2 sierpnia 2026 to data, którą warto zapisać w kalendarzu firmowym. Tego dnia wchodzą w życie najważniejsze przepisy AI Actu — pierwszego na świecie kompleksowego rozporządzenia regulującego sztuczną inteligencję. Wbrew nagłówkom prasowym dotyczy ono nie tylko Big Techu i dostawców modeli, ale każdej firmy w Unii, która używa AI w pracy. Także tej, która ma trzy osoby w biurze i ChatGPT odpalonego w jednej zakładce przeglądarki.
Najczęściej słyszymy w tej kwestii dwie skrajności. Pierwsza: „nas to nie dotyczy, bo nie tworzymy AI, tylko z niej korzystamy”. Druga: „musimy się nawet bać używać Copilota, bo zaraz wlepią nam karę 35 milionów euro”. Obie są nieprawdziwe. Pokażemy, jak naprawdę wygląda krajobraz obowiązków dla małej i średniej firmy w Polsce w 2026 roku — z konkretnymi terminami, kategoriami ryzyka i listą rzeczy, którymi warto się zająć w najbliższych miesiącach.
Czym jest AI Act i kto faktycznie podlega
AI Act (rozporządzenie Parlamentu Europejskiego i Rady UE 2024/1689) został opublikowany w Dzienniku Urzędowym 12 lipca 2024 i wszedł w życie 1 sierpnia 2024. Od tej daty kolejne fragmenty przepisów uruchamiają się etapami — i dlatego trudno opowiedzieć o nim jednym zdaniem. To nie jest „nowa ustawa od 2 sierpnia 2026”, tylko zegarek, który tyka od dwóch lat i co kilka miesięcy odsłania kolejną tarczę.
Rozporządzenie definiuje dwie role, w które może wpaść firma:
- Provider (dostawca) — buduje system AI, trenuje model albo go wprowadza na rynek pod swoją marką.
- Deployer (wdrażający) — używa systemu AI w swojej działalności pod własną odpowiedzialnością.
Mała firma, która kupiła ChatGPT Team i daje pracownikom do pisania ofert, jest deployerem. Agencja, która buduje własnego chatbota dla klienta na bazie API od OpenAI i wprowadza go na rynek pod swoją marką, jest providerem. Te role mogą się pokrywać — ten sam podmiot może być providerem dla jednej rzeczy i deployerem dla innej.
Drugi mit dotyczy rozmiaru firmy. AI Act nie ma progu „małe firmy zwolnione z całości”. Ma natomiast szereg ułatwień proporcjonalnych do skali — w tym zredukowane wymogi dokumentacyjne, łagodniejsze obliczanie kar i dostęp do regulacyjnych piaskownic od 2028 roku. Komisja Europejska pisze wprost o „uproszczeniach dla MŚP, w tym uproszczonej dokumentacji technicznej”. Ale obowiązki dotyczą każdego podmiotu — różni się tylko ich ciężar.
Trzeci mit: „skoro nie używamy AI, nie podlegamy”. W praktyce każda firma, która korzysta z ChatGPT, Microsoft Copilota, Google Gemini, generatora grafik Midjourney albo zautomatyzowanego scoringu CV w narzędziu rekrutacyjnym — używa AI. Linia jest cieńsza, niż się wydaje.
Cztery poziomy ryzyka — w której kategorii jesteś
AI Act wprowadza czterostopniową piramidę ryzyka. Im wyżej w piramidzie, tym więcej obowiązków.
Niedopuszczalne ryzyko — po prostu zakazane
Osiem konkretnych praktyk, których w UE nie wolno robić w ogóle. Wśród nich: social scoring obywateli, manipulacja podprogowa, eksploatacja słabości grup wrażliwych, rozpoznawanie emocji w miejscu pracy i szkole, klasyfikacja biometryczna na podstawie cech wrażliwych. Te zakazy obowiązują od 2 lutego 2025.
