W skrócie: najprawdopodobniej tak - ale zwykle jako podmiot stosujący AI (jej użytkownik), nie jako dostawca, a to znacznie lżejsze obowiązki. Część przepisów już obowiązuje: zakaz wybranych zastosowań i obowiązek kompetencji AI działają od lutego 2025. Najtrudniejsze terminy (systemy „wysokiego ryzyka”) UE właśnie przesuwa - uzgodniono nowe daty: grudzień 2027 i sierpień 2028, choć na czerwiec 2026 czekają one jeszcze na formalne przyjęcie (porozumienie Rady i Parlamentu). Większość zwykłych zastosowań (jak ChatGPT do tekstów) to ryzyko minimalne z lekkimi wymogami. Panika jest niepotrzebna, ignorowanie tematu - też. (Stan na czerwiec 2026; to nie porada prawna.)
Czy AI Act w ogóle dotyczy mojej firmy?
Najpewniej tak, ale w roli, która niesie mniej obowiązków, niż się obawiasz. Rozporządzenie rozróżnia przede wszystkim dwie role: dostawcę (tego, kto tworzy system AI i wprowadza go na rynek pod swoją marką) oraz podmiot stosujący - czyli firmę, która używa gotowego systemu w swojej działalności. Jeśli korzystasz z ChatGPT, narzędzia od dostawcy albo aplikacji opartej na cudzym modelu, jesteś podmiotem stosującym - i to na dostawcy spoczywa większość ciężaru zgodności.
Warto wiedzieć jedno: AI Act działa eksterytorialnie, podobnie jak RODO. Obejmuje także firmy spoza UE, jeśli efekt działania ich systemu AI jest wykorzystywany w Unii. Dla Twojej firmy oznacza to, że nie da się „uciec” od przepisów, wybierając dostawcę z innego kontynentu.
Co decyduje o obowiązkach - kategorie ryzyka
Nie narzędzie, lecz sposób, w jaki go używasz. AI Act dzieli zastosowania na cztery kategorie ryzyka: niedozwolone (zakazane), wysokie, ograniczone (obowiązek przejrzystości) i minimalne. Im wyższe ryzyko, tym więcej obowiązków - ale zdecydowana większość typowych zastosowań biznesowych mieści się w dwóch najlżejszych koszykach.
Kluczowa pułapka jest taka, że to samo narzędzie może wpaść do różnych kategorii zależnie od użycia. ChatGPT do redagowania tekstów to ryzyko minimalne. Ten sam ChatGPT użyty do automatycznej selekcji życiorysów kandydatów to już zastosowanie wysokiego ryzyka, bo dotyczy decyzji o ludziach. Dlatego o klasyfikacji decyduje konkretne zastosowanie, a nie sam fakt posiadania narzędzia.
Nie wiesz, do której kategorii trafiają Twoje zastosowania AI? Pomożemy je przejrzeć i poukładać na bezpłatnej konsultacji - po ludzku, bez prawniczego żargonu.
Co już obowiązuje, a co dopiero wejdzie?
Część przepisów działa od dawna, najpoważniejsze terminy zostały przesunięte. Najprościej widać to w tabeli:
| Termin | Co zaczyna obowiązywać | Status |
|---|---|---|
| 1 sierpnia 2024 | Wejście rozporządzenia w życie | Obowiązuje |
| 2 lutego 2025 | Zakaz wybranych praktyk + obowiązek kompetencji AI | Obowiązuje |
| 2 sierpnia 2025 | Obowiązki dla modeli ogólnego przeznaczenia (GPAI) | Obowiązuje |
| 2 sierpnia 2026 | Stosowanie kar (art. 99) i pełna egzekucja | Wchodzi w sierpniu 2026 |
| 2 grudnia 2027 | Systemy wysokiego ryzyka (Załącznik III) | Przesunięcie z sierpnia 2026 - uzgodnione, czeka na formalne przyjęcie |
| 2 sierpnia 2028 | Wysokie ryzyko wbudowane w produkty | Przesunięcie z sierpnia 2027 - uzgodnione, czeka na formalne przyjęcie |
Przesunięcie nie jest plotką - Parlament Europejski przyjął swoje stanowisko w marcu 2026, a w maju Rada i Parlament uzgodniły wspólne porozumienie (część szerszego pakietu „Digital Omnibus”). Na czerwiec 2026 kierunek jest przesądzony, ale pakiet czeka jeszcze na formalne przyjęcie - warto planować pod nowe daty, nie traktując ich jako ostatecznie uchwalone. Wniosek praktyczny: masz więcej czasu na to, co najtrudniejsze (wysokie ryzyko), ale nie jesteś zwolniony z tego, co obowiązuje już dziś.
Czym jest obowiązek kompetencji AI i czemu dotyczy Cię już teraz?
To wymóg, żeby ludzie obsługujący AI wiedzieli, co robią - i obowiązuje od lutego 2025. AI Act nakłada na dostawców i podmioty stosujące obowiązek zapewnienia odpowiedniego poziomu kompetencji AI u personelu, który korzysta z tych systemów. Nie jest to wymóg certyfikatu ani egzaminu - chodzi o realne zrozumienie możliwości, ograniczeń i ryzyk narzędzi, których pracownicy używają.
