AI i rozporządzenie UE o AI: Co profesjonaliści muszą wiedzieć

Rozporządzenie UE o sztucznej inteligencji (AI Act) to najważniejszy akt prawny dotyczący sztucznej inteligencji na świecie. Jeśli prowadzisz firmę w Polsce, pracujesz z narzędziami AI lub współpracujesz z klientami w Unii Europejskiej — to prawo dotyczy Ciebie bezpośrednio. Nie jest opcjonalne, nie jest odległe w czasie, a kary za jego naruszenie są dotkliwe.

Problem polega na tym, że większość profesjonalistów w Polsce ma o tym rozporządzeniu jedynie mglistą wiedzę. Pełny tekst aktu to setki stron gęstego prawniczego języka. Media skupiają się na sensacyjnych nagłówkach o zakazanych systemach AI, nie tłumacząc, co to prawo oznacza dla zwykłego przedsiębiorcy czy pracownika.

Ten przewodnik to zmienia. Wyjaśniamy rozporządzenie UE o AI prostym językiem: co wymaga, kogo obowiązuje, jakie są terminy i co musisz zrobić teraz. Niezależnie od tego, czy zarządzasz firmą w Krakowie, prowadzisz jednoosobową działalność w Poznaniu, czy pracujesz w administracji publicznej w Warszawie — praktyczne kroki są w dużej mierze takie same.

Jeśli interesuje Cię szerszy kontekst tego, jak AI dla firm rozwija się na kontynencie, omawiamy to w osobnym artykule. Tutaj skupiamy się konkretnie na regulacjach i zgodności z nimi.

Czym jest rozporządzenie UE o sztucznej inteligencji?

Rozporządzenie UE o sztucznej inteligencji (oficjalnie Rozporządzenie (UE) 2024/1689), znane powszechnie jako AI Act lub Akt o AI, to kompleksowe ramy prawne regulujące sposób, w jaki systemy sztucznej inteligencji są opracowywane, wdrażane i wykorzystywane na terenie Unii Europejskiej. Zostało formalnie przyjęte w czerwcu 2024 roku i weszło w życie 1 sierpnia 2024 roku.

Wyobraź sobie to jako odpowiednik RODO dla sztucznej inteligencji. Tak jak RODO stworzyło jednolite zasady ochrony danych osobowych we wszystkich państwach członkowskich UE, tak Akt o AI tworzy jednolite zasady dla sztucznej inteligencji. I tak jak RODO ostatecznie wpłynęło na prawo o prywatności na całym świecie, rozporządzenie UE o AI już kształtuje regulacje dotyczące sztucznej inteligencji globalnie.

Prawo obowiązuje każdego, kto opracowuje, wdraża lub wykorzystuje systemy AI na terenie UE — niezależnie od tego, gdzie siedzibę ma dostawca technologii. Amerykańska firma sprzedająca oprogramowanie AI polskiemu przedsiębiorstwu musi się dostosować. Niemiecki producent korzystający z systemu kontroli jakości opartego na AI musi się dostosować. Polska gmina wykorzystująca AI do przetwarzania wniosków planistycznych musi się dostosować.

Podstawowa zasada jest prosta: im bardziej ryzykowne zastosowanie AI, tym surowsze przepisy. To tak zwane podejście oparte na ryzyku i stanowi ono rdzeń całego rozporządzenia.

Dlaczego powstało to rozporządzenie?

Akt o AI powstał, ponieważ technologia sztucznej inteligencji rozwijała się znacznie szybciej niż ramy prawne jakiegokolwiek państwa. Na początku lat 2020. systemy AI podejmowały już poważne decyzje dotyczące ludzi — kto dostanie kredyt, które CV zostaną wybrane do rozmowy, jak długi ma być wyrok, czy wniosek o zasiłek zostanie zatwierdzony — przy minimalnym nadzorze i odpowiedzialności.

Kilka głośnych przypadków ujawniło zagrożenia. W Holandii skandal związany ze świadczeniami na opiekę nad dziećmi (toeslagenaffaire) pokazał, jak algorytm niesłusznie oznaczył tysiące rodzin jako oszustów, z katastrofalnymi konsekwencjami. W całej Europie rosły obawy dotyczące nadzoru opartego na AI, stronniczych narzędzi rekrutacyjnych i nieprzejrzystego podejmowania decyzji w usługach publicznych.

Komisja Europejska zaproponowała Akt o AI w kwietniu 2021 roku, a po intensywnych negocjacjach między Parlamentem Europejskim a Radą ostateczny tekst uzgodniono w grudniu 2023 roku. Rozporządzenie stanowi europejską odpowiedź na fundamentalne pytanie: jak czerpać korzyści ze sztucznej inteligencji, nie narażając się na jej zagrożenia?

Harmonogram: Kluczowe daty, których nie można zignorować

Rozporządzenie UE o AI nie zaczyna obowiązywać w całości od razu. Stosuje etapowy harmonogram wdrażania, gdzie różne przepisy wchodzą w życie w różnych terminach. Oto daty, które mają znaczenie dla polskich firm:

Już obowiązuje

  • 1 sierpnia 2024: Akt o AI wszedł w życie. Od tej daty rozpoczął się bieg wszystkich terminów.
  • 2 lutego 2025: Zakazy dotyczące praktyk AI o niedopuszczalnym ryzyku stały się egzekwowalne. Jeśli prowadzisz zakazany system AI, już naruszasz prawo.
  • 2 lutego 2025: Artykuł 4 — obowiązek zapewnienia kompetencji w zakresie AI — również zaczął obowiązywać. Organizacje korzystające z AI muszą zapewnić swoim pracownikom odpowiedni poziom wiedzy o sztucznej inteligencji. To już jest wymóg prawny, a nie przyszły postulat.

Nadchodzące w 2025 roku

  • 2 sierpnia 2025: Wchodzą w życie przepisy dotyczące modeli AI ogólnego przeznaczenia (GPAI). Obejmuje to modele fundamentalne takie jak GPT-4, Claude, Gemini i podobne systemy. Dostawcy tych modeli muszą spełnić wymogi przejrzystości, a modele uznane za stwarzające ryzyko systemowe podlegają dodatkowym obowiązkom.
  • 2 sierpnia 2025: Państwa członkowskie UE, w tym Polska, muszą wyznaczyć krajowe organy nadzorcze — instytucje, które będą egzekwować Akt o AI w każdym kraju.

