AI Act wszedł w życie 1 sierpnia 2024 roku. Większość jego przepisów zacznie obowiązywać od 2 sierpnia 2026. Daje to polskim firmom mniej więcej pięć miesięcy od momentu, gdy to piszę. Pięć miesięcy na sklasyfikowanie każdego systemu AI, którym operują, ocenę poziomów ryzyka, wdrożenie wymagań dokumentacyjnych i ustanowienie mechanizmów nadzoru ludzkiego. Większość jeszcze nie zaczęła.
Wiem to, bo pracuję z polskimi organizacjami wdrażającymi AI. Kiedy pytam o gotowość na AI Act, dostaję jedną z trzech odpowiedzi: dezorientację co do tego, czy regulacja ich dotyczy, niejasne plany, żeby "przyjrzeć się temu w następnym kwartale," albo założenie, że dział prawny się tym zajmie. Żadna z tych odpowiedzi nie jest strategią. AI Act to nie jest prawnicza formalność. Wymaga zmian technicznych, procesów organizacyjnych i udokumentowanych dowodów na to, że obydwa istnieją i funkcjonują.
Oto, co trzeba wiedzieć i co trzeba zrobić.
AI Act to nie jest formalność do odhaczenia. Wymaga zmian technicznych, procesów organizacyjnych i udokumentowanych dowodów, że oba istnieją i działają.
Co właściwie reguluje AI Act
AI Act reguluje systemy AI, nie firmy AI. To rozróżnienie ma znaczenie. Jeśli jesteś bankiem używającym modelu scoringowego opartego na AI, zbudowanego przez zewnętrznego dostawcę, nadal podlegasz regulacji. Jesteś "podmiotem wdrażającym" w rozumieniu ustawy, a podmioty wdrażające mają obowiązki. Dostawca to "dostawca" i ma inne obowiązki. Oba podmioty ponoszą odpowiedzialność.
Regulacja definiuje "system AI" szeroko: każdy system oparty na maszynach, który działa z pewnym poziomem autonomii i generuje wyniki takie jak przewidywania, rekomendacje, decyzje lub treści mogące wpływać na środowiska fizyczne lub wirtualne. Ta definicja obejmuje znacznie więcej, niż większość ludzi sobie uświadamia. Chatbot, klasyfikator dokumentów, pipeline wykrywania anomalii, automatyczny system kategoryzacji maili -- wszystko to są systemy AI w rozumieniu ustawy.
Powszechny błąd wśród polskich firm: "My nie tworzymy AI, tylko używamy narzędzi." Ustawa nie rozróżnia tego. Jeśli wdrażasz system AI przetwarzający dane mieszkańców UE, ustawa dotyczy ciebie. Kropka.
Kategorie ryzyka: gdzie plasuje się twój system
AI Act stosuje podejście oparte na ryzyku z czterema poziomami. Prawidłowa klasyfikacja to pierwszy i najważniejszy krok. Wszystko inne -- dokumentacja, monitoring, przejrzystość -- wynika z tego, do której kategorii trafiają twoje systemy.
Niedopuszczalne ryzyko (zakazane)
Te zastosowania AI są całkowicie zakazane od 2 lutego 2025. Obejmują systemy scoringu społecznego stosowane przez organy publiczne, identyfikację biometryczną w czasie rzeczywistym w przestrzeniach publicznych (z wąskimi wyjątkami dla organów ścigania), rozpoznawanie emocji w miejscach pracy i instytucjach edukacyjnych, oraz systemy AI manipulujące zachowaniem przez techniki podprogowe.
Spotkałem polską firmę HR tech, która używała analizy sentymentu na wideorozmowach pracowników jako elementu scoringu zaangażowania. To niebezpiecznie bliskie zakazu rozpoznawania emocji w miejscu pracy. Musieli całkowicie usunąć tę funkcję.
