AI Act 2026 - co musisz zrobić zanim przyjdą kary

AI Act już obowiązuje. Pełna aplikacja od 2 sierpnia 2026. Jeśli Twoi pracownicy używają ChatGPT, Copilota lub jakiegokolwiek narzędzia AI - ta regulacja dotyczy Ciebie.

Kalendarz AI Act - kluczowe daty

Czy AI Act dotyczy mojej firmy?

Jeśli odpowiesz TAK na którekolwiek z tych pytań - AI Act Cię dotyczy:

• Twoi pracownicy używają ChatGPT, Claude, Gemini lub Copilot?
• Używasz narzędzi AI do analizy danych, pisania treści, obsługi klienta?
• Masz system CRM lub ERP z funkcjami AI?
• Używasz automatyzacji z elementami uczenia maszynowego?

Jeśli tak - jesteś użytkownikiem systemu AI w rozumieniu AI Act i masz konkretne obowiązki.

Co musisz zrobić? 5 kroków do zgodności

1. Przeszkolić pracowników (obowiązek od 2.02.2025)

Każda osoba używająca AI w firmie musi rozumieć:

• Jak działa AI i jakie ma ograniczenia
• Jakie dane można, a jakich nie można wklejać
• Jak rozpoznać i zgłosić problemy

2. Zinwentaryzować systemy AI

Musisz wiedzieć jakie narzędzia AI są używane w Twojej firmie. Shadow AI to nie wymówka - brak wiedzy nie zwalnia z odpowiedzialności. Jak duży jest ten problem? Sprawdź dane w artykule Shadow AI w Twojej firmie - 69% pracowników już używa AI.

3. Ocenić poziom ryzyka

AI Act dzieli systemy na kategorie ryzyka. Większość firm używa systemów "ograniczonego ryzyka" - ale to nadal wymaga przejrzystości i nadzoru.

4. Wdrożyć politykę AI

Jasne zasady: co wolno, czego nie, kto odpowiada, jak zgłaszać incydenty.

5. Zapewnić nadzór człowieka

AI nie może podejmować decyzji samodzielnie w kluczowych obszarach. Musi być "human in the loop".

4 regulacje, 4 źródła kar

AI Act to nie jedyna regulacja. Jeśli używasz AI w firmie, musisz być zgodny z całym ekosystemem:

70-80% wymogów wszystkich regulacji nakłada się na siebie. Jedno wdrożenie może pokryć je wszystkie.

Ile to realnie kosztuje firmę?

Przeliczmy na konkretny przypadek:

Firma z obrotem 10 mln PLN rocznie

• AI Act (7% obrotu): do 700 000 PLN
• RODO (4% obrotu): do 400 000 PLN
• NIS2 (2% obrotu): do 200 000 PLN
• Łączna ekspozycja: ~1,3 mln PLN

To ponad 10x więcej niż koszt wdrożenia AI SUIT (9 600 PLN za Etap 1). Chcesz policzyć konkretne oszczędności dla swojej firmy? Skorzystaj z naszego kalkulatora straconego czasu.

Najczęstsze błędy firm przy wdrażaniu AI Act

Pracując z firmami nad zgodnością regulacyjną, widzimy te same błędy powtarzające się w kółko. Oto cztery najczęstsze - i każdy z nich może skończyć się karą finansową lub utratą reputacji.

1. "Nas to nie dotyczy - jesteśmy za mali"

To najczęstsza wymówka. Prezes firmy z 15-osobowym zespołem mówi: "AI Act jest dla korporacji, nie dla nas". Tymczasem wystarczy, że jeden pracownik wkleja dane klientów do ChatGPT - i firma jest użytkownikiem systemu AI w rozumieniu rozporządzenia.

AI Act nie rozróżnia firm po wielkości zatrudnienia. Liczy się fakt korzystania z AI, nie skala działalności. Firma zatrudniająca 5 osób, która używa narzędzi AI do przetwarzania danych osobowych, podlega tym samym wymogom, co korporacja z 5 000 pracowników.