Dla typowej firmy MŚP ta kategoria jest abstrakcyjna — nikt świadomie nie buduje systemu social scoringu klientów. Ale warto wiedzieć o jednym konkrecie: rozpoznawanie emocji pracowników podczas rozmów z klientami (np. wbudowane w niektóre narzędzia call center) jest zakazane. Jeśli któryś z dostawców obiecuje Ci „analizę nastroju zespołu w czasie rzeczywistym” — sprawdź, czy nie kupujesz produktu, którego zaraz nie da się legalnie używać.
Wysokie ryzyko — gros obowiązków
Tu jest największa część regulacji i tu najczęściej trafiają firmy MŚP, nie zdając sobie sprawy. Wysokie ryzyko to systemy wymienione w Załączniku III rozporządzenia, w tym:
- Rekrutacja i HR — narzędzia oceniające CV, prowadzące pre-screening rozmów, wybierające kandydatów do dalszej rozmowy.
- Scoring kredytowy — ocena zdolności kredytowej osób fizycznych.
- Edukacja — systemy oceniające uczniów, decydujące o przyjęciu do szkoły.
- Ubezpieczenia — ocena ryzyka i wycena składki.
- Dostęp do usług publicznych — systemy decydujące o świadczeniach.
- Krytyczna infrastruktura, egzekwowanie prawa, migracja, wymiar sprawiedliwości.
Tu jest pułapka: jeśli mała firma używa zewnętrznego narzędzia rekrutacyjnego, które samo w sobie jest klasyfikowane jako wysokie ryzyko (bo robi automatyczne pre-screening kandydatów), firma jako deployer też ma obowiązki — przede wszystkim udokumentowanie oceny ryzyka przed wdrożeniem, monitorowanie systemu i raportowanie poważnych incydentów do organu nadzorczego.
Są wyjątki. W Art. 6 ustawodawca przewidział, że system z Załącznika III można potraktować jako niższe ryzyko — pod warunkiem, że pełni wyłącznie rolę pomocniczą: realizuje wąskie czynności proceduralne, dopracowuje wcześniejszą decyzję człowieka, wykrywa odchylenia bez zastępowania ludzkiej oceny lub przygotowuje materiał do dalszej analizy. Wyjątek od wyjątku: każdy system, który profiluje osoby fizyczne, traktowany jest jako wysokie ryzyko bez względu na to, jak wąsko zdefiniujesz jego rolę.
Ograniczone ryzyko — głównie obowiązek transparentności
To kategoria, w której najczęściej będzie firma MŚP używająca AI „normalnie”: chatboty obsługujące klientów na stronie, systemy generujące treści (deepfake audio/wideo, syntetyczne obrazy), klasyfikatory emocji w kontekstach niezakazanych.
Główny obowiązek: poinformować użytkownika, że ma do czynienia z AI. Chatbot na stronie musi się przedstawić jako system automatyczny, a nie udawać człowieka. Wygenerowana grafika z opisem „nasi szczęśliwi klienci” musi być oznaczona jako materiał syntetyczny.
Więcej o praktycznym wdrożeniu chatbota napisaliśmy wcześniej w poradniku o chatbotach AI w małej firmie — od strony AI Actu doszły obowiązki transparentności, sama mechanika wdrożenia się nie zmieniła.
Minimalne ryzyko — większość zastosowań
Filtry antyspamowe, gry, automatyczne tagi w zdjęciach, predykcyjne wpisywanie tekstu, narzędzia do generowania kodu używane wewnętrznie. Brak twardych obowiązków poza ogólnymi (jak AI literacy, o którym za chwilę). Komisja zachęca do dobrowolnych kodeksów postępowania, ale nie wymusza ich prawnie.
AI literacy — obowiązek, który już Cię dotyczy
Tę informację warto wytłuścić, bo umyka większości komentarzy w mediach. Art. 4 AI Actu — obowiązek AI literacy — obowiązuje od 2 lutego 2025. Czyli już teraz.
