AI Act 2026 – co każdy właściciel polskiej firmy musi wiedzieć (bez prawniczego żargonu)
AI Act to unijne rozporządzenie regulujące systemy AI. Kluczowy deadline dla MŚP to 2 sierpnia 2026. Większość małych firm w Polsce nie musi robić nic specjalnego – ale warto sprawdzić, do której kategorii ryzyka należy Twój biznes.
Dostałeś email od prawnika. Albo zobaczyłeś nagłówek w branżowym newsletterze: „AI Act – przygotuj firmę przed sierpniem 2026”. I teraz zastanawiasz się, czy to kolejny przepis, który dotyczy wielkich korporacji, czy coś, na co Ty też musisz reagować.
Krótka odpowiedź: to zależy od tego, co robi AI w Twojej firmie. Długa odpowiedź jest poniżej – bez prawniczego żargonu, z konkretnymi przykładami dla firmy zatrudniającej 5-30 osób.
Co to właściwie jest AI Act i dlaczego teraz?
AI Act to pierwsze na świecie prawo regulujące sztuczną inteligencję. Unia Europejska uchwaliła je w 2024 roku, a najważniejsze przepisy wchodzą w życie 2 sierpnia 2026.
Wyobraź sobie, że AI to nowy pracownik. Możesz mu zlecić prawie wszystko – ale nie możesz kazać mu robić rzeczy, które krzywdzą ludzi. AI Act to właśnie takie zasady – tylko zapisane jako prawo obowiązujące w całej Unii Europejskiej.
Rozporządzenie podzieliło systemy AI na cztery kategorie ryzyka: niedopuszczalne, wysokie, ograniczone i minimalne. Im wyższe ryzyko – tym więcej wymogów. Im niższe – tym mniej biurokracji.
Deadline 2 sierpnia 2026 dotyczy przepisów dla systemów wysokiego ryzyka. To data, od której firmy używające AI w wrażliwych obszarach (rekrutacja, kredyty, ochrona zdrowia) muszą spełniać konkretne wymogi techniczne i dokumentacyjne.
Według danych EY Polska z 2026 roku, 70% polskich firm aktywnie przygotowuje się do AI Act. Reszta jeszcze nie wie, że ten przepis ich dotyczy – lub że nie dotyczy.
Które firmy muszą przygotować się do AI Act?
Obowiązki zależą od roli Twojej firmy: dostawca (tworzysz AI), wdrożeniowiec (wdrażasz AI u klientów) lub użytkownik (kupujesz gotowe narzędzie AI). Większość MŚP to użytkownicy – ich obowiązki są najmniejsze.
AI Act rozróżnia trzy typy podmiotów. Dostawca (ang. provider) to firma, która tworzy system AI i sprzedaje go innym. Wdrożeniowiec (ang. deployer) to firma, która kupuje AI i wdraża je we własnych procesach biznesowych. Importer i dystrybutor to firmy sprowadzające AI spoza EU.
Jeśli Twoja firma korzysta z gotowych narzędzi AI – ChatGPT, Copilot, Make, n8n z integracją AI – jesteś użytkownikiem. To najłatwiejsza rola pod kątem AI Act. Masz mniej obowiązków niż firmy, które AI tworzą lub sprzedają.
Obowiązki rosną, gdy AI podejmuje decyzje wpływające na ludzi. Jeśli AI pomaga Ci pisać maile – minimalne ryzyko, żadnych specjalnych wymogów. Jeśli AI ocenia kandydatów do pracy i decyduje, kogo zaprosić na rozmowę – to już wysokie ryzyko z konkretnymi wymogami.
Tabela kategorii ryzyka AI Act – co oznacza każda z nich dla Twojej firmy?
