AI Act w praktyce: co musi wiedzieć polska firma w 2026
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 o sztucznej inteligencji — znane jako AI Act — weszło w życie 1 sierpnia 2024. W roku 2026 aktywują się jego kluczowe obowiązki dla wszystkich firm, które wdrażają AI lub z nią pracują. Kary sięgają do 35 milionów EUR lub 7% globalnego obrotu (w zależności od tego, co wyższe). Dla polskich MŚP AI Act oznacza konkretne obowiązki, o których większość firm jeszcze nie ma pojęcia. Przejdźmy przez to, co realnie musisz wiedzieć — bez prawniczego żargonu.
Dlaczego AI Act dotyczy także mniejszych firm
Rozpowszechniony mit: „AI Act jest dla OpenAI i dużych firm AI, nas nie dotyczy.” Prawda jest odwrotna. AI Act rozróżnia trzy role:
- Providers — twórcy/dostawcy systemów AI (OpenAI, Anthropic, także polskie firmy software’owe)
- Deployers — firmy, które AI używają (twój dział HR z asystentem AI)
- Importers / distributors — firmy, które AI dystrybuują
Jeśli w firmie używasz ChatGPT, Claude, Microsoft Copilot, Gemini lub systemu HR/CRM z funkcjonalnością AI, jesteś deployerem. A deployerzy mają obowiązki — szczególnie przy systemach AI wysokiego ryzyka.
4 poziomy ryzyka systemów AI — co gdzie należy
AI Act klasyfikuje systemy AI w 4 kategoriach według ryzyka.
Poziom 1: Niedopuszczalne ryzyko (zakazane)
Co tu należy: Social scoring obywateli (model chiński), techniki podprogowej manipulacji, rozpoznawanie emocji w miejscu pracy (!), kategoryzacja biometryczna według rasy/poglądów politycznych, biometria zdalna w czasie rzeczywistym w przestrzeni publicznej.
Co to oznacza dla MŚP: Nie możesz wdrożyć systemu AI, który:
- Wykrywa stan emocjonalny pracowników w open-space (nawet gdybyś chciał)
- Ocenia pracowników według poglądów politycznych
- Tworzy manipulacyjne reklamy bazując na grupach wrażliwych (dzieci, ludzie w depresji)
Wejście w życie: Od 2 lutego 2025.
Poziom 2: Wysokie ryzyko
Co tu należy (istotne dla MŚP):
- AI w HR — screening CV, ocena wydajności, decyzje o zatrudnieniu/awansie
- AI w kredytach / credit scoringu
- AI w ocenianiu w edukacji
- AI w decyzjach o świadczeniach socjalnych
- AI w infrastrukturze krytycznej (energia, woda)
Co to oznacza dla MŚP: Jeśli używasz AI do automatycznego presortowania CV, musisz:
- Mieć human oversight (człowiek musi być w pętli przed każdą ważną decyzją)
- Rejestrować pracę (log)
- Informować kandydatów, że używana jest AI
- Mieć system zarządzania ryzykiem (DPIA + AI risk assessment)
- Zapewnić jakość danych treningowych (no bias)
Wejście w życie: Główna fala 2 sierpnia 2026.
Poziom 3: Ograniczone ryzyko — przejrzystość
Co tu należy:
- Chatboty (muszą się identyfikować jako AI)
- Deepfake — generowane obrazy/wideo muszą być oznaczone
- Systemy AI rozpoznające emocje/biometrię (poza przypadkami wysokiego ryzyka)
Co to oznacza dla MŚP: Jeśli masz na stronie chatbota AI, musisz mieć na nim jednoznacznie napisane „Komunikujesz się z asystentem AI”. Jeśli używasz AI do tworzenia zdjęć marketingowych (deepfake-like), muszą być oznaczone.
Wejście w życie: 2 sierpnia 2026.
Poziom 4: Minimalne ryzyko (większość AI)
Co tu należy: Filtry spam, AI w grach, algorytmy rekomendacyjne, asystent AI w edytorze tekstu, automatyczna kategoryzacja faktur, anomalie w cash flow, modele predykcyjne zapasów.
Co to oznacza dla MŚP: Brak obowiązków wykraczających poza RODO. Możesz używać bez ograniczeń. Ale i tu warto mieć wewnętrzną politykę AI.
Human oversight — co to realnie oznacza
„Human in the loop” jest w AI Act kluczową koncepcją. Nie wystarczy, by AI zaproponowała decyzję, a człowiek kliknął OK. Musi być zapewnione:
- Zdolność człowieka do zrozumienia wyniku AI (nie czarna skrzynka)
- Zdolność do interwencji — nadpisać, anulować, zatrzymać
- Szkolenia osób, które z AI pracują
- Dokumentacja procesu — kto, kiedy, jak kontrolował
Konkretny przykład: W firmie do rekrutacji używasz AI do oceny CV. Kandydatom z niskim wynikiem nie możesz automatycznie wysłać odrzucenia. Każde CV musi zobaczyć HR manager, który ma możliwość odrzucenia oceny AI.