Co więcej - mniejsze firmy są często łatwiejszym celem kontroli, bo nie mają działów compliance. Brak formalnych procedur oznacza brak dokumentacji, że ktokolwiek w ogóle myślał o zgodności.

2. Brak inwentaryzacji narzędzi AI (Shadow AI)

Wiele firm nie ma pojęcia, że ich pracownicy korzystają z AI. Dział marketingu używa Jasper do treści. Księgowość testuje automatyczne rozpoznawanie faktur. Handlowcy wklejają notatki ze spotkań do Claude. Nikt tego nie koordynuje, nikt nie nadzoruje.

Problem z Shadow AI polega na tym, że brak wiedzy nie zwalnia z odpowiedzialności. Gdy organ nadzorczy zapyta: "Jakie systemy AI funkcjonują w Państwa organizacji?" - odpowiedź "nie wiemy" jest gorsza niż brak zgodności. Oznacza bowiem, że firma nie podjęła nawet podstawowych kroków, żeby ten stan zbadać.

Inwentaryzacja to punkt startowy. Bez niej nie da się ocenić ryzyka, wdrożyć polityki ani przeszkolić ludzi. Więcej o skali tego zjawiska przeczytasz w artykule Shadow AI w Twojej firmie - 69% pracowników już używa AI.

3. Szkolenie "na papierze" zamiast realnej kompetencji

Niektóre firmy kupują szkolenie e-learningowe, pracownicy klikają "dalej-dalej-dalej", zdają test z 5 pytaniami i dostają certyfikat. Formalnie - wymóg spełniony. Praktycznie - nikt niczego nie zrozumiał.

AI Act w art. 4 wymaga, żeby szkolenia były adekwatne do kontekstu zastosowania. Oznacza to, że pracownik, który używa AI do obsługi reklamacji, musi rozumieć inne ryzyka niż ten, który korzysta z AI do generowania raportów finansowych. Jedno ogólne szkolenie dla wszystkich nie spełnia tego wymogu.

Skuteczne szkolenie powinno zawierać:

• Konkretne scenariusze z pracy danego stanowiska
• Przykłady, czego nie wolno wklejać do narzędzi AI (dane osobowe, tajemnice handlowe, dane finansowe)
• Procedurę zgłaszania incydentów - co robić, gdy AI wygeneruje błędną odpowiedź
• Praktyczny test na realnych przypadkach, nie na abstrakcyjnych pytaniach

4. Wdrożenie AI bez polityki i procedur

Firma kupuje licencję na Microsoft Copilot dla 20 osób. IT instaluje, wysyła maila "macie Copilota, używajcie". Żadnych zasad, żadnych ograniczeń, żaden dokument nie opisuje, co wolno, a czego nie.

To klasyczny przepis na incydent. Jeden pracownik wklei dane kadrowe do promptu. Inny wyśle klientowi odpowiedź wygenerowaną przez AI, która zawiera nieprawdziwe informacje. Trzeci użyje AI do podjęcia decyzji kredytowej bez nadzoru człowieka.

Polityka AI nie musi mieć 50 stron. Wystarczy jasny, krótki dokument, który odpowiada na 4 pytania:

• Co wolno? - lista dozwolonych zastosowań AI w firmie
• Czego nie wolno? - twarde zakazy (np. dane osobowe, decyzje kadrowe bez nadzoru)
• Kto odpowiada? - wyznaczona osoba nadzorująca systemy AI
• Co robić, gdy coś pójdzie nie tak? - procedura zgłaszania i reagowania na incydenty

Praktyczna checklista zgodności z AI Act

Poniżej znajdziesz konkretną listę kroków, które musisz wykonać, żeby Twoja firma była przygotowana na pełną aplikację AI Act od 2 sierpnia 2026. Lista jest ułożona chronologicznie - zacznij od góry.

