z systemem.
| Rola | Kim jest w praktyce | Przykład |
|---|---|---|
| Provider, czyli dostawca | Rozwija system albo zleca jego rozwój i oferuje go pod własną nazwą | SaaS udostępniający klientom własny generator treści |
| Deployer, czyli podmiot stosujący | Używa systemu w ramach działalności zawodowej | Sklep korzystający z chatbota lub agencja używająca generatora obrazu |
| Importer | Wprowadza na rynek UE system pochodzący od dostawcy spoza Unii | Europejski dystrybutor zagranicznego oprogramowania |
| Distributor | Udostępnia system w łańcuchu dostaw, ale nie jest jego dostawcą ani importerem | Partner handlowy sprzedający gotowe rozwiązanie AI |
Podział nie zawsze będzie oczywisty. Firma, która bierze cudzy model, tworzy własny interfejs, zmienia przeznaczenie produktu i sprzedaje całość klientom pod własną marką, może przejść z roli zwykłego użytkownika do roli dostawcy. Szczególnie ważne jest to w software house’ach, marketplace’ach i platformach SaaS, które dodają własną warstwę funkcjonalną do zewnętrznych modeli GPAI.

Jak AI Act klasyfikuje systemy według ryzyka
Podział według ryzyka decyduje o niemal wszystkich dalszych obowiązkach. Zwykły filtr spamu nie jest traktowany tak samo jak system oceniający kandydatów, zdolność kredytową lub stan zdrowia. Dlatego klasyfikację trzeba przeprowadzić przed zakupem i wdrożeniem narzędzia.
| Poziom ryzyka | Przykładowe zastosowania | Konsekwencje |
|---|---|---|
| Niedopuszczalne | Niektóre formy manipulacji, social scoring, nieukierunkowany scraping twarzy, część rozpoznawania emocji | Użycie systemu jest zakazane |
| Wysokie | Rekrutacja, ocena pracowników, kredyt, wybrane zastosowania medyczne, infrastruktura krytyczna | Rozbudowane obowiązki dostawcy i podmiotu stosującego |
| Ograniczone | Chatboty, deepfake’i, niektóre generowane treści | Obowiązki przejrzystości i ujawnienia |
| Minimalne | Filtry spamu, wiele narzędzi pomocniczych i gier | Zwykle brak nowych obowiązków wynikających bezpośrednio z aktu |
Komisja podkreśla, że większość systemów AI należy do grupy minimalnego ryzyka i może być używana bez dodatkowych obowiązków wynikających z rozporządzenia. Nie oznacza to jednak wyłączenia innych przepisów dotyczących danych osobowych, ochrony konsumentów, prawa autorskiego, bezpieczeństwa produktu lub prawa pracy.
Praktyki zakazane – czego firmom nie wolno robić
Zakazane praktyki obejmują między innymi szkodliwą manipulację, wykorzystywanie szczególnej podatności osób, scoring społeczny, przewidywanie przestępczości oparte wyłącznie na profilowaniu oraz masowe pobieranie zdjęć twarzy z internetu lub nagrań CCTV w celu tworzenia baz rozpoznawania.
Problematyczne jest także rozpoznawanie emocji w miejscu pracy i placówkach edukacyjnych, z wyjątkiem wąskich zastosowań medycznych lub związanych z bezpieczeństwem. Firma testująca analizę tonu głosu konsultantów, mimiki kandydatów albo „poziomu zaangażowania” pracowników powinna najpierw sprawdzić, czy sam use case nie jest zabroniony. W takim przypadku informacja dla pracownika ani zgoda w regulaminie nie legalizują systemu.
Systemy wysokiego ryzyka – kiedy obowiązków jest najwięcej
Do systemów wysokiego ryzyka mogą należeć rozwiązania wykorzystywane w edukacji, zatrudnieniu i zarządzaniu pracownikami, ocenie zdolności kredytowej, dostępie do podstawowych usług, infrastrukturze krytycznej, medycynie, migracji, organach ścigania i wymiarze sprawiedliwości.
W środowisku biznesowym szczególną uwagę trzeba zwrócić na narzędzia służące do targetowania ogłoszeń o pracę, filtrowania aplikacji, oceniania kandydatów, przydzielania zadań, kontrolowania wydajności oraz podejmowania decyzji o awansie lub rozwiązaniu umowy. W sektorze finansowym podobne ryzyko dotyczy systemów oceniających zdolność kredytową osób fizycznych.
Dostawca systemu wysokiego ryzyka musi między innymi prowadzić zarządzanie ryzykiem, dbać o jakość i reprezentatywność danych, przygotować dokumentację techniczną, zapewnić logowanie zdarzeń, przejrzystość, nadzór człowieka, dokładność, odporność i cyberbezpieczeństwo. Przed wprowadzeniem produktu na rynek konieczna może być ocena zgodności, a system powinien zostać zarejestrowany w unijnej bazie.
Systemy objęte obowiązkiem przejrzystości
Ograniczone ryzyko nie oznacza braku obowiązków. W niektórych sytuacjach osoba korzystająca z usługi powinna wiedzieć, że rozmawia z systemem AI. Dotyczy to na przykład chatbotów, o ile sztuczny charakter rozmówcy nie jest oczywisty w danych okolicznościach.
