Czym jest EU AI Act?

EU AI Act (Rozporządzenie 2024/1689, oficjalna polska nazwa: Akt o Sztucznej Inteligencji) to pierwsza na świecie kompleksowa regulacja prawna dotycząca sztucznej inteligencji, przyjęta przez Unię Europejską. Akt klasyfikuje systemy AI według czterech poziomów ryzyka — niedopuszczalny (zakazany), wysoki, ograniczony i minimalny — i nakłada proporcjonalne obowiązki na dostawców i podmioty wdrażające. Kary za naruszenia sięgają 35 mln EUR lub 7% globalnego obrotu.

Dla polskich firm regulacja ma bezpośrednie przełożenie operacyjne. Od lutego 2025 roku obowiązuje zakaz stosowania systemów AI o niedopuszczalnym ryzyku (m.in. social scoring, manipulacja podprogowa). Od sierpnia 2025 roku obowiązują wymogi dotyczące modeli AI ogólnego przeznaczenia (GPAI). Pełne wymogi dla systemów wysokiego ryzyka wchodzą w życie w sierpniu 2026 roku. Według szacunków Konfederacji Lewiatan, regulacją objętych jest bezpośrednio ok. 3 200 polskich firm, a pośrednio — każda organizacja wykorzystująca systemy AI w procesach decyzyjnych. [Źródło: Konfederacja Lewiatan, Wpływ EU AI Act na polski biznes, 2025]

Dlaczego EU AI Act jest ważny dla liderów biznesu

EU AI Act zmienia reguły gry dla każdej organizacji operującej na rynku europejskim — niezależnie od tego, czy jest dostawcą, czy użytkownikiem systemów AI.

Polska jako członek UE podlega regulacji bezpośrednio, bez potrzeby implementacji do prawa krajowego (rozporządzenie obowiązuje wprost). Ministerstwo Cyfryzacji wyznaczono jako organ nadzorczy ds. AI Act w Polsce, a w ramach struktury powołano Inspektorat Sztucznej Inteligencji, który od 2026 roku prowadzi kontrole zgodności. [Źródło: Ministerstwo Cyfryzacji, Komunikat, 2025]

Skala wpływu na polski biznes jest znacząca. Raport EY Polska „AI Regulation Readiness 2025” wykazał, że 82% polskich firm wykorzystujących AI nie przeprowadziło jeszcze oceny, czy ich systemy kwalifikują się jako wysokie ryzyko w rozumieniu AI Act. [Źródło: EY Polska, AI Regulation Readiness, 2025] To tykająca bomba regulacyjna — organizacje mają miesiące, nie lata, na dostosowanie się.

Jednocześnie AI Act tworzy ramy zaufania, które mogą stać się przewagą konkurencyjną. Firmy, które wcześniej wdrożą governance AI zgodny z regulacją, zyskają zaufanie klientów, partnerów biznesowych i regulatorów — szczególnie w sektorach regulowanych (finanse, zdrowie, ubezpieczenia).

Kluczowe elementy EU AI Act

Klasyfikacja ryzyka — cztery poziomy

EU AI Act opiera się na podejściu opartym na ryzyku. Każdy system AI musi być sklasyfikowany:

Niedopuszczalne ryzyko (zakazane): Social scoring przez władze publiczne, manipulacja podprogowa, biometryczna identyfikacja w czasie rzeczywistym w przestrzeni publicznej (z wyjątkami dla służb), systemy wykorzystujące podatności osób (wiek, niepełnosprawność). Zakaz obowiązuje od lutego 2025.

Wysokie ryzyko: Systemy AI w obszarach: rekrutacja i zarządzanie personelem, scoring kredytowy, ocena ryzyka ubezpieczeniowego, diagnostyka medyczna, infrastruktura krytyczna, edukacja (ocenianie), migracja (ocena wniosków wizowych). Pełne wymogi od sierpnia 2026.