AI Act dzieli systemy AI na cztery poziomy ryzyka. Dla większości małych firm zastosowanie mają kategorie minimalne i ograniczone – czyli praktycznie zero dodatkowych obowiązków.
| Poziom ryzyka | Co to oznacza | Przykłady dla MŚP | Co musisz zrobić |
|---|---|---|---|
| Niedopuszczalne | Całkowity zakaz. Tych systemów nie można używać w UE. | AI oceniająca „wiarygodność społeczną” ludzi (Social Scoring jak w Chinach). Systemy manipulujące decyzjami przez podprogowe bodźce. | Upewnij się, że nie używasz takich systemów. Jeśli nie wiesz – zapytaj dostawcy AI wprost. |
| Wysokie | Możesz używać, ale musisz spełnić konkretne wymogi: dokumentacja, testy, nadzór człowieka. | AI do oceny kandydatów do pracy. AI oceniająca zdolność kredytową. AI w systemach medycznych. AI w infrastrukturze krytycznej. | Dokumentacja techniczna, rejestr zdarzeń, nadzór człowieka nad decyzjami, ocena ryzyka przed wdrożeniem. |
| Ograniczone | Możesz używać, ale musisz poinformować użytkownika, że rozmawia z AI. | Chatbot na stronie internetowej. Voicebot obsługujący klientów. Deepfake’i i syntetyczne treści. | Wyraźna informacja dla użytkownika: „Rozmawiasz z AI, nie z człowiekiem”. |
| Minimalne | Żadnych dodatkowych wymogów. Używaj swobodnie. | AI do pisania treści (ChatGPT). AI do analizy danych sprzedażowych. AI do automatyzacji maili i faktur. Filtry spamu. Rekomendacje w e-commerce. | Nic – używaj normalnie. Dobre praktyki zawarte w RODO nadal obowiązują. |
Praktyczna wskazówka: jeśli AI „tylko” automatyzuje Twój wewnętrzny proces i nie podejmuje decyzji dotyczących ludzi (klientów, pracowników, kontrahentów) – najprawdopodobniej jesteś w kategorii minimalnego ryzyka.
Jakie kary grożą za naruszenie AI Act?
Kary sięgają do 35 milionów EUR lub 7% globalnych przychodów. Dla MŚP ważniejsze są jednak kary za niepoinformowanie użytkownika, że rozmawia z AI – do 15 milionów EUR lub 3% przychodów.
| Rodzaj naruszenia | Maksymalna kara | Kogo dotyczy najczęściej |
|---|---|---|
| Używanie systemów AI z kategorii niedopuszczalnej (Social Scoring, manipulacja podprogowa) | 35 mln EUR lub 7% globalnych przychodów | Każdej firmy używającej lub tworzącej takie systemy |
| Naruszenie wymogów dla systemów wysokiego ryzyka (brak dokumentacji, brak nadzoru) | 15 mln EUR lub 3% przychodów | Firm używających AI do rekrutacji, oceny kredytowej, medycyny |
| Brak informacji dla użytkownika, że rozmawia z AI (chatbot, voicebot) | 15 mln EUR lub 3% przychodów | Firm prowadzących chatboty obsługujące klientów |
| Podanie błędnych lub niepełnych informacji organom nadzorczym | 7,5 mln EUR lub 1% przychodów | Głównie dostawców AI, rzadziej użytkowników |
Ważna uwaga: AI Act przewiduje proporcjonalność kar dla MŚP i startupów. Regulator ma wziąć pod uwagę wielkość firmy, zasoby i dobry zamiar. To nie znaczy, że możesz ignorować przepisy – ale poważne kary dla 10-osobowej firmy produkcyjnej to mało prawdopodobny scenariusz, jeśli działasz uczciwie.
5 kroków, które każda polska firma powinna zrobić przed 2 sierpnia 2026
Pięć konkretnych działań wystarczy, żeby przygotować się do AI Act bez zatrudniania armii prawników. Zacznij od audytu – to zajmuje jedno popołudnie.
Krok 1 – Zrób listę wszystkich narzędzi AI, których używasz
Wypisz każde narzędzie, które ma w nazwie „AI”, „smart”, „intelligence” lub generuje treści, analizuje dane, odpowiada na pytania. Dołącz do listy ChatGPT, Copilot, narzędzia do automatyzacji z AI, chatboty na stronie.
Dla każdego narzędzia zaznacz: czy podejmuje decyzje dotyczące ludzi (pracowników, klientów)? Czy użytkownik wie, że rozmawia z AI?