Wysokie ryzyko (pełne obowiązki)
Tu skupia się większość pracy nad zgodnością. Systemy AI wysokiego ryzyka obejmują te używane w: zarządzaniu infrastrukturą krytyczną, edukacji i szkoleniach zawodowych (ocenianie, rekrutacja), zatrudnieniu (rekrutacja, przydział zadań, ocena wydajności, decyzje o awansach), dostępie do usług podstawowych (scoring kredytowy, wycena ubezpieczeń, dyspozytornia ratunkowa), organach ścigania, migracji i kontroli granicznej, oraz wymiarze sprawiedliwości.
Jeśli twój system AI podejmuje lub istotnie wpływa na decyzje o dostępie ludzi do pracy, kredytu, edukacji, ubezpieczenia lub usług publicznych, prawie na pewno jest wysokiego ryzyka. Dla polskich firm z sektora finansowego i ubezpieczeniowego -- gdzie wykonuję większość mojej pracy -- oznacza to, że modele scoringowe, automatyzacja oceny szkód, systemy wykrywania oszustw i automatyczne underwriting trafiają do kategorii wysokiego ryzyka.
Systemy wysokiego ryzyka muszą spełniać wymagania obejmujące: udokumentowany system zarządzania ryzykiem utrzymywany przez cały cykl życia systemu, standardy zarządzania danymi obejmujące zbiory treningowe, walidacyjne i testowe, dokumentację techniczną wystarczającą do oceny zgodności przez stronę trzecią, automatyczne rejestrowanie operacji systemu, przejrzystość wobec podmiotów wdrażających poprzez jasne instrukcje użytkowania, mechanizmy nadzoru ludzkiego, oraz odpowiedni poziom dokładności, odporności i cyberbezpieczeństwa.
Dla polskich firm finansowych scoring kredytowy, automatyzacja szkód, wykrywanie oszustw i automatyczne underwriting -- to wszystko jest wysokiego ryzyka pod AI Act. Jeśli twój system wpływa na decyzje dotyczące ludzi, najprawdopodobniej tu trafia.
Ograniczone ryzyko (tylko przejrzystość)
Systemy wchodzące w bezpośrednią interakcję z ludźmi, ale nienależące do kategorii wysokiego ryzyka. Główny obowiązek to przejrzystość: użytkownicy muszą być informowani, że wchodzą w interakcję z systemem AI. Jeśli twój chatbot obsługuje zapytania klientów, musisz ujawnić, że jest oparty na AI. Jeśli generujesz treści syntetyczne (deepfake, obrazy lub tekst wygenerowane przez AI prezentowane jako stworzone przez człowieka), muszą być oznaczone jako wygenerowane przez AI.
Minimalne ryzyko (brak szczególnych obowiązków)
Systemy AI stanowiące minimalne lub żadne ryzyko -- filtry spamu, wyszukiwanie oparte na AI w narzędziach wewnętrznych, algorytmy optymalizacji logistyki. Brak szczególnych obowiązków, choć zachęca się do dobrowolnych kodeksów postępowania.
Harmonogram: co już obowiązuje
Wdrażanie jest stopniowe, a niektóre terminy już minęły:
2 lutego 2025 (już obowiązuje): Zakazy dotyczące systemów AI niedopuszczalnego ryzyka. Obowiązki w zakresie alfabetyzacji AI dla organizacji wdrażających systemy AI.
2 sierpnia 2025 (za kilka miesięcy): Obowiązki dla modeli AI ogólnego przeznaczenia (GPAI). Dotyczy to dostawców modeli bazowych, ale także firm dostosowujących te modele do konkretnych zastosowań.
2 sierpnia 2026 (główny termin): Pełne zastosowanie wszystkich pozostałych przepisów, w tym wszystkich wymagań dla systemów AI wysokiego ryzyka. To jest data, do której większość polskich firm musi dążyć.
2 sierpnia 2027: Przedłużony termin dla systemów AI wysokiego ryzyka będących komponentami produktów podlegających regulacjom sektorowym (urządzenia medyczne, pojazdy, sprzęt lotniczy).
