Facebook Instagram Linkedin
Radca Prawny Gdańsk
Blog

AI Act – Co Musisz Wiedzieć o Regulacji Sztucznej Inteligencji w UE

AI Act – Co Musisz Wiedzieć o Regulacji Sztucznej Inteligencji w UE – przewodnik dla firm IT

W tym artykule dowiesz się: czym jest AI Act i dlaczego obowiązuje bezpośrednio w Polsce, jaki jest harmonogram wdrożenia – kluczowe daty do 2027 r., jakie kategorie ryzyka wprowadza rozporządzenie i co z tego wynika dla Twojej firmy, kto jest dostawcą a kto podmiotem stosującym system AI, jakie kary grożą – do 35 mln EUR / 7% obrotu, jak przygotować firmę na AI Act – checklist 9 kroków.

Spis treści:

  1. Co to jest AI Act?
  2. Harmonogram wdrożenia – kluczowe daty
  3. Kategorie ryzyka w AI Act
  4. Kogo dotyczy AI Act? Dostawca vs podmiot stosujący
  5. Kary za naruszenie AI Act
  6. Jak przygotować firmę? Checklist
  7. FAQ – najczęstsze pytania

Potrzebujesz wsparcia przy wdrożeniu AI Act?

Kancelaria KTZR specjalizuje się w prawie nowych technologii i AI. Pomagamy firmom IT przygotować się na nadchodzące regulacje – od audytu compliance, przez klasyfikację systemów AI, po przegląd umów wdrożeniowych.

Umów bezpłatną konsultację z r. pr. Adamem Piotrowskim →
2 sierpnia 2026 roku dla większości firm IT i software house’ów działających w Polsce, to nie abstrakcyjna data w unijnym dzienniku urzędowym, ale konkretny „deadline” w kwestii wdrożenia odpowiednich rozwiązań prawnych dostosowujących organizację do nowych regulacji, jakimi są przepisy dotyczące AI.

Brak odpowiedniego przygotowania i niespełnienie standardów, które narzucają rygorystyczne wymagania dotyczące AI, może obciążać firmę finansowo, operacyjnie i reputacyjnie. Jeżeli czytasz ten artykuł w lutym lub marcu 2026 roku, to czasu na wdrożenie AI Act jest coraz mniej – w praktyce pozostało 5 miesięcy.

AI Act, określany potocznie jako akt AI, czyli Rozporządzenie, które przyjął parlament europejski (European Parliament) i Rada (UE) 2024/1689 z dnia 13 czerwca 2024 r., to pierwsza na świecie kompleksowa regulacja AI poświęcona systemom sztucznej inteligencji. To jak dotąd największa inicjatywa prawna, która bezpośrednio wpłynie na przedsiębiorstwa działające w różnych branżach.

Pierwsza i kluczowa rzecz, którą każdy CTO, CEO i compliance officer powinien zapamiętać: AI Act to rozporządzenie, a nie dyrektywa. Stosuje się więc bezpośrednio, bez konieczności transpozycji do prawa krajowego, we wszystkich 27 państwach w całej European Union jednocześnie. Niezależnie od tego, czy polska ustawa wdrażająca zostanie uchwalona przed sierpniem 2026 r., czy nie – akt AI w praktyce obowiązuje wszystkich, którzy działają w branży AI.

Polska przygotowuje ustawę wdrażającą (projekt Ministerstwa Cyfryzacji), ale będzie ona regulować krajowe organy nadzorcze, procedury kar i rozpatrywania skarg — nie treść samego AI Act.

Szczegółowe opracowanie dotyczące kontraktowych aspektów regulacji znajdziesz w naszym artykule: Umowa wdrożeniowa IT a AI Act – jak zabezpieczyć Software House przed nowymi regulacjami?

Co to jest AI Act?

Pełna nazwa to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji. Akt AI ma na celu zapewnienie jednolitych zasad dla rozwoju, wprowadzania na rynek unijny i wykorzystywania rozwiązań, jakimi są systemy AI, w całej UE.

  • Opublikowane: Dz.U.UE.L.2024.1689
  • Wejście w życie: 1 sierpnia 2024 r.
  • Pełne stosowanie: etapowo do 2 sierpnia 2027 r.