Nadchodzące w 2026 roku

  • 2 sierpnia 2026: Zaczyna obowiązywać główna część rozporządzenia, w tym wszystkie obowiązki dotyczące systemów AI wysokiego ryzyka. To najważniejszy termin. Dostawcy i podmioty wdrażające systemy AI wysokiego ryzyka muszą mieć wdrożone ramy zgodności, systemy zarządzania ryzykiem, dokumentację techniczną i mechanizmy nadzoru ludzkiego.

Nadchodzące w 2027 roku

  • 2 sierpnia 2027: Obowiązki dla systemów AI wysokiego ryzyka będących elementami bezpieczeństwa produktów objętych istniejącym prawodawstwem UE dotyczącym bezpieczeństwa produktów (takich jak wyroby medyczne, maszyny i systemy lotnicze) stają się egzekwowalne.

Kluczowa informacja dla polskich profesjonalistów: obowiązek zapewnienia kompetencji AI oraz zakazy dotyczące praktyk niedopuszczalnego ryzyka to już obowiązujące prawo. Przepisy dotyczące systemów wysokiego ryzyka wchodzą w życie w sierpniu 2026 roku. To nie jest daleka przyszłość.

Cztery kategorie ryzyka — szczegółowe wyjaśnienie

Całe rozporządzenie UE o sztucznej inteligencji opiera się na czteropoziomowej klasyfikacji ryzyka. Każdy system AI trafia do jednej z tych kategorii, a kategoria determinuje, jakie przepisy mają zastosowanie.

1. Niedopuszczalne ryzyko — całkowity zakaz

Niektóre zastosowania AI uznano za tak niebezpieczne lub fundamentalnie sprzeczne z wartościami europejskimi, że są po prostu zakazane. Od 2 lutego 2025 roku następujące praktyki są nielegalne w UE, a więc również w Polsce:

  • Scoring społeczny przez władze publiczne: Systemy AI, które oceniają lub klasyfikują ludzi na podstawie ich zachowań społecznych lub cech osobistych, prowadząc do niekorzystnego traktowania. Odpowiednik chińskiego systemu kredytu społecznego — w Europie jest to niedozwolone.
  • Wykorzystywanie podatności: Systemy AI celowo wykorzystujące podatności określonych grup — dzieci, osób starszych czy osób z niepełnosprawnościami — do manipulowania ich zachowaniem w sposób powodujący szkodę.
  • Zdalna identyfikacja biometryczna w czasie rzeczywistym w przestrzeniach publicznych: Wykorzystywanie rozpoznawania twarzy opartego na AI do identyfikowania osób w czasie rzeczywistym w miejscach publicznych w celach egzekwowania prawa, z wąskimi wyjątkami dla konkretnych poważnych przestępstw wymagających autoryzacji sądowej.
  • Rozpoznawanie emocji w miejscach pracy i szkołach: Systemy AI próbujące odczytywać emocje pracowników w pracy lub uczniów w placówkach edukacyjnych są zakazane.
  • Nieukierunkowane zbieranie danych do tworzenia baz rozpoznawania twarzy: Budowanie lub rozszerzanie baz danych rozpoznawania twarzy poprzez masowe zbieranie zdjęć z internetu lub monitoringu.
  • Manipulacja podprogowa: Techniki AI stosujące elementy podprogowe, wykraczające poza świadomość osoby, w celu istotnego zniekształcenia zachowania w sposób mogący powodować szkodę.
  • Kategoryzacja biometryczna według wrażliwych atrybutów: Systemy AI kategoryzujące ludzi na podstawie danych biometrycznych w celu wnioskowania o rasie, poglądach politycznych, przynależności związkowej, przekonaniach religijnych, życiu seksualnym lub orientacji seksualnej.
  • Predykcyjne działania policyjne oparte wyłącznie na profilowaniu: Wykorzystywanie AI do oceny ryzyka popełnienia przestępstwa przez osobę wyłącznie na podstawie profilowania lub cech osobowości.

Dla polskich firm oznacza to konkretną weryfikację: czy którekolwiek z używanych przez Was narzędzi AI nie wchodzi w obszar tych zakazów? Nawet jeśli narzędzie zostało zakupione od zewnętrznego dostawcy, odpowiedzialność za jego wykorzystanie spoczywa również na podmiocie, który je wdraża.

2. Wysokie ryzyko — surowe wymogi

To najobszerniejsza i najbardziej praktycznie istotna kategoria. Systemy AI wysokiego ryzyka nie są zakazane, ale podlegają rygorystycznym wymogom. Obejmują one systemy AI stosowane w następujących obszarach:

  • Rekrutacja i zarządzanie zasobami ludzkimi: Narzędzia AI do przesiewania CV, prowadzenia rozmów kwalifikacyjnych, oceny kandydatów, podejmowania decyzji o awansach lub zwolnieniach.
  • Edukacja i szkolenia zawodowe: Systemy AI przyznające dostęp do placówek edukacyjnych, oceniające uczniów lub decydujące o ich ścieżce kształcenia.
  • Dostęp do podstawowych usług prywatnych i publicznych: AI wykorzystywana przy ocenie zdolności kredytowej, ubezpieczeniach, usługach ratunkowych, świadczeniach socjalnych.
  • Egzekwowanie prawa: Systemy AI wspierające dochodzenia karne, ocenę dowodów, profilowanie ryzyka (poza zakazanymi praktykami).
  • Zarządzanie migracją, azylem i kontrolą graniczną: Narzędzia AI do przetwarzania wniosków azylowych, kontroli dokumentów, oceny ryzyka na granicach.
  • Wymiar sprawiedliwości i procesy demokratyczne: AI wspierająca interpretację prawa, stosowanie prawa do faktów, alternatywne metody rozstrzygania sporów.
  • Komponenty bezpieczeństwa w produktach regulowanych: AI wbudowana w wyroby medyczne, pojazdy, dźwigi, zabawki i inne produkty podlegające europejskim przepisom bezpieczeństwa.

