Baza wiedzy/AI w Praktyce — Co Mówią Dane i Badania .../EU AI Act w praktyce — przewodnik compliance na 20...

EU AI Act w praktyce — przewodnik compliance na 2026

13 min czytania19 marca 2026
Część przewodnika: AI w Praktyce — Co Mówią Dane i Badania w 2026 Rok...

Najważniejsze w skrócie

Od 2 sierpnia 2025 roku władze krajowe mogą nakładać kary za niezgodność z EU AI Act. Kary są trójstopniowe: do €35 mln lub 7% globalnego obrotu za zakazane praktyki AI, do €15 mln lub 3% za naruszenie innych obowiązków, do €7,5 mln lub 1% za przekazanie władzom nieprawdziwych informacji. To znacznie wyższe stawki niż w RODO, gdzie maksymalna kara wynosi do €20 mln lub 4% globalnego obrotu. Dobra wiadomość: przygotowanie jest możliwe i powinno się zacząć teraz. Ten artykuł wyjaśnia obowiązki w praktyce, bez prawniczych zawiłości.

Spis treści

  1. Dlaczego EU AI Act zmienia zasady gry
  2. Timeline obowiązków: co się zmienia i kiedy
  3. Klasyfikacja ryzyka AI — cztery poziomy
  4. Modele GPAI: co to oznacza dla firm używających ChatGPT, Claude, Gemini
  5. Sześć praktycznych obszarów compliance
  6. Checklist: 10 kroków do zgodności w 2026
  7. Specyfika dla Polski i branż
  8. Co dalej? Przygotowanie na kolejne fazy

Dlaczego EU AI Act zmienia zasady gry

Fundamentalna różnica między EU AI Act a RODO polega na przedmiocie regulacji. RODO skupiło się na ochronie danych osobowych — na pytaniach: kto przechowuje dane, jak są przetwarzane, gdzie znajdują się kopie. EU AI Act idzie dalej, podchodząc z całkowicie innego kąta: reguluje funkcjonowanie samej sztucznej inteligencji, niezależnie od tego, jakie dane przetwarza. Pytanie brzmi nie „czy ta firma bezpiecznie przechowuje dane", ale „czy ta sztuczna inteligencja podejmuje decyzje, które mogą naruszyć prawa obywateli?"

Rekrutacja, udzielanie kredytów, decyzje sądów, edukacja — to wszystkie obszary, gdzie AI może mieć realny wpływ na życie ludzi. EU AI Act mówi wprost: jeśli sztuczna inteligencja podejmuje decyzje o ludziach, będzie kontrolowana. Dotyczy to zarówno dużych dostawców (OpenAI, Anthropic, Google), którzy muszą spełnić wymogi dla modeli GPAI, jak i każdej organizacji, która wdraża te narzędzia do podejmowania ważnych decyzji biznesowych. Geograficznie działalność w Unii Europejskiej wystarczy — nie trzeba być firmą zarejestrowaną w UE, wystarczy pracować lub oferować usługi na terenie UE.

Egzekwowanie nowych obowiązków już się rozpoczęło. Zakaz praktyk niedopuszczalnych wszedł w życie 2 lutego 2025, a władze krajowe mogą nakładać kary od 2 sierpnia 2025. Pełne uprawnienia egzekucyjne Komisji Europejskiej wobec dostawców GPAI oraz egzekwowanie wymagań dla systemów wysokiego ryzyka zaczyna się 2 sierpnia 2026. Kary są trójstopniowe zgodnie z art. 99 Rozporządzenia EU 2024/1689 — szczegóły poniżej.

