Twoja firma używa AI do rekrutacji? Masz chatbota na stronie? Stosujesz automatyczny scoring leadów?
Od 2 sierpnia 2026 roku reguluje to twarde prawo europejskie z karami sięgającymi 35 milionów euro.
Spokojnie — większość polskich firm B2B jest w lepszej sytuacji niż myśli. Ale jest jeden haczyk, który pomija prawie każdy artykuł na ten temat. Za chwilę do niego dojdziemy.
Co to jest AI Act i dlaczego w ogóle mnie dotyczy
Rozporządzenie (UE) 2024/1689 to pierwsze na świecie kompleksowe prawo regulujące sztuczną inteligencję. Weszło w życie 1 sierpnia 2024 roku.
Kluczowa zasada: obowiązuje każdą firmę, która oferuje lub używa AI na terenie UE — niezależnie od tego, gdzie ma siedzibę. Startup z USA który sprzedaje Ci oprogramowanie AI? Podlega AI Act. Polska firma która korzysta z tego oprogramowania? Też podlega AI Act.
AI Act działa jak prawo budowlane dla AI: im wyższe ryzyko konstrukcji, tym surowsze normy. Budynek z kartonu i wieżowiec w centrum miasta — inne wymagania.
Harmonogram: co już obowiązuje, co dopiero wchodzi
- 1 sierpnia 2024 — AI Act wchodzi w życie, start liczenia terminów
- 2 lutego 2025 — Zakaz stosowania AI niedopuszczalnego ryzyka — już obowiązuje
- 2 sierpnia 2025 — Przepisy dla modeli AI ogólnego przeznaczenia (GPT-4, Claude, Gemini)
- 2 sierpnia 2026 — Pełne stosowanie dla systemów wysokiego ryzyka — kluczowy deadline
- 2 sierpnia 2027 — AI wbudowane w urządzenia medyczne, maszyny przemysłowe
Masz do 2 sierpnia 2026 roku. To brzmi daleko, ale przygotowanie dokumentacji dla systemów wysokiego ryzyka zajmuje w praktyce 6–12 miesięcy.
Cztery kategorie ryzyka — gdzie wpada Twoja firma
Niedopuszczalne ryzyko — bezwzględny zakaz (od lutego 2025)
To zakaz bez wyjątków:
- Systemy manipulujące użytkownikami podprogowo
- Rozpoznawanie emocji w miejscu pracy i szkołach
- Social scoring obywateli przez władze publiczne
- Predictive policing — przewidywanie przestępstw na podstawie cech osobowych
- Tworzenie baz danych twarzy przez masowe pobieranie ze zdjęć z internetu
Jeśli Twój HR-owiec miał pomysł na AI do „analizy nastroju kandydatów podczas rozmowy kwalifikacyjnej” — to właśnie stało się nielegalne.
Wysokie ryzyko — pełna dokumentacja do sierpnia 2026
To jest ten haczyk, o którym pisałem na początku. Systemy wysokiego ryzyka to nie tylko militaria i szpitale. To też bardzo typowe zastosowania biznesowe:
- Rekrutacja — każdy system AI do screeningu CV, rankowania kandydatów, oceny pracowników
- Scoring kredytowy i ubezpieczeniowy — automatyczna ocena zdolności kredytowej
- Zarządzanie wydajnością pracowników — jeśli AI decyduje o premiach, awansach, zwolnieniach
- Infrastruktura krytyczna (energia, woda, transport)
- Systemy edukacyjne do oceniania
Dla tych zastosowań wymagana jest pełna dokumentacja, ocena zgodności, rejestracja w unijnej bazie danych i wyznaczony nadzór ludzki.
Ograniczone ryzyko — obowiązek przejrzystości
Tutaj wpada większość narzędzi, z których korzystasz na co dzień:
- Chatboty obsługi klienta — muszą informować użytkownika, że rozmawia z AI
- Systemy generatywne tworzące tekst, obraz, dźwięk — obowiązek oznakowania treści jako AI-generated
- Deepfakes — obowiązkowe oznaczenie jako materiał syntetyczny
Minimalne ryzyko — brak dodatkowych wymagań
- Filtry spamu
- Narzędzia rekomendacji produktowych w e-commerce
- Większość narzędzi produktywności (AI do pisania tekstów, Copilot, asystenci)
- Analityka BI i predykcja sprzedaży
Kluczowe rozróżnienie: dostawca vs. użytkownik
AI Act rozróżnia dwie role i to ma ogromne znaczenie dla Twojej firmy:
Dostawca (provider) — tworzysz lub wdrażasz system AI dla innych. Masz pełny zakres obowiązków: dokumentacja techniczna, certyfikacja, rejestracja w EU AI Database, oznaczenie CE, wyznaczenie pełnomocnika ds. AI.
Użytkownik/wdrażający (deployer) — kupujesz gotowe narzędzie AI (SaaS, API) i używasz go w swojej firmie. Masz mniejsze obowiązki, ale nadal istotne: stosowanie zgodnie z instrukcją dostawcy, nadzór ludzki nad decyzjami, monitorowanie i zgłaszanie incydentów, informowanie pracowników.