Dla każdego systemu AI wysokiego ryzyka wymagane jest:

  1. System zarządzania ryzykiem: Ciągły, iteracyjny proces identyfikowania i łagodzenia ryzyk — nie jednorazowa ocena, ale stały element cyklu życia systemu.
  2. Zarządzanie danymi: Dane treningowe muszą być odpowiedniej jakości, reprezentatywne, w miarę możliwości wolne od błędów i kompletne. Muszą też uwzględniać kontekst geograficzny, behawioralny i funkcjonalny, w którym system będzie stosowany.
  3. Dokumentacja techniczna: Szczegółowa dokumentacja pozwalająca organom nadzorczym na ocenę zgodności systemu.
  4. Prowadzenie rejestru zdarzeń: Automatyczne rejestrowanie działania systemu (logi) umożliwiające monitorowanie i identyfikację potencjalnych zagrożeń.
  5. Przejrzystość i informowanie użytkowników: System musi być dostarczany z jasnymi instrukcjami użytkowania, w tym informacjami o jego ograniczeniach.
  6. Nadzór ludzki: System musi umożliwiać skuteczny nadzór ze strony człowieka, w tym możliwość interwencji lub zatrzymania systemu.
  7. Dokładność, odporność i cyberbezpieczeństwo: System musi działać z odpowiednim poziomem dokładności i być odporny na próby manipulacji.

3. Ograniczone ryzyko — wymogi przejrzystości

Systemy AI o ograniczonym ryzyku podlegają głównie obowiązkom informacyjnym. Najważniejszy wymóg to przejrzystość — użytkownicy muszą wiedzieć, że wchodzą w interakcję z systemem AI. Dotyczy to:

  • Chatboty i wirtualni asystenci: Każdy chatbot musi jasno informować użytkownika, że rozmawia z maszyną, a nie z człowiekiem.
  • Systemy rozpoznawania emocji: Poza zakazanymi kontekstami (praca, szkoła), systemy rozpoznawania emocji muszą informować osoby, że są poddawane takiej analizie.
  • Deepfake'i i treści generowane przez AI: Treści wygenerowane lub zmanipulowane przez AI (w tym obrazy, filmy, dźwięk) muszą być odpowiednio oznaczone, aby odbiorca wiedział o ich sztucznym pochodzeniu.
  • Systemy kategoryzacji biometrycznej: Poza zakazanymi zastosowaniami, systemy wykorzystujące dane biometryczne do kategoryzacji muszą informować osoby, że ich dane są w ten sposób przetwarzane.

Dla wielu polskich firm korzystających z chatbotów na stronach internetowych to właśnie ta kategoria będzie najbardziej bezpośrednio istotna. Proste rozwiązanie: dodanie wyraźnego komunikatu, że klient rozmawia z systemem AI.

4. Minimalne ryzyko — brak dodatkowych wymogów

Zdecydowana większość systemów AI w codziennym użyciu biznesowym należy do tej kategorii. Obejmuje to filtry spamu, systemy rekomendacji produktów, nawigację, narzędzia do korekty tekstu, podstawową automatyzację procesów i wiele innych zastosowań.

Te systemy nie podlegają żadnym dodatkowym wymogom wynikającym z Aktu o AI, poza ogólnym obowiązkiem zapewnienia kompetencji AI w organizacji (artykuł 4) i oczywiście przestrzeganiem istniejącego prawa, w tym RODO.

To dobra wiadomość dla większości polskich MŚP: jeśli korzystasz z narzędzi AI do typowych zastosowań biznesowych (automatyzacja e-maili, analityka sprzedaży, tworzenie treści marketingowych), prawdopodobnie działasz w kategorii minimalnego ryzyka. Ale nadal musisz to potwierdzić i udokumentować.

Artykuł 4: Obowiązek kompetencji AI — już obowiązuje

To jeden z najczęściej pomijanych, a jednocześnie najistotniejszych elementów rozporządzenia dla polskich profesjonalistów. Artykuł 4 Aktu o AI stanowi, że:

"Dostawcy i podmioty wdrażające systemy AI podejmują środki w celu zapewnienia, w najlepszym możliwym stopniu, odpowiedniego poziomu kompetencji w zakresie AI wśród swoich pracowników i innych osób zajmujących się obsługą i użytkowaniem systemów AI w ich imieniu, biorąc pod uwagę ich wiedzę techniczną, doświadczenie, wykształcenie i szkolenie oraz kontekst, w którym systemy AI będą użytkowane, a także osoby lub grupy osób, na które systemy AI będą miały wpływ."

Co to oznacza w praktyce dla polskiej firmy? Kilka konkretnych rzeczy:

  • Każdy pracownik korzystający z AI musi rozumieć, czego używa. Nie musi być programistą, ale musi wiedzieć, jak działa narzędzie, jakie są jego ograniczenia i kiedy należy zachować ostrożność.
  • Obowiązek dotyczy zarówno dostawców, jak i użytkowników AI. Nie możesz powiedzieć "to odpowiedzialność producenta oprogramowania". Jeśli Twoi pracownicy korzystają z systemu AI, musisz zadbać o ich kompetencje.
  • Poziom wymaganych kompetencji zależy od kontekstu. Pracownik korzystający z ChatGPT do redagowania e-maili potrzebuje innego poziomu wiedzy niż specjalista HR korzystający z AI do przesiewania CV.
  • Szkolenie musi być udokumentowane. W razie kontroli musisz móc wykazać, jakie szkolenia zapewniłeś swoim pracownikom.

Ten obowiązek obowiązuje od 2 lutego 2025 roku. Nie jest to przyszły wymóg — to obecny standard prawny. Firmy, które tego nie spełniają, są już formalnie niezgodne z rozporządzeniem.

Właśnie dlatego kursy AI stają się nie tylko kwestią rozwoju zawodowego, ale również zgodności prawnej. Szkolenie pracowników z zakresu AI to inwestycja, która jednocześnie podnosi kompetencje zespołu i spełnia wymóg prawny artykułu 4.

Kary: Ile to może kosztować polską firmę?