Timeline obowiązków: co się zmienia i kiedy

Data Obowiązek Zakres Status w marcu 2026
2 lut 2025 Zakaz praktyk AI o niedopuszczalnym ryzyku + wymóg AI literacy; kary za zakazane praktyki obowiązują od tej daty Wszyscy dostawcy i użytkownicy AI ✅ Obowiązuje
2 sie 2025 Obowiązki GPAI; AI Office operacyjny; reżim kar krajowych (poza GPAI) OpenAI, Anthropic, Google, Meta itd. ✅ Obowiązuje
lip 2025 GPAI Code of Practice opublikowany przez KE Dostawcy modeli GPAI ✅ Opublikowany
2 sie 2026 Pełne uprawnienia egzekucyjne KE wobec GPAI; większość pozostałych obowiązków i art. 50 (transparencja) Dostawcy, wdrażający, użytkownicy ⏳ Za ok. 4 miesiące
2 sie 2027 Systemy wysokiego ryzyka wbudowane w produkty regulowane (Annex I) Producenci urządzeń medycznych, pojazdów itp. ⏳ Za ok. 17 miesięcy

⚠️ Ważna aktualizacja — Digital Omnibus (stan na 31 marca 2026)

19 listopada 2025 roku Komisja Europejska zaproponowała w ramach pakietu Digital Omnibus przesunięcie terminu stosowania obowiązków dla systemów wysokiego ryzyka (Annex III) z sierpnia 2026 na grudzień 2027. Propozycja nie zmienia dat dla zakazanych praktyk (art. 5), obowiązków GPAI ani art. 50 — te pozostają na pierwotnych terminach.

13 marca 2026 Rada UE przyjęła swoje stanowisko, popierając stałe daty: 2 grudnia 2027 dla systemów wysokiego ryzyka działających samodzielnie i 2 sierpnia 2028 dla systemów wbudowanych w produkty. 18 marca 2026 komisje IMCO i LIBE Parlamentu Europejskiego przyjęły zgodne stanowisko.

Trilogi — trójstronne negocjacje między Komisją, Parlamentem i Radą — jeszcze się nie rozpoczęły. Do czasu formalnego przyjęcia Digital Omnibus 2 sierpnia 2026 pozostaje prawnie wiążącym terminem. Firmy, które wstrzymały przygotowania, narażają się na pełne ryzyko egzekucyjne, jeśli trilogi nie zakończą się przed tą datą.

Interpretacja tego harmonogramu jest kluczowa. Firmy używające AI powinny niezwłocznie zacząć od dwóch działań: inwentaryzacji wszystkich systemów AI w użytkowaniu oraz oceny ich poziomu ryzyka zgodnie z klasyfikacją EU AI Act.

Klasyfikacja ryzyka AI — cztery poziomy

Kluczem do zrozumienia EU AI Act jest jego system klasyfikacji ryzyka. Wszystkie systemy sztucznej inteligencji dzielą się na cztery kategorie, zależne od potencjalnego wpływu na prawa, wolności i bezpieczeństwo obywateli Unii. Każda kategoria wiąże się z innym zestawem obowiązków dla dostawców i wdrażających AI.

1. Ryzyka niedopuszczalne — praktyki całkowicie zakazane

Komisja Europejska zakazuje całkowicie pewnych kategorii systemów AI. Zakaz jest bezwzględny — niezależnie od branży, intencji czy umowy z klientem, te systemy nie mogą funkcjonować na terenie Unii Europejskiej. Przykłady obejmują systemy punktacji społecznej przypisujące obywatelom ocenę bez możliwości odwołania się, AI zaprojektowaną do manipulacji psychologicznej w celu uzależnienia lub zmiany zachowania w sposób szkodliwy dla jednostki, czy biometryczne skanowanie twarzy ludzi bez ich wiedzy i zgody.

2. Ryzyka wysokie — wymagające nadzoru i dokumentacji

Systemy wysokiego ryzyka to te, które podejmują decyzje mające realny wpływ na prawa i życie obywateli. Komisja nie zakazuje ich, ale nakłada rygorystyczne wymogi. Przykłady obejmują systemy kredytowe decydujące o udzieleniu lub odmowie kredytu, rekrutacyjne AI selekcjonujące kandydatów, systemy wspierające decyzje sądowe, oceny edukacyjne przypisane przez AI, diagnozy medyczne wspierane przez algorytmy, czy systemy bezpieczeństwa monitorujące infrastrukturę krytyczną.

