Wbrew temu, co słyszysz na konferencjach, AI Act nie jest „czymś, co dopiero nadejdzie". Część przepisów obowiązuje już od lutego 2025 roku, kolejne wchodzą w sierpniu 2026, a w Polsce powstaje właśnie krajowy organ nadzoru z prawem nakładania kar. I co najważniejsze dla Ciebie: regulacja dotyczy nie tylko gigantów technologicznych, ale każdej firmy, która korzysta z AI - także tej, która używa zwykłego chatbota do obsługi klienta albo narzędzia AI do rekrutacji.
W tym artykule zbieramy konkrety: co już Cię obowiązuje, jakie są realne terminy (z najnowszym przesunięciem z maja 2026), ile wynoszą kary i co praktycznie powinna zrobić mała lub średnia firma, żeby spać spokojnie. Bez prawniczego żargonu.
Czym jest AI Act i kogo dotyczy
AI Act (Rozporządzenie UE 2024/1689) to pierwsze na świecie kompleksowe prawo regulujące sztuczną inteligencję. Weszło w życie 1 sierpnia 2024 roku i obowiązuje bezpośrednio we wszystkich krajach UE - nie trzeba czekać na krajową ustawę, choć Polska dokłada własne przepisy wykonawcze.
Kluczowe rozróżnienie: rozporządzenie dzieli role na dostawcę (kto tworzy lub wprowadza system AI na rynek) i podmiot stosujący czyli deployer (kto używa AI w działalności). Większość firm jest właśnie podmiotem stosującym - i też ma obowiązki. Jeśli wdrażasz w firmie jakikolwiek system AI, ten przepis Cię dotyczy.
Cztery kategorie ryzyka - sprawdź, gdzie jesteś
Cała logika AI Act opiera się na poziomie ryzyka systemu, a nie na technologii. Im wyższe ryzyko, tym więcej obowiązków:
- Ryzyko niedopuszczalne (zakazane). Praktyki po prostu zabronione od 2 lutego 2025: scoring społeczny obywateli, masowe pobieranie zdjęć twarzy z internetu do baz rozpoznawania, rozpoznawanie emocji w miejscu pracy i w szkołach, manipulacja podprogowa, zdalna identyfikacja biometryczna w czasie rzeczywistym (poza wąskimi wyjątkami).
- Wysokie ryzyko. Systemy w obszarach wrażliwych: rekrutacja i ocena pracowników, edukacja, ocena zdolności kredytowej, ochrona zdrowia, infrastruktura krytyczna. Wymagają oceny zgodności, dokumentacji technicznej, nadzoru człowieka i rejestracji.
- Ryzyko ograniczone. Tu wpada większość biznesowych zastosowań: chatboty, asystenci, generatory treści. Główny obowiązek to przejrzystość - użytkownik musi wiedzieć, że rozmawia z AI, a treści generowane (w tym deepfake) muszą być oznaczone.
- Ryzyko minimalne. Filtry antyspamowe, AI w grach, rekomendacje. Bez dodatkowych obowiązków - to zdecydowana większość systemów AI.
Najczęstszy błąd małej firmy: zakładać, że „nas to nie dotyczy, bo nie budujemy AI". Dotyczy - bo go używasz. Pytanie nie brzmi „czy", tylko „w której kategorii ryzyka".
Obowiązek, który już Cię dotyczy: kompetencje AI (art. 4)
To najważniejszy i najczęściej pomijany punkt dla zwykłej firmy. Od 2 lutego 2025 obowiązuje artykuł 4, który wymaga, by każda organizacja używająca AI zapewniła wystarczający poziom kompetencji AI u swoich pracowników i osób obsługujących te systemy w jej imieniu.
Co istotne: dotyczy to każdej firmy korzystającej z AI, nie tylko tej z systemami wysokiego ryzyka. Nie ma narzuconego formatu - Komisja Europejska wprost mówi, że nie wymaga sztywnych, obowiązkowych szkoleń. Wymóg jest proporcjonalny do kontekstu: inny będzie dla zespołu programistów, inny dla działu obsługi klienta używającego chatbota. W praktyce wystarczy świadome przeszkolenie ludzi z tego, czym jest narzędzie, jakie ma ograniczenia i gdzie nie wolno mu ufać.
Kary - i dlaczego mała firma nie powinna panikować
AI Act ma trzy poziomy kar (artykuł 99), liczone jako wyższa z dwóch wartości: kwota stała albo procent globalnego obrotu:
Praktyki zakazane (art. 5) -> do 35 mln EUR lub 7% obrotu
Wysokie ryzyko / inne obowiązki -> do 15 mln EUR lub 3% obrotu
Wprowadzenie organów w błąd -> do 7,5 mln EUR lub 1% obrotuTe liczby brzmią przerażająco, ale jest kluczowy zapis o proporcjonalności: dla MŚP i startupów kara to NIŻSZA z dwóch wartości, nie wyższa. Regulacja celowo nie chce zmiażdżyć małej firmy karą liczoną jak dla korporacji. To nie znaczy, że można ignorować przepisy - znaczy, że ryzyko jest realne, ale skalowane do wielkości firmy.