Wymóg alfabetyzacji AI z lutego 2025 warto podkreślić, bo większość organizacji, z którymi rozmawiam, go przegapiła. Artykuł 4 wymaga, aby dostawcy i podmioty wdrażające systemy AI zapewnili swoim pracownikom "wystarczającą alfabetyzację AI." To nie jest opcjonalne. Już obowiązuje. Jeśli twoja organizacja używa systemów AI i nie zapewniła strukturalnego szkolenia osobom obsługującym lub nadzorującym te systemy, już jesteś niezgodny.
Praktyczne podejścia do programów alfabetyzacji AI omawiam podczas naszych warsztatów szkoleniowych dla zespołów. Szkolenie nie musi być rozbudowane, ale musi być udokumentowane.
Kary: dlaczego to nie jest teoria
AI Act ma zęby. Kary skonstruowane są w trzech poziomach w zależności od powagi naruszenia:
- Do 35 milionów EUR lub 7% globalnego rocznego obrotu za zakazane praktyki AI
- Do 15 milionów EUR lub 3% obrotu za naruszenia wymagań wysokiego ryzyka
- Do 7,5 miliona EUR lub 1,5% obrotu za dostarczanie nieprawdziwych informacji organom
Dla MŚP i startupów kary są ograniczone do niższej z dwóch wartości -- procentowej lub kwotowej. Ale nawet zmniejszone kwoty są wystarczająco istotne, żeby zagrozić rentowności średniej polskiej firmy.
Poza karami, brak zgodności tworzy ryzyko biznesowe. Firmy, które nie mogą wykazać zgodności, napotkają bariery w zamówieniach -- duże przedsiębiorstwa i podmioty sektora publicznego już dodają zgodność z AI Act do ankiet dla dostawców.
Polski kontekst: UOKiK i krajowe wdrożenie
Polska wyznacza UOKiK (Urząd Ochrony Konkurencji i Konsumentów) jako krajowy organ nadzoru nad AI Act. Kancelaria Prezesa Rady Ministrów koordynuje krajową politykę AI poprzez strategię AI ("Polityka dla rozwoju sztucznej inteligencji w Polsce od 2020 roku").
Praktyczne implikacje dla polskich firm: UOKiK ma już doświadczenie w egzekwowaniu prawa ochrony konsumentów i konkurencji. Zastosuje podobne podejście do zgodności z AI Act. Spodziewaj się audytów, postępowań wszczynanych na podstawie skarg i kontroli wyrywkowych, szczególnie w sektorach, gdzie AI bezpośrednio wpływa na konsumentów -- usługi finansowe, telekomunikacja, e-commerce.
Czekanie na doskonałe wytyczne przed rozpoczęciem prac nad zgodnością to powszechny błąd. Regulacja jest ostateczna. Wymagania są jasne. Zacznij teraz; doprecyzuj w miarę pojawiania się standardów.
Praktyczna checklista zgodności dla polskich firm
Przełożyłem to na konkretne kroki, które przechodzę z organizacjami, które doradzam. To nie jest porada prawna -- skonsultuj się z prawnikiem w swojej konkretnej sytuacji. Ale to jest praca techniczna i organizacyjna, która musi się wydarzyć.
Krok 1: Inwentaryzacja systemów AI (zrób to najpierw)
Stwórz kompletny rejestr każdego systemu AI, którego twoja organizacja używa, rozwija lub wdraża. Dla każdego systemu udokumentuj: co robi, jakie dane przetwarza, na kogo wpływa, kto go obsługuje, kto go dostarczył i kiedy został wdrożony.
Większość organizacji niedolicza swoich systemów AI o 40-60% przy pierwszym podejściu. Ludzie zapominają o modelu ML wbudowanym w CRM, o funkcji opartej na AI w platformie analitycznej, o silniku rekomendacji, który zespół marketingu aktywował dwa lata temu. Bądź dokładny.
