June 15, 2026

AI Act co oznacza dla firm w Polsce?

Nowe Technologie i Branża IT

AI Act oznacza dla firm w Polsce konieczność sprawdzenia, czy wykorzystywane narzędzia spełniają definicję systemu AI, jaką rolę pełni przedsiębiorstwo oraz czy konkretne zastosowanie sztucznej inteligencji wiąże się z dodatkowymi obowiązkami.

W praktyce firmy powinny:

  • zinwentaryzować narzędzia AI używane w organizacji;
  • ocenić, czy są dostawcą, podmiotem stosującym, importerem, dystrybutorem lub producentem produktu z komponentem AI;
  • sprawdzić poziom ryzyka danego systemu;
  • uporządkować umowy z dostawcami technologii;
  • wdrożyć zasady nadzoru człowieka;
  • przeszkolić pracowników z bezpiecznego i zgodnego z prawem korzystania z AI.

Najważniejsze nie jest więc samo korzystanie z AI, ale ustalenie, do czego system jest wykorzystywany, jaki ma wpływ na ludzi i kto ponosi odpowiedzialność za jego wdrożenie oraz nadzór.

AI Act to unijne rozporządzenie, które zmienia sposób, w jaki przedsiębiorstwa mogą projektować, wdrażać i wykorzystywać systemy sztucznej inteligencji. Dla firm w Polsce nie jest to wyłącznie temat prawny. To także kwestia zarządzania ryzykiem, dokumentacją, dostawcami technologii, danymi, relacjami z pracownikami oraz odpowiedzialnością za skutki działania systemów AI.

W praktyce AI Act firmy powinny traktować jako nowe ramy organizacyjne dla korzystania ze sztucznej inteligencji. Rozporządzenie ustanawia zharmonizowane przepisy dotyczące wprowadzania do obrotu, oddawania do użytku i wykorzystywania systemów AI w Unii, a także zakazy niektórych praktyk, wymogi dla systemów wysokiego ryzyka, obowiązki przejrzystości i zasady nadzoru rynku. Na tym etapie pomocna może być kancelaria prawna Warszawa, która wspiera przedsiębiorców w ocenie obowiązków regulacyjnych, analizie ryzyk i przygotowaniu dokumentacji zgodnej z nowymi przepisami.

Dlaczego przepisy AI Act dotyczą także polskich przedsiębiorstw?

Bez czekania na polską ustawę

AI Act oznacza przede wszystkim to, że polskie firmy nie czekają na osobną krajową ustawę, aby zacząć przygotowania, czy jej wdrażanie. Rozporządzenie unijne wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. Trwają jednak także prace nad krajową ustawą o systemach sztucznej inteligencji (obecnie procedowany w Sejmie). 

Kluczowe daty

Zgodnie z art. 113 AI Act zasadniczo stosuje się od 2 sierpnia 2026 r., przy czym część przepisów zaczęła obowiązywać wcześniej, Zakazane praktyki AI oraz obowiązki związane z kompetencjami w zakresie AI zaczęły mieć zastosowanie od 2 lutego 2025 r., a przepisy dotyczące zarządzania oraz obowiązków dla dostawców modeli AI ogólnego przeznaczenia – od 2 sierpnia 2025 r.

Planowane przesunięcia

W związku z porozumieniem politycznym dotyczącym uproszczenia stosowania AI Act harmonogram dla części systemów wysokiego ryzyka ma zostać przesunięty. Dla samodzielnych systemów wysokiego ryzyka używanych m.in. w obszarach takich jak biometria, infrastruktura krytyczna, edukacja, zatrudnienie czy migracja wskazywana jest data 2 grudnia 2027 r., a dla systemów wysokiego ryzyka zintegrowanych z produktami - 2 sierpnia 2028 r. Do czasu formalnego zakończenia procesu legislacyjnego warto ujmować tę zmianę jako wynik porozumienia politycznego i planowany harmonogram.

Kogo obejmują przepisy?

Dla przedsiębiorców oznacza to, że AI Act przepisy obejmują nie tylko największych dostawców technologii, ale także podmioty, które stosują systemy AI w działalności gospodarczej. Zakres regulacji obejmuje m.in. dostawców wprowadzających systemy AI na rynek UE, podmioty stosujące systemy AI mające siedzibę w Unii, importerów, dystrybutorów, producentów produktów z komponentami AI oraz podmioty spoza UE, jeśli wyniki systemu są wykorzystywane w Unii. 