Akt o AI przewiduje system kar wzorowany na RODO, z kwotami proporcjonalnymi do wagi naruszenia. Dla polskich firm, szczególnie MŚP, te liczby mogą być wręcz egzystencjalnym zagrożeniem:

  • Za naruszenie zakazów (niedopuszczalne ryzyko): do 35 milionów euro lub 7% rocznego globalnego obrotu — zastosowanie ma kwota wyższa. Dla polskiej firmy z obrotem 50 milionów złotych to potencjalnie kara rzędu 15 milionów złotych.
  • Za niezgodność z wymogami dla systemów wysokiego ryzyka: do 15 milionów euro lub 3% rocznego globalnego obrotu.
  • Za podanie fałszywych informacji organom nadzorczym: do 7,5 miliona euro lub 1% rocznego globalnego obrotu.

Dla MŚP i startupów rozporządzenie przewiduje obniżone pułapy kar — zamiast kwot bezwzględnych stosuje się procent obrotu, jeśli jest on niższy. To pewna ochrona, ale nawet obniżone kary mogą być dotkliwe dla mniejszych przedsiębiorstw.

Warto podkreślić: to są kary maksymalne. Rzeczywiste sankcje będą zależeć od wielu czynników — charakteru naruszenia, jego skali, tego czy firma podjęła próby naprawcze, czy współpracowała z organami nadzorczymi. Ale sam fakt istnienia takich widełek pokazuje, jak poważnie UE traktuje tę regulację.

Porównanie z RODO jest tu pouczające. Kiedy RODO wchodziło w życie w 2018 roku, wiele firm myślało, że kary będą iluzoryczne. Potem przyszły wielomilionowe sankcje — w tym kary dla dużych firm z siedzibą w Irlandii, Francji i Hiszpanii. Polski Urząd Ochrony Danych Osobowych (UODO) nałożył pierwsze kary na mocy RODO w 2019 roku. Można oczekiwać, że podobny scenariusz powtórzy się z Aktem o AI.

Polska perspektywa: Jak to wpływa na polskie firmy

Rozporządzenie UE o sztucznej inteligencji obowiązuje w całej Unii, ale jego praktyczny wpływ na Polskę ma specyficzne cechy wynikające ze struktury polskiej gospodarki, poziomu adopcji AI i instytucjonalnego kontekstu regulacyjnego.

Wyznaczenie polskiego organu nadzorczego

Do 2 sierpnia 2025 roku Polska musi wyznaczyć krajowy organ odpowiedzialny za nadzór nad stosowaniem Aktu o AI. Na moment pisania tego artykułu trwają dyskusje, czy zostanie to przypisane istniejącej instytucji (np. UODO, który ma doświadczenie z RODO, lub Urzędowi Komunikacji Elektronicznej), czy zostanie powołany nowy organ.

Dla polskich profesjonalistów ważne jest śledzenie tych decyzji — organ nadzorczy będzie instytucją, do której zwrócisz się z pytaniami, która przeprowadzi kontrole i która nałoży ewentualne kary. Warto wiedzieć, kto to będzie, i zapoznać się z wydawanymi przez ten organ wytycznymi.

Polskie MŚP a AI

Polska ma jedną z najliczniejszych populacji MŚP w Europie. Dla małych i średnich przedsiębiorstw, które stanowią trzon polskiej gospodarki, Akt o AI niesie zarówno wyzwania, jak i szanse:

  • Wyzwanie kosztowe: Wdrożenie pełnej zgodności z wymogami dla systemów wysokiego ryzyka jest kosztowne. Systemy zarządzania ryzykiem, dokumentacja techniczna, audyty — to wydatki, które duże korporacje zniosą bez problemu, ale dla firmy z 20 pracownikami mogą być znaczącym obciążeniem.
  • Wyzwanie kompetencyjne: Artykuł 4 wymaga zapewnienia kompetencji AI wśród pracowników. W dużych firmach są działy HR, budżety szkoleniowe i wewnętrzni eksperci. W MŚP to często właściciel musi sam znaleźć odpowiednie szkolenie i je zorganizować.
  • Szansa konkurencyjna: Firmy, które wcześniej osiągną zgodność z Aktem o AI, zyskają przewagę konkurencyjną. Europejscy partnerzy biznesowi będą coraz częściej wymagać od swoich dostawców i podwykonawców potwierdzenia zgodności z regulacjami AI. Polska firma, która może to wykazać, jest atrakcyjniejszym partnerem niż ta, która nie może.
  • Piaskownice regulacyjne: Akt o AI przewiduje tworzenie "piaskownic regulacyjnych" (regulatory sandboxes), w których firmy mogą testować innowacyjne systemy AI pod nadzorem regulatora, bez ryzyka natychmiastowych sankcji. Polska powinna uruchomić takie piaskownice — to szansa dla polskich startupów AI na rozwijanie innowacji w bezpiecznych ramach.

Sektory szczególnie dotknięte w Polsce

Nie wszystkie branże są jednakowo dotknięte regulacjami AI. W kontekście polskiej gospodarki, oto sektory, które powinny traktować Akt o AI z najwyższą uwagą:

  • Sektor IT i outsourcing: Polska jest jednym z największych rynków usług IT w Europie Środkowej. Firmy świadczące usługi programistyczne i outsourcingowe dla klientów z UE będą musiały zapewnić, że tworzone przez nie systemy AI spełniają wymogi rozporządzenia. To jednocześnie szansa — polskie firmy IT mogą stać się specjalistami od "compliance-ready AI".
  • Sektor finansowy: Banki, firmy ubezpieczeniowe i instytucje finansowe coraz intensywniej wykorzystują AI do oceny ryzyka kredytowego, wykrywania oszustw i automatyzacji obsługi klienta. Wiele z tych zastosowań kwalifikuje się jako systemy wysokiego ryzyka.
  • Sektor HR i rekrutacja: Narzędzia AI do przesiewania CV i oceny kandydatów to jedna z kategorii wysokiego ryzyka wymieniona wprost w rozporządzeniu. Każda polska firma korzystająca z takich narzędzi — od dużych korporacji po agencje pracy tymczasowej — musi to uwzględnić.
  • Administracja publiczna: Polskie urzędy coraz częściej wdrażają rozwiązania cyfrowe, w tym oparte na AI. Systemy AI wykorzystywane do podejmowania decyzji administracyjnych (np. przyznawania świadczeń, oceny wniosków) podlegają szczególnie surowym wymogom.
  • E-commerce: Polskie firmy handlowe korzystające z systemów rekomendacji, personalizacji cenowej czy chatbotów muszą zweryfikować, do której kategorii ryzyka kwalifikują się te narzędzia i jakie obowiązki z tego wynikają.

