2 sierpnia 2026 roku przestaje być datą z prezentacji prawników, a staje się obowiązującym prawem. Tego dnia zaczynają być stosowane wymogi AI Act dla systemów sztucznej inteligencji wysokiego ryzyka — z karami sięgającymi 15 milionów euro lub 3% globalnego obrotu. Dobra wiadomość: większości polskich firm te najcięższe obowiązki nie dotyczą. Zła: spora część firm, których dotyczą, jeszcze o tym nie wie.
Potraktujmy ten artykuł jak test. Dziesięć minut lektury i wiadomo, w której z trzech grup jest Twoja firma: tych, których przepisy dotyczą, tych, których nie dotyczą — albo tych, które muszą to dopiero ustalić.
Najpierw fakty: co dokładnie zaczyna obowiązywać
AI Act wszedł w życie 1 sierpnia 2024 roku, ale jego przepisy uruchamiane są etapami. Część już działa — i to jest pierwsza rzecz, którą wiele firm przeoczyło:
- Od 2 lutego 2025 (już obowiązuje): zakaz praktyk niedopuszczalnych (m.in. social scoring, manipulacja podprogowa) oraz obowiązek zapewnienia kompetencji AI personelu — tzw. AI literacy. Tak, jeśli Twoi pracownicy używają narzędzi AI, obowiązek szkoleniowy dotyczy Cię już dziś.
- Od 2 sierpnia 2025 (już obowiązuje): obowiązki dostawców modeli ogólnego przeznaczenia (GPAI) — dotyczą głównie twórców modeli, pośrednio firm z nich korzystających.
- Od 2 sierpnia 2026 (za miesiąc): pełne wymogi dla systemów wysokiego ryzyka z Załącznika III — i to jest temat tego artykułu.
- Od 2 sierpnia 2027: wymogi dla AI wbudowanego w produkty regulowane sektorowo (wyroby medyczne, maszyny).
Ważny kontekst: w Brukseli procedowany jest pakiet Digital Omnibus, który może przesunąć terminy dla systemów wysokiego ryzyka. Na dziś to wyłącznie propozycja — nie obowiązujące prawo. Klasyfikacja systemów i dokumentacja to dla typowej organizacji projekt na kilkanaście miesięcy, więc zakładanie, że „temat sam się odsunie”, jest strategią o wysokim ryzyku.
Test w 10 minut: czy używasz systemu wysokiego ryzyka
Załącznik III do AI Act wymienia obszary, w których systemy sztucznej inteligencji z definicji kwalifikują się jako systemy wysokiego ryzyka. Poniżej zestawiamy te z nich, które realnie występują w polskich firmach — przełożone z języka rozporządzenia na język praktyki. Na każde z pytań wystarczy odpowiedzieć: tak lub nie.
Obszar 1: Rekrutacja i HR
- Czy używacie narzędzia, które automatycznie filtruje lub ocenia CV kandydatów?
- Czy system AI uczestniczy w decyzjach o awansach, premiach lub zwolnieniach?
- Czy oprogramowanie analizuje wydajność lub zachowanie pracowników (np. monitoring produktywności z oceną)?
- Czy AI ocenia kandydatów podczas rozmów wideo (analiza mimiki, głosu, sposobu wypowiedzi)?
Uwaga: dotyczy to także gotowych narzędzi rekrutacyjnych kupionych od zewnętrznych dostawców. Jako podmiot stosujący (deployer) masz własne obowiązki — nie przerzucisz wszystkich na producenta.
Obszar 2: Finanse i scoring
- Czy AI ocenia zdolność kredytową lub wiarygodność płatniczą osób fizycznych?
- Czy system AI uczestniczy w wycenie ryzyka przy ubezpieczeniach na życie lub zdrowotnych?
Obszar 3: Biometria i dostęp
- Czy używacie systemów rozpoznawania twarzy lub innej zdalnej identyfikacji biometrycznej?
- Czy AI kategoryzuje osoby na podstawie danych biometrycznych?
Obszar 4: Edukacja i egzaminowanie
- Czy AI ocenia wyniki testów, egzaminów lub kwalifikacji (np. w firmowej akademii szkoleniowej z certyfikacją)?
Obszar 5: Infrastruktura krytyczna
- Czy AI steruje elementami infrastruktury krytycznej (energia, woda, transport) jako komponent bezpieczeństwa?
Interpretacja wyników
- Wszystkie odpowiedzi NIE: najprawdopodobniej nie używacie systemów wysokiego ryzyka. Zostają Wam obowiązki ogólne: AI literacy (już obowiązuje), przejrzystość chatbotów wobec użytkowników i porządek w danych osobowych (RODO). To wciąż praca do wykonania — ale nie wyścig z terminem 2 sierpnia.
- Choć jedno TAK: z dużym prawdopodobieństwem macie system wysokiego ryzyka i miesiąc na rozpoczęcie pracy nad zgodnością. Nie panikuj — ale też nie odkładaj. Lista obowiązków poniżej.
- Odpowiedzi „nie wiem”: to najczęstszy i najbardziej ryzykowny wynik. Oznacza, że firma nie ma rejestru systemów AI — czyli nie wie, co u niej działa. Pierwszym krokiem jest inwentaryzacja, nie dokumentacja.
Masz system wysokiego ryzyka? Oto Twoja lista