Główne motywacje ustawodawcy to: zagwarantowanie wysokiego poziomu ochrony zdrowia, bezpieczeństwa i praw podstawowych, ograniczenie ryzyka nieuczciwych praktyk, stworzenie ram wspierających innowacyjność oraz uniknięcie rozdrobnienia przepisów krajowych. Warto przy tym pamiętać, że regulacja ta koresponduje z innymi kluczowymi aktami unijnymi, takimi jak akt o usługach cyfrowych (Regulation (EU) 2022/2065) czy rozporządzenie dotyczące ochrony danych przez instytucje unijne (Regulation (EU) 2018/1725), nad którego spójnością czuwa m.in. Europejski Inspektor Ochrony Danych (European Data Protection Supervisor).

Kogo obejmuje zakres AI Act?

Zakres podmiotowy rozporządzenia jest bardzo szeroki. Zgodnie z art. 2 AI Act, dotyczy ono każdego podmiotu — przedsiębiorcy, instytucji publicznej, osoby fizycznej — który rozwija systemy AI lub zleca ich rozwój, wprowadza na rynek systemy AI lub oddaje je do użytku albo stosuje systemy AI w ramach swojej działalności — jeżeli działalność ta jest wykonywana na terytorium UE lub jeżeli output generowany przez systemy AI jest wykorzystywany w Unii. To ostatnie zastrzeżenie ma ogromne znaczenie, ponieważ obejmuje firmy spoza UE, których produkty AI trafiają do europejskich użytkowników.

W literaturze wskazuje się, że zakres podmiotowy nie ma charakteru zamkniętego – należy uzupełniająco stosować inne przepisy AI Act, np. art. 25 ust. 4.1

Rozporządzenie ustanawia też kilka wyjątków. AI Act nie ma zastosowania m.in. w stosunku do organów publicznych korzystających z AI w celu ścigania przestępstw i współpracy sądowej, w przypadku stosowania AI do celów naukowych oraz do relacji między osobami fizycznymi w ramach działalności czysto osobistej. Wyłączenie dotyczące ścigania przestępstw nie ma charakteru generalnego — dotyczy specyficznych reżimów i wymaga odrębnej analizy w każdym przypadku.

Definicja systemu AI

System AI został w art. 3 pkt 1 AI Act zdefiniowany jako system maszynowy, zaprojektowany do działania z różnym poziomem autonomii, który może wykazywać zdolność adaptacji i który wnioskuje, jak generować na podstawie danych wejściowych wyniki, takie jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne lub wirtualne. Aby system maszynowy został uznany za system AI, musi łącznie spełnić 4 przesłanki:

  • działanie z określonym poziomem autonomii,
  • zdolność adaptacyjna,
  • wnioskowanie na podstawie danych wejściowych,
  • wpływ na środowisko fizyczne lub wirtualne.

Harmonogram wdrożenia AI Act – kluczowe daty

AI Act nie wchodzi w życie jednorazowo. Ustawodawca europejski rozłożył obowiązki na kilka etapów:

DataCo wchodzi w życieKogo dotyczyStatus
2.02.2025Zakaz zabronionych praktyk AI (art. 5) + obowiązek AI literacy (art. 4)Wszystkie firmy stosujące AIObowiązuje
2.08.2025Organy nadzorcze, modele GPAI (rozdz. V), kary (rozdz. XII)Dostawcy modeli GPAIObowiązuje
2.08.2026Pełne obowiązki dla systemów high-risk (Załącznik III)HR-tech, scoring, edukacja, infrastruktura krytycznaZa ~5 mies.
2.08.2027Systemy AI w produktach regulowanych (Załącznik I)Wyroby medyczne, maszyny, zabawkiNadchodzący

2 sierpnia 2026 r. to najważniejsza data ponieważ od tego dnia większość uregulowań AI Act zacznie obowiązywać w pełnym zakresie.

Digital Omnibus on AI: W listopadzie 2025 r. komisja europejska zaproponowała pakiet uproszczeń, który mógłby elastycznie przesunąć terminy stosowania przepisów o systemach wysokiego ryzyka o maksymalnie 16 miesięcy, aby zasady miały zastosowanie, gdy firmy będą dysponować odpowiednimi narzędziami wsparcia. To na razie jednak tylko propozycja, a nie obowiązujący akt prawny i projekt musi przejść całą procedurę legislacyjną.