Od czego firma powinna zacząć przygotowania do AI Act?

Przede wszystkim zależy to od roli przedsiębiorstwa i rodzaju wykorzystywanego systemu. Inne obowiązki będzie mieć firma, która tworzy i sprzedaje system AI pod własną marką, inne importer technologii. Do tego jeszcze inna sytuacja może wystąpić wtedy, gdy firma korzysta z systemu AI do rekrutacji, oceny pracowników lub automatyzacji obsługi klienta. W takich przypadkach istotna jest nie tylko analiza samego narzędzia, ale także obsługa prawna projektów AI, obejmująca ocenę ryzyka, dokumentację, umowy z dostawcami oraz zasady odpowiedzialnego korzystania z technologii w organizacji.

W każdym przypadku:

  • pierwszym krokiem powinno być ustalenie, czy dane rozwiązanie w ogóle jest „systemem AI” w rozumieniu AI Act. Wytyczne Komisji wskazują, że akt nie obejmuje wszystkich systemów informatycznych, ale tylko te, które spełniają definicję systemu AI. Definicja ta obejmuje system maszynowy, który został zaprojektowany do działania z różnym poziomem autonomii po jego wdrożeniu oraz który może wykazywać zdolność adaptacji po jego wdrożeniu, a także, który (na potrzeby wyraźnych lub dorozumianych celów) wnioskuje, jak generować na podstawie danych wejściowych wyniki, takie jak predykcje, treści, zalecenia lub decyzje wpływające na środowisko fizyczne lub wirtualne,
  • następnie firma powinna przeprowadzić klasyfikację ryzyka. AI Act opiera się na podejściu ryzykowym: część praktyk jest zakazana, część systemów będzie wysokiego ryzyka, część będzie podlegać obowiązkom przejrzystości, a systemy o minimalnym ryzyku nie będą objęte szczegółowymi wymogami, choć nadal mogą podlegać innym regulacjom, np. RODO, prawu pracy czy ochronie konsumentów. 

Jakie obowiązki AI Act mogą dotyczyć polskich przedsiębiorców

AI Act obowiązki polskich przedsiębiorców można podzielić na kilka grup. 

Inwentaryzacja narzędzi AI

Po pierwsze, przedsiębiorstwo musi wiedzieć, jakie systemy AI wykorzystuje i do jakich celów. Bez inwentaryzacji narzędzi AI trudno ustalić, czy firma jest jedynie użytkownikiem prostego narzędzia, podmiotem stosującym system wysokiego ryzyka, czy może w praktyce staje się dostawcą, bo modyfikuje rozwiązanie i udostępnia je pod własną marką.

Ocena roli modelu AI

Po drugie, firma powinna ocenić przeznaczenie systemu. W AI Act kluczowe znaczenie ma nie tylko technologia, ale także kontekst użycia. Ten sam model może być neutralnym narzędziem analitycznym w jednym dziale, a systemem wysokiego ryzyka w innym, jeżeli służy np. do oceny kandydatów do pracy, przydzielania zadań pracownikom, oceny zdolności kredytowej osób fizycznych albo wspierania decyzji w sektorze usług podstawowych.

Nadzór, dokumentacja i reakcja na ryzyko

Po trzecie, przedsiębiorstwo musi wdrożyć procedury nadzoru, monitorowania i dokumentowania użycia AI. AI Act wymaga m.in., aby podmioty stosujące systemy wysokiego ryzyka korzystały z nich zgodnie z instrukcją obsługi, powierzały nadzór osobom mającym odpowiednie kompetencje, szkolenie i uprawnienia, a także monitorowały działanie systemu i reagowały na ryzyko lub poważny incydent. 

Kiedy system AI może być uznany za system wysokiego ryzyka?

Systemy AI wysokiego ryzyka to systemy, które mają szczególny wpływ na życie osób fizycznych lub mogą w istotny sposób wpłynąć na społeczeństwo. Obejmuję zwłaszcza następujące obszary: rekrutacja i zatrudnienie, edukacja (np. systemy AI oceniające kompetencje uczniów), opieka zdrowotna, zarządzanie infrastrukturą krytyczną (np. systemy AI wykorzystywane w energetyce czy wodociągach), usługi publiczne (np. systemy przyznające pomoc społeczną), wymiar sprawiedliwości. 