Najnowsza zmiana: terminy wysokiego ryzyka przesunięte
Tu uwaga, bo to świeża i ważna wiadomość. W ramach tak zwanego Digital Omnibus instytucje UE osiągnęły 6 maja 2026 wstępne porozumienie (potwierdzone przez państwa członkowskie 13 maja 2026) o przesunięciu najtrudniejszych terminów:
- Systemy wysokiego ryzyka z Aneksu III (samodzielne, np. rekrutacja, scoring) - z 2 sierpnia 2026 na 2 grudnia 2027.
- AI wbudowane w produkty regulowane z Aneksu I (maszyny, wyroby medyczne, pojazdy) - z 2 sierpnia 2027 na 2 sierpnia 2028.
Zastrzeżenie: to porozumienie nie zostało jeszcze formalnie przyjęte i opublikowane w Dzienniku Urzędowym UE - stanie się wiążące dopiero po publikacji, spodziewanej przed 2 sierpnia 2026. I co kluczowe: przesunięcie nie dotyczy obowiązków przejrzystości z artykułu 50 (oznaczanie treści AI), które wchodzą 2 sierpnia 2026 bez zmian. Nie traktuj więc Omnibusa jako powodu, by odłożyć temat - to oddech na najcięższe wymogi, nie odwołanie regulacji.
Polska układanka: KRiBSI i kara 150 zł za pewność
Sam AI Act działa bezpośrednio, ale każdy kraj musi wskazać organ nadzoru i przepisy wykonawcze. Polski projekt ustawy o systemach sztucznej inteligencji przyjęła Rada Ministrów 31 marca 2026, a Sejm uchwalił go 11 czerwca 2026 (proces legislacyjny jest finalizowany).
Ustawa powołuje Komisję Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI) - siedmioosobowy organ nadzoru rynku, z przewodniczącym powoływanym przez Sejm za zgodą Senatu na pięcioletnią kadencję, z udziałem przedstawicieli UOKiK, KNF, KRRiT i UKE. To do niej obywatel złoży skargę, gdy uzna, że system AI naruszył jego prawa (odwołania trafią do Sądu Okręgowego w Warszawie).
Dwa konkrety ważne dla firm. Po pierwsze: jeśli nie masz pewności, czy Twój system to „wysokie ryzyko", będziesz mógł zapłacić 150 zł i uzyskać wiążącą interpretację swojej sytuacji od KRiBSI - tani sposób na zdjęcie ryzyka prawnego. Po drugie: ustawa przewiduje piaskownice regulacyjne (środowiska testowe), w których MŚP są zwolnione z opłat - przestrzeń na bezpieczne sprawdzenie rozwiązania pod okiem regulatora.
Co konkretnie zrobić w małej firmie - checklist
Bez przesady i bez paniki. Realistyczny plan dla firmy spoza świata AI:
- Zinwentaryzuj swoje AI. Spisz wszystkie narzędzia AI w użyciu - chatboty, asystenci w pakietach biurowych, narzędzia HR, generatory treści, systemy scoringu. Nie da się ocenić ryzyka czegoś, czego nie wiesz, że masz.
- Przypisz kategorię ryzyka. Większość Twoich narzędzi będzie minimalnego lub ograniczonego ryzyka. Czerwona flaga to AI dotykające ludzi: rekrutacja, ocena pracowników, scoring klientów - to potencjalne wysokie ryzyko.
- Zadbaj o kompetencje AI (art. 4). To obowiązuje już teraz. Krótkie, udokumentowane przeszkolenie zespołu z zasad korzystania z AI i jego ograniczeń.
- Włącz przejrzystość. Jeśli masz chatbota, poinformuj klientów, że rozmawiają z AI. Oznaczaj treści generowane przez AI.
- Spisz prostą politykę użycia AI. Co wolno, czego nie (np. zakaz wklejania danych klientów do publicznych modeli), kto odpowiada. To samo zabezpiecza Cię też przed wyciekiem danych.
AI Act to nie jest kolejny straszak - to ta sama logika, co przy NIS2 czy RODO: zinwentaryzuj, oceń ryzyko, udokumentuj, przeszkol ludzi. Firma, która świadomie wdraża AI w praktyce, przy okazji spełnia większość wymogów. Jeśli chcesz przejść przez to z kimś, kto zna i regulacje, i realne wdrożenia - pogadajmy, zrobimy audyt Twoich narzędzi AI i powiemy wprost, gdzie jesteś i co realnie trzeba zrobić.
Stan na 30 czerwca 2026. Daty i kwoty za Rozporządzeniem UE 2024/1689 (AI Act), wstępnym porozumieniem Digital Omnibus z 6 maja 2026 (oczekuje na publikację) oraz polskim projektem ustawy o systemach sztucznej inteligencji. Artykuł ma charakter informacyjny i nie stanowi porady prawnej.