Dosłowne sformułowanie z rozporządzenia:
Dostawcy oraz deployerzy systemów AI podejmują środki w celu zapewnienia, w miarę możliwości, dostatecznego poziomu kompetencji w zakresie AI swojego personelu — z uwzględnieniem ich wiedzy technicznej, doświadczenia, edukacji oraz konkretnego kontekstu, w którym systemy AI mają być używane. — Art. 4, EU AI Act
Co to oznacza konkretnie? Jeśli Twoi pracownicy używają ChatGPT, Copilota, Claude’a, Gemini lub jakiegokolwiek innego narzędzia AI w pracy — masz jako pracodawca obowiązek zadbać o to, żeby rozumieli, jak to działa, gdzie są pułapki i jak to bezpiecznie używać. To nie jest obowiązek certyfikatów ani egzaminów — rozporządzenie używa świadomie nieostrego sformułowania „dostatecznego poziomu”, żeby dać elastyczność.
Co wpada w „dostateczny poziom”:
- pracownik wie, że nie wkleja danych osobowych klientów do publicznej wersji ChatGPT;
- rozumie, że model AI „halucynuje” i jego odpowiedzi trzeba weryfikować;
- wie, kiedy wyniki AI powinien zawsze konsultować z człowiekiem (np. decyzje kadrowe, prawne, medyczne);
- zna politykę firmy w zakresie używania AI — co wolno, czego nie.
Co nie jest „dostatecznym poziomem”:
- jednorazowe „pokażcie wszystkim ChatGPT na zebraniu” bez procedur;
- używanie AI bez świadomości, że dane wpisane do prompta mogą trafić do treningu modelu;
- brak jakiegokolwiek dokumentu opisującego firmową politykę AI.
Ostrzeżenie: brak jakichkolwiek śladów szkolenia AI literacy może w razie kontroli zostać uznany za niespełnienie obowiązku z Art. 4. To nie znaczy, że potrzebujesz Akademii AI z dyplomami — ale potrzebujesz procesu: dokumentu polityki, krótkiego onboardingu dla nowych osób, listy obowiązujących narzędzi i ich dopuszczalnych zastosowań.
W praktyce wystarczająca ścieżka dla MŚP: dwustronicowy dokument firmowej polityki AI + półgodzinny onboarding dla pracowników korzystających z narzędzi + krótki update raz na pół roku. To nie wymaga budżetu na zewnętrzne szkolenia.
Co zmienia się 2 sierpnia 2026
To data, w której wchodzi w życie pełny zakres rozporządzenia — z dwoma wyjątkami opisanymi niżej. Dla typowej firmy MŚP najważniejsze są trzy zmiany.
Pełne obowiązki dla systemów wysokiego ryzyka
Systemy z Załącznika III (rekrutacja, scoring, edukacja, ubezpieczenia) muszą być zgodne z całością wymagań rozporządzenia: ocena zgodności, dokumentacja techniczna, jakość danych treningowych, nadzór człowieka, cyberbezpieczeństwo, rejestracja w bazie UE.
Co z tego wynika dla MŚP używającego takiego narzędzia jako deployer:
- Sprawdź, czy dostawca wykonał ocenę zgodności — to jego obowiązek. Powinien dostarczyć deklarację zgodności i dokumentację. Jeśli nie potrafi tego pokazać, dostarcza Ci produkt, który od 2 sierpnia 2026 może być nielegalny do używania w UE.
- Udokumentuj własną ocenę ryzyka — krótki dokument: jakiego systemu używamy, do czego, jak monitorujemy, kto reaguje na incydenty.
- Wyznacz osobę odpowiedzialną za nadzór człowieka — w MŚP najczęściej jest to manager HR przy narzędziach rekrutacyjnych, manager finansowy przy narzędziach scoringowych.