Osobne wymagania dotyczą technicznego znakowania wyników systemów generatywnych, informowania osób poddanych działaniu systemów rozpoznawania emocji albo kategoryzacji biometrycznej oraz ujawniania deepfake’ów i niektórych tekstów wygenerowanych w celu informowania opinii publicznej o sprawach interesu publicznego.
AI Act a chatboty, deepfake’i i modele GPAI
Chatbot, generator opisów produktów, syntetyczny lektor i realistyczne wideo nie podlegają jednej, wspólnej zasadzie „oznacz wszystko”. AI Act rozdziela obowiązki dostawcy technologii od obowiązków firmy publikującej materiał, a zakres ujawnienia zależy od formy oraz celu treści.
Czym są modele GPAI i kiedy pojawia się ryzyko systemowe
GPAI to modele ogólnego przeznaczenia, które mogą wykonywać szeroki zakres zadań i stanowić podstawę wielu późniejszych systemów. Dostawcy takich modeli muszą przygotowywać dokumentację techniczną, przekazywać określone informacje dalszym dostawcom, posiadać politykę zgodności z unijnym prawem autorskim oraz publikować podsumowanie treści użytych do trenowania modelu.
Najbardziej zaawansowane modele mogą zostać uznane za modele stwarzające ryzyko systemowe. W takim przypadku dochodzą wymagania związane z oceną i ograniczaniem ryzyka, testowaniem modelu, raportowaniem poważnych incydentów i cyberbezpieczeństwem. Samo korzystanie z gotowego modelu nie powoduje jednak automatycznie, że sklep lub agencja staje się dostawcą GPAI.
Kiedy użytkownik musi wiedzieć, że rozmawia z AI
Dostawca systemu przeznaczonego do bezpośredniej interakcji z osobą fizyczną powinien zaprojektować go tak, aby użytkownik został poinformowany, że rozmawia z AI. Wyjątkiem jest sytuacja, w której jest to oczywiste dla rozsądnie uważnej i dobrze poinformowanej osoby, biorąc pod uwagę kontekst.
W praktyce sklep powinien zadbać, aby informacja pojawiła się przy rozpoczęciu rozmowy, a nie dopiero w regulaminie ukrytym w stopce. Przykładowe komunikaty mogą brzmieć: „Rozmawiasz z asystentem AI” albo „Odpowiedzi generuje automatyczny system wykorzystujący sztuczną inteligencję”.
Kiedy treść generowana przez AI wymaga oznaczenia
Trzeba rozróżnić dwa rodzaje obowiązków. Dostawcy systemów generujących syntetyczny tekst, obraz, audio lub wideo mają zapewnić maszynowo czytelne oznaczanie i wykrywalność outputu jako treści wygenerowanej lub zmanipulowanej. Rozwiązanie powinno być efektywne, interoperacyjne, odporne i wiarygodne w zakresie, w jakim jest to technicznie wykonalne.
Podmiot publikujący materiał ma natomiast obowiązek widocznego ujawnienia sztucznego charakteru treści, gdy obraz, dźwięk albo film stanowią deepfake. Podobny obowiązek dotyczy tekstu stworzonego lub zmanipulowanego przez AI, jeżeli jest publikowany w celu informowania opinii publicznej o sprawach interesu publicznego. Przepisy zawierają wyjątki, między innymi dla treści objętych realną kontrolą redakcyjną i odpowiedzialnością redakcyjną.
Czy każda grafika i każdy opis produktu muszą mieć etykietę AI
Nie. AI Act nie ustanawia ogólnej zasady, zgodnie z którą każdy opis produktu, baner albo packshot przygotowany z pomocą generatora powinien zostać widocznie opisany jako treść AI.
Zwykły opis produktu stworzony przez copywritera z pomocą modelu językowego co do zasady nie jest tekstem publikowanym w celu informowania opinii publicznej o sprawie interesu publicznego. Nadal powinien zostać sprawdzony pod kątem błędów, nieprawdziwych parametrów, obietnic sprzedażowych i praw osób trzecich, ale sam udział AI nie uruchamia automatycznie etykiety przewidzianej w art. 50.
Inaczej należy potraktować realistyczne nagranie imitujące konkretną osobę, klon jej głosu albo zmanipulowany film przedstawiający zdarzenie, które nigdy nie miało miejsca. Taki materiał może spełniać definicję deepfake’u i wymagać ujawnienia sztucznego charakteru.

