Firma powinna więc przygotować się do sierpniowego terminu, ale nie może opierać audytu na nieaktualnym założeniu, że wszystkie obowiązki wejdą w życie jednego dnia.
AI Act i obowiązki od 2 sierpnia 2026 r.
Najbardziej widoczną zmianą będzie art. 50 AI Act. Dostawcy systemów wchodzących w bezpośrednią interakcję z człowiekiem mają zapewnić, aby użytkownik wiedział, że kontaktuje się z AI, chyba że jest to oczywiste w danych okolicznościach. Dostawcy systemów generujących syntetyczny dźwięk, obraz, film lub tekst powinni umożliwić rozpoznanie sztucznego pochodzenia treści i stosować oznaczenia w formacie nadającym się do odczytu maszynowego. Rozwiązania techniczne mają być skuteczne, interoperacyjne, odporne i wiarygodne, z uwzględnieniem specyfiki treści, kosztów oraz stanu wiedzy.
Odrębny obowiązek spoczywa na podmiotach publikujących deepfake'i oraz wygenerowane lub zmanipulowane teksty służące informowaniu opinii publicznej o sprawach leżących w interesie publicznym. Odbiorca powinien otrzymać jasną informację o sztucznym pochodzeniu materiału. Rozporządzenie przewiduje wyjątki i rozwiązania szczególne, m.in. dla treści poddanych kontroli redakcyjnej oraz dla utworów artystycznych, satyrycznych i fikcyjnych, ale nie pozwala traktować każdej ludzkiej korekty jako automatycznego zwolnienia.
Kodeks przejrzystości nie zastępuje prawa
10 czerwca 2026 r. Komisja Europejska opublikowała kodeks postępowania dotyczący oznaczania i etykietowania treści generowanych przez AI. Dokument opisuje praktyczne środki, z których mogą korzystać dostawcy i podmioty stosujące. Przystąpienie do kodeksu jest dobrowolne, natomiast wykonanie obowiązków z art. 50 pozostaje prawnie wiążące. Firma, która nie skorzysta z kodeksu, nie jest automatycznie w stanie naruszenia, lecz musi umieć wykazać adekwatność własnych rozwiązań.
Nie wystarczy więc dopisać zdania do polityki prywatności. Potrzebna jest weryfikacja interfejsów, metadanych, procesów publikacji i umów z dostawcami. Jeżeli przedsiębiorca korzysta z zewnętrznego generatora, powinien sprawdzić, czy narzędzie zapewnia techniczne oznaczenie treści oraz czy zachowuje się ono po eksporcie, kompresji i redakcji. Gdy firma publikuje materiał pod własną marką, odpowiedzialność za komunikat skierowany do odbiorcy może spoczywać na niej jako podmiocie stosującym, niezależnie od funkcji zapewnianych przez producenta modelu.
Systemy wysokiego ryzyka z nowym terminem
Pierwotny harmonogram przewidywał rozpoczęcie stosowania dużej części wymagań dla systemów wysokiego ryzyka 2 sierpnia 2026 r. Opóźnienie prac nad normami technicznymi doprowadziło do inicjatywy upraszczającej AI Act. Zgodnie z informacją Komisji Europejskiej po porozumieniu politycznym zasady dla obszarów wymienionych w załączniku III, takich jak zatrudnienie, edukacja, dostęp do podstawowych usług, biometria, infrastruktura krytyczna, migracja i wymiar sprawiedliwości, mają być stosowane od 2 grudnia 2027 r. W przypadku AI będącej produktem lub elementem bezpieczeństwa produktu objętego określonymi przepisami harmonizacyjnymi termin ma upłynąć 2 sierpnia 2028 r.
Przesunięcie nie oznacza, że wolno czekać z identyfikacją takich narzędzi. Przygotowanie dokumentacji, uporządkowanie danych, ustalenie odpowiedzialności w łańcuchu dostaw i zaprojektowanie nadzoru człowieka wymaga wielu miesięcy. Ponadto nadal działają inne regulacje: RODO, prawo pracy, prawo konsumenckie, przepisy sektorowe i zakazy z art. 5 AI Act.