Związek z RODO: Dwa filary, jeden cel

Akt o AI nie działa w próżni — współistnieje z rozporządzeniem o ochronie danych osobowych (RODO) i w wielu punktach się z nim pokrywa. Dla polskich firm oznacza to, że zgodność z jednym nie zwalnia z drugiego, a często wymogi się wzajemnie uzupełniają.

Gdzie RODO i Akt o AI się krzyżują

  • Dane treningowe: Systemy AI są trenowane na ogromnych zbiorach danych. Jeśli te dane zawierają dane osobowe (a zazwyczaj zawierają), ich przetwarzanie podlega RODO. Akt o AI dodaje dodatkowe wymogi dotyczące jakości i reprezentatywności tych danych.
  • Zautomatyzowane podejmowanie decyzji: RODO (artykuł 22) daje osobom prawo do niepodlegania decyzjom podejmowanym wyłącznie na podstawie zautomatyzowanego przetwarzania. Akt o AI idzie dalej, wymagając nadzoru ludzkiego nad systemami AI wysokiego ryzyka.
  • Przejrzystość: Zarówno RODO, jak i Akt o AI wymagają przejrzystości wobec osób, których dane lub decyzje dotyczą. RODO wymaga informowania o przetwarzaniu danych, Akt o AI wymaga informowania o interakcji z systemem AI.
  • Ocena skutków: RODO wymaga oceny skutków dla ochrony danych (DPIA) w przypadku przetwarzania wysokiego ryzyka. Akt o AI wymaga oceny skutków dla praw podstawowych. W praktyce obie oceny mogą i powinny być prowadzone równolegle.
  • Odpowiedzialność: Zarówno RODO, jak i Akt o AI wymagają wyznaczenia osób odpowiedzialnych za zgodność. Inspektor ochrony danych (IOD) wyznaczony na mocy RODO powinien współpracować z osobą lub zespołem odpowiedzialnym za zgodność z Aktem o AI.

Praktyczna wskazówka: Wykorzystaj istniejącą infrastrukturę RODO

Jeśli Twoja firma ma wdrożone procedury RODO, masz solidne fundamenty pod zgodność z Aktem o AI. Procesy zarządzania ryzykiem, rejestr przetwarzania danych, procedury oceny skutków, polityki przejrzystości — wszystkie te elementy można rozbudować o wymogi AI, zamiast budować nowe od zera.

To szczególnie istotne dla polskich MŚP, dla których efektywność kosztowa wdrożeń jest kluczowa. Nie trzeba tworzyć osobnego działu ds. zgodności AI — wystarczy rozszerzyć istniejące ramy RODO o nowe wymogi. To podejście jest nie tylko tańsze, ale często bardziej spójne i skuteczne.

Co musisz zrobić teraz — praktyczny plan działania

Niezależnie od wielkości firmy i branży, istnieje zestaw kroków, które każdy polski profesjonalista powinien podjąć już teraz, aby przygotować się na pełne wejście w życie Aktu o AI:

Krok 1: Inwentaryzacja systemów AI

Zacznij od zidentyfikowania wszystkich systemów AI, z których korzysta Twoja organizacja. Nie chodzi tylko o zaawansowane systemy uczenia maszynowego — AI jest dzisiaj wbudowana w wiele codziennych narzędzi. Sporządź listę obejmującą:

  • Narzędzia do komunikacji (chatboty, wirtualni asystenci, automatyczne odpowiedzi)
  • Systemy HR (przesiewanie CV, ocena pracowników, planowanie zasobów)
  • Narzędzia analityczne (analiza danych, raportowanie, prognozowanie)
  • Systemy marketingowe (personalizacja treści, targeting reklam, scoring leadów)
  • Narzędzia do tworzenia treści (generowanie tekstu, obrazów, prezentacji)
  • Systemy ERP i CRM z wbudowanymi komponentami AI
  • Narzędzia cyberbezpieczeństwa wykorzystujące AI

Krok 2: Klasyfikacja ryzyka

Dla każdego zidentyfikowanego systemu AI określ, do której kategorii ryzyka się kwalifikuje. Większość typowych narzędzi biznesowych trafi do kategorii minimalnego ryzyka, ale niektóre mogą być zaskoczeniem. Na przykład:

  • Narzędzie do automatycznego przesiewania CV? Wysokie ryzyko.
  • Chatbot na stronie obsługujący klientów? Ograniczone ryzyko (wymóg informowania).
  • Filtr spamu w poczcie firmowej? Minimalne ryzyko.
  • System AI oceniający zdolność kredytową klientów? Wysokie ryzyko.
  • Generator tekstu do treści marketingowych? Ograniczone ryzyko (wymóg oznaczania treści generowanych przez AI).

Krok 3: Zapewnienie kompetencji AI (artykuł 4)

Ten krok jest pilny, ponieważ obowiązek już obowiązuje. Musisz zapewnić, że:

  • Pracownicy korzystający z AI rozumieją, jak działają narzędzia, których używają
  • Wiedzą, jakie są ograniczenia tych narzędzi
  • Potrafią rozpoznać sytuacje, w których AI może dawać błędne lub stronnicze wyniki
  • Znają zasady odpowiedzialnego korzystania z AI w swoim kontekście zawodowym

Szkolenie AI nie musi być wielomiesięcznym kursem akademickim. Praktyczny kurs AI obejmujący podstawy technologii, jej ograniczenia, kwestie etyczne i prawne to punkt wyjścia, który spełnia wymóg artykułu 4 dla większości zastosowań minimalnego i ograniczonego ryzyka.

Krok 4: Analiza luk dla systemów wysokiego ryzyka

Jeśli korzystasz z systemów AI zakwalifikowanych jako wysokie ryzyko, do sierpnia 2026 roku musisz wdrożyć pełen zestaw wymogów: system zarządzania ryzykiem, dokumentację techniczną, rejestrowanie zdarzeń, nadzór ludzki i pozostałe elementy opisane wcześniej. Zacznij od analizy luk — porównania obecnego stanu z wymaganiami — i stworzenia harmonogramu wdrożenia.