Co firmy muszą oznaczać w e-commerce, marketingu i na marketplace
Dla sklepów internetowych, agencji i marketplace’ów najważniejsze jest rozdzielenie zwykłej pomocy AI od sytuacji, które wymagają ujawnienia, technicznego znakowania albo pełnego reżimu wysokiego ryzyka. Poniższa tabela przekłada przepisy na codzienne procesy sprzedaży i marketingu.
| Zastosowanie AI | Czy wymaga oznaczenia | Co przedsiębiorca powinien zrobić | Najczęstsza rola |
|---|---|---|---|
| Chatbot na stronie lub w aplikacji | Zwykle tak – użytkownik powinien wiedzieć, że rozmawia z AI | Umieścić jasny komunikat przy rozpoczęciu interakcji i sprawdzić funkcję u dostawcy | Deployer, czasem provider |
| Generator opisów produktów używany wewnętrznie | Zwykle nie wymaga publicznej etykiety | Zapewnić weryfikację parametrów, zakaz wprowadzania danych poufnych, kontrolę praw autorskich i szkolenie zespołu | Deployer |
| Automatyczne tłumaczenie opisu | Zwykle bez etykiety | Sprawdzić sens, dane techniczne, ostrzeżenia i instrukcje bezpieczeństwa | Deployer |
| Grafika produktu wygenerowana od zera | Nie zawsze wymaga widocznej etykiety z art. 50 | Ocenić, czy materiał może zostać uznany za deepfake lub wprowadzać konsumenta w błąd; zachować informacje o pochodzeniu | Deployer |
| Klon głosu realnej osoby | Często tak | Ujawnić, że dźwięk został wygenerowany lub zmanipulowany; zabezpieczyć zgodę i prawa do wizerunku lub głosu | Deployer |
| Realistyczny awatar imitujący człowieka | Często tak, gdy materiał spełnia cechy deepfake’u | Zastosować czytelny komunikat w materiale, a nie wyłącznie w regulaminie kampanii | Deployer |
| Wideo pokazujące fikcyjne zdarzenie jako prawdziwe | Tak, jeśli jest deepfake’iem | Oznaczyć sztuczny lub zmanipulowany charakter nagrania w odpowiedniej, widocznej formie | Deployer |
| Artykuł o sprawach interesu publicznego wygenerowany bez kontroli redakcyjnej | Tak | Ujawnić wykorzystanie AI albo wdrożyć realny human review i przypisać odpowiedzialność redakcyjną | Deployer lub wydawca |
| Własny generator opisów lub grafik oferowany sprzedawcom | Także obowiązki techniczne | Zapewnić maszynowo czytelne oznaczanie outputu, dokumentację, procedury i informacje dla klientów | Provider |
| Marketplace udostępniający sprzedawcom generator ofert | Zależy od konstrukcji usługi | Ustalić, czy platforma jest tylko podmiotem stosującym, czy staje się dostawcą systemu | Deployer lub provider |
| AI filtrująca CV kandydatów | Nie chodzi o zwykłą etykietę – możliwy system wysokiego ryzyka | Ustalić klasyfikację, zapewnić nadzór człowieka, informacje dla pracowników i kandydatów oraz dokumentację | Provider i deployer |
| System scoringowy lub BNPL | Możliwy system wysokiego ryzyka | Ustalić role partnerów, sposób podejmowania decyzji, prawo do informacji i wyjaśnienia oraz kontrolę człowieka | Fintech, lender, merchant |
Tabela rozwija praktyczne rozróżnienia wskazane w dostarczonych materiałach dla e-commerce, marketingu i marketplace’ów. Jednocześnie bardziej kategoryczne rekomendacje dotyczące oznaczania każdej grafiki lub całego filmu należy traktować jako ostrożną praktykę wdrożeniową, a nie jako automatyczny obowiązek wynikający z każdego użycia generatora. Zakres prawnego obowiązku trzeba oceniać na podstawie art. 50 oraz aktualnych wytycznych Komisji.
Co musi zrobić sprzedawca internetowy
Sprzedawca powinien zacząć od wskazania wszystkich miejsc, w których AI styka się z klientem lub wpływa na prezentowaną ofertę. Dotyczy to chatbota, wyszukiwarki, rekomendacji, personalizacji, automatycznych odpowiedzi, opisów produktów, tłumaczeń, zdjęć, filmów, awatarów oraz rozwiązań oceniających ryzyko transakcji.
Następnie trzeba rozdzielić procesy wymagające jedynie kontroli jakości od zastosowań objętych obowiązkiem przejrzystości albo wysokim ryzykiem. Nie ma sensu stosować tej samej procedury do korekty opisu butów i do systemu decydującego o przyznaniu klientowi finansowania. Pierwszy proces potrzebuje głównie kontroli prawdziwości treści, drugi może wymagać rozbudowanej analizy prawnej, danych, nadzoru i prawa do wyjaśnienia.
Co musi zrobić agencja marketingowa lub studio produkcyjne
Agencja powinna już na etapie briefu ustalić, czy AI zostanie wykorzystana do stworzenia realistycznego wizerunku, głosu, filmu, tekstu eksperckiego albo komunikatu o sprawie publicznej. W umowie warto zapisać, kto ocenia obowiązek disclosure, kto umieszcza oznaczenie, kto sprawdza finalne formaty i kto odpowiada za zachowanie informacji o pochodzeniu pliku.
Nie należy zakładać, że metadane dodane przez generator automatycznie rozwiązują obowiązki marki publikującej materiał. Dostawca technologii odpowiada za techniczne znakowanie outputu, natomiast podmiot rozpowszechniający deepfake odpowiada za ujawnienie jego sztucznego charakteru. Dobrowolny kodeks Komisji opisuje praktyczne sposoby prezentowania etykiet, disclaimerów i opcjonalnych ikon unijnych.
