Subskrybuj nas na Youtube
Zapisz się na newsletter
- To nie dotyczy tylko branży IT
- Największe ryzyko? Rekrutacja, kredyty, ubezpieczenia
- Sierpień 2026 wygląda groźnie. Ale jest jeden ważny haczyk
- Co już obowiązuje już teraz
- Kary są realne i bardzo wysokie
Unijny AI Act wszedł w życie 1 sierpnia 2024 r., ale jego przepisy są uruchamiane etapami. Z oficjalnej osi czasu na stronie: Komisji Europejskiej wynika, że większość kluczowych obowiązków ma zacząć być stosowana od 2 sierpnia 2026 r., a pełne wdrożenie przewidziano na 2 sierpnia 2027 r.. To właśnie dlatego firmy, które korzystają z AI przy rekrutacji, scoringu klientów czy ocenie ryzyka, nie powinny już odkładać tematu.
To nie dotyczy tylko branży IT
Wokół AI Act krąży jeden wygodny mit: że to regulacja dla twórców modeli i wielkich firm technologicznych. W praktyce przepisy obejmują nie tylko tych, którzy budują systemy AI, ale też tych, którzy je wdrażają, sprzedają, importują, dystrybuują albo używają w określonych zastosowaniach. To oznacza, że pod regulację może wejść także zwykła firma, która kupiła gotowe narzędzie i używa go np. do preselekcji kandydatów albo oceny zdolności kredytowej.
Największe ryzyko? Rekrutacja, kredyty, ubezpieczenia
AI Act nie działa według prostego klucza: „ta branża jest objęta, a tamta nie”. Kluczowe jest to, do czego dokładnie używasz AI. W załączniku III do rozporządzenia wprost wymieniono m.in. systemy stosowane w zatrudnieniu, dostępie do usług prywatnych i publicznych oraz ocenie osób.
Najbardziej wrażliwe przypadki to dziś przede wszystkim:
- Rekrutacja i HR: jeśli AI analizuje CV, filtruje kandydatów, ocenia ich albo wspiera decyzje kadrowe, firma może wejść w reżim systemu wysokiego ryzyka.
- Banki i fintechy: szczególnie tam, gdzie AI wpływa na ocenę zdolności kredytowej albo dostęp klienta do ważnych usług finansowych.
- Ubezpieczenia: zwłaszcza jeśli algorytm ma wpływ na ocenę klienta, ryzyka albo dostęp do istotnej usługi.
- Dostawcy oprogramowania: bo nawet jeśli sami nie podejmują decyzji wobec ludzi, mogą dostarczać narzędzia używane później w obszarach objętych AI Act.
Sierpień 2026 wygląda groźnie. Ale jest jeden ważny haczyk
Na dziś oficjalny harmonogram UE nadal wskazuje 2 sierpnia 2026 r. jako termin wejścia w życie większości głównych obowiązków. Jednocześnie w UE trwają prace nad zmianami terminów w ramach pakietu Digital Omnibus on AI. To oznacza, że kalendarz może się jeszcze zmienić, ale na razie firmy nie powinny zakładać, że problem sam się odsunie. Bezpieczniej jest przygotowywać się według obecnych dat niż liczyć na polityczne opóźnienie.
Co już obowiązuje już teraz
To ważne, bo wiele firm myśli, że AI Act „zaczyna się” dopiero w 2026 roku. To nieprawda. Część przepisów już działa, a kolejne wchodzą etapami. Oficjalna oś czasu UE pokazuje, że rozporządzenie jest wdrażane stopniowo, a pełne wdrożenie ma nastąpić do sierpnia 2027 r.
Dla biznesu najważniejszy wniosek jest prosty: czas na porządkowanie użycia AI już trwa, nawet jeśli najcięższe obowiązki dla wielu firm są jeszcze przed nimi.
Kary są realne i bardzo wysokie
W tej regulacji nie chodzi o symboliczne upomnienia. Artykuł 99 AI Act przewiduje bardzo wysokie sankcje. Za stosowanie praktyk zakazanych grozi do 35 mln euro albo do 7 proc. rocznego obrotu, zależnie od tego, która kwota jest wyższa. Za inne naruszenia, m.in. obowiązków związanych z systemami wysokiego ryzyka i przejrzystością, grozi do 15 mln euro albo 3 proc. rocznego obrotu. Za przekazywanie organom informacji nieprawdziwych lub wprowadzających w błąd, do 7,5 mln euro albo 1 proc. obrotu.
Polska nadal jest w fazie przygotowań
W Polsce nadal trwają prace nad ustawą krajową dotyczącą systemów sztucznej inteligencji. Na gov.pl widnieje projekt ustawy o systemach sztucznej inteligencji, co pokazuje, że państwo dopiero buduje krajowe zaplecze nadzorcze i organizacyjne. To jednak nie znaczy, że firmy mogą spokojnie czekać. AI Act jest rozporządzeniem unijnym, więc działa bezpośrednio, niezależnie od tego, czy polski system nadzoru będzie gotowy idealnie na czas.
