AI Act w Polsce – kiedy wejdzie w życie, co wprowadza i czym grozi przedsiębiorcom?

Harmonogram wdrożenia AI Act w Polsce – co i kiedy weszło w życie?

AI Act nie wszedł w życie jednorazowo. Ustawodawca zaprojektował kaskadowe wdrożenie rozłożone na lata 2024–2027. Dla polskich firm oznacza to, że część obowiązków już obowiązuje, a kolejne fale przepisów są tuż za rogiem.

• 1 sierpnia 2024 r. – AI Act wchodzi w życie jako unijne rozporządzenie. Formalnie obowiązuje w Polsce od tego dnia, choć większość przepisów ma jeszcze okresy przejściowe.
• 2 lutego 2025 r. – zaczęły obowiązywać zakazy dotyczące nieakceptowalnych zastosowań AI (m.in. social scoring, manipulacja podprogowa, rozpoznawanie emocji w pracy i szkołach) oraz obowiązek wdrożenia programu AI literacy dla pracowników. Ten termin już minął – firmy, które go zignorowały, narażają się na kary.
• 2 sierpnia 2025 r. – weszły w życie przepisy dotyczące modeli AI ogólnego przeznaczenia (GPAI), takich jak duże modele językowe. Od tej daty możliwe jest nakładanie kar administracyjnych za naruszenia przepisów aktywnych na tym etapie.
• 31 marca 2026 r. – Rada Ministrów przyjęła projekt polskiej ustawy o systemach sztucznej inteligencji. Projekt trafia teraz do Sejmu.
• 2 sierpnia 2026 r. – najważniejsza data: pełne obowiązki dla systemów AI wysokiego ryzyka wchodzą w życie. Dotyczy to m.in. AI w rekrutacji, kredytowaniu, ochronie zdrowia, edukacji i infrastrukturze krytycznej.
• 2 sierpnia 2027 r. – ostatnia faza: przepisy dla systemów AI zintegrowanych z produktami objętymi unijnym prawem sektorowym (np. wyroby medyczne, maszyny).

Cztery kategorie ryzyka – jak AI Act klasyfikuje systemy AI?

AI Act opiera się na podejściu proporcjonalnym do ryzyka. Im wyższe potencjalne zagrożenie dla zdrowia, bezpieczeństwa lub praw obywateli, tym surowsze obowiązki. Każda firma korzystająca z AI musi najpierw ustalić, do której kategorii zalicza się jej system.

Ryzyko nieakceptowalne – zakaz bezwzględny

Systemy z tej kategorii są w całości zakazane od 2 lutego 2025 roku. Nie można ich ani wdrażać, ani oferować na rynku UE – bez żadnych wyjątków dla firm czy administracji publicznej (poza ściśle określonymi przypadkami organów ścigania).

• Social scoring (scoring społeczny) – systemy oceniające obywateli na podstawie ich zachowania i przyznające im punkty wpływające na dostęp do usług. Wzorowane na chińskim systemie zaufania społecznego.
• Manipulacja podprogowa – AI oddziałująca na podświadomość w sposób, którego człowiek nie jest świadomy, w celu zmiany jego zachowania lub decyzji.
• Wykorzystywanie podatności – systemy AI celowo skierowane na osoby szczególnie wrażliwe (dzieci, osoby z niepełnosprawnościami) w celu ich manipulowania.
• Biometryczna identyfikacja w czasie rzeczywistym w przestrzeni publicznej – masowe rozpoznawanie twarzy na ulicach, w centrach handlowych, na stadionach. Wyjątki dotyczą wyłącznie organów ścigania w ściśle określonych sytuacjach.
• Rozpoznawanie emocji w miejscu pracy i placówkach edukacyjnych – systemy analizujące stan emocjonalny pracowników lub uczniów.
• Biometryczna kategoryzacja według wrażliwych cech (rasa, orientacja seksualna, poglądy polityczne).

Wysokie ryzyko – surowe obowiązki compliance

Systemy z tej kategorii są dozwolone, ale podlegają rygorystycznym wymogom. Dotyczą obszarów, gdzie błędna decyzja AI może poważnie wpłynąć na życie, prawa lub majątek człowieka.