Co musi zrobić operator marketplace’u
Marketplace powinien rozdzielić AI używaną wewnętrznie od funkcji oferowanych sprzedawcom. Jeżeli platforma wykorzystuje cudzy model wyłącznie do moderowania ofert albo obsługi własnego supportu, jej rola będzie inna niż wtedy, gdy udostępnia merchantom generator grafik i opisów pod własną nazwą.
Drugi scenariusz może oznaczać przejęcie obowiązków dostawcy systemu. Potrzebne będą nie tylko zasady korzystania przez sprzedawców, lecz także dokumentacja techniczna, obsługa technicznego znakowania outputu, odpowiednie informacje dla użytkowników, monitorowanie działania oraz ustalenie, czy późniejsze modyfikacje nie zmieniają przeznaczenia systemu.
Jakie obowiązki Artificial Intelligence Act nakłada na firmy w praktyce
Największy błąd przy wdrożeniu polega na rozpoczęciu od szkolenia lub napisania regulaminu. Najpierw trzeba ustalić, jakie systemy działają w organizacji, w jakich procesach są używane, kto za nie odpowiada oraz czy firma jest dostawcą, podmiotem stosującym, importerem lub dystrybutorem.
Najpierw klasyfikacja systemu, roli i use case’u
Dla każdego zastosowania trzeba odpowiedzieć na trzy pytania. Czy rozwiązanie jest systemem lub modelem objętym rozporządzeniem? Jaką rolę pełni organizacja? Do jakiego konkretnego celu system jest wykorzystywany?
W praktyce należy oceniać use case, a nie samą markę narzędzia. Ten sam model językowy może pomagać marketingowi w przygotowaniu szkicu reklamy, wspierać konsultanta w odpowiedziach albo analizować CV kandydatów. Pierwsze zastosowanie będzie zwykle obciążone znacznie mniejszym ryzykiem niż ostatnie.
Dla każdego przypadku warto utworzyć kartę zawierającą nazwę systemu, dostawcę, właściciela biznesowego, cel, kategorie danych wejściowych, grupę osób objętych działaniem, poziom ryzyka, wymagany nadzór, obowiązki informacyjne i sposób reagowania na błąd. Tak przygotowana inwentaryzacja jest podstawą dalszych decyzji, nie zbędną dokumentacją.
Dokumentacja, dane i nadzór człowieka
W przypadku systemów wysokiego ryzyka dostawca odpowiada za szereg wymagań obejmujących między innymi zarządzanie ryzykiem, jakość danych, dokumentację techniczną, logi, informacje dla użytkownika biznesowego, nadzór człowieka, dokładność, odporność i cyberbezpieczeństwo.
Podmiot stosujący taki system musi używać go zgodnie z instrukcją, wskazać osoby posiadające wiedzę, uprawnienia i realne możliwości sprawowania nadzoru, monitorować działanie oraz reagować na ryzyka i poważne incydenty. Jeżeli kontroluje dane wejściowe, powinny być one odpowiednie i wystarczająco reprezentatywne dla danego celu. Logi znajdujące się pod kontrolą deployera należy przechowywać co najmniej przez sześć miesięcy, o ile inne przepisy nie przewidują innego okresu.
Nadzór człowieka nie może polegać na automatycznym zatwierdzaniu każdej rekomendacji. Osoba kontrolująca powinna rozumieć ograniczenia systemu, umieć zakwestionować jego wynik, zatrzymać proces i rozpoznać sytuację, w której rekomendacja jest niewiarygodna, dyskryminująca albo sprzeczna z innymi informacjami.
Obowiązki wobec pracowników i osób objętych decyzją
Jeżeli system wysokiego ryzyka jest używany w miejscu pracy, pracodawca powinien wcześniej poinformować pracowników oraz ich przedstawicieli. Gdy system służy do podejmowania decyzji dotyczących osoby fizycznej albo wspomaga taką decyzję, osoba ta również powinna otrzymać odpowiednią informację.
Rozporządzenie wprowadza ponadto prawo do uzyskania jasnego i znaczącego wyjaśnienia w sytuacji, gdy wynik systemu wysokiego ryzyka został wykorzystany do podjęcia decyzji wywołującej skutki prawne lub podobnie istotny wpływ na daną osobę. Firma powinna więc wiedzieć nie tylko, jaki wynik wydał system, ale również jak komunikować podstawy podjętej decyzji.
AI literacy – czego firma musi nauczyć zespół
Artykuł 4 wymaga od dostawców i podmiotów stosujących systemy AI podejmowania działań zapewniających odpowiedni poziom kompetencji personelu i innych osób korzystających z systemów w ich imieniu. Program powinien uwzględniać wiedzę techniczną, doświadczenie, wykształcenie, kontekst używania narzędzia oraz osoby, na które system może wpływać.