Krok 5: Aktualizacja polityk i procedur

Rozważ stworzenie lub aktualizację następujących dokumentów:

  • Polityka korzystania z AI w organizacji (dopuszczalne i niedopuszczalne zastosowania)
  • Rejestr systemów AI (analogiczny do rejestru przetwarzania danych z RODO)
  • Procedura oceny ryzyka AI dla nowych narzędzi przed ich wdrożeniem
  • Plan szkoleń AI dla pracowników
  • Procedura reagowania na incydenty związane z AI

Krok 6: Wyznaczenie odpowiedzialności

Ktoś w organizacji musi być odpowiedzialny za zgodność z Aktem o AI. W dużych firmach może to być osobne stanowisko lub zespół. W MŚP może to być ta sama osoba, która odpowiada za RODO — rozszerzenie zakresu obowiązków IOD o kwestie AI jest naturalnym i efektywnym rozwiązaniem.

Modele AI ogólnego przeznaczenia (GPAI) — co to oznacza w praktyce

Osobna część rozporządzenia dotyczy modeli AI ogólnego przeznaczenia (General-Purpose AI — GPAI). To modele fundamentalne takie jak GPT-4, Claude, Gemini, Llama i inne duże modele językowe, na których opiera się wiele codziennych narzędzi AI.

Przepisy dotyczące GPAI wchodzą w życie 2 sierpnia 2025 roku i dotyczą przede wszystkim dostawców tych modeli, a nie ich użytkowników końcowych. Ale polscy profesjonaliści powinni rozumieć te zasady z dwóch powodów:

  • Wybór dostawców: Jeśli budujesz produkty lub usługi oparte na modelu GPAI, musisz upewnić się, że dostawca modelu spełnia wymogi rozporządzenia. To wpływa na decyzje zakupowe i partnerstwa technologiczne.
  • Ryzyko systemowe: Modele GPAI o "wysokim wpływie" (przekraczające określony próg mocy obliczeniowej użytej do treningu) podlegają dodatkowym wymogom, w tym ocenie ryzyka systemowego, red teamingowi i obowiązkowi raportowania poważnych incydentów. Jeśli Twoja firma zbudowała kluczowe procesy biznesowe na takim modelu, powinieneś wiedzieć, jakie ryzyka to niesie.

Wymogi przejrzystości dla GPAI

Wszyscy dostawcy modeli GPAI muszą:

  • Sporządzić i udostępnić szczegółową dokumentację techniczną modelu
  • Przygotować informacje i dokumentację dla podmiotów dalszych (downstream providers) integrujących model w swoje produkty
  • Ustanowić politykę dotyczącą przestrzegania prawa autorskiego UE
  • Opublikować szczegółowe podsumowanie danych treningowych

Dla polskich firm korzystających z narzędzi opartych na dużych modelach językowych (np. ChatGPT, Copilot, Claude), praktyczny wniosek jest taki: upewnij się, że dostawca narzędzia jest świadomy swoich obowiązków wynikających z Aktu o AI i ma plan ich spełnienia. To pytanie, które warto zadać dostawcy już teraz.

Akt o AI a polskie prawo krajowe

Rozporządzenie UE o sztucznej inteligencji obowiązuje bezpośrednio we wszystkich państwach członkowskich — nie wymaga transpozycji do prawa krajowego (w przeciwieństwie do dyrektyw). Ale Polska, jak każde państwo, musi podjąć konkretne kroki implementacyjne:

  • Wyznaczenie organu nadzorczego: Polska musi wskazać instytucję odpowiedzialną za nadzór i egzekwowanie Aktu o AI na poziomie krajowym.
  • Ustanowienie systemu kar: Choć rozporządzenie wyznacza maksymalne pułapy kar, szczegółowe procedury nakładania sankcji będą regulowane na poziomie krajowym.
  • Piaskownice regulacyjne: Polska może (i powinna) ustanowić krajowe piaskownice regulacyjne umożliwiające testowanie innowacyjnych systemów AI.
  • Integracja z istniejącym prawem: Akt o AI współistnieje z polskim Kodeksem pracy, ustawą o ochronie danych osobowych, przepisami sektorowymi (np. prawo bankowe, prawo farmaceutyczne) — i te ramy muszą być skoordynowane.

Na dzień dzisiejszy polska implementacja jest w toku. Warto śledzić komunikaty Ministerstwa Cyfryzacji oraz strony Kancelarii Prezesa Rady Ministrów, gdzie publikowane są informacje o postępach wdrażania Aktu o AI w Polsce.

Jak szkolenie AI pomaga w zgodności z rozporządzeniem

Jednym z najskuteczniejszych sposobów przygotowania firmy do spełnienia wymogów Aktu o AI jest zapewnienie pracownikom odpowiedniego szkolenia. To nie jest pusty slogan — to wynika bezpośrednio z treści rozporządzenia.

Szkolenie jako wymóg prawny

Artykuł 4 nakłada wprost obowiązek zapewnienia "odpowiedniego poziomu kompetencji w zakresie AI". Szkolenie pracowników to najprostsza i najlepiej udokumentowana metoda spełnienia tego wymogu. Firma, która może przedstawić zaświadczenia o ukończeniu szkolenia AI przez swoich pracowników, ma solidny dowód na działanie w zgodności z artykułem 4.

Szkolenie jako narzędzie zarządzania ryzykiem

Przeszkolony pracownik to pracownik, który:

  • Rozumie, kiedy AI może dawać błędne wyniki i wie, jak to zweryfikować
  • Potrafi rozpoznać sytuacje, w których wykorzystanie AI wymaga dodatkowej ostrożności
  • Zna podstawowe zasady etycznego korzystania ze sztucznej inteligencji
  • Wie, jakie obowiązki nakłada rozporządzenie i jak się do nich stosować
  • Potrafi dokumentować swoje korzystanie z AI w sposób wymagany przez prawo

To bezpośrednio przekłada się na niższe ryzyko naruszeń, a więc na niższe ryzyko kar. Inwestycja w szkolenie AI to forma zarządzania ryzykiem regulacyjnym.

