AI Act — Rozporządzenie Parlamentu Europejskiego w sprawie sztucznej inteligencji — to pierwsze na świecie kompleksowe prawo regulujące AI. Dla polskich firm oznacza nowe obowiązki, kary i konieczność dostosowania systemów AI do wymogów unijnych.
W tym artykule wyjaśniamy AI Act prostym językiem: co reguluje, kogo dotyczy, jakie nakłada obowiązki i jak polskie firmy powinny się przygotować. Bez prawniczego żargonu — z konkretnymi krokami do podjęcia.
Czym jest AI Act i dlaczego powstał?
AI Act to rozporządzenie UE, które ustanawia zasady wprowadzania na rynek i korzystania z systemów AI w Unii Europejskiej. Powstało z potrzeby ochrony praw fundamentalnych, zdrowia i bezpieczeństwa obywateli przy jednoczesnym wspieraniu innowacji.
AI Act obowiązuje bezpośrednio we wszystkich krajach UE — w tym w Polsce — bez konieczności implementacji do prawa krajowego. Wejście w życie jest etapowe: od lutego 2025 (zakazy) do sierpnia 2027 (pełne stosowanie wszystkich przepisów).
Klasyfikacja ryzyka — fundament AI Act
AI Act wprowadza podejście oparte na ryzyku — im wyższe ryzyko systemu AI, tym surowsze wymogi. Cztery kategorie ryzyka determinują obowiązki dostawców i użytkowników systemów AI.
Większość zastosowań AI w firmach (chatboty, generowanie treści, analiza danych) klasyfikuje się jako 'ograniczone ryzyko' lub 'minimalne ryzyko' — z relatywnie niskimi wymogami. Systemy high-risk (rekrutacja, credit scoring) wymagają znacznie więcej.
- ZAKAZANE: social scoring, manipulacja podprogowa, biometryczna identyfikacja w przestrzeni publicznej
- WYSOKIE RYZYKO: rekrutacja AI, credit scoring, diagnostyka medyczna, infrastruktura krytyczna
- OGRANICZONE RYZYKO: chatboty (obowiązek informowania), deepfakes (obowiązek oznaczania)
- MINIMALNE RYZYKO: większość AI biznesowego — brak specjalnych wymogów
Obowiązki firm korzystających z AI (deployers)
AI Act rozróżnia providers (dostawców/twórców AI) i deployers (użytkowników/wdrażających). Większość polskich firm to deployers — korzystają z gotowych systemów AI (ChatGPT, CRM z AI, chatboty).
Obowiązki deployerów zależą od kategorii ryzyka systemu. Dla high-risk: nadzór ludzki, monitoring, logowanie, szkolenie pracowników, DPIA. Dla limited risk: informowanie użytkowników o interakcji z AI. Dla minimal risk: brak specjalnych obowiązków.
Systemy AI wysokiego ryzyka — wymogi szczegółowe
Jeśli Twoja firma wykorzystuje AI w rekrutacji, scoringu kredytowym, ocenie ryzyka ubezpieczeniowego, diagnostyce medycznej lub zarządzaniu infrastrukturą krytyczną — te systemy są klasyfikowane jako high-risk.
Wymogi: system zarządzania ryzykiem AI, dokumentacja techniczna, quality management system, zarządzanie danymi treningowymi, logowanie i monitoring, nadzór ludzki (human oversight), rejestracja w unijnej bazie danych AI. Więcej na stronie AI a prawo.
- System zarządzania ryzykiem (risk management system)
- Dokumentacja techniczna systemu AI
- Zarządzanie jakością danych (data governance)
- Logowanie aktywności systemu (logging)
- Transparentność i informowanie użytkowników
- Nadzór ludzki (human oversight)
- Cyberbezpieczeństwo i odporność
- Rejestracja w unijnej bazie danych AI
Kary za naruszenie AI Act
AI Act przewiduje surowe kary finansowe za naruszenia. Kwoty są proporcjonalne do rodzaju naruszenia i wielkości firmy.
Kary: do 35 mln EUR lub 7% globalnego obrotu za zakazane praktyki, do 15 mln EUR lub 3% za naruszenie wymogów high-risk, do 7,5 mln EUR lub 1,5% za nieprawdziwe informacje. Dla MŚP kary oblicza się proporcjonalnie do obrotu.
Harmonogram wejścia w życie AI Act
AI Act wchodzi w życie etapowo — firmy mają czas na dostosowanie, ale niektóre przepisy już obowiązują.
Luty 2025: zakaz niedopuszczalnych praktyk AI. Sierpień 2025: wymogi dla modeli AI ogólnego przeznaczenia (GPAI). Sierpień 2026: wymogi dla systemów high-risk. Sierpień 2027: pełne stosowanie dla systemów AI wbudowanych w produkty.
AI Act a RODO — jak się uzupełniają?
AI Act i RODO nie wykluczają się — uzupełniają. RODO reguluje przetwarzanie danych osobowych (w tym w AI), AI Act reguluje sam system AI (niezależnie od rodzaju danych). Firma korzystająca z AI do przetwarzania danych osobowych musi spełnić oba.
Synergies: DPIA z RODO pokrywa część wymogów risk management z AI Act. Obowiązki informacyjne z RODO i transparentności z AI Act mogą być realizowane łącznie. Praktyczny przewodnik compliance: zacznij od RODO (już obowiązuje), dodaj wymogi AI Act odpowiednio do kategorii ryzyka.
Praktyczny checklist — jak przygotować firmę na AI Act
Przygotowanie na AI Act to proces, nie jednorazowe zadanie. Poniższy checklist pomoże Ci systematycznie wdrożyć compliance.
Finito Pro wspiera polskie firmy w przygotowaniu na AI Act — od inwentaryzacji systemów AI, przez klasyfikację ryzyka, po wdrożenie wymaganych procedur i dokumentacji.
- Zinwentaryzuj wszystkie systemy AI w firmie (w tym shadow AI)
- Sklasyfikuj każdy system według kategorii ryzyka AI Act
- Dla high-risk: wdróż risk management system
- Dla limited risk: zapewnij transparentność (informuj o AI)
- Przeszkol zespół z wymogów AI Act
- Zaktualizuj politykę AI i regulaminy
- Wyznacz osobę odpowiedzialną za AI compliance
- Zaplanuj regularne audyty i przeglądy
- Monitoruj wytyczne UODO i polskich regulatorów
- Dokumentuj decyzje i procesy (ślad audytowy)
AI Act a innowacja — czy regulacja hamuje rozwój AI?
Krytycy argumentują, że AI Act spowalnia innowacje w UE vs. USA i Chiny. Zwolennicy wskazują, że regulacja buduje zaufanie konsumentów i firm, co w dłuższej perspektywie przyspiesza adopcję AI.
Dla polskich firm AI Act to szansa: firmy, które wcześnie wdrożą compliance, zyskają przewagę konkurencyjną na rynku UE. Certyfikowany, bezpieczny system AI to argument sprzedażowy, szczególnie w B2B i sektorach regulowanych.