6 konkretnych use cases AI w polskich MŚP i ich klasyfikacja
| Use case | Poziom ryzyka | Obowiązki |
|---|---|---|
| Kategoryzacja faktur (OCR + AI) | Minimalne | Brak (tylko RODO) |
| Chatbot na stronie | Ograniczone | Przejrzystość |
| AI w CRM — scoring leadów | Minimalne | Brak specjalnych |
| AI dla screeningu CV przy rekrutacji | Wysokie | Human oversight + DPIA + log + info |
| AI dla oceny wydajności pracowników | Wysokie | Human oversight + DPIA + log |
| ChatGPT/Claude do pisania tekstów | Minimalne | Wewnętrzna polityka AI |
Wskazówka: Jeśli nie jesteś pewien klasyfikacji, użyj prostego testu: „Czy AI podejmuje decyzję, która bezpośrednio wpłynie na pracę, karierę, finanse lub podstawowe prawa konkretnej osoby?” Jeśli tak — prawdopodobnie wysokie ryzyko.
Praktyczna polityka AI dla MŚP — minimum, którego potrzebujesz w 2026
Każda firma, która używa AI (a w 2026 to będzie każda), powinna mieć krótką wewnętrzną politykę AI. Zalecana zawartość:
- Lista zatwierdzonych narzędzi AI (whitelist)
- Zakaz wprowadzania danych wrażliwych / klientów do publicznych AI (ChatGPT free) — tylko do wersji enterprise z DPA
- Zasada przejrzystości: treść wygenerowana przez AI musi być oznaczona
- Human review przed publikacją / wysłaniem do klienta
- Lista AI use cases z klasyfikacją ryzyka (aktualizować co 6 miesięcy)
- Szkolenia przynajmniej raz w roku
- Kontakt — kto w firmie zajmuje się pytaniami o AI (DPO lub delegowany manager)
Modulario zapewnia funkcje AI (kategoryzacja dokumentów, anomalie, asystent) na poziomie minimalnego i ograniczonego ryzyka z pełną przejrzystością i human oversight. Więcej na stronie o AI i w dokumentacji bezpieczeństwa.
Sankcje — ile może cię to kosztować
AI Act definiuje 3 poziomy kar:
| Naruszenie | Maksimum | Dla kogo |
|---|---|---|
| Użycie zakazanych praktyk AI | 35 mln EUR / 7% obrotu | Wszyscy |
| Niespełnienie obowiązków przy AI wysokiego ryzyka | 15 mln EUR / 3% obrotu | Providers, deployers |
| Podanie nieprawdziwych informacji regulatorowi | 7,5 mln EUR / 1% obrotu | Wszyscy |
Dla MŚP brzmi to abstrakcyjnie, ale regulatorzy potwierdzają, że będą karać proporcjonalnie — typowa kara dla polskich MŚP oczekiwana jest w przedziale 10 000 – 100 000 EUR, co jest dla firmy z 20 osobami zabójcze.
Checklista dla polskich MŚP na rok 2026
- Zrób audyt wszystkich narzędzi AI, które w firmie używają pracownicy (włącznie z shadow IT)
- Klasyfikuj każde według poziomu ryzyka
- Napisz 1-stronicową politykę AI i komunikuj ją zespołowi
- Zablokuj dostęp do publicznych narzędzi AI (ChatGPT free) dla danych wrażliwych
- Zaktualizuj dokumentację RODO — DPIA dla użycia AI
- Przy rekrutacji / HR AI: wprowadź formalny proces human oversight
- Oznacz chatbota i treść generowaną przez AI na stronie
- Dodaj szkolenie AI do onboardingu
Podsumowanie
AI Act nie jest egzystencjalnym zagrożeniem dla polskich MŚP — to ramy, które chronią klientów i pracowników przed nadużyciem AI. Większość zastosowań AI w MŚP (OCR, kategoryzacja, asystenci tekstu) wpada do minimalnego ryzyka i nie wymaga niczego więcej niż wewnętrznej polityki i szkolenia. Obszary ryzykowne (HR, scoring) wymagają human oversight i dokumentacji.
Używasz AI i chcesz mieć pewność, że jesteś zgodny z AI Act? Zobacz jak Modulario podchodzi do AI lub zarezerwuj bezpłatną 30-minutową konsultację. Przejdziemy razem twój stack AI i przygotujemy ci checklistę compliance na miarę.