Kategorie ryzyka w AI Act

AI Act wprowadza podejście oparte na ryzyku (risk-based approach). Każdy system AI należy zakwalifikować do jednej z czterech kategorii — od tej klasyfikacji zależy zakres obowiązków.

1. Ryzyko niedopuszczalne — ZAKAZ (art. 5)

Obowiązuje od 2 lutego 2025 r.. Absolutne zakazy obejmują m.in.: social scoring, manipulację podprogową, rozpoznawanie emocji w miejscu pracy i placówkach edukacyjnych, biometryczną identyfikację w czasie rzeczywistym w przestrzeni publicznej (z wąskimi wyjątkami), scraping twarzy z internetu, predykcję przestępczości opartą na profilowaniu. Uwaga: Budowa systemu rozpoznawania emocji pracowników bez uprzedniego poinformowania klienta o zakazie z art. 5 AI Act i ryzyku sankcji może rodzić odpowiedzialność odszkodowawczą wykonawcy.

2. Wysokie ryzyko (high-risk AI systems) — pełne obowiązki (Załącznik III)

Obowiązuje od 2 sierpnia 2026 r.. Załącznik III wyróżnia 8 obszarów: biometria, infrastruktura krytyczna, edukacja, zatrudnienie (HR-tech), scoring kredytowy, ściganie przestępstw, migracja, wymiar sprawiedliwości. Dla tych systemów obowiązuje pełen pakiet: dokumentacja techniczna, zarządzanie ryzykiem, nadzór ludzki, rejestracja w bazie EU AI.

3. Ograniczone ryzyko — wymogi przejrzystości (art. 50)

Chatboty: użytkownik musi wiedzieć, że rozmawia z AI. Deepfakes: obowiązkowe oznaczenie treści wygenerowanych przez AI.

4. Minimalne ryzyko

Gry komputerowe z AI, filtry antyspamowe, nawigacja. Brak dodatkowych obowiązków — jedynie zachęta do dobrowolnych kodeksów postępowania.

Kogo dotyczy AI Act? Dostawca vs podmiot stosujący

Dostawca (provider) — zgodnie art. 3 pkt 3 to podmiot, który rozwija system AI i wprowadza go na rynek pod własną marką. Ponosi największy ciężar obowiązków: system zarządzania ryzykiem (art. 9), jakość danych treningowych (art. 10), dokumentacja techniczna (art. 11), automatyczne logi (art. 12), przejrzystość (art. 13), nadzór ludzki (art. 14), cyberbezpieczeństwo (art. 15), rejestracja w bazie EU AI (art. 49).

Podmiot stosujący (deployer) — art. 3 pkt 4: podmiot używający systemu AI w swojej działalności (np. firma HR, bank, szpital). Obowiązki: wdrożenie nadzoru ludzkiego, przekazywanie jasnej informacji dotyczące AI użytkownikom (art. 26 ust. 7), a także niezwykle ważna ocena skutków dla praw podstawowych, szerzej znana jako fundamental rights impact assessment (art. 27).

Kluczowe dla software house’ów: Jeśli budujesz system AI na zlecenie klienta, który wdraża go pod swoją marką — w rozumieniu AI Act to klient jest dostawcą. Ale Twoja odpowiedzialność kontraktowa nie znika. Umowa wdrożeniowa musi precyzyjnie rozdzielać obowiązki compliance między strony.

Kary za naruszenie AI Act (art. 99)

AI Act ustanawia trójstopniowy system kar finansowych:

Rodzaj naruszeniaKara maksymalna% obrotu
Zakazane praktyki AI (art. 5)35 000 000 EUR7% globalnego obrotu
Pozostałe naruszenia (high-risk, GPAI)15 000 000 EUR3% globalnego obrotu
Błędne informacje dla organów nadzoru7 500 000 EUR1% globalnego obrotu

Zasada ogólna: stosuje się kwotę wyższą z dwóch możliwych. Wyjątek dla MŚP i startupów (art. 99 ust. 6): stosuje się kwotę niższą — co w praktyce może istotnie ograniczać ekspozycję finansową mniejszych podmiotów.