Krok 2: Klasyfikacja ryzyka
Dla każdego systemu w inwentaryzacji określ kategorię ryzyka. Użyj kryteriów klasyfikacji z artykułu 6 i załączników I i III ustawy. W razie wątpliwości klasyfikuj wyżej -- łatwiej jest później obniżyć klasyfikację niż tłumaczyć regulatorowi, dlaczego zaklasyfikowałeś system wysokiego ryzyka jako ograniczonego ryzyka.
Krok 3: Analiza luk dla systemów wysokiego ryzyka
Dla każdego systemu wysokiego ryzyka oceń obecny stan w odniesieniu do wymagań z artykułów 8-15. Kluczowe pytania:
Zarządzanie ryzykiem (Art. 9): Czy masz udokumentowany proces zarządzania ryzykiem dla tego systemu? Czy jest utrzymywany i aktualizowany?
Zarządzanie danymi (Art. 10): Czy potrafisz wykazać, że dane treningowe były odpowiednie, reprezentatywne i wolne od błędów?
Dokumentacja techniczna (Art. 11): Czy właściwy organ mógłby ocenić zgodność twojego systemu wyłącznie na podstawie twojej dokumentacji? To jest poprzeczka.
Rejestrowanie (Art. 12): Czy twój system automatycznie rejestruje swoje operacje na poziomie wystarczającym do monitoringu po wdrożeniu?
Przejrzystość (Art. 13): Czy podmioty wdrażające mają jasne instrukcje użytkowania? Czy rozumieją możliwości, ograniczenia i przeznaczenie systemu?
Nadzór ludzki (Art. 14): Czy człowiek może skutecznie monitorować działanie systemu? Czy może interweniować, nadpisać lub zatrzymać system w razie potrzeby?
Dokładność i odporność (Art. 15): Czy przetestowałeś system pod kątem danych adversarialnych, dryftu danych i przypadków brzegowych?
Krok 4: Wdrożenie brakujących kontroli
Na podstawie analizy luk wdróż brakujące kontrole. To jest praca inżynierska. Dla większości organizacji największe luki dotyczą dokumentacji (zbudowali system, ale nie opisali go), rejestrowania (system działa, ale nie zapisuje, dlaczego podjął konkretne decyzje) i nadzoru ludzkiego (teoretycznie jest człowiek w pętli, ale w praktyce nikt nie przegląda wyników systemu).
Krok 5: Ustanowienie ciągłego monitoringu
Zgodność to nie jednorazowy projekt. Systemy wysokiego ryzyka wymagają ciągłego monitorowania degradacji dokładności, dryftu danych, pojawiających się ryzyk i incydentów. Zbuduj dashboardy, ustaw alerty, zaplanuj regularne przeglądy. Dokumentuj wszystko.
Krok 6: Przygotowanie do oceny zgodności
Systemy wysokiego ryzyka muszą przejść ocenę zgodności przed wprowadzeniem na rynek lub rozpoczęciem użytkowania. Dla większości systemów AI to samoocena oparta na wewnętrznych procedurach. Przygotuj dokumentację oceny zgodności teraz -- proces ten zajmuje czas, a pośpiech prowadzi do luk.
Zgodność to nie jednorazowy projekt. Wbuduj monitoring, dokumentację i cykle przeglądów w swoje operacje AI już teraz. Dorabianie tego później kosztuje trzy razy więcej.
Co polskie firmy robią źle
Trzy wzorce powtarzają się w organizacjach, z którymi pracuję.
Traktowanie tego jako projektu prawnego. Zgodność z AI Act wymaga wkładu prawnego, ale praca jest przede wszystkim techniczna i organizacyjna. Twój dział prawny nie napisze systemu zarządzania ryzykiem, nie wdroży rejestrowania ani nie ustanowi mechanizmów nadzoru ludzkiego. To wymaga liderstwa inżynieryjnego obok wsparcia prawnego. Doradzam organizacjom w budowaniu tej międzyfunkcyjnej zdolności zarządzania, bo naturalnie nie istnieje w większości polskich firm.