Najgorszy błąd? Założyć, że „nas to nie dotyczy”
Dla wielu firm największym ryzykiem nie będzie nawet sama technologia, ale błędne założenie, że skoro nie tworzą własnego modelu AI, to problem ich nie dotyczy. Tymczasem wystarczy używać gotowego narzędzia w obszarze takim jak rekrutacja czy scoring klientów, by wejść w obszar przepisów o wysokim ryzyku.
Co firma powinna zrobić teraz
Pierwszy krok jest prosty: zrobić listę wszystkich narzędzi AI używanych w firmie. Nie tylko tych „dużych”, ale też pozornie niewinnych systemów do HR, obsługi klienta, analizy dokumentów czy oceny ryzyka.
Drugi krok to sprawdzenie, czy któreś z tych zastosowań nie podpadają pod wysokie ryzyko. Nie liczy się modne hasło w ofercie dostawcy, tylko realny wpływ systemu na ludzi i decyzje.
Trzeci krok to przygotowanie organizacji na dokumentowanie i kontrolę. AI Act nie premiuje chaosu. Premiowana będzie firma, która potrafi powiedzieć: jakiego systemu używa, do czego, na jakich danych i z jakim wpływem na człowieka.
Najkrótszy wniosek
AI Act nie uderzy naraz we wszystkie firmy w Polsce. Ale dla części biznesu czas buforu właśnie się kończy. Jeśli firma używa AI w rekrutacji, finansach, ubezpieczeniach albo dostarcza takie narzędzia innym, powinna sprawdzić swoją sytuację teraz, a nie wtedy, gdy regulator zapuka do drzwi.
Pytania i odpowiedzi (FAQ)
Czym jest AI Act?
AI Act to unijne rozporządzenie, które wprowadza wspólne zasady dla systemów sztucznej inteligencji w UE. Akt został przyjęty w 2024 r. i jest wdrażany etapami, a pełne wdrożenie według oficjalnej osi czasu UE przewidziano do 2 sierpnia 2027 r.
Czy AI Act dotyczy każdej firmy w Polsce?
Nie. Regulacja nie obejmuje automatycznie wszystkich firm. Dotyczy podmiotów, które tworzą, wdrażają, sprzedają, importują, dystrybuują albo używają systemów AI w sposób objęty przepisami. W praktyce może to dotyczyć nie tylko branży IT, ale też np. HR, finansów czy ubezpieczeń.
Od kiedy firmy powinny się przygotowywać?
Już teraz. Oficjalny harmonogram UE nadal pokazuje 2 sierpnia 2026 r. jako datę wejścia w życie większości głównych obowiązków, choć równolegle w UE trwają prace nad możliwymi zmianami terminów. Z punktu widzenia biznesu bezpieczniej jest przygotowywać się według obecnie obowiązującego kalendarza.
Które zastosowania AI są najbardziej ryzykowne?
Najwięcej uwagi powinny poświęcić firmy używające AI w rekrutacji i HR, przy ocenie zdolności kredytowej, ocenę wiarygodności klientów, wycenę w ubezpieczeniach na życie i zdrowotnych oraz w innych obszarach wskazanych w załączniku III AI Act. To właśnie tam znajdują się przykłady systemów wysokiego ryzyka.
Czy samo korzystanie z gotowego narzędzia AI też może podlegać regulacji?
Tak. AI Act obejmuje nie tylko twórców systemów, ale także ich użytkowników. Firma może więc wejść w reżim przepisów nawet wtedy, gdy nie buduje własnego modelu, tylko używa gotowego rozwiązania kupionego od zewnętrznego dostawcy.
Czy trzeba czekać na polską ustawę wdrażającą?
Nie. AI Act jest rozporządzeniem UE, więc działa bezpośrednio. Polska ustawa ma uporządkować kwestie instytucjonalne i nadzorcze, ale brak finalnych krajowych przepisów nie oznacza braku obowiązków po stronie firm.
Czy w Polsce jest już gotowy organ nadzoru?
Trwają prace nad krajowym systemem nadzoru. W polskim projekcie ustawy przewidziano powołanie Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji jako organu nadzoru rynku dla modeli i systemów AI.
Co firma powinna zrobić najpierw?
Najrozsądniejszy pierwszy krok to inwentaryzacja wszystkich narzędzi AI używanych w organizacji: do czego służą, jakie dane wykorzystują, kto z nich korzysta i czy wpływają na decyzje dotyczące ludzi. Dopiero wtedy można ocenić, czy konkretne zastosowanie podpada pod AI Act.
Źródła: Komisja Europejska: AI Act Service Desk, EUR-Lex, Komisja Europejska: Digital Strategy: https://ai-act-service-desk.ec.europa.eu/en/ai-act/timeline/timeline-implementation-eu-ai-act, Ministerstwo Cyfryzacji, Kancelaria Prezesa Rady Ministrów, Rządowe Centrum Legislacji: https://www.gov.pl/web/cyfryzacja/projekt-ustawy-o-systemach-sztucznej-inteligencji
