AI Act wchodzi do gry: 15 milionów euro kary dla tych, którzy przespali termin

2 sierpnia 2026 roku przestaje być datą z prezentacji prawników, a staje się obowiązującym prawem. Tego dnia zaczynają być stosowane wymogi AI Act dla systemów sztucznej inteligencji wysokiego ryzyka — z karami sięgającymi 15 milionów euro lub 3% globalnego obrotu. Dobra wiadomość: większości polskich firm te najcięższe obowiązki nie dotyczą. Zła: spora część firm, których dotyczą, jeszcze o tym nie wie.

Potraktujmy ten artykuł jak test. Dziesięć minut lektury i wiadomo, w której z trzech grup jest Twoja firma: tych, których przepisy dotyczą, tych, których nie dotyczą — albo tych, które muszą to dopiero ustalić.

Najpierw fakty: co dokładnie zaczyna obowiązywać

AI Act wszedł w życie 1 sierpnia 2024 roku, ale jego przepisy uruchamiane są etapami. Część już działa — i to jest pierwsza rzecz, którą wiele firm przeoczyło: 

  • Od 2 lutego 2025 (już obowiązuje): zakaz praktyk niedopuszczalnych (m.in. social scoring, manipulacja podprogowa) oraz obowiązek zapewnienia kompetencji AI personelu — tzw. AI literacy. Tak, jeśli Twoi pracownicy używają narzędzi AI, obowiązek szkoleniowy dotyczy Cię już dziś. 
  • Od 2 sierpnia 2025 (już obowiązuje): obowiązki dostawców modeli ogólnego przeznaczenia (GPAI) — dotyczą głównie twórców modeli, pośrednio firm z nich korzystających. 
  • Od 2 sierpnia 2026 (za miesiąc): pełne wymogi dla systemów wysokiego ryzyka z Załącznika III — i to jest temat tego artykułu. 
  • Od 2 sierpnia 2027: wymogi dla AI wbudowanego w produkty regulowane sektorowo (wyroby medyczne, maszyny). 

Ważny kontekst: w Brukseli procedowany jest pakiet Digital Omnibus, który może przesunąć terminy dla systemów wysokiego ryzyka. Na dziś to wyłącznie propozycja — nie obowiązujące prawo. Klasyfikacja systemów i dokumentacja to dla typowej organizacji projekt na kilkanaście miesięcy, więc zakładanie, że „temat sam się odsunie”, jest strategią o wysokim ryzyku. 

Test w 10 minut: czy używasz systemu wysokiego ryzyka

Załącznik III do AI Act wymienia obszary, w których systemy sztucznej inteligencji z definicji kwalifikują się jako systemy wysokiego ryzyka. Poniżej zestawiamy te z nich, które realnie występują w polskich firmach — przełożone z języka rozporządzenia na język praktyki. Na każde z pytań wystarczy odpowiedzieć: tak lub nie.

Obszar 1: Rekrutacja i HR

  • Czy używacie narzędzia, które automatycznie filtruje lub ocenia CV kandydatów? 
  • Czy system AI uczestniczy w decyzjach o awansach, premiach lub zwolnieniach? 
  • Czy oprogramowanie analizuje wydajność lub zachowanie pracowników (np. monitoring produktywności z oceną)? 
  • Czy AI ocenia kandydatów podczas rozmów wideo (analiza mimiki, głosu, sposobu wypowiedzi)? 

Uwaga: dotyczy to także gotowych narzędzi rekrutacyjnych kupionych od zewnętrznych dostawców. Jako podmiot stosujący (deployer) masz własne obowiązki — nie przerzucisz wszystkich na producenta. 

Obszar 2: Finanse i scoring

  • Czy AI ocenia zdolność kredytową lub wiarygodność płatniczą osób fizycznych? 
  • Czy system AI uczestniczy w wycenie ryzyka przy ubezpieczeniach na życie lub zdrowotnych? 

Obszar 3: Biometria i dostęp

  • Czy używacie systemów rozpoznawania twarzy lub innej zdalnej identyfikacji biometrycznej? 
  • Czy AI kategoryzuje osoby na podstawie danych biometrycznych? 

Obszar 4: Edukacja i egzaminowanie

  • Czy AI ocenia wyniki testów, egzaminów lub kwalifikacji (np. w firmowej akademii szkoleniowej z certyfikacją)? 