Sankcje finansowe — pełny system kar
Od 2 sierpnia 2025 obowiązują już przepisy o karach (Art. 99-100), ale dopiero od sierpnia 2026 cały system jest w pełni operacyjny w połączeniu z obowiązkami dla systemów wysokiego ryzyka. Trzy progi:
| Naruszenie | Maks. kara (firmy) | Maks. kara (MŚP/startupy) |
|---|---|---|
| Praktyki zakazane (Art. 5) | 35 mln EUR lub 7% obrotu rocznego (wyższa) | 35 mln EUR lub 7% obrotu (niższa) |
| Inne naruszenia operatorskie | 15 mln EUR lub 3% obrotu (wyższa) | 15 mln EUR lub 3% obrotu (niższa) |
| Wprowadzenie organów w błąd | 7,5 mln EUR lub 1% obrotu (wyższa) | 7,5 mln EUR lub 1% obrotu (niższa) |
Różnica pozornie jest tylko gramatyczna („wyższa” vs „niższa”), ale w praktyce zmienia obraz. Dla firmy z obrotem 2 mln zł rocznie 3% obrotu to 60 tys. zł, a 15 mln EUR to ok. 65 mln zł — różnica trzy rzędy wielkości. Państwa członkowskie mają obowiązek uwzględnić „interes MŚP, w tym startupów, oraz ich rentowność” przy określaniu konkretnej kary.
Druga rzecz, którą warto zrozumieć: kary są maksymalne, nie automatyczne. Organ nadzorczy bierze pod uwagę dotkliwość naruszenia, intencjonalność, współpracę z organami, wcześniejsze naruszenia. Prawdopodobieństwo, że pierwsza kontrola w małej firmie skończy się maksymalną karą, jest niewielkie — jeśli firma współpracuje, dokumentuje to, co używa, i reaguje na zalecenia.
Co NIE wchodzi 2 sierpnia 2026
Dwa terminy są późniejsze:
- Art. 6(1) — klasyfikacja jako wysokie ryzyko dla systemów wbudowanych w produkty regulowane (urządzenia medyczne, samochody itp.) — wchodzi 2 sierpnia 2027.
- Systemy wysokiego ryzyka wykorzystywane przez administrację publiczną mają termin pełnej zgodności wydłużony do 2 sierpnia 2030.
W typowej firmie MŚP te terminy nie są bezpośrednio relewantne.
Jak my to robimy — checklista wdrożenia dla MŚP
W Monaltro wprowadzamy AI w projektach klienckich od kilku lat, więc kwestię compliance traktujemy jak każdą inną warstwę architektury — projektujemy ją na początku, nie doklejamy na końcu. Oto pragmatyczna kolejność, którą polecamy w MŚP:
1. Inwentaryzacja AI w firmie (1–2 godziny)
Zrób listę wszystkich narzędzi AI faktycznie używanych w firmie. Nie tylko tych, za które płacisz licencję — także tych, których pracownicy używają w wersji darmowej w przeglądarce. Dla każdego narzędzia: kto używa, do czego, jakie dane są wprowadzane.
To często odsłania niespodzianki. Typowy scenariusz: firma deklaruje, że nie używa AI, ale dział obsługi klienta od pół roku odpowiada na maile przy pomocy ChatGPT z prywatnych kont, dział marketingu generuje grafiki w Midjourney, a dział HR testuje narzędzie do automatycznego scoringu CV.
2. Klasyfikacja ryzyka (1 godzina)
Dla każdego narzędzia z punktu 1 określ kategorię ryzyka według AI Actu. Większość narzędzi ogólnego użytku (ChatGPT, Copilot, Gemini, Midjourney) wpada w kategorię ograniczonego ryzyka dla typowych zastosowań biurowych. Narzędzia rekrutacyjne, scoringowe i ubezpieczeniowe — najczęściej wysokie ryzyko (sprawdź u dostawcy). Filtry antyspamowe i autouzupełniania — minimalne ryzyko.