• Rekrutacja i zarządzanie pracownikami – narzędzia AI oceniające kandydatów do pracy, ustalające wynagrodzenia, monitorujące wydajność.
• Kredytowanie i scoring finansowy – systemy decydujące o przyznaniu kredytu, ubezpieczenia lub oceniające wiarygodność kredytową.
• Ochrona zdrowia – AI wspomagająca diagnozę, leczenie lub monitorowanie pacjentów.
• Edukacja – systemy rekrutacyjne na uczelnie, oceniające postępy uczniów, wystawiające automatyczne oceny.
• Infrastruktura krytyczna – AI zarządzająca sieciami energetycznymi, wodnymi, transportowymi.
• Egzekwowanie prawa – systemy wspierające pracę policji i sądów (np. ocena ryzyka recydywy).
• Zarządzanie granicami – AI stosowana przez służby graniczne i imigracyjne.

Ograniczone ryzyko i minimalne ryzyko

Chatboty, generatory treści i większość narzędzi AI do analizy danych biznesowych to kategoria ograniczonego ryzyka – wymagają głównie transparentności wobec użytkownika (poinformowania, że rozmawiają z maszyną). Kategoria minimalnego ryzyka – np. filtry spamu, gry wideo z AI – jest praktycznie nieregulowana.

Polska ustawa o AI – co wprowadza i kto będzie nadzorcą?

Projekt przyjęty przez Radę Ministrów 31 marca 2026 r. powołuje Komisję Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI) jako krajowy organ nadzoru. To odpowiednik UODO w świecie regulacji AI – z szerokim zakresem uprawnień.

Uprawnienia KRiBSI

• Wszczynanie postępowań administracyjnych i wydawanie decyzji wobec firm i instytucji stosujących AI niezgodnie z przepisami.
• Nakładanie kar finansowych – zgodnie z widełkami określonymi w AI Act. Komisja może działać w trybie przyspieszonym, jeśli ryzyko jest bezpośrednie i pilne.
• Nakazanie wycofania systemu AI z rynku – decyzja z rygorem natychmiastowej wykonalności, bez czekania na wyrok sądu.
• Tworzenie piaskownic regulacyjnych – kontrolowanych środowisk testowych, w których firmy mogą rozwijać nowe systemy AI pod okiem regulatora z częściowymi odstępstwami od przepisów.
• Wydawanie opinii indywidualnych – wiążących stanowisk dla przedsiębiorców w konkretnych sprawach, analogicznie do interpretacji podatkowych.

Przy KRiBSI powstanie też Społeczna Rada ds. Sztucznej Inteligencji jako organ opiniodawczo-doradczy. Jej opinie będą jawne i publicznie dostępne.

Zagrożenia dla wolności – co AI Act naprawdę zmienia dla obywateli?

Rząd i Komisja Europejska komunikują AI Act jako tarczę chroniącą obywateli. W praktyce regulacja niesie ze sobą kilka poważnych napięć, które mogą ograniczyć wolność – i to nie tylko firm, ale też zwykłych ludzi.

Problem: nadzór administracyjny nad algorytmami prywatnych firm

KRiBSI zyska uprawnienie do „zajrzenia pod maskę” systemów AI używanych przez banki, platformy internetowe czy pracodawców. Oznacza to, że organ państwowy będzie mógł badać algorytmy prywatnych podmiotów – w tym ich dane treningowe, parametry modeli i procesy decyzyjne. Z jednej strony to narzędzie ochrony konsumentów. Z drugiej – precedens rozszerzenia ingerencji państwa w działalność prywatnych przedsiębiorstw daleko poza dotychczasowe ramy.

Problem: zakaz rozpoznawania emocji w pracy i szkołach

Zakaz ten dotyczy komercyjnych systemów AI, ale jego granice są rozmyte. Część systemów monitoringu bezpieczeństwa, analityki zaangażowania użytkowników czy rozwiązań do zdalnego nauczania może potencjalnie wpaść w tę kategorię – nawet jeśli twórca nie miał takiego zamiaru. Firmy technologiczne muszą teraz uważać, jak opisują i klasyfikują swoje produkty.

Problem: biometryczna identyfikacja – wyjątki dla służb, nie dla obywateli

AI Act zakazuje masowej biometrycznej identyfikacji w przestrzeni publicznej – ale z wyjątkami dla organów ścigania w przypadku poważnych przestępstw lub zagrożeń terrorystycznych. Krytycy regulacji wskazują, że wyjątki te są sformułowane na tyle szeroko, że w praktyce umożliwiają masową inwigilację obywateli przez państwo, jednocześnie zakazując tej samej technologii prywatnym podmiotom. To asymetria trudna do obrony w dyskusji o wolności.