Krok 2 – Określ kategorię ryzyka dla każdego narzędzia
Użyj tabeli powyżej. Zadaj sobie pytanie: co AI faktycznie robi? Jeśli pomaga Ci pisać oferty – minimalne ryzyko. Jeśli decyduje, kogo zatrudnić – wysokie ryzyko. Przy wątpliwościach wpisz narzędzie na listę „do sprawdzenia” i zapytaj dostawcę wprost: „Czy Twój system jest zakwalifikowany jako AI Act high-risk?”
Krok 3 – Dodaj informację „Rozmawiasz z AI” do chatbotów
Jeśli prowadzisz chatbota na stronie albo voicebota obsługującego klientów telefonicznie – to obowiązek już teraz, nie od sierpnia 2026. Wymaganie przezroczystości wobec użytkownika weszło w życie 2 lutego 2025. Zmień skrypt powitalny chatbota: „Cześć! Jestem asystentem AI firmy XYZ. W czym mogę pomóc?”
Krok 4 – Jeśli używasz AI do rekrutacji lub oceny klientów – wdróż nadzór człowieka
Systemy wysokiego ryzyka wymagają, żeby człowiek sprawdzał decyzje AI. To nie znaczy, że AI nie może analizować CV – ale ostateczna decyzja „zapraszamy na rozmowę” musi należeć do człowieka, nie do algorytmu. Udokumentuj ten proces: kto sprawdza wyniki AI i jak.
Krok 5 – Przygotuj podstawową dokumentację dla systemów wysokiego ryzyka
Jeśli masz systemy wysokiego ryzyka, musisz mieć: opis systemu AI (co robi, jak działa), procedurę nadzoru (kto sprawdza decyzje AI), rejestr incydentów (gdzie zapisujesz błędy i problemy). To nie musi być 50-stronicowy dokument. Dobrze przygotowany arkusz w Google Sheets wystarczy na start.
Czy AI Act dotyczy korzystania z ChatGPT i podobnych narzędzi?
Korzystanie z ChatGPT do pisania treści czy analizy danych to kategoria minimalnego ryzyka – brak dodatkowych obowiązków. Obowiązki spoczywają głównie na OpenAI, nie na Twoim biznesie.
To pytanie pojawia się najczęściej. Masz 10-osobową firmę, używasz ChatGPT do pisania maili i ofert. Co musisz zrobić?
Prawie nic. Odpowiedzialność za spełnienie wymogów AI Act spoczywa głównie na dostawcy AI (OpenAI, Google, Microsoft). Ty jako użytkownik masz ograniczone obowiązki – chyba że wdrażasz AI w sposób wpływający na prawa ludzi.
Scenariusz: Używasz ChatGPT, żeby napisać odpowiedź na maila od klienta. Kategoria ryzyka – minimalna. Obowiązki – żadne.
Scenariusz: Wdrożyłeś chatbota na stronie, który odpowiada klientom zamiast Twojego pracownika. Kategoria ryzyka – ograniczona. Obowiązek – poinformuj klientów, że rozmawiają z AI, nie z człowiekiem.
Scenariusz: Używasz systemu AI, który analizuje CV kandydatów i tworzy ranking przed rozmową kwalifikacyjną. Kategoria ryzyka – wysokie. Obowiązki – dokumentacja, nadzór człowieka, procedury.
FAQ – najczęstsze pytania o AI Act od właścicieli firm
Czy AI Act dotyczy mojej firmy, jeśli nie tworzę oprogramowania AI?
Tak, AI Act dotyczy też firm, które kupują i używają gotowych systemów AI – ale w mniejszym zakresie niż firm tworzących AI. Jeśli używasz ChatGPT, Make, Copilot czy podobnych narzędzi do wewnętrznych procesów, prawdopodobnie jesteś w kategorii minimalnego ryzyka i nie masz żadnych specjalnych obowiązków.
Kiedy dokładnie wchodzi w życie AI Act dla MŚP?
Kluczowa data to 2 sierpnia 2026 – wtedy wchodzą w życie przepisy dla systemów wysokiego ryzyka. Zakaz systemów niedopuszczalnych obowiązuje od 2 lutego 2025. Wymóg informowania użytkowników o AI (chatboty) obowiązuje od 2 sierpnia 2025.
Czy muszę zatrudnić prawnika, żeby przygotować firmę do AI Act?