Obszar 5: Infrastruktura krytyczna

  • Czy AI steruje elementami infrastruktury krytycznej (energia, woda, transport) jako komponent bezpieczeństwa? 

Interpretacja wyników

  • Wszystkie odpowiedzi NIE: najprawdopodobniej nie używacie systemów wysokiego ryzyka. Zostają Wam obowiązki ogólne: AI literacy (już obowiązuje), przejrzystość chatbotów wobec użytkowników i porządek w danych osobowych (RODO). To wciąż praca do wykonania — ale nie wyścig z terminem 2 sierpnia. 
  • Choć jedno TAK: z dużym prawdopodobieństwem macie system wysokiego ryzyka i miesiąc na rozpoczęcie pracy nad zgodnością. Nie panikuj — ale też nie odkładaj. Lista obowiązków poniżej. 
  • Odpowiedzi „nie wiem”: to najczęstszy i najbardziej ryzykowny wynik. Oznacza, że firma nie ma rejestru systemów AI — czyli nie wie, co u niej działa. Pierwszym krokiem jest inwentaryzacja, nie dokumentacja. 

Masz system wysokiego ryzyka? Oto Twoja lista

System zarządzania ryzykiem — udokumentowany proces identyfikacji i ograniczania ryzyk systemu przez cały cykl jego życia 

Zarządzanie danymi — dokumentacja źródeł, jakości i ograniczeń danych, na których system działa 

Nadzór ludzki — człowiek musi mieć realną (nie teoretyczną) możliwość interwencji, korekty i wyłączenia systemu 

Dokumentacja techniczna i informacja dla użytkowników — w tym jasny komunikat, że decyzję wspiera AI 

Rejestracja systemu w unijnej bazie danych 

Monitoring po wdrożeniu i zgłaszanie poważnych incydentów 

Czy da się to zrobić w miesiąc? Kompletnie — nie. Ale regulatorzy na całym świecie konsekwentnie traktują łagodniej podmioty, które są w udokumentowanym procesie dochodzenia do zgodności, niż te, które nie zrobiły nic. Inwentaryzacja i klasyfikacja systemów to praca na pierwsze dwa–trzy tygodnie — i ona powinna zacząć się teraz. 

Od czego zacząć — niezależnie od wyniku testu

Trzy kroki uniwersalne dla każdej firmy: 

Rejestr systemów AI: spisz wszystko, co działa — od Copilota, przez narzędzie rekrutacyjne, po chatbota na stronie. Bez rejestru każda kolejna decyzja jest zgadywaniem. 

Klasyfikacja: każdą pozycję rejestru przypisz do kategorii ryzyka (niedopuszczalne / wysokie / ograniczone / minimalne). Większość wpadnie do minimalnego — i dobrze, będziesz mieć to udokumentowane. 

Plan dla wysokiego ryzyka: jeśli coś wpadło do tej kategorii — harmonogram dokumentacji, przypisanie odpowiedzialności, decyzja czy system zostaje, czy zostaje zastąpiony rozwiązaniem o niższym ryzyku. 

Nie masz pewności, jak sklasyfikować swoje systemy? W ramach audytu AI-readiness ITE AI przeprowadzamy pełną inwentaryzację i klasyfikację według AI Act — wraz z dokumentacją, którą można położyć na biurku audytora. Pierwsza konsultacja (45 minut) jest bezpłatna.

Dyrektor ds. Sprzedaży i Marketingu w firmie IT Excellence S.A., gdzie odpowiada za rozwój strategii handlowej oraz działania marketingowe spółki. Jako ekspert w zakresie sprzedaży i zarządzania projektami IT, specjalizuje się w optymalizacji procesów biznesowych oraz wdrażaniu narzędzi wspierających efektywność przedsiębiorstw, m.in. systemów ERP i elektronicznego obiegu dokumentów. W swojej pracy kładzie nacisk na ścisłą współpracę z klientami oraz elastyczne podejście do realizacji projektów, co pozwala na skuteczne dostosowanie rozwiązań do indywidualnych potrzeb biznesowych.



  • O firmie
  • Oprogramowanie
  • Usługi
  • Blog
  • Wydarzenia
  • Kontakt