Ograniczone ryzyko: Systemy wymagające transparentności — chatboty (użytkownik musi wiedzieć, że rozmawia z AI), deepfake’i (muszą być oznaczone), systemy generujące treści (muszą informować o sztucznym pochodzeniu).

Minimalne ryzyko: Filtry spamu, systemy rekomendacji w e-commerce, gry wideo — bez dodatkowych obowiązków.

Obowiązki dla systemów wysokiego ryzyka

Dostawcy i podmioty wdrażające systemy AI wysokiego ryzyka muszą zapewnić: system zarządzania ryzykiem, governance danych (jakość, reprezentatywność zbiorów treningowych), dokumentację techniczną, rejestrowanie zdarzeń (logi), przejrzystość i informowanie użytkowników, nadzór ludzki oraz cyberbezpieczeństwo. Dla polskich banków regulowanych przez KNF oznacza to nałożenie wymogów AI Act na istniejące ramy DORA i rekomendacji nadzorczych.

Modele AI ogólnego przeznaczenia (GPAI)

AI Act wprowadza osobne wymogi dla dostawców modeli bazowych (GPT, Claude, Gemini, Mistral). Wymogi obejmują dokumentację techniczną, politykę praw autorskich i — dla modeli o „ryzyku systemowym” (trenowanych z mocą obliczeniową >10^25 FLOP) — dodatkowe obowiązki bezpieczeństwa. To reguluje przede wszystkim wielkie firmy technologiczne, ale pośrednio wpływa na polskich integratorów i firmy budujące rozwiązania na tych modelach.

Kary i egzekucja

Trzy poziomy kar: do 35 mln EUR / 7% obrotu za naruszenie zakazów; do 15 mln EUR / 3% za nieprzestrzeganie wymogów; do 7,5 mln EUR / 1,5% za przekazanie błędnych informacji organom. Dla MŚP i startupów kary są proporcjonalnie niższe. W Polsce egzekucja leży po stronie Inspektoratu Sztucznej Inteligencji przy Ministerstwie Cyfryzacji.

EU AI Act w praktyce: sytuacja w Polsce

• Sektor finansowy: KNF w grudniu 2025 wydał stanowisko nadzorcze dotyczące stosowania AI w sektorze finansowym, integrując wymogi AI Act z istniejącymi rekomendacjami (Rekomendacja D, DORA). Banki i ubezpieczyciele muszą do sierpnia 2026 skategoryzować wszystkie systemy AI i wdrożyć conformity assessment dla systemów wysokiego ryzyka. PKO BP i PZU publicznie zadeklarowały gotowość do spełnienia wymogów w terminie. [Źródło: KNF, Stanowisko dot. AI, 2025]

• Sektor zdrowia: Systemy AI do diagnostyki medycznej klasyfikowane są jako wyrobki medyczne i podlegają podwójnej regulacji (AI Act + MDR). Polskie szpitale i laboratoria diagnostyczne korzystające z AI do analizy obrazów (np. radiologia, patomorfologia) muszą zapewnić pełną zgodność. NFZ sygnalizował, że refundacja świadczeń z udziałem AI będzie wymagać potwierdzenia zgodności z AI Act.

• Sektor HR: Systemy AI do preselekcji CV i oceny kandydatów to wysokie ryzyko w rozumieniu AI Act. Dla polskiego rynku pracy, gdzie według Pracuj.pl 34% dużych firm stosuje narzędzia AI w rekrutacji, oznacza to obowiązek audytu, wyjaśnialności decyzji i zapewnienia prawa do odwołania od decyzji algorytmicznej. [Źródło: Pracuj.pl, Raport Rekrutacja 2025]

• Sektor publiczny: Administracja publiczna stosująca AI w decyzjach administracyjnych (ZUS, KAS, urzędy miast) musi spełnić wymogi przejrzystości i nadzoru ludzkiego. Rzecznik Praw Obywatelskich w 2025 roku interweniował w sprawie systemu automatycznej oceny wniosków w jednej z instytucji publicznych, podnosząc kwestię braku wyjaśnialności.