Nie, jeśli Twoja firma używa AI tylko do wewnętrznych procesów (pisanie treści, analiza danych, automatyzacja maili). Prawnik przyda się, jeśli masz systemy wysokiego ryzyka lub tworzysz własne oprogramowanie AI. Dla większości MŚP wystarczy samodzielny audyt narzędzi AI i ewentualne dodanie informacji o AI do chatbotów.
Co grozi za używanie chatbota bez informowania użytkownika, że to AI?
Kara do 15 milionów EUR lub 3% globalnych rocznych przychodów. W praktyce dla MŚP organ nadzorczy prawdopodobnie zacznie od ostrzeżenia i nakazu usunięcia naruszenia. Ryzyko wysokich kar rośnie przy dużej skali i braku dobrej woli po wykryciu problemu.
Który urząd w Polsce będzie nadzorował AI Act?
Polska wyznacza właśnie krajowy organ nadzoru nad AI Act (stan na marzec 2026). Najprawdopodobniej będzie to Urząd Ochrony Danych Osobowych (UODO) lub nowy dedykowany organ. Dla firm mających doświadczenie z RODO – zasady nadzoru będą podobne.
Jak AI Act zmienia plany firm wdrażających automatyzację AI?
Dla firm wdrażających automatyzację procesów AI Act oznacza głównie: transparentność wobec klientów (chatboty muszą ujawniać, że to AI) i dokumentację przy systemach wpływających na decyzje dotyczące ludzi.
Jeśli planujesz wdrożenie automatyzacji z AI w swojej firmie – AI Act to dobra wiadomość, nie powód do paniki. Regulacja wymaga, żeby AI działało uczciwie i przejrzyście. To dokładnie te same zasady, którymi powinien kierować się każdy uczciwy dostawca.
Praktycznie: jeśli wdrażasz chatbota do obsługi klientów, zadbaj o informację powitalną („Jestem asystentem AI”). Jeśli automatyzujesz analizę danych sprzedażowych – nic specjalnego nie trzeba robić. Jeśli używasz AI do oceny wniosków kredytowych lub selekcji pracowników – potrzebujesz dokumentacji i nadzoru człowieka.
Automatyzacja procesów wewnętrznych – takich jak generowanie faktur, obsługa leadów, raporty dla zarządu – to w ogromnej większości kategoria minimalnego ryzyka. AI Act nie utrudnia wdrożeń, które Twój biznes realnie potrzebuje.
Więcej o tym, jak wdrożyć AI bezpiecznie i zgodnie z przepisami, przeczytasz w: Automatyzacja procesów biznesowych z AI – przewodnik dla MŚP
Jeśli interesuje Cię temat RODO w kontekście AI, sprawdź też: RODO a AI w firmie – co musisz wiedzieć
Co zrobić teraz – plan działania przed sierpniem 2026
Trzy miesiące przed 2 sierpnia 2026 to wystarczająco dużo czasu, żeby przygotować się spokojnie. Zacznij od audytu narzędzi AI – to jedno popołudnie pracy.
Nie czekaj na ostatni moment. Firmy, które zaczęły przygotowania wcześnie, mają czas na spokojne przeanalizowanie każdego narzędzia AI. Firmy, które zaczną w lipcu 2026, będą gonić deadline i popełnią błędy.
Plan działania na dziś:
- Ten tydzień: Wypisz wszystkie narzędzia AI w firmie. Zaznacz, które wpływają na decyzje dotyczące ludzi.
- Ten miesiąc: Sprawdź chatboty i voiceboty – czy informują użytkownika, że rozmawiają z AI? Jeśli nie – popraw to teraz.
- Do czerwca 2026: Jeśli masz systemy wysokiego ryzyka – przygotuj dokumentację i wdróż nadzór człowieka nad decyzjami AI.
- Lipiec 2026: Ostatni przegląd przed deadline’m. Sprawdź, czy nic się nie zmieniło w używanych narzędziach AI.
Większość 10-osobowych firm przejdzie przez ten proces w 2-3 godziny. To nie jest kolejny RODO.
Nie wiesz, do której kategorii ryzyka należą narzędzia AI w Twojej firmie? Umów bezpłatną konsultację – przeanalizuję Twoje narzędzia AI i powiem wprost, co musisz zrobić przed sierpniem 2026, a co możesz zignorować.