Nie trzeba kupować jednego urzędowo zatwierdzonego certyfikatu ani powoływać obowiązkowego „AI Officera”. Komisja wskazuje jednak, że samo wysłanie instrukcji lub prośba o samodzielne zapoznanie się z regulaminem może być niewystarczająca. Nawet osoby używające ChatGPT tylko do tekstów reklamowych powinny rozumieć ryzyko halucynacji i konieczność sprawdzania wyników.
Szkolenia powinny więc różnić się między działami. Marketing potrzebuje zasad weryfikacji treści, oznaczania deepfake’ów i ochrony danych. HR powinien rozumieć ryzyko dyskryminacji oraz ograniczenia systemów oceniających ludzi. IT i security muszą znać wymagania dotyczące danych, dostępu, logowania i incydentów. Zarząd powinien wiedzieć, kto odpowiada za decyzję o wdrożeniu i jakie informacje musi otrzymać przed jej zatwierdzeniem.
Obowiązek z art. 4 stosuje się od 2 lutego 2025 roku, choć Komisja zaproponowała jego zmianę w pakiecie uproszczeń. Do czasu wejścia w życie i publikacji odpowiedniej zmiany organizacje powinny opierać działania na obowiązującym brzmieniu rozporządzenia.
Od kiedy obowiązuje AI Act i jakie daty trzeba znać
Terminy AI Act nie sprowadzają się do jednej daty. Część przepisów działa od 2025 roku, obowiązki przejrzystości zaczynają być stosowane w sierpniu 2026 roku, a Komisja komunikuje późniejszy harmonogram dla części systemów wysokiego ryzyka i produktów regulowanych.
| Data | Co zaczyna być stosowane | Znaczenie dla firmy |
|---|---|---|
| 1 sierpnia 2024 | Wejście rozporządzenia w życie | Początek okresu etapowego wdrażania |
| 2 lutego 2025 | Zakazane praktyki, definicje i AI literacy | Trzeba wycofać zakazane zastosowania i rozwijać kompetencje zespołu |
| 2 sierpnia 2025 | Governance, obowiązki dla GPAI oraz część przepisów o karach | Szczególnie ważne dla dostawców modeli ogólnego przeznaczenia |
| 2 sierpnia 2026 | Zasadnicze stosowanie rozporządzenia i art. 50 | Obowiązki dotyczące chatbotów, deepfake’ów oraz określonych treści |
| 2 grudnia 2026 | Koniec okresu przejściowego wskazanego dla części wcześniej oferowanych systemów objętych art. 50 | Dostawcy powinni zakończyć dostosowywanie starszych systemów |
| 2 grudnia 2027 | Termin komunikowany po porozumieniu politycznym dla części zastosowań wysokiego ryzyka | Dotyczy między innymi zatrudnienia, edukacji i wybranych zastosowań biometrycznych |
| 2 sierpnia 2028 | Termin dla części AI wbudowanej w regulowane produkty | Istotny dla producentów i dostawców produktów objętych przepisami sektorowymi |
Pierwotne brzmienie art. 113 przewiduje zasadnicze stosowanie rozporządzenia od 2 sierpnia 2026 roku oraz specjalne terminy dla poszczególnych rozdziałów. Komisja informuje obecnie, że po politycznym porozumieniu z 7 maja 2026 roku zasady dla części samodzielnych systemów wysokiego ryzyka mają być stosowane od 2 grudnia 2027 roku, a dla systemów zintegrowanych z wybranymi produktami od 2 sierpnia 2028 roku.
Co obowiązuj już przed sierpniem 2026 roku
Firmy nie powinny traktować 2 sierpnia 2026 roku jako początku całej regulacji. Zakazane praktyki i przepisy dotyczące AI literacy stosuje się od lutego 2025 roku. Obowiązki dla modeli ogólnego przeznaczenia oraz część zasad governance rozpoczęły stosowanie w sierpniu 2025 roku.
Organizacja, która używa AI od kilku lat, powinna już teraz sprawdzić, czy któryś eksperyment nie podpada pod zakaz oraz czy osoby korzystające z narzędzi otrzymały wiedzę dopasowaną do wykonywanych zadań. Odkładanie całego projektu do sierpnia 2026 roku może oznaczać, że firma nie realizuje obowiązków już stosowanych.
Co zmienia się 2 sierpnia 2026 roku
Od tej daty zaczynają być stosowane obowiązki przejrzystości określone w art. 50. Dostawcy chatbotów powinni zapewnić informowanie użytkowników o interakcji z AI. Dostawcy systemów generatywnych muszą zadbać o maszynowo czytelne znakowanie outputów. Podmioty rozpowszechniające deepfake’i oraz określone teksty na tematy interesu publicznego będą odpowiadały za właściwe ujawnienie ich sztucznego charakteru.
Komisja opublikowała w czerwcu 2026 roku dobrowolny kodeks praktyk dotyczący znakowania i etykietowania treści generowanych przez AI. Kodeks nie zastępuje rozporządzenia i nie tworzy dodatkowych obowiązków, ale może ułatwiać wykazanie zgodności przez jego sygnatariuszy.
