AI Act 2026 — jak dostosować polską firmę krok po kroku

Czym jest AI Act i dlaczego musisz go znać

AI Act (Rozporządzenie 2024/1689) to pierwsze na świecie kompleksowe prawo regulujące sztuczną inteligencję. Obowiązuje bezpośrednio w Polsce — nie potrzebuje implementacji ustawą. W 2026 roku wchodzą w życie najistotniejsze obowiązki dla systemów wysokiego ryzyka i to jest moment, w którym każda polska firma używająca AI musi zrobić audyt.

Klasyfikacja ryzyka — pierwsza rzecz do zrobienia

AI Act dzieli systemy na 4 poziomy:

1. **Ryzyko niedopuszczalne** — zakazane (social scoring, manipulacja, biometria w czasie rzeczywistym). Kara: do 35 mln EUR.
2. **Wysokie ryzyko** — zatrudnienie, edukacja, kredyty, infrastruktura krytyczna, ściganie. Wymaga oceny zgodności, dokumentacji, nadzoru ludzkiego.
3. **Ograniczone ryzyko** — chatboty, deepfake'i, treści generowane AI. Obowiązek transparentności (informowanie użytkownika).
4. **Minimalne ryzyko** — filtry spamu, AI w grach. Bez obowiązków.

80% polskich firm używa AI tylko na poziomie 3 lub 4. Ale jeśli filtrujesz CV przez AI, oceniasz zdolność kredytową lub używasz AI do oceny pracowników — jesteś na poziomie 2.

Checklista zgodności (10 kroków)

1. **Inwentaryzacja systemów AI** — spisz każde narzędzie (ChatGPT, Gemini, własne modele, integracje).
2. **Klasyfikacja ryzyka** dla każdego systemu — użyj [oficjalnego compliance checker](https://artificialintelligenceact.eu/assessment/eu-ai-act-compliance-checker/).
3. **Polityka AI w firmie** — dokument wewnętrzny: kto, co, jak, gdzie.
4. **Rejestr przetwarzań AI** — analogiczny do RODO art. 30, ale dla AI.
5. **Informacja dla użytkowników** — jasna informacja, kiedy rozmawiają z AI (art. 50).
6. **Oznaczenie deepfake'ów** — każda treść AI generowana publicznie musi być oznaczona.
7. **Nadzór ludzki** — dla wysokiego ryzyka: zawsze człowiek przed decyzją.
8. **Logowanie** — przechowywanie logów decyzji AI co najmniej 6 miesięcy.
9. **Ocena wpływu (FRIA)** — Fundamental Rights Impact Assessment dla wysokiego ryzyka.
10. **Szkolenie zespołu** — od 2 lutego 2025 obowiązkowe szkolenie AI Literacy.

AI Act vs RODO — czym się różnią

W praktyce AI Act jest nadbudową nad RODO — jeśli AI przetwarza dane osobowe (a prawie zawsze tak jest), masz oba obowiązki. Polskie firmy z dobrze ułożonym rejestrem RODO mają już 60% pracy zrobionej.

Praktyczne implikacje dla popularnych narzędzi

ChatGPT-5 / Gemini / Claude: ograniczone ryzyko. Musisz: poinformować użytkowników, mieć politykę użycia, nie wpisywać danych wrażliwych.

HR tech (Workable, screening AI): wysokie ryzyko. Pełna ocena zgodności + FRIA + nadzór ludzki.

Modele open-source (PLLuM, Llama): Twój hosting = Twoja odpowiedzialność. Ale masz pełną kontrolę — łatwiejsza zgodność. Patrz: PLLuM vs ChatGPT-5.

Deepfake / generowanie wideo (Kling, Veo): obowiązek oznaczenia. Brak oznaczenia = kara do 15 mln EUR.

Kto sprawdza i kiedy

W Polsce powstał nowy organ: Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji. Pierwsze kontrole zaczną się w drugiej połowie 2026 roku, prawdopodobnie celowane w sektor finansowy, HR i medycynę. Mała firma z chatbotem na stronie raczej nie jest pierwszym celem — ale obowiązek transparentności trzeba mieć spełniony już dziś.

Trust badge "Zgodne z AI Act 2026"

Coraz więcej polskich firm dodaje na stronie informację o przeprowadzonym audycie AI Act. To realny czynnik sprzedażowy w B2B — partner korporacyjny chce wiedzieć, że nie kupuje sobie ryzyka regulacyjnego razem z usługą.

Podsumowanie

AI Act to nie jest "kolejne RODO do odhaczenia". To realne ramy, które zmieniają, jak budujesz produkty AI. Im wcześniej zrobisz audyt, tym taniej. Po 2 sierpnia 2026 koszt dostosowania pod presją kontroli może być 3–5× wyższy niż zaplanowane wdrożenie.

Sprawdź też: PLLuM vs ChatGPT-5 i AI w finansach i podatkach.