Dla każdego takiego systemu organizacja musi przygotować pełną dokumentację techniczną, ocenić potencjalny wpływ błędów, zapewnić przejrzystość wobec użytkowników, wdrożyć ludzki nadzór nad każdą ważną decyzją, monitorować funkcjonowanie po wdrożeniu i prowadzić logi każdej decyzji.

3. Ryzyka ograniczone — wymogi transparencji

Systemy ryzyka ograniczonego to przede wszystkim te, które wchodzą w bezpośrednią interakcję z ludźmi — chatboty, asystenci AI, generatory tekstu czy edytory obrazów. Regulacja skupia się na przejrzystości: użytkownicy muszą wiedzieć, że rozmawiają z algorytmem, a nie człowiekiem. Każdy chatbot lub asystent AI powinien jasno przedstawić się jako bot. Organizacja musi być szczera co do limitów systemu, zapewnić użytkownikowi możliwość przejścia do człowieka i nie stosować manipulacji.

4. Ryzyka minimalne — brak wymogów regulacyjnych

Systemy AI o minimalnym ryzyku — AI w grach komputerowych, filtry antyspamowe, systemy rekomendacyjne o niskim ryzyku — nie podlegają specjalnym wymogom EU AI Act.

Modele GPAI: co to oznacza dla firm używających ChatGPT, Claude, Gemini

GPAI (General-Purpose AI) to Large Language Models — ChatGPT, Claude, Gemini i podobne systemy. Ich ogólna przydatność, połączona z nieprzewidywalnością w nowych sytuacjach, skłoniła Komisję Europejską do stworzenia odrębnego zestawu wymogów, które weszły w życie 2 sierpnia 2025.

Obowiązki dostawców Large Language Models

Dostawcy takich modeli — OpenAI, Anthropic, Google i inni — muszą od 2 sierpnia 2025: dokumentować wszystkie aspekty systemu, testować potencjalne zagrożenia, raportować do Komisji szczegóły techniczne, publikować model card, monitorować błędy i nieprawidłowości po wdrożeniu oraz przestrzegać wymogów prawa autorskiego UE.

Konsekwencje dla organizacji używającej ChatGPT lub Claude

Chociaż dostawca odpowiada za compliance, użytkownik również ma obowiązki. Pierwszym krokiem jest weryfikacja, czy dostawca spełnia wymogi GPAI. Drugim jest ocena use case'u — czy planowane zastosowanie kwalifikuje się jako system wysokiego ryzyka. Trzecim — implementacja odpowiedniej ochrony: ludzkiej weryfikacji, monitorowania błędów, prowadzenia logów.

Konkretny przykład: Jeśli organizacja używa Claude do analizy CV i rankingowania kandydatów, jest to system AI do rekrutacji, który podejmuje decyzje o ludziach — czyli system wysokiego ryzyka. Wymaga dokumentacji sposobu rankingowania, obowiązkowego przeglądu każdej decyzji przez zespół HR oraz możliwości wyjaśnienia kandydatowi kryteriów odrzucenia.

Sześć praktycznych obszarów compliance

1. Inwentaryzacja systemów AI

Punkt wyjścia: gdzie w organizacji funkcjonuje sztuczna inteligencja? Lista powinna obejmować modele LLM (Claude, ChatGPT, Gemini, Llama), systemy rekomendacyjne, systemy widzenia komputerowego, chatboty, systemy punktacji i oceniania oraz modele predykcyjne. Dla każdego systemu należy odnotować dostawcę, wersję modelu, etap wdrożenia, typ przetwarzanych danych i typ wspieranych decyzji.