Ważne jest, że klasyfikacja jako system wysokiego ryzyka nie oznacza automatycznego zakazu. Oznacza natomiast konieczność spełnienia odpowiednich wymagań, tak aby system działał zgodnie z przeznaczeniem, był nadzorowany, a ryzyka dla zdrowia, bezpieczeństwa i praw podstawowych były oceniane i ograniczane. 

AI Act compliance - co powinien obejmować program zgodności?

AI Act compliance nie powinien być jednorazowym audytem. To proces obejmujący cały cykl życia systemu AI: od wyboru dostawcy, przez wdrożenie, szkolenie użytkowników, monitorowanie działania, aż po reakcję na incydenty i zmiany w systemie. Całość procesu jest też zależna od roli, jaką posiada przedsiębiorca.

Praktyczny program AI Act compliance może obejmować:

  1. rejestr systemów AI używanych w firmie; 
  2. ocenę, czy dane narzędzie spełnia definicję systemu AI; 
  3. klasyfikację ryzyka; 
  4. identyfikację roli firmy: dostawca, podmiot stosujący, importer, dystrybutor lub producent produktu; 
  5. analizę umów z dostawcami AI; 
  6. procedurę nadzoru człowieka; 
  7. politykę korzystania z generatywnej AI; 
  8. zasady dokumentowania decyzji i incydentów; 
  9. szkolenia dla pracowników; 
  10. okresowy przegląd systemów i dostawców. 

Szczególną uwagę trzeba zwrócić na łańcuch dostaw. AI Act przewiduje, że dostawca systemu wysokiego ryzyka oraz osoba trzecia dostarczająca system AI, narzędzia, usługi, komponenty lub procesy wykorzystywane w tym systemie powinni uregulować w pisemnej umowie informacje, dostęp techniczny i pomoc potrzebne do spełnienia obowiązków. 

Jaki wpływ na biznes ma Unijne rozporządzenie AI? 

Dokumentacja AI

Firmy będą musiały wiedzieć, skąd pochodzi system, jakie ma przeznaczenie, kto odpowiada za jego konfigurację, jakie dane wejściowe są używane i kto nadzoruje wyniki.

Współpraca działów

Wzrośnie znaczenie działów prawnych, compliance, IT, HR i bezpieczeństwa. AI przestanie być wyłącznie projektem technologicznym. Wdrożenie systemu AI w rekrutacji, obsłudze klienta, scoringu, marketingu, analizie zachowań użytkowników czy cyberbezpieczeństwie będzie wymagało współpracy kilku funkcji w organizacji.

Umowy z dostawcami

Firmy powinny wymagać od dostawców dodatkowych informacji, ograniczeniach, dokumentacji, instrukcji używania, jakości danych, mechanizmach nadzoru i procedurach zgłaszania incydentów.

Przewaga konkurencyjna

Przedsiębiorstwa, które wcześniej uporządkują zasady korzystania z AI, będą mogły szybciej wdrażać nowe narzędzia, bez zatrzymywania projektów na etapie oceny prawnej i ryzyka.

AI Act wymagania dla firm w 2026 roku

Z uwagi na wspomniane już przesunięcie wejścia w życie części przepisów, dla polskich firm oznacza to na pewno, że rok 2026 powinien być traktowany jako moment operacyjnego przygotowania organizacji, a nie dopiero początek analizy.

Najważniejsze działania na 2026 r. to: stworzenie mapy zastosowań AI, ocena ryzyka, aktualizacja polityk bezpieczeństwa i ochrony danych, przegląd umów z dostawcami, wdrożenie zasad nadzoru człowieka oraz przygotowanie pracowników do odpowiedzialnego korzystania z systemów AI.

Firmy korzystające z modeli AI ogólnego przeznaczenia powinny dodatkowo sprawdzić, czy same nie dokonują modyfikacji lub fine-tuningu modelu w sposób, który zmienia ich rolę w świetle AI Act. 

Jak dostosować firmę do AI Act

Najlepiej zacząć od prostego audytu, który odpowiada na cztery pytania: gdzie używamy AI, do czego jej używamy, kto odpowiada za system i jaki wpływ ma on na ludzi. Sposób zadawania pytań może być inny – w zależności od roli, którą ustalimy.