W praktyce ten obowiązek sprowadza się do przeszkolenia zespołu - tego samego, które i tak decyduje, czy wdrożenie AI w ogóle przyniesie zwrot. To rzadki przypadek, gdy wymóg regulacyjny i zdrowy interes firmy pokrywają się w stu procentach: ucząc ludzi mądrze korzystać z AI, jednocześnie spełniasz przepis i zmniejszasz ryzyko Shadow AI.
Kiedy moja firma używa AI „wysokiego ryzyka”?
Tylko w wąsko określonych zastosowaniach z listy w rozporządzeniu - i warto je znać, bo dotyczą typowych procesów w firmach. Załącznik III wymienia jako wysokie ryzyko m.in.:
- Rekrutacja i decyzje kadrowe - selekcja kandydatów, filtrowanie aplikacji, decyzje o awansie czy zwolnieniu. To najczęstszy punkt styku dla zwykłej firmy.
- Ocena zdolności kredytowej osób fizycznych - z wyjątkiem wykrywania oszustw finansowych.
- Komponenty bezpieczeństwa infrastruktury krytycznej - np. w zarządzaniu dostawami energii, wody czy ruchem.
Jeśli używasz AI w którymś z tych obszarów, dochodzą poważniejsze obowiązki (nadzór człowieka, dokumentacja, jakość danych). Jeśli nie - najprawdopodobniej zostajesz w lekkich kategoriach i wystarczy zdrowy rozsądek plus kompetencje zespołu.
Czym grożą naruszenia?
Kary są wysokie, ale ich konstrukcja chroni mniejsze firmy. AI Act przewiduje trzy progi: do 35 mln euro lub 7% światowego obrotu za zakazane praktyki, do 15 mln euro lub 3% za większość innych naruszeń oraz do 7,5 mln euro lub 1% za podanie organom błędnych informacji. Dla dużych firm liczy się kwota wyższa z dwóch.
Tu ważny szczegół dla mniejszych: w przypadku MŚP i startupów bierze się kwotę niższą z dwóch, a nie wyższą. Realne ryzyko dla typowej firmy to zresztą nie maksymalna kara za zakazane praktyki - których raczej nie stosujesz - lecz drobne zaniedbania obowiązków, którym łatwo zapobiec wcześniej.
Co zrobić teraz?
Bez paniki i bez kosztownego projektu - wystarczy kilka uporządkowanych kroków:
- Ustal swoją rolę - niemal na pewno jesteś podmiotem stosującym, nie dostawcą.
- Zinwentaryzuj zastosowania AI i przypisz każdemu kategorię ryzyka - osobno, bo to samo narzędzie bywa różnie klasyfikowane.
- Zadbaj o kompetencje AI zespołu - to obowiązuje już teraz i jest najprostsze do spełnienia.
- Sprawdź obszary wysokiego ryzyka - zwłaszcza rekrutację i scoring, jeśli używasz tam AI.
- Spisz krótką politykę AI - kto, czego i jak używa. To samo narzędzie porządkuje zgodność i bezpieczeństwo danych.
Pierwszy krok jest ten sam, co przy każdym sensownym wdrożeniu: jeden obszar, uporządkowany dobrze, zanim weźmiesz się za całość. Opisaliśmy go we wpisie od czego zacząć.
Najczęstsze pytania
Czy muszę się bać AI Act, jeśli używamy AI tylko do tekstów? Nie. Takie zastosowania to ryzyko minimalne - bez ciężkich obowiązków. Dotyczy Cię głównie kompetencja zespołu i rozsądek w obchodzeniu się z danymi, a nie procedury dla systemów wysokiego ryzyka.
Czy przesunięcie terminów znaczy, że mogę nic nie robić? Nie. Przesuwane są tylko obowiązki dla systemów wysokiego ryzyka. Zakazane praktyki i obowiązek kompetencji AI obowiązują od lutego 2025 - niezależnie od nowych dat.
Czy AI Act dotyczy firmy spoza UE? Tak, jeśli efekt działania jej systemu AI jest używany w Unii. Sama siedziba poza UE nie zwalnia z przepisów - to ten sam mechanizm eksterytorialny, co w RODO.
Najważniejsze wnioski
- Najpewniej jesteś użytkownikiem, nie dostawcą - a to znacznie lżejsze obowiązki.
- O obowiązkach decyduje zastosowanie, nie narzędzie - to samo AI bywa ryzykiem minimalnym albo wysokim.
- Część przepisów już obowiązuje - zakazy i kompetencje AI od lutego 2025, niezależnie od przesunięć.
- Najtrudniejsze terminy są przesuwane - wysokie ryzyko na grudzień 2027 i sierpień 2028 (uzgodnione, przed formalnym przyjęciem) - to czas, nie zwolnienie.
- Kary chronią mniejszych - dla MŚP liczy się kwota niższa, nie wyższa.
- Działaj teraz, bez paniki - ustal rolę, zinwentaryzuj zastosowania, przeszkol zespół, spisz politykę.