Co czeka firmy w latach 2027–2028
Późniejsze daty nie powinny być traktowane jako powód do wstrzymywania przygotowań do systemów wysokiego ryzyka. Klasyfikacja, przegląd umów, ustalenie dostępności dokumentacji, nadzór człowieka i proces obsługi incydentów wymagają czasu. Nie da się ich bezpiecznie wdrożyć kilka tygodni przed terminem.
Firmy kupujące narzędzia do HR, scoringu lub produktów regulowanych powinny w umowach zapewnić sobie dostęp do instrukcji, dokumentacji, danych o wydajności, informacji o ograniczeniach oraz mechanizmu przekazywania zgłoszeń. Termin może zostać przesunięty, ale źle skonstruowany łańcuch dostaw pozostanie problemem.
Kary za naruszenie AI Act i najczęstsze błędy firm
Kary w Artificial Intelligence Act są wysokie, ale nie powinny być jedynym powodem działania. Większość problemów zaczyna się wcześniej: od braku rejestru narzędzi, błędnej klasyfikacji, niejasnych umów z dostawcami, braku oznaczeń lub pozostawienia ważnej decyzji bez realnego nadzoru człowieka.
Jakie sankcje przewiduje AI Act
| Rodzaj naruszenia | Maksymalny próg |
|---|---|
| Naruszenie zakazów z art. 5 | Do 35 mln euro albo 7% światowego rocznego obrotu – stosuje się wyższy próg |
| Naruszenie wskazanych obowiązków dostawców, importerów, dystrybutorów, deployerów lub art. 50 | Do 15 mln euro albo 3% światowego rocznego obrotu – stosuje się wyższy próg |
| Przekazanie organom nieprawidłowych, niepełnych lub wprowadzających w błąd informacji | Do 7,5 mln euro albo 1% światowego rocznego obrotu – stosuje się wyższy próg |
Dla małych i średnich przedsiębiorstw, w tym start-upów, rozporządzenie przewiduje zastosowanie niższego z dwóch limitów: kwotowego lub procentowego. Wysokość sankcji ma być ustalana proporcjonalnie, z uwzględnieniem między innymi charakteru i długości naruszenia, liczby poszkodowanych osób, stopnia odpowiedzialności, współpracy z organem oraz tego, czy działanie było umyślne lub wynikało z zaniedbania.
Siedem błędów, które najczęściej pojawiają się w firmach
- Brak inwentaryzacji narzędzi. Zarząd zna dwa oficjalne systemy, podczas gdy pracownicy używają kilkunastu aplikacji na własnych kontach.
- Klasyfikowanie marki zamiast zastosowania. Firma uznaje cały produkt za „niskiego ryzyka”, choć jedna z funkcji służy do oceniania kandydatów lub klientów.
- Przerzucanie całej odpowiedzialności na dostawcę. Zakup gotowego SaaS nie usuwa obowiązków podmiotu stosującego.
- Oznaczanie wszystkiego albo niczego. Pierwsze podejście tworzy chaos, drugie zwiększa ryzyko naruszenia art. 50. Potrzebna jest analiza konkretnych przypadków.
- Pozorny nadzór człowieka. Pracownik jedynie zatwierdza wynik systemu, nie mając wiedzy, czasu ani prawa do jego podważenia.
- Jedno szkolenie dla całej organizacji. HR, marketing, IT i zarząd korzystają z AI inaczej i powinni otrzymać różne instrukcje.
- Słabe umowy z dostawcami. Brakuje zapisów o dokumentacji, incydentach, zmianach modelu, danych wejściowych, znakowaniu treści i podziale odpowiedzialności.
Jak przygotować organizację do AI Act krok po kroku
Przygotowanie firmy nie wymaga od razu rozbudowanego programu na kilkaset stron. Potrzebna jest uporządkowana kolejność: inwentaryzacja zastosowań, ocena roli i ryzyka, sprawdzenie dostawców, zasady publikacji treści, nadzór człowieka, szkolenia oraz procedura reagowania na incydenty.
Audyt zastosowań AI w firmie
Pierwszym krokiem powinien być rejestr wszystkich systemów i modeli używanych oficjalnie oraz nieformalnie. Nie wystarczy lista licencji kupionych przez dział IT. Trzeba zapytać marketing, HR, sprzedaż, obsługę klienta, analityków, prawników, księgowość i zespoły produktowe, z jakich aplikacji korzystają i jakie dane do nich wprowadzają.
W rejestrze warto zapisać:
- nazwę systemu i dostawcę;
- właściciela procesu;
- cel i sposób użycia;
- rodzaje danych wejściowych;
- osoby, na które wpływa wynik;
- rolę organizacji;
- wstępną klasę ryzyka;
- wymagany nadzór człowieka;
- obowiązki informacyjne;
- okres przechowywania logów;
- sposób zgłaszania błędów i incydentów.
Weryfikacja dostawców i umów
Dostawca powinien umieć jasno wyjaśnić, do czego system jest przeznaczony, jakie ma ograniczenia, w jaki sposób jest monitorowany i jakie informacje przekazuje klientowi. Brak dokumentacji może oznaczać, że firma nie będzie w stanie prawidłowo używać narzędzia ani wykazać własnej staranności.