Następnie warto wdrożyć politykę AI w firmie. Powinna ona wskazywać, jakie narzędzia są dopuszczone, kto może je wdrażać, jakie dane wolno do nich wprowadzać, kiedy wymagany jest przegląd prawny, a kiedy ocena ryzyka etc. W przypadku narzędzi generatywnych polityka powinna obejmować także zasady oznaczania treści, weryfikacji wyników i ochrony tajemnicy przedsiębiorstwa.

Kolejnym krokiem jest przypisanie odpowiedzialności. W małej firmie może to być właściciel, osoba od IT lub zewnętrzny doradca. W większej organizacji potrzebny będzie zespół obejmujący compliance, prawników, IT, cyberbezpieczeństwo, HR i właścicieli procesów biznesowych.

Wdrożenie AI Act w małych firmach

Największym błędem byłoby założenie, że mała firma nie podlega przepisom AI Act, bo nie tworzy własnych modeli AI. Jeżeli korzysta z AI w działalności zawodowej, np. do selekcji kandydatów, oceny klientów, automatyzacji decyzji, generowania treści marketingowych lub analizy danych osobowych, powinna sprawdzić swoje obowiązki.

Mała firma może zacząć od minimalnego zestawu działań: lista narzędzi AI, opis celu użycia, informacja o dostawcy, ocena czy narzędzie dotyczy ludzi lub decyzji o istotnych skutkach, zasady weryfikacji wyników przez człowieka oraz zakaz wprowadzania danych poufnych do niezatwierdzonych narzędzi.

Warto też pamiętać, że AI Act przewiduje środki wspierające innowacje ze szczególnym uwzględnieniem MŚP, w tym startupów. To ważne, ponieważ celem regulacji nie jest zablokowanie rozwoju AI, lecz uporządkowanie jej stosowania tam, gdzie ryzyko jest największe.

Jakie kary przewiduje AI Act dla przedsiębiorstw w Polsce?

Wysokość kar

AI Act przewiduje podejście stopniowane, a wysokość kary zależy od rodzaju naruszenia. Najsurowsze sankcje dotyczą zakazanych praktyk AI – zgodnie z art. 99 ust. 3 AI Act za naruszenie zakazów z art. 5 AI Act dostawcy i podmioty stosujące mogą zostać ukarane do 35 000 000 EUR albo, w przypadku przedsiębiorstwa, do 7% całkowitego światowego rocznego obrotu z poprzedniego roku obrotowego, w zależności od tego, która wartość jest wyższa. 

Kryteria oceny

Przy ustalaniu administracyjnej kary pieniężnej organy mają brać pod uwagę m.in. charakter, wagę i czas trwania naruszenia, jego konsekwencje, liczbę poszkodowanych osób, wielkość operatora, roczny obrót, udział w rynku, stopień współpracy z organami, umyślność lub zaniedbanie oraz działania podjęte w celu ograniczenia szkody. 

Znaczenie compliance

Dla firm oznacza to, że sama procedura compliance może mieć znaczenie praktyczne. Dobrze udokumentowane działania, szkolenia, nadzór i szybka reakcja na incydent mogą pomóc ograniczyć ryzyko regulacyjne.

Zgodność z AI Act krok po kroku - praktyczny przewodnik dla firm

Taki praktyczny przewodnik można sprowadzić do siedmiu kroków:

  1. Inwentaryzacja wszystkich narzędzi AI w firmie. 
  2. Ustalenie, które systemy wpływają na ludzi, decyzje biznesowe, pracowników, klientów lub bezpieczeństwo, ewentualnie inne strony.
  3. Sprawdzenie, czy dany system może być systemem wysokiego ryzyka. 
  4. Zweryfikowanie dostawców i umowy oraz rolę Twojej firmy w rozumieniu AI Act.
  5. Wprowadzenie zasad nadzoru człowieka i kontroli wyników. 
  6. Przeszkolenie pracowników z bezpiecznego korzystania z AI. 
  7. Regularna aktualizacja dokumentacji, bo systemy AI, ich zastosowania i wytyczne regulacyjne będą się zmieniać. 

AI Act nie oznacza, że firmy w Polsce mają zrezygnować z AI. Oznacza, że powinny korzystać z niej świadomie, dokumentować decyzje, kontrolować ryzyka i rozumieć własną rolę w łańcuchu odpowiedzialności. Dobrze wdrożone AI Act compliance może być nie tylko obowiązkiem, ale też elementem zaufania klientów, pracowników i partnerów biznesowych.

Potrzebujesz wsparcia przy wdrożeniu AI Act w firmie?