Jak zacząć przygotowania do EU AI Act

1. Zinwentaryzuj systemy AI — Zrób pełny spis wszystkich systemów AI w organizacji, w tym shadow AI. Dla każdego systemu określ: dostawcę, przeznaczenie, dane wejściowe, decyzje wyjściowe i osoby dotknięte decyzjami.

2. Sklasyfikuj ryzyko — Przyporządkuj każdy system do jednej z czterech kategorii ryzyka AI Act. Skonsultuj się z prawnikiem — klasyfikacja nie jest trywialna, szczególnie na granicy „wysokie/ograniczone”.

3. Przeprowadź gap analysis — Dla systemów wysokiego ryzyka porównaj obecny stan dokumentacji, testowania i nadzoru z wymogami AI Act. Zidentyfikuj luki.

4. Wdróż governance — Ustanów procesy zarządzania AI zgodne z AI Act: rejestr systemów, procedury oceny ryzyka, mechanizmy nadzoru ludzkiego, ścieżki zgłaszania incydentów. Zintegruj z istniejącymi ramami compliance (RODO, DORA, regulacje sektorowe).

5. Zaplanuj budżet i harmonogram — Sierpień 2026 to deadline dla systemów wysokiego ryzyka. Prace przygotowawcze (audyt, klasyfikacja, dokumentacja, szkolenia) wymagają 6-12 miesięcy. Nie czekaj.

W The Thinking Company pomagamy organizacjom przygotować się do EU AI Act w ramach naszych usług governance AI. Nasza diagnostyka obejmuje inwentaryzację systemów, klasyfikację ryzyka i roadmapę zgodności.

Najczęściej zadawane pytania

Czy EU AI Act dotyczy mojej firmy, jeśli tylko korzystam z AI, a nie je tworzę?

Tak. AI Act nakłada obowiązki zarówno na dostawców (providers), jak i na podmioty wdrażające (deployers) systemy AI. Jeśli Twoja firma używa systemu AI do podejmowania decyzji o ludziach — rekrutacja, scoring, obsługa klientów — jesteś „deployer” i podlegasz odpowiednim wymogom. Obowiązki różnią się od tych dla dostawców, ale obejmują m.in. nadzór ludzki, przejrzystość wobec osób dotkniętych i zgłaszanie incydentów.

Jakie kary grożą polskim firmom za naruszenie AI Act?

Kary sięgają 35 mln EUR lub 7% globalnego obrotu (wyższa kwota) za najpoważniejsze naruszenia. Dla polskich MŚP (poniżej 250 pracowników) regulacja przewiduje proporcjonalnie niższe kary. W praktyce pierwsze kontrole w Polsce spodziewane są od Q2 2026 — Inspektorat Sztucznej Inteligencji zapowiedział, że na początek skoncentruje się na sektorach regulowanych (finanse, zdrowie) i administracji publicznej.

Jak AI Act odnosi się do RODO — czy to są oddzielne regulacje?

AI Act i RODO działają równolegle i uzupełniają się. RODO reguluje przetwarzanie danych osobowych (w tym przez systemy AI), a AI Act reguluje same systemy AI niezależnie od tego, czy przetwarzają dane osobowe. W praktyce firma wdrażająca system AI wysokiego ryzyka musi spełnić wymogi obu regulacji jednocześnie: RODO (podstawa prawna, minimalizacja danych, prawa osób) i AI Act (zarządzanie ryzykiem, dokumentacja, nadzór ludzki). UODO i Inspektorat AI mają współpracować w zakresie nadzoru, ale kompetencje nie zostały jeszcze w pełni rozgraniczone.

Ostatnia aktualizacja: 2026-03-11. Aby dowiedzieć się więcej o przygotowaniu organizacji do EU AI Act, zobacz nasz przewodnik zgodność z EU AI Act.