Czekanie na akty wykonawcze. Tak, niektóre standardy techniczne są jeszcze w przygotowaniu. Nie, to nie znaczy, że powinieneś czekać. Wymagania wysokiego poziomu są ostateczne. Zarządzanie ryzykiem, dokumentacja, rejestrowanie, nadzór ludzki -- to się nie zmieni. Standardy określą benchmarki i metody, ale obowiązki są ustalone. Zacznij od obowiązków, doprecyzuj ze standardami.
Ignorowanie odpowiedzialności dostawcy. Jeśli wdrażasz system AI zbudowany przez stronę trzecią, nadal odpowiadasz za zgodność jako podmiot wdrażający. "Nasz dostawca powiedział, że jest zgodny" to nie jest strategia zgodności. Zweryfikuj. Żądaj dokumentacji. Włącz wymagania zgodności z AI Act do umów zakupowych.
Sprint na pięć miesięcy
Jeśli zaczynasz od zera z pięcioma miesiącami do terminu w sierpniu 2026, oto realistyczne priorytety.
Miesiąc 1: Zakończ inwentaryzację systemów AI i klasyfikację ryzyka. To fundament -- wszystko inne zależy od wiedzy, co masz i gdzie to się plasuje.
Miesiąc 2: Analiza luk dla wszystkich systemów wysokiego ryzyka. Zidentyfikuj różnicę między stanem obecnym a wymaganym. Priorytetyzuj luki według powagi.
Miesiąc 3-4: Wdróż brakujące kontrole. Skup się najpierw na dokumentacji, rejestrowaniu i nadzorze ludzkim -- to najczęstsze luki i wymagają najwięcej czasu.
Miesiąc 5: Przygotowanie oceny zgodności, finalny przegląd i szkolenie pracowników. Upewnij się, że każdy, kto obsługuje lub nadzoruje systemy AI, rozumie swoje obowiązki wynikające z ustawy.
Ten harmonogram jest napięty. Zakłada dedykowane zasoby i uwagę zarządu. Jeśli twoja organizacja wdraża więcej niż pięć systemów AI wysokiego ryzyka, prawdopodobnie musisz pracować równolegle, a nie sekwencyjnie. Organizacje, które mają problemy, to nie te z najbardziej skomplikowanym AI -- to te, które zaczęły za późno.
Pięć miesięcy to mało komfortowo. Ale wystarczy, jeśli zaczniesz teraz. Organizacje, które czekają na "odpowiedni moment" lub "ostateczne wytyczne," odkryją, że sierpień 2026 nadchodzi, niezależnie od tego, czy są gotowe.
Damian Krawcewicz
Konsultant i praktyk strategii AI. 20 lat w inżynierii, obecnie prowadzi adopcję AI dla ponad 100 inżynierów.
Dowiedz się więcej o DamianiePotrzebujesz pomocy w budowaniu strategii AI?
Odkryj doradztwo w zakresie strategii AIPowiązane artykuły
Dotacje na AI dla firm 2026: KFS, Ścieżka SMART i inne źródła finansowania
Praktyczny przewodnik po dotacjach i dofinansowaniach na wdrożenie AI w polskich firmach w 2026 roku. KFS, Ścieżka SMART, Pilotaż AI, kryteria kwalifikowalności i wskazówki aplikacyjne.
Strategia wdrażania AI: Ramy dla średnich organizacji
Praktyczne ramy dla średnich organizacji planujących wdrożenie AI, obejmujące ocenę gotowości, strukturę zarządzania, wybór projektów pilotażowych i skalowanie od eksperymentu do produkcji.
Dlaczego zarządzanie AI nie jest wrogiem innowacji
Zarządzanie AI często postrzegane jest jako biurokracja spowalniająca zespoły. W praktyce organizacje, które dobrze zarządzają AI, wprowadzają rozwiązania szybciej i z mniejszą liczbą katastrof. Oto dlaczego.