Maksymalna kara za zakazane praktyki to 35 mln EUR / 7% obrotu, podczas gdy RODO przewiduje do 20 mln EUR / 4% obrotu. Projekt ustawy Ministerstwa Cyfryzacji zakłada powołanie Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBŚI). Po powołaniu organu nadzorczego, postępowania za naruszenia obowiązków obowiązujących już dziś (np. AI literacy, zakazy z art. 5) będą w pełni możliwe.

Jak przygotować firmę na AI Act? Checklist

  • Inwentaryzacja systemów AI — zidentyfikuj wszystkie systemy AI: wewnętrzne, zewnętrzne i SaaS (ChatGPT Enterprise, Copilot). Uwaga na Shadow AI.
  • Klasyfikacja ryzyka — określ kategorię: zakazany / high-risk / limited / minimal.
  • AI literacy (art. 4) — szkolenia pracowników z wykorzystania AI. Obowiązuje od 2.02.2025!
  • Gap analysis — porównaj obecne procesy z wymogami AI Act.
  • Dokumentacja techniczna (art. 11) — dla systemów high-risk.
  • System zarządzania ryzykiem (art. 9) — ciągły proces, nie jednorazowy audyt.
  • Nadzór ludzki (art. 14) — human-in-the-loop / human-on-the-loop.
  • Rejestracja w bazie EU AI (art. 49) — obowiązkowa dla systemów high-risk.
  • Audyt umów IT — czy umowy wdrożeniowe rozdzielają obowiązki AI Act między strony?

FAQ – AI Act: najczęstsze pytania

Co to jest AI Act?

Rozporządzenie (UE) 2024/1689 to pierwszy na świecie kompleksowy akt prawny regulujący systemy sztucznej inteligencji w UE. Stosuje się on bezpośrednio we wszystkich państwach członkowskich i opiera się na podejściu bazującym na stopniu ryzyka, dzieląc systemy AI na cztery główne kategorie.

Od kiedy obowiązuje AI Act?

Akt wszedł w życie 1 sierpnia 2024 r. Jego przepisy są wdrażane etapowo: zakazy (np. social scoring) obowiązują już od 2.02.2025 r., zasady dla modeli GPAI wejdą w życie 2.08.2025 r., a kluczowe wymogi dla systemów wysokiego ryzyka (high-risk) zaczną obowiązywać 2.08.2026 r.

Jakie kary grożą za naruszenie AI Act?

Sankcje w AI Act są surowsze niż te znane z RODO. Za stosowanie zakazanych praktyk AI grozi do 35 mln EUR lub 7% globalnego obrotu. Za niespełnienie wymogów dla systemów wysokiego ryzyka kara może wynieść do 15 mln EUR lub 3% obrotu. Co do zasady stosuje się kwotę wyższą.

Czy AI Act dotyczy software house’ów i firm tworzących oprogramowanie?

Tak. Nawet jeśli budujesz system AI dla klienta, który formalnie będzie uznany za dostawcę wprowadzającego produkt na rynek pod własną marką, to Twoja firma będzie odpowiedzialna za techniczne wdrożenie wymogów compliance (tworzenie logów, dokumentacji, testów). Umowa wdrożeniowa IT musi precyzyjnie rozdzielać te obowiązki.

Co to są systemy wysokiego ryzyka (high-risk AI systems)?

Są to systemy stwarzające znaczne potencjalne zagrożenie dla praw podstawowych lub bezpieczeństwa. Lista znajduje się w Załączniku III rozporządzenia i obejmuje m.in. biometrię, systemy stosowane w edukacji, procesach rekrutacji (HR-tech), profilowaniu kredytowym czy zarządzaniu infrastrukturą krytyczną.

Czy wdrożenie zewnętrznego modelu (np. ChatGPT przez API) zwalnia nas z AI Act?

Nie. Modele takie jak ChatGPT czy Claude to tzw. modele sztucznej inteligencji ogólnego przeznaczenia (GPAI). Ich twórcy mają własne obowiązki. Jednakże, jeśli obudujesz taki model interfejsem lub połączysz z bazą danych, aby stworzyć np. narzędzie do preselekcji CV, tworzysz nowy system AI podpadający pod wymogi AI Act.

