EU AI Act: co to oznacza dla firmy wdrażającej AI

Większość firm wdrażających dziś AI zakłada, że regulacja ich nie dotyczy — że EU AI Act to sprawa wielkich spółek technologicznych tworzących modele. To błędne założenie. Jeśli twoja firma obsługuje, integruje lub dalej dostarcza system AI — jesteś stroną wdrażającą (deployer) w rozumieniu rozporządzenia i masz własne obowiązki ustawowe. Naruszenie może oznaczać karę do 3 % globalnego rocznego obrotu lub 15 milionów euro, zależnie od tego, która kwota jest wyższa.

Ten artykuł nie jest poradą prawną, a interpretacja niektórych przepisów wciąż podlega doprecyzowaniu. To praktyczna mapa orientacyjna: gdzie jesteś z perspektywy EU AI Act, czego wymaga większość wdrożeń wysokiego ryzyka i co sprawdzić, zanim projekt trafi do produkcji.

Kiedy i co weszło w życie

EU AI Act to rozporządzenie UE — obowiązuje bezpośrednio we wszystkich państwach członkowskich, bez konieczności krajowej transpozycji. Weszło w życie w sierpniu 2024 roku, ale obowiązki są wprowadzane stopniowo:

• Luty 2025: Zakaz systemów AI o niedopuszczalnym ryzyku (techniki manipulacyjne, scoring społeczny, biometryczna kategoryzacja w czasie rzeczywistym w przestrzeni publicznej).
• Sierpień 2025: Obowiązki dla dostawców modeli GPAI (modele ogólnego przeznaczenia, takie jak duże modele językowe) oraz publikacja Code of Practice. Od tego terminu obowiązuje również nakładanie kar.
• Sierpień 2026: Wejście w życie większości pozostałych przepisów — w tym obowiązków dotyczących systemów AI wysokiego ryzyka. To termin, który dotyczy większości wdrożeń B2B.

Jeśli więc dziś wdrażasz AI w obszarach infrastruktury krytycznej, HR, kontroli dostępu, edukacji lub ochrony zdrowia — masz czas do sierpnia 2026, żeby się przygotować. Niezbyt wiele.

Cztery kategorie ryzyka — gdzie się znajdujesz

EU AI Act klasyfikuje systemy AI do kategorii według ryzyka. Kategoria określa, jakie obowiązki obowiązują.

Niedopuszczalne ryzyko — aplikacje zakazane. Należą tu systemy scoringu społecznego obywateli przez państwo, techniki manipulacyjne wykorzystujące bodźce podprogowe, biometryczna identyfikacja w czasie rzeczywistym w miejscach publicznych. Dla przemysłowych wdrożeń B2B ta kategoria jest z reguły nieistotna.

Wysokie ryzyko (high-risk) — najbardziej restrykcyjna regulacja dla dozwolonych systemów. Załącznik III rozporządzenia enumeratywnie wymienia obszary: identyfikacja biometryczna, infrastruktura krytyczna (energia, woda, transport), edukacja (rekrutacja, ocenianie), zatrudnienie i HR (rekrutacja, ocena wyników, zwolnienia), dostęp do istotnych usług prywatnych i publicznych (scoring kredytowy, połączenia alarmowe), egzekwowanie prawa, zarządzanie migracją, wymiar sprawiedliwości. Chatbot w obsłudze klienta z reguły nie jest high-risk — ale chatbot triażujący zgłoszenia medyczne lub decydujący o odrzuceniu wniosku kredytowego może nim być.

Ograniczone ryzyko — obowiązki transparentności. Systemy wchodzące w interakcję z ludźmi (chatboty), syntetyzujące treści (deepfake, tekst generowany przez AI), muszą być wyraźnie oznaczone. Użytkownik musi wiedzieć, że komunikuje się z AI, jeśli nie wynika to jednoznacznie z kontekstu.

Minimalne ryzyko — brak szczególnych obowiązków. Zdecydowana większość aplikacji AI B2B (przetwarzanie dokumentów, analityka predykcyjna, systemy rekomendacji) należy do tej kategorii — o ile nie spełnia kryteriów wyższych kategorii.

Praktyczna demarkacja: Jeśli twój system AI wchodzi w decyzje, które mają skutki prawne lub podobnie poważne skutki dla osób fizycznych, lub jeśli działa w obszarach z Załącznika III — przeprowadź klasyfikację. Jeśli pracujesz wyłącznie z wewnętrzną analizą danych bez wpływu na osoby fizyczne, prawdopodobnie jesteś w kategorii minimalnego ryzyka.