Co powinno obejmować dobre szkolenie AI

Nie każde szkolenie AI jest równie wartościowe w kontekście zgodności z Aktem o AI. Skuteczne szkolenie powinno obejmować:

  1. Podstawy technologii AI: Czym jest sztuczna inteligencja, jak działają modele językowe, uczenie maszynowe, sieci neuronowe — na poziomie koncepcyjnym, nie technicznym.
  2. Praktyczne narzędzia AI: Jak korzystać z konkretnych narzędzi AI w codziennej pracy — tworzenie promptów, analiza danych, automatyzacja zadań.
  3. Ograniczenia i ryzyka: Halucynacje AI, stronniczość algorytmiczna, zagrożenia dla prywatności, bezpieczeństwo danych.
  4. Kontekst prawny i etyczny: Akt o AI, RODO, odpowiedzialność za decyzje wspomagane przez AI.
  5. Kontekst europejski: Jak regulacje AI wpływają na działalność biznesową w Europie, jakie są różnice względem podejścia amerykańskiego czy chińskiego.

Właśnie taki zakres pokrywa nasz darmowy kurs AI, który możesz rozpocząć bez żadnych zobowiązań. To dobry punkt wyjścia, aby zrozumieć zarówno technologię, jak i ramy regulacyjne, zanim podejmiesz decyzję o bardziej zaawansowanym szkoleniu.

Najczęstsze mity o rozporządzeniu UE o AI

Wokół Aktu o AI narosło wiele nieporozumień. Oto najczęstsze mity i fakty, które je prostują:

Mit 1: "Akt o AI dotyczy tylko dużych firm technologicznych"

Fakt: Rozporządzenie dotyczy każdego, kto wdraża lub wykorzystuje systemy AI — niezależnie od wielkości firmy. Jeśli Twoja 10-osobowa firma używa AI do przesiewania CV, podlegasz tym samym wymogom co korporacja z 10 000 pracowników (z uwzględnieniem proporcjonalnych kar).

Mit 2: "To zakaże korzystania z ChatGPT"

Fakt: Akt o AI nie zakazuje żadnych konkretnych narzędzi. Zakazuje określonych zastosowań (np. scoring społeczny, manipulacja podprogowa). ChatGPT, Claude i inne narzędzia AI ogólnego przeznaczenia mogą być swobodnie wykorzystywane do większości zastosowań biznesowych, pod warunkiem spełnienia wymogów przejrzystości.

Mit 3: "Moja firma nie używa AI, więc mnie to nie dotyczy"

Fakt: Jeśli korzystasz z Office 365 z funkcjami Copilot, z CRM z wbudowaną analityką predykcyjną, z narzędzi do obsługi klienta z automatycznymi odpowiedziami — używasz AI. Wiele firm korzysta z AI, nawet o tym nie wiedząc. Stąd znaczenie kroku pierwszego: inwentaryzacji.

Mit 4: "Wystarczy poczekać — jeszcze nic się nie dzieje"

Fakt: Obowiązek kompetencji AI (artykuł 4) i zakazy praktyk niedopuszczalnego ryzyka obowiązują od lutego 2025 roku. Wymogi dla systemów wysokiego ryzyka wchodzą w życie w sierpniu 2026 roku. To nie jest czas na czekanie — to czas na przygotowanie.

Mit 5: "RODO już to reguluje"

Fakt: RODO reguluje przetwarzanie danych osobowych, w tym przetwarzanie przez systemy AI. Ale Akt o AI idzie znacznie dalej — reguluje same systemy AI, niezależnie od tego, czy przetwarzają dane osobowe. Obejmuje zarządzanie ryzykiem, dokumentację techniczną, nadzór ludzki i wiele innych aspektów, których RODO nie obejmuje. Oba rozporządzenia obowiązują równolegle.

Mit 6: "To hamuje innowacje w Europie"

Fakt: To kwestia perspektywy. Rozporządzenie faktycznie nakłada obowiązki, ale jednocześnie tworzy jasne ramy prawne — coś, czego brak w wielu innych jurysdykcjach. Europejska firma działająca zgodnie z Aktem o AI może oferować swoje usługi na całym rynku wewnętrznym UE z jednym zestawem zasad. To upraszcza ekspansję, buduje zaufanie klientów i tworzy barierę wejścia dla mniej odpowiedzialnych konkurentów spoza UE.

Akt o AI a inne europejskie regulacje cyfrowe

Rozporządzenie UE o sztucznej inteligencji nie istnieje w izolacji. Jest częścią szerszego ekosystemu europejskich regulacji cyfrowych, które polskie firmy muszą uwzględniać łącznie:

  • RODO (2018): Ochrona danych osobowych. Fundamentalne dla każdego systemu AI przetwarzającego dane osobowe.
  • Akt o usługach cyfrowych (DSA, 2024): Reguluje platformy internetowe, w tym wykorzystanie algorytmów rekomendacyjnych i moderacji treści opartej na AI.
  • Akt o rynkach cyfrowych (DMA, 2024): Nakłada obowiązki na "strażników dostępu" (gatekeepers) — duże platformy technologiczne — w tym w zakresie interoperacyjności i uczciwej konkurencji.
  • Akt o danych (Data Act, 2025): Reguluje dostęp do danych i ich udostępnianie, co ma bezpośredni wpływ na dane wykorzystywane do trenowania systemów AI.
  • Dyrektywa NIS 2 (2024): Wymogi cyberbezpieczeństwa, w tym dla systemów AI wykorzystywanych w infrastrukturze krytycznej.
  • Dyrektywa o odpowiedzialności za AI (w przygotowaniu): Ułatwi dochodzenie odszkodowań za szkody wyrządzone przez systemy AI.

Dla polskich profesjonalistów kluczowy wniosek jest taki: zgodność z Aktem o AI to nie izolowany projekt — to element szerszej strategii zgodności cyfrowej. Firmy, które przyjmą zintegrowane podejście do regulacji cyfrowych, będą działać efektywniej niż te, które traktują każde rozporządzenie osobno.

Praktyczny przykład: Polska firma e-commerce i Akt o AI

Aby zilustrować, jak regulacje AI wyglądają w praktyce, rozważmy hipotetyczną polską firmę e-commerce — nazwijmy ją "PolskiSklep" — zatrudniającą 50 osób, z rocznym obrotem 20 milionów złotych (ok. 4,5 miliona euro).