Krok 1: Inwentaryzacja (tydzień 1-2)

Przejdź przez całą firmę i spisz każde narzędzie AI, które jest używane. Nie tylko oficjalnie zakupione - również te, które pracownicy instalują sami.

• Wyślij ankietę do wszystkich pracowników: "Z jakich narzędzi AI korzystasz w pracy?"
• Sprawdź logi IT - jakie aplikacje AI są zainstalowane na firmowych urządzeniach
• Przejrzyj subskrypcje i płatności - czy ktoś rozlicza ChatGPT Plus jako koszt firmowy
• Zidentyfikuj systemy AI wbudowane w istniejące oprogramowanie (CRM, ERP, narzędzia marketingowe)
• Stwórz rejestr: nazwa narzędzia, kto używa, do czego, jakie dane przetwarza

Krok 2: Klasyfikacja ryzyka (tydzień 3)

Dla każdego narzędzia z rejestru określ kategorię ryzyka według AI Act:

• Niedopuszczalne ryzyko - systemy zakazane (np. scoring społeczny, manipulacja podprogowa). Jeśli masz coś takiego - wyłącz natychmiast.
• Wysokie ryzyko - systemy wpływające na zatrudnienie, kredyty, edukację, zdrowie. Wymagają pełnej dokumentacji, testów i nadzoru człowieka.
• Ograniczone ryzyko - chatboty, generatory treści. Wymagają przejrzystości (użytkownik musi wiedzieć, że rozmawia z AI).
• Minimalne ryzyko - filtry spamu, optymalizacja procesów. Minimalne wymogi formalne.

Większość firm z sektora MŚP operuje w obszarze ograniczonego i minimalnego ryzyka. Nie znaczy to jednak, że nie mają żadnych obowiązków - szkolenia i przejrzystość dotyczą wszystkich.

Krok 3: Szkolenia pracowników (tydzień 4-5)

Przygotuj i przeprowadź szkolenia dostosowane do stanowisk. Pamiętaj - ten obowiązek obowiązuje już od 2 lutego 2025, więc jeśli jeszcze tego nie zrobiłeś, to masz zaległość.

• Zarząd - świadomość regulacyjna, odpowiedzialność, strategia AI
• Pracownicy operacyjni - bezpieczne korzystanie, ochrona danych, rozpoznawanie błędów AI
• IT - aspekty techniczne, monitoring systemów, reagowanie na incydenty
• Dokumentuj szkolenia: lista obecności, zakres, data, potwierdzenie zrozumienia

Krok 4: Polityka AI i procedury (tydzień 5-6)

Opracuj wewnętrzny dokument "Polityka korzystania z AI w firmie". Powinien zawierać:

• Listę zatwierdzonych narzędzi AI (tylko te z rejestru, po ocenie ryzyka)
• Zasady przetwarzania danych - co wolno wklejać do narzędzi AI, a czego kategorycznie nie
• Wymóg nadzoru człowieka przy decyzjach opartych na AI
• Procedurę zgłaszania incydentów (kto, komu, w jakim czasie)
• Zasady przejrzystości - kiedy informować klientów, że treść została wygenerowana przez AI
• Osobę odpowiedzialną za nadzór nad AI w firmie

Krok 5: Wdrożenie techniczne (tydzień 6-8)

Wprowadź zabezpieczenia techniczne, które wspierają politykę:

• Skonfiguruj narzędzia AI zgodnie z zasadą minimalizacji danych
• Włącz logi i audyt trail - musisz być w stanie wykazać, co AI robiło i na podstawie jakich danych
• Rozważ lokalne modele AI (on-premise), żeby dane nie opuszczały infrastruktury firmy
• Ustaw alerty na próby przetwarzania danych wrażliwych

Krok 6: Przegląd i dokumentacja (co kwartał)

Zgodność z AI Act to nie jednorazowy projekt - to proces ciągły. Co kwartał wykonaj przegląd:

• Czy pojawiły się nowe narzędzia AI w firmie? Zaktualizuj rejestr.
• Czy były incydenty? Przeanalizuj i popraw procedury.
• Czy pracownicy pamiętają zasady? Organizuj odświeżające szkolenia.
• Czy zmieniły się przepisy? Śledź wytyczne krajowego organu nadzorczego.