Większość polskich firm B2B to deployerzy — używacie ChatGPT, Copilota, narzędzi no-code z AI. To dobra wiadomość: zakres obowiązków jest znacznie mniejszy niż dla firm budujących własne systemy.
Zła wiadomość: jeśli używacie AI do rekrutacji lub oceny pracowników — jesteście deployerem systemu wysokiego ryzyka i obowiązki są konkretne.
Co musi zrobić Twoja firma — lista kontrolna
Jeśli używasz AI do rekrutacji lub oceny pracowników (wysokie ryzyko):
- Przeprowadź ocenę skutków dla praw podstawowych (FRIA) przed wdrożeniem
- Zapewnij nadzór ludzki — żadna decyzja nie może być w pełni automatyczna
- Poinformuj pracowników i ich przedstawicieli o stosowaniu AI
- Przechowuj logi systemowe przez minimum 6 miesięcy
- Sprawdź, czy dostawca narzędzia ma dokumentację techniczną i certyfikację
Jeśli masz chatbota lub używasz AI generatywnej (ograniczone ryzyko):
- Dodaj wyraźną informację: „Rozmawiasz z asystentem AI”
- Zapewnij możliwość połączenia z człowiekiem
- Oznaczaj treści generowane przez AI tam, gdzie są publikowane
Dla wszystkich firm:
- Sprawdź, które narzędzia AI używasz i do jakiej kategorii należą
- Upewnij się, że dostawcy narzędzi (SaaS, API) aktualizują swoje produkty pod AI Act
- Wyznacz osobę odpowiedzialną za zgodność z AI Act w firmie
Kary — ile to realnie kosztuje
- Stosowanie zakazanych systemów AI — 35 mln EUR lub 7% globalnego obrotu
- Naruszenie obowiązków dla wysokiego ryzyka — 15 mln EUR lub 3% globalnego obrotu
- Podanie błędnych informacji organom — 7,5 mln EUR lub 1,5% globalnego obrotu
Dla MŚP i startupów: niższy próg — liczy się niższa z obu wartości. Firma z 5 mln zł rocznego przychodu za naruszenie ogólne zapłaci maksymalnie ok. 450 000 zł, nie 15 mln EUR.
Ale kary to nie jedyne ryzyko. Reputacja, sprawy sądowe pracowników zwolnionych „przez algorytm”, odpowiedzialność za dyskryminacyjne decyzje rekrutacyjne — to może kosztować więcej niż grzywna.
Polska: co się zmieniło 1 kwietnia 2026
Rada Ministrów przyjęła projekt ustawy implementacyjnej, która:
- Wyznacza KRiBSI (Krajową Radę ds. Regulacji i Bezpieczeństwa Systemów Informatycznych) jako główny organ nadzorczy
- Ustanawia krajowy system sankcji zgodny z AI Act
- Tworzy regulacyjny sandbox dla MŚP i startupów — możliwość testowania rozwiązań AI przed pełnym wdrożeniem bez ryzyka kar
Ważne: AI Act jako rozporządzenie UE obowiązuje bezpośrednio w Polsce bez dodatkowej transpozycji. Polska ustawa doprecyzowuje kwestie nadzoru i sankcji krajowych.
Co oznacza AI Act w praktyce dla typowej polskiej firmy
Jesteś agencją marketingową, firmą consultingową, sklepem e-commerce — używasz narzędzi AI do pisania treści, analizy danych, obsługi klienta: prawdopodobnie jesteś w kategorii minimalnego lub ograniczonego ryzyka. Jedyne co musisz zrobić: poinformować użytkowników chatbota, że rozmawiają z AI.
Masz własny dział HR, który używa AI do selekcji CV lub oceny pracowników: jesteś w wysokim ryzyku. Masz czas do sierpnia 2026, żeby przygotować dokumentację, wyznaczyć nadzór ludzki i poinformować pracowników.
Budujesz własne rozwiązanie AI dla klientów: jesteś dostawcą. Zakres obowiązków jest szeroki. Czas zacząć od audytu tego, co budujesz i do jakiej kategorii to należy.
Podsumowanie
AI Act nie jest straszakiem dla większości polskich firm — pod warunkiem, że rozumiesz, w której kategorii działasz.
Trzy rzeczy do zrobienia teraz:
- Zinwentaryzuj wszystkie narzędzia AI w firmie
- Sprawdź kategorię — rekrutacja i ocena pracowników to wysokie ryzyko
- Wyznacz kogoś odpowiedzialnego — nie musi być prawnik, musi znać procesy firmy
Deadline masz do 2 sierpnia 2026. Brzmi dużo, ale organizacje, które zaczną teraz, będą miały komfort. Te, które zaczną w lipcu 2026 — będą gasić pożary.
Umów 30-min konsultację z Prospere AI — pomożemy ocenić, gdzie stoi Twoja firma →