PolskiSklep korzysta z następujących narzędzi AI:

  1. Chatbot na stronie obsługujący zapytania klientów 24/7
  2. System rekomendacji produktów personalizujący oferty
  3. Narzędzie AI do generowania opisów produktów na stronę
  4. System AI do analizy opinii klientów wyciągający trendy i nastroje
  5. Narzędzie AI do przesiewania CV kandydatów do pracy

Jak wygląda klasyfikacja ryzyka dla tych narzędzi?

  • Chatbot: ograniczone ryzyko — wymóg informowania klientów, że rozmawiają z AI. Działanie: dodanie wyraźnego komunikatu.
  • System rekomendacji: minimalne ryzyko — brak dodatkowych wymogów. Działanie: brak pilnych zmian.
  • Generator opisów: ograniczone ryzyko — wymóg oznaczenia treści jako wygenerowanych przez AI, jeśli mogłyby być mylnie uznane za stworzone przez człowieka. Działanie: rozważenie dodania adnotacji.
  • Analiza opinii: minimalne ryzyko — analityka wewnętrzna. Działanie: brak pilnych zmian, ale jeśli wyniki wpływają na indywidualne decyzje (np. blokowanie konta klienta), może wymagać głębszej analizy.
  • Przesiewanie CV: wysokie ryzyko — pełen zestaw wymogów. Działanie: wdrożenie systemu zarządzania ryzykiem, dokumentacja techniczna, nadzór ludzki nad decyzjami, do sierpnia 2026.

Dodatkowo PolskiSklep musi natychmiast zapewnić szkolenie AI dla wszystkich pracowników korzystających z tych narzędzi (artykuł 4 — już obowiązuje). Koszt odpowiedniego szkolenia w porównaniu z potencjalnymi karami to ułamek promila — to jedna z najefektywniejszych inwestycji w zarządzanie ryzykiem.

Ile to kosztuje? Perspektywa budżetowa

Jednym z największych obaw polskich przedsiębiorców jest koszt dostosowania do Aktu o AI. Bądźmy konkretni — koszty zależą od kategorii ryzyka:

Minimalne i ograniczone ryzyko (większość firm)

Dla firmy korzystającej wyłącznie z systemów AI minimalnego i ograniczonego ryzyka, główne koszty to:

  • Szkolenie pracowników: Praktyczny kurs AI dla zespołu. Nasz pełny kurs kosztuje €99 (ok. 450 zł) na osobę — to inwestycja mniejsza niż jedno szkolenie BHP.
  • Inwentaryzacja i klasyfikacja: Wewnętrzna praca, nie wymaga konsultantów zewnętrznych. Osoba z podstawową wiedzą o AI może to zrobić w ciągu kilku dni.
  • Aktualizacja polityk: Stworzenie polityki korzystania z AI — na bazie istniejących polityk RODO. Koszt minimalny.
  • Oznaczenia przejrzystości: Dodanie komunikatów o AI w chatbotach, oznaczenie treści generowanych przez AI. Technicznie proste.

Łączny koszt dla typowego polskiego MŚP z 20 pracownikami korzystającymi z AI? Rzędu kilku tysięcy złotych. Porównywalny z rocznym kosztem licencji na oprogramowanie biurowe.

Wysokie ryzyko (specjalistyczne zastosowania)

Jeśli firma korzysta z systemów AI wysokiego ryzyka, koszty są wyższe — ale proporcjonalne do skali ryzyka i korzyści, jakie te systemy przynoszą:

  • System zarządzania ryzykiem: Wymaga dedykowanego czasu pracy, potencjalnie konsultacji zewnętrznych.
  • Dokumentacja techniczna: Współpraca z dostawcą systemu AI w celu uzyskania lub stworzenia wymaganej dokumentacji.
  • Audyt zgodności: Weryfikacja spełnienia wymogów — wewnętrzna lub z udziałem audytora.
  • Szkolenie specjalistyczne: Bardziej zaawansowane szkolenie dla osób bezpośrednio nadzorujących systemy AI wysokiego ryzyka.

Koszty te mogą wynosić od kilkunastu do kilkudziesięciu tysięcy złotych rocznie, w zależności od złożoności systemu. To znacząca kwota dla małej firmy, ale ułamek potencjalnych kar za niezgodność.

Przygotuj się teraz — nie czekaj na kontrole

Doświadczenia z RODO uczą jednego: firmy, które przygotowały się wcześniej, przeszły przez okres wdrażania znacznie łagodniej niż te, które czekały do ostatniej chwili. To samo będzie z Aktem o AI.

Polskie firmy mają tę przewagę, że mogą uczyć się na doświadczeniach z wdrażania RODO. Wielu przedsiębiorców pamięta panikę z maja 2018 roku, gdy rozporządzenie o ochronie danych weszło w życie, a wiele firm nie było gotowych. Nie powtarzaj tego scenariusza z Aktem o AI.

Trzy rzeczy, które możesz zrobić dziś:

  1. Zapisz się na darmowy kurs AI — zacznij od zrozumienia technologii i regulacji. To nie kosztuje nic, a daje solidne fundamenty do dalszych działań.
  2. Zrób inwentaryzację — sporządź listę wszystkich narzędzi AI, z których korzysta Twoja firma. Nawet prosta tabela w arkuszu kalkulacyjnym to początek.
  3. Porozmawiaj z zespołem — zapytaj pracowników, z jakich narzędzi AI korzystają. Możesz być zaskoczony liczbą narzędzi, o których nie wiedziałeś.

Akt o AI nie jest zagrożeniem dla odpowiedzialnego biznesu — to ramy, które premiują firmy działające etycznie i profesjonalnie. Firmy, które potraktują te regulacje poważnie, zyskają zaufanie klientów, przewagę konkurencyjną i spokój prawny. Te, które je zignorują, poniosą konsekwencje.

Wybór należy do Ciebie. Ale im wcześniej zaczniesz, tym łatwiej i taniej będzie osiągnąć zgodność. Rozpocznij od darmowego kursu AI i zbuduj kompetencje, które ochronią Twoją firmę i wzmocnią Twoją pozycję zawodową.