2. Ocena ryzyka — klasyfikacja systemów

Dla każdego systemu należy odpowiedzieć na pytania: Czy AI podejmuje decyzje dotyczące fundamentalnych praw człowieka? Czy wchodzi w bezpośrednią interakcję z ludźmi, nie ujawniając swojej roli? Czy ma dostęp do danych osobowych lub wrażliwych? Czy decyzje AI mogą prowadzić do dyskryminacji? Czy błąd AI mógłby wyrządzić znaczną szkodę? Odpowiedź „tak" na którekolwiek z tych pytań kwalifikuje system do kategorii wysokiego ryzyka.

3. Dokumentacja techniczna

Audytor powinien znaleźć: design document wyjaśniający architekturę systemu end-to-end, dokumentację danych treningowych z analizą potencjalnych bias, model card opisujący możliwości i ograniczenia modelu, raport z testów bezpieczeństwa oraz log incydentów — uczciwy zapis wszystkich błędów i anomalii od momentu wdrożenia.

4. Przejrzystość

Chatboty powinny jasno się przedstawić jako bot. Zawartość wygenerowana przez AI powinna być oznaczona. Limity i możliwość pomyłki muszą być jasno komunikowane użytkownikom.

5. Ludzki nadzór

W systemach wysokiego ryzyka człowiek zawsze musi być w pętli decyzyjnej. W rekrutacji — zespół HR przegląda ranking i ma pełne prawo go zmienić. W decyzjach kredytowych — pracownik banku zawsze przegląda rekomendację AI. W systemach sądowych — sędzia podejmuje ostateczną decyzję, AI jest wyłącznie narzędziem wspierającym.

6. Monitoring po wdrożeniu

Środowisko produkcyjne jest fundamentalnie inne od testów. Błędy, halucynacje i anomalie powinny być rejestrowane jako informacja zwrotna. Bias powinien być aktywnie monitorowany. Skargi użytkowników stanowią cenną informację o problemach niewidocznych w fazie testowej.

Checklist: 10 kroków do zgodności — od teraz do sierpnia 2026

Marzec–kwiecień 2026: Przygotowanie podstaw

  1. Powołać osobę odpowiedzialną za compliance — General Counsel, CTO lub Chief AI Officer. Jedna osoba, jedna jasna odpowiedzialność.
  2. Przygotować listę wszystkich systemów AI — wszystkie modele LLM, dostawcy, use case'y. Pominięcie systemu w ocenie będzie problemem.
  3. Sklasyfikować każdy system — zakazane praktyki, wysokie ryzyko, ograniczone ryzyko lub minimalne.

Maj–czerwiec 2026: Przygotowanie dokumentacji

  1. Opracować dokumentację dla systemów wysokiego ryzyka — design document, dokumentacja danych, raporty testów.
  2. Zidentyfikować i wyeliminować zakazane praktyki — systemy punktacji społecznej, manipulacji psychologicznej czy biometrii bez zgody muszą być usunięte.
  3. Wdrożyć ludzki nadzór — dla każdej ważnej decyzji wspieranej przez AI człowiek musi mieć możliwość weryfikacji i zmiany decyzji.

Lipiec–sierpień 2026: Finalizacja

  1. Wdrożyć system logowania błędów — zapis incydentów z kontekstem, przyczyną i wpływem na użytkownika.
  2. Oznaczyć zawartość AI — każdy chatbot jako bot, każda wygenerowana treść z oznaczeniem.
  3. Zweryfikować umowy z dostawcami — czy OpenAI, Anthropic, Google potwierdzają compliance z wymogami GPAI w warunkach serwisu.
  4. Komunikacja wewnętrzna — wyjaśnienie zespołowi, co to jest EU AI Act i jakie procesy się zmieniają.

Struktura kar zgodnie z art. 99 Rozporządzenia EU 2024/1689:

Typ naruszenia Maks. kara (€) Maks. % obrotu globalnego
Zakazane praktyki AI (art. 5) €35 mln 7%
Naruszenie obowiązków operatorów / GPAI €15 mln 3%
Błędne lub niepełne informacje dla władz €7,5 mln 1%

Dla MŚP i startupów kara jest ograniczona do niższego z dwóch progów. Pierwszy rok egzekwowania skupi się na systemach wysokiego ryzyka (rekrutacja, finanse, medycyna) i oczywistych naruszeniach zakazanych praktyk.