Obowiązki strony wdrażającej przy systemach high-risk

Artykuł 26 EU AI Act definiuje obowiązki deployera — czyli firmy, która obsługuje system high-risk, nawet jeśli go nie opracowała. Kluczowe punkty:

Środki techniczne i organizacyjne. Musisz wdrożyć odpowiednie środki zapewniające prawidłowe i zamierzone użytkowanie systemu zgodnie z instrukcją dostawcy. Obejmuje to konfigurację, uprawnienia dostępu, monitoring.

Nadzór ludzki (human oversight). W przypadku systemów high-risk musisz zapewnić, że kompetentna osoba przegląda i weryfikuje wyniki AI przed podjęciem działania wpływającego na osobę fizyczną. Nie wystarczy, że system ma przycisk „override" — osoba weryfikująca musi mieć niezbędne kompetencje i realną możliwość zmiany decyzji. W środowisku przemysłowym oznacza to zdefiniowanie odpowiedzialnych ról i udokumentowanie procedury.

Monitoring. Musisz monitorować zachowanie systemu w środowisku produkcyjnym, identyfikować ryzyka i anomalie. Jeśli stwierdzisz, że system działa inaczej niż zamierzono, masz obowiązek poinformować dostawcę. To mocny argument za tym, że obserwowalność agentów AI i evals to nie opcja, lecz element wymagany przez compliance.

Zapisy i logi. W przypadku systemów high-risk musisz przechowywać logi operacyjne w zakresie umożliwiającym audyt post-hoc. Okresy retencji zależą od sektora. Jeśli system AI podejmuje decyzje w HR lub usługach finansowych — logi są materiałem dowodowym.

Powiadamianie osób, których dane dotyczą. Osoby fizyczne, których dotyczy decyzja systemu AI high-risk, mają prawo wiedzieć, że zastosowano AI. W praktyce oznacza to komunikację w procesach (np. informacja w odmowie wniosku, w decyzji HR).

Zarządzanie danymi. Zbiory danych treningowych i walidacyjnych dla systemów high-risk muszą spełniać wymagania dotyczące trafności, reprezentatywności i braku wzorców dyskryminacyjnych. Jeśli jesteś dostawcą systemu — to twój obowiązek. Jeśli go wdrażasz — musisz zweryfikować, że dostawca posiada tę dokumentację.

Risk management — co to oznacza w praktyce

EU AI Act wymaga dla systemów high-risk ciągłego zarządzania ryzykiem przez cały cykl życia, a nie jednorazowej oceny przy wdrożeniu. W praktyce oznacza to:

• Przed wdrożeniem: Udokumentowana analiza ryzyka — jakie szkody może spowodować system, jakie jest prawdopodobieństwo, jakie są środki łagodzące. Nie dokument napisany na szybko, lecz żywy artefakt aktualizowany przy każdej istotnej zmianie systemu.
• W trakcie eksploatacji: Regularne przeglądy — czy zmienił się przypadek użycia? Czy zmienił się model? Czy zmieniły się dane wejściowe? Każda z tych zmian może zmienić profil ryzyka.
• Po incydencie: Udokumentowana procedura reagowania, powiadomienie regulatora, jeśli incydent miał poważne skutki.

Z perspektywy metodologicznej zarządzanie ryzykiem zgodnie z EU AI Act jest zbliżone do tego, co firmy robią przy ISO 27001 lub DPIA na gruncie GDPR — to nie nowy koncept, tylko nowe zastosowanie w obszarze AI. Jeśli masz istniejący framework ISMS w zakresie bezpieczeństwa, rozszerz go o kontrole specyficzne dla AI zamiast budować równoległą strukturę.

Dokumentacja — co mieć przygotowane

To obszar, w którym większość firm wykazuje największe zaległości. EU AI Act zakłada, że systemy high-risk posiadają dostępną dokumentację techniczną — nie dla audytorów, lecz jako żywe narzędzie zarządzania. Minimum:

• Opis systemu i jego zamierzonego celu — co system robi, do jakich decyzji jest używany, kim są osoby, których dotyczy.
• Architektura i przepływy danych — gdzie dane wchodzą, gdzie są przetwarzane, gdzie przechowywane są wyniki.
• Zbiory danych treningowych i walidacyjnych (jeśli jesteś dostawcą) — pochodzenie, zakres, środki zapewnienia jakości, brak uprzedzeń.
• Wyniki testów i walidacji — łącznie z przypadkami brzegowymi i awariami. Ma to bezpośredni związek z tym, jak mierzyć jakość aplikacji LLM.
• Procedura nadzoru ludzkiego — kto, jak i kiedy weryfikuje wyniki AI.
• Rejestr ryzyk — zidentyfikowane ryzyka, środki łagodzące, odpowiedzialności.
• Procedura reagowania na incydenty — eskalacja, powiadomienie, działania naprawcze.