Problem: transparentność treści AI – kto to kontroluje?

Od sierpnia 2026 r. treści generowane przez AI muszą być wyraźnie oznaczone – szczególnie deepfaki i materiały mające na celu informowanie opinii publicznej. Pytanie, kto decyduje, co jest „treścią informacyjną”, a co artystyczną, pozostaje otwarte i może stać się narzędziem do ograniczania wolności słowa pod pozorem walki z dezinformacją.

„Innowacja nie będzie mogła odbywać się kosztem ludzkiego zdrowia, życia czy praw podstawowych.”

Brzmi dobrze – ale definicja „praw podstawowych” w kontekście AI jest szeroka i elastyczna. Jej interpretacja przez KRiBSI będzie miała fundamentalne znaczenie dla tego, jak regulacja zadziała w praktyce.

Realne utrudnienia dla przedsiębiorców – co konkretnie grozi firmom?

To właśnie tutaj AI Act będzie najbardziej dotkliwy dla polskiej gospodarki. Obowiązki compliance nie są symboliczne – to poważne koszty operacyjne i prawne, szczególnie dla małych i średnich firm, które nie mają dedykowanych działów prawnych ani zasobów na budowę systemów zarządzania ryzykiem AI.

Obowiązkowe szkolenia z AI literacy – już od lutego 2025 r.

Każdy pracodawca korzystający z narzędzi AI musi zapewnić pracownikom szkolenia w zakresie odpowiedzialnego używania AI (AI literacy). To obowiązek obowiązujący od ponad roku – firmy, które go nie wdrożyły, są już dziś w obszarze naruszeń. Sankcje za brak szkoleń wchodzą w zakres kar dla systemów ograniczonego ryzyka.

Inwentaryzacja i klasyfikacja systemów AI

Każda firma musi przeprowadzić pełną inwentaryzację wszystkich używanych i wdrażanych systemów AI oraz przypisać im kategorię ryzyka. Komisja Europejska szacuje, że to 12–18-miesięczny projekt dla typowej organizacji. Firmy, które zaczęły ten proces dopiero teraz, mają dramatycznie napięty harmonogram przed sierpniem 2026 r.

Dokumentacja techniczna dla systemów wysokiego ryzyka

Jeśli firma dostarcza lub stosuje system AI wysokiego ryzyka, musi prowadzić szczegółową dokumentację techniczną obejmującą: opis architektury modelu, dane treningowe i walidacyjne, procedury testowania, metryki wydajności, informacje o znanych ograniczeniach i ryzyku. Dokumentacja musi umożliwiać audyt i wyjaśnienie każdej decyzji algorytmu – tzw. wyjaśnialność AI. To ogromne wyzwanie dla firm, które kupują gotowe modele od zewnętrznych dostawców.

Obowiązek nadzoru ludzkiego (human-in-the-loop)

Systemy AI wysokiego ryzyka muszą działać z zachowaniem mechanizmu nadzoru ludzkiego – człowiek musi mieć możliwość interwencji, korekty lub wyłączenia systemu. Oznacza to, że w pełni zautomatyzowane procesy decyzyjne o wysokiej stawce (np. automatyczne odrzucanie wniosków kredytowych bez możliwości odwołania) stają się niezgodne z prawem.

Ocena zgodności i rejestracja w unijnej bazie danych

Dostawcy systemów wysokiego ryzyka będą zobowiązani przeprowadzić formalną ocenę zgodności z AI Act i zarejestrować swoje systemy w unijnej bazie danych EU AI. W wielu przypadkach konieczna będzie współpraca z notyfikowanymi jednostkami certyfikującymi – co generuje dodatkowe koszty i czas.

Kary finansowe – surowsze niż RODO

AI Act wprowadza trójstopniową skalę kar administracyjnych, która przewyższa nawet sankcje z RODO. W każdym przypadku stosuje się kwotę wyższą – procentową lub kwotową.

• Za stosowanie zakazanych praktyk AI (np. social scoring, manipulacja podprogowa): do 35 mln EUR lub 7% globalnego rocznego obrotu.
• Za naruszenie wymogów dla systemów wysokiego ryzyka: do 15 mln EUR lub 3% obrotu.
• Za podanie nieprawdziwych informacji organom nadzoru: do 7,5 mln EUR lub 1,5% obrotu.