Jeśli nie jesteś pewien — zapytaj dostawcę narzędzia o jego klasyfikację AI Act. Każdy poważny vendor już ma odpowiedź gotową.
3. Polityka AI w firmie (półdniowa praca)
Krótki dokument (2–3 strony), który odpowiada na pytania:
- jakie narzędzia AI wolno używać w pracy (whitelist),
- jakich danych nie wolno wprowadzać do publicznych modeli (dane osobowe klientów, tajemnica handlowa, dokumenty kontraktowe),
- kiedy decyzję wspartą AI musi zatwierdzić człowiek (HR, finanse, prawo),
- co robić w razie incydentu (np. wpisanie wrażliwych danych przez przypadek).
4. Onboarding AI literacy (30 minut na osobę)
Krótkie szkolenie dla wszystkich, którzy korzystają z narzędzi AI. W praktyce: prezentacja na 15 slajdów + Q&A + podpis na liście obecności. To wystarcza, żeby udowodnić w razie kontroli, że obowiązek z Art. 4 jest realizowany.
5. Dla narzędzi wysokiego ryzyka — pełna ocena (2–4 dni pracy)
Jeśli Twoja firma używa systemu z Załącznika III: dokumentacja oceny ryzyka, identyfikacja osoby odpowiedzialnej za nadzór człowieka, procedura raportowania incydentów, retencja logów (rozporządzenie wymaga 6 miesięcy). To jedyny krok, który dla małej firmy może wymagać wsparcia zewnętrznego — i jedyny, który warto zrobić przed 2 sierpnia 2026, nie po.
W przypadku firm używających lokalnych modeli LLM zamiast publicznych API część obowiązków jest ułatwiona — bo dane nie opuszczają infrastruktury firmy. Pisaliśmy o tym podejściu w poradniku o lokalnych modelach AI dla MŚP — z perspektywy AI Actu daje to dodatkowy argument za suwerennością danych.
Podsumowanie
AI Act nie jest „nowym RODO” w sensie ciężaru wdrożeniowego — większość obowiązków dla MŚP da się zamknąć w kilkunastu godzinach pracy administracyjnej, jeśli zacznie się od inwentaryzacji i klasyfikacji ryzyka. Ale jest realny i wchodzi etapami od dwóch lat. Kluczowe terminy do zapamiętania:
- Już obowiązuje: zakaz 8 praktyk niedopuszczalnych + AI literacy (od 2 lutego 2025), obowiązki dla GPAI (od 2 sierpnia 2025), system kar (od 2 sierpnia 2025).
- 2 sierpnia 2026: pełne obowiązki dla systemów wysokiego ryzyka (Załącznik III), reszta przepisów operacyjnych.
- 2 sierpnia 2027: systemy wysokiego ryzyka wbudowane w produkty regulowane.
Dla typowej firmy MŚP najpilniejsze są dwie rzeczy: (1) udokumentowana polityka AI literacy — bo ten obowiązek już obowiązuje, i (2) ocena, czy któreś z używanych narzędzi nie wpada w kategorię wysokiego ryzyka — bo te obowiązki uruchamiają się za niecały rok.
Wskazówka: zacznij od inwentaryzacji narzędzi AI w firmie. Nie próbuj od razu pisać polityki ani szkolić zespołu — bez listy faktycznie używanych narzędzi każdy dokument będzie zgadywanką. Półtora godziny rozmowy z managerami działów wystarczy, żeby zobaczyć rzeczywistą skalę zastosowania AI w firmie. Reszta wynika z tej listy.
Jeśli planujesz wdrożenia AI w 2026 roku i chcesz zaprojektować je od razu zgodnie z AI Actem zamiast nakładać warstwę compliance po wdrożeniu — chętnie pomożemy zaplanować architekturę.