Umowa powinna regulować dostęp do instrukcji i dokumentacji, zmiany w modelu, przetwarzanie danych, zgłaszanie incydentów, wsparcie w kontaktach z organami, zachowanie logów, techniczne znakowanie outputów, odpowiedzialność stron oraz możliwość zakończenia korzystania z systemu, gdy jego zgodność stanie się wątpliwa.
Szczególną uwagę trzeba zachować przy dostawcy spoza UE. Sam zapis, że klient odpowiada za zgodność z całym prawem europejskim, nie rozwiązuje problemu, jeśli jednocześnie nie otrzymuje informacji niezbędnych do wykonania swoich obowiązków.
Procedury, polityka AI i szkolenia
Polityka AI powinna odpowiadać na codzienne pytania, a nie powtarzać ogólne deklaracje o „etycznej innowacji”. Musi wskazywać, kto może wdrażać narzędzia, kiedy wymagana jest ocena prawna lub bezpieczeństwa, jak klasyfikuje się use case, kto zatwierdza system wysokiego ryzyka i jak należy oznaczać treści.
Powinna też regulować wprowadzanie danych poufnych do zewnętrznych modeli, kontrolę wyników, korzystanie z materiałów chronionych, obowiązki pracowników, zasady human review i zgłaszanie nieprawidłowości. Dobrą praktyką jest stworzenie krótkiej ścieżki eskalacji: pracownik wie, do kogo zgłosić nowy system, błąd lub ryzykowną publikację.
Checklista minimum na start
- Utwórz rejestr systemów i modeli AI.
- Ustal rolę firmy przy każdym zastosowaniu.
- Opisz intended purpose każdego systemu.
- Wskaż zastosowania zakazane i potencjalnie wysokiego ryzyka.
- Sprawdź chatboty oraz interakcje automatyczne z klientem.
- Wprowadź test dla deepfake’ów i tekstów o sprawach interesu publicznego.
- Zweryfikuj dostawców, dokumentację i umowy.
- Wyznacz osoby odpowiedzialne za human oversight.
- Przygotuj szkolenia dopasowane do działów.
- Ustal procedurę obsługi błędów i poważnych incydentów.
- Zachowuj dowody wykonanych ocen i działań.
- Aktualizuj rejestr po każdej istotnej zmianie systemu lub jego celu.
FAQ o AI Act
Poniższe odpowiedzi zbierają pytania, które najczęściej pojawiają się przy wdrożeniach. Są krótkie, ale nie upraszczają tematu do hasła „każdą treść AI trzeba oznaczyć”. W praktyce obowiązek zależy od roli firmy, rodzaju systemu, celu publikacji i wpływu na osoby fizyczne.
Czy każda firma korzystająca z AI podlega AI Act
Wiele firm znajdzie się w zakresie regulacji, ale ich obowiązki będą różne. Zwykłe używanie systemu minimalnego ryzyka nie powoduje takiego samego obciążenia jak oferowanie własnego narzędzia, stosowanie AI w rekrutacji lub publikowanie deepfake’ów. Trzeba ocenić rolę, przeznaczenie i ryzyko konkretnego zastosowania.
Czy chatbot na stronie internetowej trzeba oznaczyć
Zwykle użytkownik powinien otrzymać informację, że komunikuje się z systemem AI, chyba że jest to oczywiste w danych okolicznościach. Komunikat powinien pojawić się przy rozpoczęciu interakcji. Ukrycie tej informacji wyłącznie w polityce prywatności nie jest dobrym sposobem realizacji obowiązku.
Czy opisy produktów wygenerowane przez AI wymagają etykiety
Nie ma ogólnego obowiązku oznaczania każdego opisu produktowego tylko dlatego, że model pomógł go napisać. Firma powinna jednak sprawdzić prawdziwość parametrów, twierdzeń reklamowych i instrukcji bezpieczeństwa. Inne zasady mogą obowiązywać, gdy tekst dotyczy spraw interesu publicznego i został opublikowany bez realnej kontroli redakcyjnej.
Czy każda grafika produktowa wygenerowana przez AI musi być oznaczona
Nie automatycznie. Widoczny obowiązek ujawnienia z art. 50 dotyczy przede wszystkim obrazów, dźwięków i filmów stanowiących deepfake. Dostawca generatora może jednocześnie odpowiadać za maszynowo czytelne znakowanie outputu. Przy realistycznym wizerunku osoby, zdarzenia albo miejsca należy przeprowadzić ostrożną ocenę.
Czy marka musi oznaczyć reklamę z klonem głosu
Jeżeli nagranie imituje realną osobę i może zostać odebrane jako autentyczne, może być deepfake’iem. W takim przypadku podmiot publikujący powinien ujawnić sztuczny lub zmanipulowany charakter materiału. Niezależnie od AI Act trzeba również zadbać o zgodę oraz prawa związane z głosem i wizerunkiem.
Czy AI Act dotyczy firm spoza UE
Tak, jeżeli oferują system na rynku UE, oddają go do używania w Unii, używają go na jej terytorium albo ich działalność wywołuje objęty przepisami skutek wobec osób w UE. Brak europejskiej siedziby nie stanowi automatycznego wyłączenia.