Specyfika dla Polski i branż

Sektor finansowy

Sektor finansowy jest regulowany łącznie przez RODO, PSD2, MiFID II i EU AI Act. Dla banków, ubezpieczycieli i firm inwestycyjnych systemy AI do oceny kredytowej, inwestycyjnej i ubezpieczeniowej to systemy wysokiego ryzyka. Wymagany jest explainable AI — możliwość wyjaśnienia każdej decyzji. Europejski Urząd Nadzoru Bankowego (EBA) opublikował odrębne wytyczne dla AI w bankowości.

E-commerce i marketing

Rekomendacje produktów, personalizacja i targeting to systemy ryzyka ograniczonego. Wymaga się przejrzystości wobec użytkownika i monitorowania pod kątem dyskryminacji, ale nie wymaga się ludzkiego nadzoru nad każdą decyzją.

Firmy technologiczne rozwijające AI jako produkt

Jeśli produkt SaaS jest używany przez klientów do zastosowań wysokiego ryzyka, odpowiedzialność za compliance spada na producenta. Musi on dostarczać dokumentację techniczną klientom i jasno informować o ograniczeniach AI w warunkach serwisu.

HR i rekrutacja

Systemy do rekrutacji — CV screening, rozmowy wideo, ocena osobowości — to systemy wysokiego ryzyka. Wymagana jest dokumentacja techniczna, przegląd każdej decyzji przez człowieka oraz możliwość wyjaśnienia kandydatowi powodów odrzucenia.

Sektor publiczny i samorządy

Systemy do weryfikacji wniosków, przydziału zasiłków czy wydawania licencji to systemy wysokiego ryzyka. Wymagają dokumentacji, przejrzystości i możliwości apelacji.

Co dalej? Przygotowanie na kolejne fazy

Wytyczne Komisji Europejskiej dostępne na AI Act Service Desk (ai-act-service-desk.ec.europa.eu) zawierają szczegółowe objaśnienia wymogów bez konieczności czytania pełnego tekstu rozporządzenia.

Interakcja między RODO a EU AI Act wymaga szczególnej uwagi. EU AI Act nie anuluje RODO — oba zbiory wymogów działają jednocześnie i niezależnie. Jeśli system AI przetwarza dane osobowe, organizacja musi spełnić wymogi obu regulacji.

Konsultacja z prawnikiem specjalizującym się w regulacji AI może zaoszczędzić miesiące błędów. Każda branża ma inny profil ryzyka i inny zakres wymaganych działań.

Regularne śledzenie aktualizacji jest konieczne — trilogi w sprawie Digital Omnibus rozstrzygną się przed sierpniem 2026 i mogą zmienić harmonogram dla systemów wysokiego ryzyka.

Źródła

Tagi: EU AI Act · compliance · regulacje · GPAI · governance · kary · RODO

Wróć do bazy wiedzy
Powiązane artykuły
AI a rynek pracy w 2026 — co mówią dane?
Dane i Badania
AI a rynek pracy w 2026 — co mówią dane?
Jak AI faktycznie wpływa na rynek pracy w 2026 roku? Dane z Anthropic, ECB, McKinsey i polskiego rynku — observed exposu...
12 min 15 marca 2026
Autonomia agentów AI — co wiemy z milionów interakcji
Dane i Badania
Autonomia agentów AI — co wiemy z milionów interakcji
Anthropic przeanalizował milion wywołań narzędzi i setki tysięcy sesji Claude Code. Autonomia agentów podwoiła się w 3 m...
13 min 16 marca 2026
AI Fluency Index — jak mierzyć dojrzałość współpracy z AI
Dane i Badania
AI Fluency Index — jak mierzyć dojrzałość współpracy z AI
Anthropic zbadał prawie 10 000 konwersacji z Claude.ai i stworzył AI Fluency Index — pierwszą miarę jakości współpracy c...
11 min 18 marca 2026