Zgodność z AI Act to nie jest koszt - to inwestycja w bezpieczeństwo firmy. Firmy, które wdrożą się wcześniej, zyskają przewagę konkurencyjną, zaufanie klientów i spokój zarządu.

Kto w firmie odpowiada za AI Act?

Wiele firm pyta: "Czy musimy zatrudnić nową osobę do AI Act?" Krótka odpowiedź - nie, ale musisz wyznaczyć odpowiedzialność.

W firmach do 50 osób rolę "osoby nadzorującej AI" może pełnić:

• Prezes lub właściciel - w firmach jednoosobowych i mikro
• Dyrektor IT / CTO - jeśli firma ma dział techniczny
• Inspektor Ochrony Danych (IOD) - naturalne rozszerzenie obowiązków, bo AI Act i RODO się przenikają
• Zewnętrzny konsultant - gdy brakuje wewnętrznych kompetencji

Kluczowe jest to, żeby ta osoba miała realną wiedzę i uprawnienia. Formalne wyznaczenie kogoś, kto nie rozumie AI ani regulacji, nie chroni firmy przed karami. Organ nadzorczy będzie oceniał skuteczność nadzoru, nie sam fakt powołania stanowiska.

Co grozi za brak zgodności - scenariusze realne

Kary finansowe to nie jedyne ryzyko. Oto, co może się wydarzyć firmie, która zignoruje AI Act:

Scenariusz 1: Wyciek danych przez narzędzie AI

Pracownik wkleja do ChatGPT listę klientów z danymi kontaktowymi i historią zakupów. Dane trafiają na serwery w USA. Klient składa skargę do UODO. Firma odpowiada jednocześnie za naruszenie RODO (transfer danych) i AI Act (brak szkolenia, brak polityki). Podwójna kara, podwójne postępowanie.

Scenariusz 2: Decyzja kadrowa oparta na AI

Dział HR używa narzędzia AI do preselekcji CV. System odrzuca kandydatów po imieniu (nieświadoma dyskryminacja algorytmiczna). Odrzucony kandydat składa pozew. Firma nie jest w stanie wykazać, że stosowała nadzór człowieka ani że testowała system pod kątem dyskryminacji. To naruszenie wymogów dla systemów wysokiego ryzyka.

Scenariusz 3: Kontrola organu nadzorczego

Organ nadzorczy przeprowadza kontrolę sektorową. Pyta o rejestr systemów AI, dokumentację szkoleniową, politykę AI, ocenę ryzyka. Firma nie ma żadnego z tych dokumentów. Nawet bez konkretnego incydentu - sam brak dokumentacji to podstawa do nałożenia kary administracyjnej.

Te scenariusze nie są teoretyczne. Analogiczne sytuacje zdarzały się już przy RODO - i kary były realne. AI Act będzie egzekwowany w podobny sposób.

AI SUIT - zgodność z 4 regulacjami w jednym wdrożeniu

Zamiast zatrudniać 4 firmy (prawnik AI Act + audytor NIS2 + specjalista RODO + konsultant cyber), możesz wdrożyć AI SUIT:

• Szkolenie pracowników - spełnia wymóg AI Act od 2.02.2025
• Checklista AI Act - wiesz co musisz zrobić
• Polityka AI - jasne zasady dla zespołu
• Procedury bezpieczeństwa - zgodność z NIS2/KSC
• Kontrola danych - zgodność z RODO
• Docelowo: AI na Twoim serwerze - dane nie opuszczają firmy

Oszczędność vs 4 osobne firmy: 30-40%.

Rok temu było za wcześnie. Za rok będzie za późno. Teraz jest w sam raz.