Czy AI Act zastępuje RODO
Nie. Oba akty mogą mieć zastosowanie równolegle. AI Act skupia się na ryzykach, rolach operatorów, bezpieczeństwie, przejrzystości i wymaganiach dla systemów. RODO reguluje przetwarzanie danych osobowych. Wdrożenie systemu może więc wymagać jednocześnie klasyfikacji pod AI Act oraz analizy podstawy prawnej, przejrzystości i oceny skutków pod RODO.
Czy firma musi powołać AI Officera
Rozporządzenie nie ustanawia ogólnego obowiązku tworzenia stanowiska AI Officera. Organizacja musi jednak przypisać konkretne odpowiedzialności. Ktoś powinien prowadzić rejestr systemów, koordynować klasyfikację, kontrolować dostawców, organizować szkolenia i nadzorować incydenty. Funkcje te można rozdzielić między istniejące zespoły.
Od czego ma zacząć mała firma
Od krótkiej inwentaryzacji. Należy wypisać używane narzędzia, wskazać ich cele, sprawdzić dane wprowadzane przez pracowników, oznaczyć chatboty, wyłapać realistyczne treści syntetyczne i przeszkolić osoby korzystające z AI. Dopiero potem potrzebna jest rozbudowana polityka lub wsparcie przy bardziej ryzykownych systemach.
AI Act nie wymaga chaosu, ale wymaga kontroli
Najważniejszą zmianą nie jest obowiązek umieszczania napisu „AI” pod każdym wygenerowanym materiałem. Artificial Intelligence Act wymusza bardziej dojrzałe podejście do technologii: firma ma wiedzieć, z jakich systemów korzysta, po co je wdrożyła, kto odpowiada za wynik i co stanie się, gdy automat popełni błąd.
Dla większości przedsiębiorców pierwszym zadaniem nie będzie certyfikacja każdego narzędzia. Będzie nim uporządkowanie chatbotów, generatorów treści, procesów zakupowych, relacji z dostawcami, szkoleń i sposobu podejmowania decyzji. Dopiero na tej podstawie można rozpoznać systemy wymagające oznaczenia, dokładniejszej dokumentacji albo pełnego reżimu wysokiego ryzyka.
Informacja: artykuł ma charakter edukacyjny i nie zastępuje analizy prawnej konkretnego systemu, umowy ani procesu biznesowego.
Źródła i bibliografia
- Parlament Europejski i Rada Unii Europejskiej, Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji, Dziennik Urzędowy Unii Europejskiej, EUR-Lex, dostęp: 16.07.2026.
- Komisja Europejska, AI Act – Regulatory Framework for Artificial Intelligence, Shaping Europe’s Digital Future, dostęp: 16.07.2026.
- Komisja Europejska, Navigating the AI Act – Questions and Answers, Shaping Europe’s Digital Future, dostęp: 16.07.2026.
- Komisja Europejska, AI Literacy – Questions & Answers, Shaping Europe’s Digital Future, dostęp: 16.07.2026.
- Komisja Europejska, Article 4 – AI Literacy, AI Act Service Desk, dostęp: 16.07.2026.
- Komisja Europejska, Article 26 – Obligations of Deployers of High-Risk AI Systems, AI Act Service Desk, dostęp: 16.07.2026.
- Komisja Europejska, Article 50 – Transparency Obligations for Providers and Deployers of Certain AI Systems, AI Act Service Desk, dostęp: 16.07.2026.
- Komisja Europejska, Article 99 – Penalties, AI Act Service Desk, dostęp: 16.07.2026.
- Komisja Europejska, Article 113 – Entry into Force and Application, AI Act Service Desk, dostęp: 16.07.2026.
- Komisja Europejska, Guidelines on Prohibited Artificial Intelligence Practices Established by Regulation (EU) 2024/1689, 4 lutego 2025 r., dostęp: 16.07.2026.
- Komisja Europejska, Guidelines on the Definition of an Artificial Intelligence System Established by Regulation (EU) 2024/1689, 6 lutego 2025 r., dostęp: 16.07.2026.
- Komisja Europejska, The General-Purpose AI Code of Practice, Shaping Europe’s Digital Future, opublikowano 10 lipca 2025 r., dostęp: 16.07.2026.
- Komisja Europejska, Code of Practice on Transparency of AI-Generated Content, Shaping Europe’s Digital Future, dostęp: 16.07.2026.
- Komisja Europejska, Commission Publishes Code of Practice on Marking and Labelling AI-Generated Content, 10 czerwca 2026 r., dostęp: 16.07.2026.
- Komisja Europejska, Commission Opinion on the Assessment of the Code of Practice on Transparency of AI-Generated Content, 9 lipca 2026 r., dostęp: 16.07.2026.
- Ministerstwo Cyfryzacji, Pierwsze przepisy Rozporządzenia o Sztucznej Inteligencji (AI Act) zaczynają obowiązywać, Portal Gov.pl, dostęp: 16.07.2026.



Dodaj komentarz
Chcesz się przyłączyć do dyskusji?Feel free to contribute!