Zapisy muszą być przechowywane przez czas odpowiedni do kontekstu regulacyjnego systemu — w usługach finansowych i ochronie zdrowia typowo przez kilka lat.

Punkt przecięcia z GDPR

EU AI Act i GDPR wzajemnie się uzupełniają — AI Act nie uchyla ani nie zastępuje GDPR. Jeśli twój system AI przetwarza dane osobowe (co robi większość aplikacji biznesowych), oba akty obowiązują równocześnie.

Kluczowe punkty przecięcia:

Podstawa prawna przetwarzania. Nawet jeśli AI Act dopuszcza jakieś przetwarzanie, nadal potrzebujesz podstawy prawnej na gruncie GDPR — zgody, uzasadnionego interesu, umowy. Wdrożenie AI w HR bez wyraźnej podstawy prawnej to naruszenie GDPR, a nie tylko AI Act.

DPIA (Ocena skutków dla ochrony danych). Jeśli system AI high-risk przetwarza dane osobowe, bardzo prawdopodobnie uruchomi obowiązek DPIA na mocy artykułu 35 GDPR. W praktyce ma sens przeprowadzenie DPIA i oceny ryzyka AI Act równolegle — mają duże części wspólne w zakresie materiałów źródłowych.

Prawa osób, których dane dotyczą. GDPR gwarantuje prawo do wyjaśnienia zautomatyzowanej decyzji. AI Act uzupełnia, że osoba, której dotyczy decyzja, musi być poinformowana o zastosowaniu AI. Razem: procesy muszą potrafić dostarczyć zrozumiałe dla człowieka wyjaśnienie, dlaczego AI zdecydowało w dany sposób. Ma to bezpośredni wpływ na to, jakie procesy ewaluacji budujesz i jak rejestrujesz decyzje.

Dane do trenowania. Jeśli fine-tuningiem dostrajasz model na własnych danych firmowych zawierających dane osobowe — potrzebujesz do tego podstawy prawnej. To obszar, w którym GDPR i LLM nad danymi firmowymi stawia dodatkowe wymagania. Anonimizacja przed trenowaniem jest rozwiązaniem, ale musi to być prawdziwa anonimizacja — pseudonimizacja w rozumieniu GDPR nie wystarczy.

Obowiązki transparentności dla systemów o ograniczonym ryzyku

Nawet jeśli twój system nie jest high-risk, mogą obowiązywać wymogi transparentności. Istotne dla większości firm B2B wdrażających chatboty lub generatywne AI:

• Każdy system wchodzący w interakcję z ludźmi tekstem lub głosem, który mógłby zostać wzięty za człowieka, musi być oznaczony jako AI — jeśli nie wynika to jednoznacznie z kontekstu.
• Systemy generujące treści syntetyczne (teksty, obrazy, audio, wideo) dla odbiorców publicznych muszą być oznaczone w sposób wykrywalny maszynowo (watermarking lub metadane).
• Wyjątek dotyczy systemów, gdzie charakter AI jest oczywisty z kontekstu (np. użytkownik sam uruchomił generator AI).

W praktyce: jeśli wdrażasz asystenta AI w obsłudze klienta — w pierwszej komunikacji musi być jasne, że to AI. Jeśli generujesz treści marketingowe za pomocą AI — zastanów się, jak zintegrować to oznaczenie.

Co robić teraz — lista kontrolna priorytetów

Sierpień 2026 to mniej niż rok. Dla firm z bardziej złożonymi systemami to niewiele czasu. Zalecana kolejność działań:

1. 1.Klasyfikacja portfela — przejrzyj wszystkie systemy AI i oceń, do której kategorii należą. Jeśli masz wątpliwości, skonsultuj się z prawnikiem specjalizującym się w regulacjach technologicznych.
2. 2.Systemy high-risk jako priorytet — dla każdego systemu high-risk uruchom ocenę ryzyka i inwentaryzację dokumentacji. Zidentyfikuj luki.
3. 3.Audyt nadzoru ludzkiego — czy twoje procesy są zdolne do realnego nadzoru ludzkiego, czy to tylko formalność? Zdefiniuj odpowiedzialne role, kompetencje, ścieżki eskalacji.
4. 4.Logowanie i monitoring — upewnij się, że masz logi na poziomie umożliwiającym audyt post-hoc. Jeśli wdrażasz agentów AI, jest to szczególnie krytyczne.
5. 5.Równoległe stosowanie GDPR × AI Act — jeśli nie masz jeszcze DPIA dla systemów AI przetwarzających dane osobowe, uzupełnij.
6. 6.Łańcuch dostawców — jeśli kupujesz system AI od zewnętrznego dostawcy, zażądaj dokumentacji technicznej zgodnej z AI Act. Niedostępność dokumentacji to sygnał ostrzegawczy.
7. 7.Szkolenia wewnętrzne — osoby odpowiedzialne za nadzór ludzki muszą rozumieć ograniczenia systemów, które weryfikują. „Zatwierdzam, bo AI to zarekomendowało" to nie jest nadzór ludzki.

Najczęstsze pytania

Czy EU AI Act dotyczy także małych firm?

Tak. Rozporządzenie nie przewiduje wyjątku dla małych i średnich przedsiębiorstw w kategorii high-risk. Istnieją jedynie niewielkie ulgi dla małych firm w zakresie dokumentacji technicznej — ale podstawowe obowiązki (nadzór ludzki, zarządzanie ryzykiem, zapisy) obowiązują tak samo. Jeśli jesteś MŚP i wdrażasz AI w HR lub przy decyzjach o dostępie do usług, obowiązki cię dotyczą.

Chatbot w obsłudze klienta — czy to high-risk?

W większości przypadków nie — jeśli chatbot tylko odpowiada na pytania, a ludzki operator decyduje o istotnych sprawach. Uwaga jednak na przypadki brzegowe: chatbot triażujący zgłoszenia medyczne, na podstawie którego odpowiedzi AI decyduje się o wysłaniu lub niewysłaniu pomocy ratunkowej, może być sklasyfikowany inaczej. Zawsze oceniaj konkretny przypadek użycia, a nie tylko formę (chatbot czy inne).

Jeśli używamy modelu jak OpenAI czy Anthropic, czy to oni ponoszą odpowiedzialność?

Dostawcy modeli mają własne obowiązki — zwłaszcza przy modelach GPAI (transparentność, prawa autorskie, testy bezpieczeństwa). Ale artykuł 26 jest adresowany do deployerów — to jesteś ty. Dostawca modelu nie odpowiada za to, do czego ich modelu używasz w swoim produkcie. Odpowiedzialność za wdrożenie, przypadek użycia, nadzór ludzki i dokumentację ponosi firma wdrażająca.

Czym różni się EU AI Act od GDPR pod względem kar?

GDPR: kary do 4 % globalnego obrotu lub 20 milionów euro (zależnie od tego, która kwota jest wyższa) za najpoważniejsze naruszenia. EU AI Act: kary do 3 % globalnego obrotu lub 15 milionów euro dla stron wdrażających przy naruszeniach high-risk; surowsze za zakazane praktyki (7 % / 35 mln). Oba akty mogą zostać naruszone jednocześnie przez tę samą sytuację — kumulacja kar jest możliwa.

Co jeśli nasz system nie jest high-risk, ale przetwarzamy dane w chmurze poza UE?

AI Act to w tym miejscu odrębna kwestia od tego, gdzie dane są przetwarzane — tym rządzi GDPR. Ale oba akty są zazwyczaj naruszane równocześnie: wdrożenie systemu AI high-risk z danymi osobowymi, bez DPIA, na infrastrukturze bez standardowych klauzul umownych, to czterokrotne naruszenie. Wdrożenia w regulowanych sektorach (ochrona zdrowia, usługi finansowe) mają jeszcze dodatkowe przepisy sektorowe. W takich przypadkach argument za LLM on-prem lub hostowanym w UE jest nie tylko techniczny, lecz wynikający z compliance.

*EU AI Act wprowadził nowy rodzaj odpowiedzialności — nie tylko za to, co firmy robią z danymi, ale za to, co systemy AI robią z ludźmi. Dobra wiadomość: firmy, które mają porządek w procesach GDPR i zarządzaniu bezpieczeństwem, mają solidną podstawę. MP Industrial Solutions pomaga zespołom technicznym ocenić, gdzie się znajdują z perspektywy compliance, i wdrożyć dokumentację, monitoring oraz procesy nadzoru ludzkiego — zanim nadejdzie termin lub audyt.*