Zakazane praktyki i szkolenia już obowiązują
Od 2 lutego 2025 r. stosowane są zakazy obejmujące m.in. określone techniki manipulacyjne, wykorzystywanie podatności osób, niedopuszczalny scoring społeczny, niektóre formy przewidywania ryzyka przestępstwa, nieukierunkowane pozyskiwanie wizerunków twarzy z internetu i monitoringu, rozpoznawanie emocji w miejscu pracy i szkołach oraz część zastosowań biometrii. Każdy zakaz ma własne przesłanki i wyjątki, dlatego samo użycie etykiety „AI” albo „biometria” nie przesądza wyniku analizy.
Od tej samej daty dostawcy i podmioty stosujące systemy AI mają podejmować działania zapewniające odpowiedni poziom kompetencji personelu w dziedzinie AI. Szkolenie nie może być wyłącznie ogólnym webinarem. Powinno uwzględniać wiedzę techniczną pracowników, ich doświadczenie, kontekst użycia oraz osoby, wobec których system jest stosowany. Innego przygotowania potrzebuje pracownik marketingu używający generatora tekstu, a innego analityk zatwierdzający rekomendację dotyczącą kredytu.
Lista systemów AI jako punkt wyjścia
Pierwszym krokiem jest inwentaryzacja. Powinna objąć narzędzia kupione centralnie, funkcje dodane do używanych aplikacji, rozwiązania tworzone wewnętrznie oraz nieformalnie używane usługi generatywne. Dla każdego przypadku trzeba ustalić dostawcę, przeznaczenie, grupę użytkowników, rodzaj danych, odbiorców wyniku i wpływ na decyzje dotyczące ludzi. Bez takiej mapy firma nie jest w stanie określić swojej roli jako dostawcy, podmiotu stosującego, importera lub dystrybutora.
Drugi krok to klasyfikacja ryzyka i wskazanie konkretnych obowiązków. Trzeci obejmuje umowy: dostęp do dokumentacji, logów, informacji o aktualizacjach, incydentach i funkcjach oznaczania treści. Czwarty to procedury operacyjne, w tym nadzór człowieka, zgłaszanie błędów, obsługa skarg i wycofanie systemu. Piąty to dowody wykonania obowiązków: protokoły testów, rejestr szkoleń, decyzje klasyfikacyjne i dokumentacja zmian.
Kary za naruszenie przejrzystości
Brak wykonania obowiązków z art. 50 może prowadzić do kary do 15 mln euro albo do 3 proc. światowego rocznego obrotu przedsiębiorstwa, przy czym dla podmiotów innych niż MŚP zastosowanie ma wyższy z limitów. Dla małych i średnich przedsiębiorstw górną granicę wyznacza niższa wartość. Organ powinien brać pod uwagę wagę i czas trwania naruszenia, liczbę osób, poziom szkody, odpowiedzialność podmiotu, współpracę i działania naprawcze. Celem przygotowań nie powinno być jednak samo uniknięcie kary. Brak jasnej informacji o bocie lub fałszywym nagraniu może równolegle wywołać zarzuty naruszenia praw konsumentów, ochrony danych albo dóbr osobistych.
Słowa kluczowe: AI Act 2026, 2 sierpnia 2026, obowiązki firm, art. 50 AI Act, chatbot, treści generowane przez AI, deepfake, system wysokiego ryzyka, audyt AI, oznaczanie AI
Źródła
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689.
- Komisja Europejska, oficjalny harmonogram stosowania AI Act, aktualizacja z lipca 2026 r.
- Komisja Europejska, informacja o porozumieniu politycznym w sprawie AI Omnibus z 7 maja 2026 r.
- Komisja Europejska, Kodeks postępowania w zakresie oznaczania i etykietowania treści generowanych przez AI, 10 czerwca 2026 r.
- Komisja Europejska, projekt wytycznych dotyczących art. 50 AI Act, 8 maja 2026 r.
Współpracował z Wirtualną Polską, Wprost, Zieloną Interią. Komentuje wydarzenia polityczne dla Polskiego Radia. Zajmuje się polityką międzynarodową i krajową na łamach Gazety Prawnej. Pasjonat technologii i nauki.