Jak sprawdzić, czy nasz algorytm to sztuczna inteligencja z perspektywy prawa?

Definicja z art. 3 pkt 1 AI Act wymaga łącznego spełnienia 4 przesłanek: system musi być oparty na maszynie, mieć określony poziom autonomii, wykazywać zdolność do wyciągania wniosków (inferencji) na podstawie danych oraz wpływać na otoczenie. Proste skrypty If-Then bazujące wyłącznie na sztywnych regułach programistycznych z reguły nie wpadają pod tę definicję.

Zabezpiecz swój biznes przed karami z AI Act

Nie czekaj na ostatnią chwilę. Pomożemy Twojej firmie przejść przez proces wdrożenia nowych regulacji sprawnie i bezpiecznie. Oferujemy kompleksowe doradztwo: od kwalifikacji systemów, przez tworzenie dokumentacji technicznej, po audyty prawne umów IT.

Rozpocznij audyt AI Act w swojej firmie
Przypisy i źródła:
1. M. Jędrzejczak [w:] AI Act. Akt w sprawie sztucznej inteligencji. Komentarz, red. Ł. Szoszkiewicz, J. Wydra, Warszawa 2025, art. 2.

Artykuł ma charakter informacyjny i nie stanowi porady prawnej. Stan prawny na luty/marzec 2026 r. Autor: r. pr. Adam Piotrowski, Kancelaria Radców Prawnych KTZR.
AI Act – Co Musisz Wiedzieć o Regulacji Sztucznej Inteligencji w UE
Prawo Nowych technologii/IT

AI Act – Co Musisz Wiedzieć o Regulacji Sztucznej Inteligencji w UE

Blog AI Act – Co Musisz Wiedzieć o Regulacji Sztucznej Inteligencji w UE W tym artykule dowiesz się: czym jest AI Act i dlaczego obowiązuje bezpośrednio w Polsce, jaki jest harmonogram wdrożenia – kluczowe daty do 2027 r., jakie kategorie ryzyka wprowadza rozporządzenie i co z tego wynika dla Twojej firmy, kto jest dostawcą a […]

Dowiedz się więcej
Umowa wdrożeniowa IT a AI Act – jak zabezpieczyć Software House przed nowymi regulacjami?
Prawo Nowych technologii/IT

Umowa wdrożeniowa IT a AI Act – jak zabezpieczyć Software House przed nowymi regulacjami?

Blog Umowa wdrożeniowa IT a AI Act – jak zabezpieczyć Software House przed nowymi regulacjami? Zarządzając Software House’em lub agencją IT w 2026 roku, z pewnością mierzysz się z nowym standardem rynku: klienci masowo oczekują integracji sztucznej inteligencji w swoich systemach. O ile operacyjnie, czy też technologicznie to po prostu kolejne zadanie, o tyle z […]

Dowiedz się więcej
Stała obsługa prawna w praktyce. 4 sytuacje, w których radca prawny z Gdańska chroni Twój biznes
Obsługa Prawna Firm i Przedsiębiorców

Stała obsługa prawna w praktyce. 4 sytuacje, w których radca prawny z Gdańska chroni Twój biznes

Wielu przedsiębiorców myśli o prawniku jak o pogotowiu — dzwoni się tylko wtedy, gdy coś się już posypało. Kontrola skarbowa, pozew do sądu, komornik. Tymczasem w praktyce największe straty finansowe w biznesie rzadko biorą się z wielkich, spektakularnych spraw. Biorą się z codziennych, pozornie drobnych błędów — umowy podpisanej bez czytania, zwolnienia przeprowadzonego o jeden […]

Dowiedz się więcej

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

    Dodaj komentarz

    Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

    Radca Prawny Gdańsk

    (+48) 58 380 60 60 | biuro@ktzr.pl
    ul. Kopernika 17, 80-208 Gdańsk
    NIP 9571116835 | REGON 383742986 | KRS 0000792294

    Facebook Instagram Linkedin

    Kontakt

    Menu

    Wdrożenie: SEOmotive.pl

    Polityka prywatności
    RODO