Sektory szczególnie narażone na koszty compliance

• Fintech i bankowość – AI w scoringu kredytowym, wykrywaniu fraudów i zarządzaniu ryzykiem to niemal wyłącznie kategoria wysokiego ryzyka. Banki i pożyczkodawcy online stoją przed ogromnym wyzwaniem dostosowania istniejących systemów.
• HR i rekrutacja – każde narzędzie AI do selekcji CV, oceny kandydatów czy ustalania wynagrodzenia to system wysokiego ryzyka. Firmy używające platform rekrutacyjnych z wbudowanym AI muszą weryfikować ich zgodność – nawet jeśli to zewnętrzny dostawca.
• Healthcare i medtech – AI diagnostyczna, systemy wspomagania decyzji klinicznych i monitorowania pacjentów podlegają najsurowszym wymogom, często w połączeniu z regulacjami dla wyrobów medycznych.
• Software house’y i agencje IT – nawet jeśli firma buduje system AI dla klienta pod jego marką, odpowiada za techniczne wdrożenie wymogów compliance: tworzenie logów, dokumentacji, testów bezpieczeństwa.
• E-commerce i platformy cyfrowe – systemy rekomendacji mogą być w kategorii minimalnego ryzyka, ale systemy personalizacji cenowej lub oceny wiarygodności sprzedawców – już nie.

Co AI Act daje – uczciwy przegląd potencjalnych korzyści

Mimo realnych kosztów i ograniczeń, AI Act przynosi też rozwiązania, które – jeśli zadziałają zgodnie z intencją – mogą być korzystne.

• Piaskownice regulacyjne – firmy będą mogły testować innowacyjne systemy AI w kontrolowanym środowisku, z częściowymi odstępstwami od pełnych wymogów. To szansa szczególnie dla startupów, które nie mają zasobów na pełny compliance od pierwszego dnia.
• Opinie indywidualne KRiBSI – wiążące stanowisko regulatora w konkretnej sprawie daje firmom pewność prawną przed wdrożeniem, analogicznie do interpretacji podatkowych. To rozwiązanie, które może realnie obniżyć ryzyko prawne.
• Jednolity rynek UE – produkt zgodny z AI Act może być oferowany w całej Unii bez dodatkowych krajowych certyfikacji. Dla firm eksportujących do innych państw UE to uproszczenie.
• Zakaz manipulacji podprogowej – jeśli egzekwowany skutecznie, chroni konsumentów przed coraz bardziej wyrafinowanymi technikami dark patterns i psychologicznej manipulacji stosowanymi przez duże platformy.
• Mechanizm skarg obywatelskich – możliwość zgłoszenia do KRiBSI nieprawidłowego działania systemu AI (np. dyskryminacyjna decyzja kredytowa) to realne narzędzie ochrony konsumentów.

Polska na tle UE – czy mamy szansę być gotowi na sierpień 2026 r.?

Projekt ustawy trafił do Sejmu z zaledwie czterema miesiącami do kluczowego terminu. To bardzo napięty harmonogram. Dla porównania: Komisja Europejska sama szacuje, że przygotowanie organizacji do AI Act to 12–18-miesięczny projekt. Polskie firmy nie miały krajowego organu nadzoru, do którego mogłyby kierować pytania, ani wiążących wytycznych interpretacyjnych.

Dodatkowym czynnikiem jest dyskusja na poziomie unijnym o Digital Omnibus – propozycji opóźnienia terminu dla systemów wysokiego ryzyka o maksymalnie 16 miesięcy, do czasu udostępnienia firmom odpowiednich narzędzi wsparcia i zharmonizowanych standardów. Na razie to jednak tylko propozycja – oficjalnie termin 2 sierpnia 2026 r. pozostaje w mocy.

W praktyce polskie firmy, które nie rozpoczęły jeszcze inwentaryzacji swoich systemów AI i klasyfikacji ryzyka, mają bardzo mało czasu. Pierwszym krokiem jest zawsze identyfikacja wszystkich systemów AI używanych w organizacji – narzędzi do rekrutacji, analityki, obsługi klienta, zarządzania ryzykiem – i sprawdzenie, czy wpadają w kategorie wymagające działań do sierpnia 2026 r.