AI Act nie oznacza rezygnacji ze sztucznej inteligencji. Oznacza konieczność uporządkowania zasad jej wykorzystywania, opisania odpowiedzialności i ograniczenia ryzyk prawnych, organizacyjnych oraz biznesowych.

Jeżeli chcesz sprawdzić, czy Twoja firma korzysta z AI zgodnie z nowymi wymogami, skontaktuj się z Lawmore. Pomożemy ustalić, jakie systemy AI wykorzystujesz, jaką rolę pełni Twoja organizacja i jakie działania warto wdrożyć w pierwszej kolejności.

Jeżeli Twoja firma korzysta z narzędzi AI w rekrutacji, obsłudze klienta, analizie danych, marketingu, sprzedaży lub automatyzacji decyzji, warto sprawdzić, jakie obowiązki mogą wynikać z AI Act. Lawmore może pomóc w audycie narzędzi AI, ocenie ryzyka, przygotowaniu polityki AI, analizie umów z dostawcami oraz wdrożeniu procedur zgodności.

FAQ – AI Act dla firm w Polsce

Czy AI Act dotyczy małych firm?

Tak, AI Act może dotyczyć także małych firm, jeżeli korzystają z systemów AI w działalności gospodarczej. Znaczenie ma nie wielkość przedsiębiorstwa, ale rola firmy i sposób wykorzystania konkretnego systemu.

Czy każda firma korzystająca z AI ma takie same obowiązki?

Nie. Obowiązki zależą od tego, czy firma jest dostawcą, podmiotem stosującym, importerem, dystrybutorem lub producentem produktu z komponentem AI, a także od poziomu ryzyka danego systemu.

Od czego zacząć przygotowanie firmy do AI Act?

Najlepiej zacząć od inwentaryzacji narzędzi AI i ustalenia, do czego są wykorzystywane. Następnie trzeba określić rolę firmy, poziom ryzyka systemów oraz potrzebne procedury, umowy i szkolenia.

Czy AI Act zakazuje korzystania ze sztucznej inteligencji?

Nie. AI Act nie zakazuje korzystania z AI jako takiej, ale wprowadza ograniczenia dla praktyk uznanych za niedopuszczalne oraz dodatkowe obowiązki dla systemów wysokiego ryzyka i wybranych zastosowań AI.

Jakie kary przewiduje AI Act dla przedsiębiorstw?

Najwyższe kary dotyczą naruszenia zakazanych praktyk AI. W takim przypadku sankcja może sięgnąć 35 000 000 EUR albo 7% całkowitego światowego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, w zależności od tego, która wartość jest wyższa.

Jak dostosować firmę do AI Act krok po kroku?

Firma powinna spisać narzędzia AI, określić ich zastosowanie, ustalić swoją rolę, ocenić poziom ryzyka, zweryfikować dostawców i umowy, wdrożyć nadzór człowieka oraz przeszkolić pracowników.

Źródła:

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji (AI Act).
  2. Komisja Europejska, Guidelines on Prohibited Artificial Intelligence Practices Established by Regulation (EU) 2024/1689 (AI Act).
  3. Komisja Europejska, Guidelines on the Scope of the Obligations for General-Purpose AI Models Established by Regulation (EU) 2024/1689 (AI Act).
  4. Komisja Europejska, Guide to Prohibited Artificial Intelligence Practices under the AI Act.
  5. Komisja Europejska, Guidelines on the Scope of the Obligations for General-Purpose AI Models Established by Regulation (EU) 2024/1689.
  6. Komisja Europejska, Commission Guidelines on the Definition of an Artificial Intelligence System Established by Regulation (EU) 2024/1689 (AI Act).
  7. Komisja Europejska, Draft Guidelines on the Classification of High-Risk AI Systems under Article 6 of Regulation (EU) 2024/1689 – Annex III.
  8. Komisja Europejska, Draft Guidelines on the Classification of High-Risk AI Systems under Article 6 of Regulation (EU) 2024/1689 – Annex I.
  9. Komisja Europejska, Draft Guidelines on the Classification of High-Risk AI Systems under Article 6 of Regulation (EU) 2024/1689 – General Principles.

Aleksandra Maciejewicz
Aleksandra Maciejewicz
partner
aleksandra@lawmore.pl
573 808 067

Stay up to date with changes in law

Subscribe to our newsletter

Thank you!
Registration was successful.
Oops... your mail can't be sent!