AI Act wszedł w życie. Polskie firmy wciąż nie wiedzą, że łamią prawo

Od 2 lutego 2025 r. unijne rozporządzenie o sztucznej inteligencji stało się częścią obowiązującego porządku prawnego. Nie jest już projektem ani zapowiedzią regulacyjną. To bezpośrednio stosowane prawo unijne, którego naruszenie może skutkować karami sięgającymi 35 mln euro lub 7 proc. światowego obrotu przedsiębiorstwa.

Publikacja: 26.06.2026 09:50

AI Act wszedł w życie. Polskie firmy wciąż nie wiedzą, że łamią prawo

Foto: Adobe Stock

Krzysztof Rożko

W rozmowach z zarządami spółek coraz częściej dostrzegam ten sam problem. Przedsiębiorstwa wdrażają rozwiązania oparte na sztucznej inteligencji w obszarach rekrutacji, obsługi klienta, marketingu czy analityki biznesowej, ale jednocześnie zakładają, że obowiązki wynikające z AI Act zaczną ich dotyczyć dopiero po uchwaleniu polskiej ustawy albo w momencie pełnego wejścia w życie rozporządzenia. To błędne założenie. Część przepisów AI Act obowiązuje już od lutego 2025 r., a przedsiębiorcy podlegają im niezależnie od stanu krajowych prac legislacyjnych.

Niezależnie od ustawy

AI Act jest rozporządzeniem unijnym, a więc aktem stosowanym bezpośrednio we wszystkich państwach członkowskich. Oznacza to, że obowiązki wynikające z rozporządzenia nie są uzależnione od przyjęcia krajowych przepisów wykonawczych.

Polska ustawa o systemach sztucznej inteligencji, która ma określić strukturę krajowego nadzoru oraz powołać właściwy organ regulacyjny, nadal pozostaje na etapie prac legislacyjnych. Nie zmienia to jednak faktu, że przedsiębiorcy już dziś podlegają obowiązującym przepisom unijnym.

Sytuacja przypomina początki stosowania RODO. Wówczas również część organizacji błędnie zakładała, że dopiero krajowe regulacje uruchomią obowiązki wynikające z prawa unijnego. Praktyka pokazała, że było inaczej.

Największe znaczenie dla większości przedsiębiorstw będzie miała data 2 sierpnia 2026 r., kiedy zaczną obowiązywać zasadnicze wymogi dotyczące systemów wysokiego ryzyka. W praktyce oznacza to, że organizacje mają obecnie niewiele czasu na przygotowanie odpowiednich procedur, dokumentacji i mechanizmów zarządzania ryzykiem.

Obowiązki na dziś

Najbardziej problematyczne jest to, że wiele przedsiębiorstw koncentruje się na przyszłych obowiązkach, ignorując regulacje, które już weszły w życie.

Zakazane praktyki AI

Od 2 lutego 2025 r. obowiązuje katalog praktyk uznanych za niedopuszczalne. Naruszenie tych przepisów zagrożone jest najwyższymi sankcjami przewidzianymi przez AI Act.

Do zakazanych zastosowań należą m.in.:

- określone zastosowania systemów rozpoznawania emocji wobec pracowników i uczniów, przewidziane w art. 5 AI Act,

- systemy wykorzystujące techniki podprogowego oddziaływania prowadzące do istotnego zniekształcania zachowań użytkowników,

- systemy scoringu społecznego,

- systemy kategoryzacji biometrycznej osób według szczególnie chronionych cech, takich jak pochodzenie etniczne, przekonania polityczne czy orientacja seksualna,

- tworzenie baz danych twarzy poprzez masowe pozyskiwanie zdjęć z internetu lub monitoringu.

W praktyce oznacza to konieczność bardzo dokładnej weryfikacji nie tylko własnych rozwiązań, lecz także narzędzi dostarczanych przez zewnętrznych dostawców.

AI Literacy – nowy obowiązek pracodawcy

Znacznie mniej uwagi poświęca się obowiązkowi wynikającemu z art. 4 AI Act, określanemu jako AI Literacy.

Przepis wymaga zapewnienia odpowiedniego poziomu wiedzy i kompetencji osobom korzystającym z systemów sztucznej inteligencji. Obowiązek ten dotyczy nie tylko podmiotów tworzących rozwiązania AI, lecz również przedsiębiorstw wykorzystujących gotowe narzędzia dostępne na rynku.

W praktyce oznacza to konieczność:

- szkolenia pracowników korzystających z AI,

- określenia zasad używania takich narzędzi w organizacji,

- zapewnienia świadomości ograniczeń i ryzyk związanych z ich stosowaniem,

- dokumentowania podejmowanych działań.

Dla wielu organizacji będzie to pierwszy formalny obowiązek związany z zarządzaniem sztuczną inteligencją.

Choć AI Act nie wskazuje szczegółowej formy realizacji obowiązku AI Literacy, w praktyce szkolenia, polityki wewnętrzne i dokumentowanie działań stanowią najbardziej racjonalny sposób wykazania zgodności.

Modele ogólnego przeznaczenia

Od sierpnia 2025 r. obowiązują również przepisy dotyczące modeli AI ogólnego przeznaczenia (General Purpose AI Models – GPAI). Regulacje te mają szczególne znaczenie dla podmiotów rozwijających, dostarczających lub integrujących rozwiązania oparte na dużych modelach językowych i innych modelach o szerokim zastosowaniu.

Przewidziane obowiązki obejmują m.in. dokumentację techniczną, przestrzeganie wymogów prawa autorskiego oraz publikowanie informacji dotyczących danych wykorzystywanych do trenowania modeli.

Brak krajowego regulatora

W debacie publicznej często pojawia się argument, że dopóki nie zostanie powołany krajowy organ nadzoru, przedsiębiorcy mają dodatkowy czas na przygotowania. Takie założenie jest ryzykowne.

Po pierwsze, część obowiązków wynikających z AI Act pozostaje w bezpośrednim związku z ochroną danych osobowych, co oznacza możliwość podejmowania działań przez organy odpowiedzialne za stosowanie przepisów RODO.

Po drugie, Komisja Europejska posiada określone kompetencje nadzorcze, zwłaszcza wobec dostawców modeli GPAI.

Po trzecie, coraz większego znaczenia nabiera ryzyko kontraktowe i reputacyjne. W wielu sektorach zgodność z AI Act zaczyna być elementem procedur zakupowych, audytów inwestorskich oraz procesów due diligence.

Najważniejszy zasób

Doświadczenia związane z wdrażaniem RODO pokazują, że największym problemem przedsiębiorstw nie była sama treść regulacji, lecz błędne założenie, że na przygotowania pozostaje jeszcze dużo czasu.

W przypadku AI Act ten margines bezpieczeństwa jest jeszcze mniejszy. Organizacje, które już dziś rozpoczynają inwentaryzację systemów, szkolenia oraz audyty zgodności, zyskują możliwość spokojnego dostosowania procesów do nowych wymagań. Te, które nadal traktują AI Act jako odległy projekt legislacyjny, ryzykują nie tylko sankcje administracyjne, ale również utratę przewagi konkurencyjnej na rynku coraz silniej regulowanym przez prawo dotyczące sztucznej inteligencji.

Cztery działania, które warto podjąć już teraz

Przedsiębiorstwa, które nie rozpoczęły jeszcze przygotowań do AI Act, powinny w pierwszej kolejności skoncentrować się na czterech obszarach.

Po pierwsze – inwentaryzacja systemów AI.

Należy ustalić, jakie rozwiązania wykorzystują poszczególne działy organizacji, w tym narzędzia wdrażane oddolnie przez pracowników.

Po drugie – klasyfikacja ryzyka.

Każdy system powinien zostać poddany analizie pod kątem kwalifikacji prawnej oraz poziomu ryzyka przewidzianego przez AI Act

Po trzecie – polityka AI i szkolenia.

Organizacja powinna wdrożyć zasady korzystania ze sztucznej inteligencji oraz udokumentować działania edukacyjne.

Po czwarte – audyt zgodności.

Szczególnej uwagi wymagają systemy wykorzystywane w procesach rekrutacyjnych, zarządzaniu personelem, ocenie klientów czy podejmowaniu decyzji wpływających na prawa i obowiązki osób fizycznych.

autor: Krzysztof Rożko, radca prawny i wspólnik zarządzający Kancelarią Prawną Krzysztof Rożko i Wspólnicy

Reklama