TL;DR
- AI Act (Rozporządzenie 2024/1689) — pierwsze na świecie kompleksowe prawo o sztucznej inteligencji.
- Wszedł w życie 1 sierpnia 2024, kluczowe obowiązki: 2 lutego 2025 (zakazy), 2 sierpnia 2026 (większość przepisów), 2 sierpnia 2027 (systemy wysokiego ryzyka w produktach).
- 4 poziomy ryzyka: niedopuszczalne (zakazane), wysokie (regulowane), ograniczone (transparentność), minimalne (bez regulacji).
- Obowiązek oznaczania: deepfake, treści generowane przez AI, chatboty.
- Kary: do 35 mln EUR lub 7% globalnego obrotu (większa kwota).
Harmonogram wejścia w życie
| Data | Co wchodzi |
|---|---|
| 2.02.2025 | Zakazy (rozpoznawanie emocji w pracy/szkole, social scoring, niektóre dane biometryczne) |
| 2.08.2025 | Obowiązki dla modeli ogólnego przeznaczenia (GPAI) — GPT, Gemini, Claude |
| 2.08.2026 | Większość przepisów — systemy wysokiego ryzyka, transparentność, kary |
| 2.08.2027 | Systemy wysokiego ryzyka osadzone w produktach regulowanych |
Klasyfikacja ryzyka
1. Niedopuszczalne (zakazane)
- Social scoring (jak w Chinach).
- Manipulacja podświadoma.
- Rozpoznawanie emocji w pracy i edukacji.
- Predykcyjne profilowanie kryminalne.
- Scraping zdjęć twarzy z internetu.
2. Wysokie ryzyko (regulowane)
- Rekrutacja i HR (CV screening, ocena pracowników).
- Edukacja (ocena egzaminów, przydział do szkół).
- Kredyt, ubezpieczenia (scoring).
- Infrastruktura krytyczna.
- Bezpieczeństwo publiczne, sądownictwo.
- Wyroby medyczne, motoryzacja (osadzone AI).
3. Ograniczone (transparentność)
- Chatboty — muszą informować użytkownika, że to AI.
- Deepfake — obowiązek oznaczenia.
- Generatory treści (tekst, obraz, dźwięk) — etykietowanie.
4. Minimalne
- Spam filtry, AI w grach komputerowych — bez regulacji.
Obowiązki firm — co musisz zrobić do sierpnia 2026?
Dla dostawców AI wysokiego ryzyka
- System zarządzania ryzykiem (cykliczna ocena).
- Dokumentacja techniczna (zgodna z Załącznikiem IV).
- Logi automatyczne systemu.
- Ocena zgodności (CE marking).
- Rejestracja w bazie UE.
- Nadzór ludzki nad działaniem systemu.
Dla użytkowników (deployerów)
- Używanie zgodnie z instrukcją dostawcy.
- Nadzór ludzki.
- Logi i monitoring.
- Ocena wpływu na prawa podstawowe (FRIA) — dla podmiotów publicznych i niektórych prywatnych.
- Informowanie pracowników, gdy AI jest używana w HR.
Dla wszystkich firm używających AI
- Oznaczanie treści generowanych przez AI (od sierpnia 2026 dla GPAI).
- Polityka AI w firmie — kto, jak i do czego używa.
- AI literacy — szkolenie pracowników (obowiązek od lutego 2025).
Kary
| Naruszenie | Maks. kara |
|---|---|
| Stosowanie zakazanej AI | 35 mln EUR / 7% obrotu |
| Naruszenie obowiązków systemów wysokiego ryzyka | 15 mln EUR / 3% obrotu |
| Podanie nieprawdziwych informacji | 7,5 mln EUR / 1% obrotu |
MŚP i startupy — niższa z dwóch kwot.
Co zrobić już teraz (Q2-Q3 2026)?
- Audit AI — zinwentaryzuj wszystkie narzędzia AI (ChatGPT, Copilot, narzędzia HR, scoring).
- Klasyfikacja — przypisz poziom ryzyka.
- Polityka AI w firmie + szkolenie pracowników (AI literacy).
- Aktualizacja regulaminów pracy i RODO o klauzule AI.
- Jeśli używasz AI w HR (rekrutacja) — przygotuj FRIA i informację dla kandydatów.
- Oznaczanie treści AI (publikacje, marketing).
FAQ
Czy używanie ChatGPT w firmie wymaga zgłoszenia?
Nie samo używanie, ale wymagana jest AI literacy wśród pracowników i polityka wewnętrzna. Dla deepfake — oznaczanie.
Czy AI w HR jest zakazana?
Nie, ale jest klasyfikowana jako wysokie ryzyko — wymaga FRIA, transparentności wobec kandydatów i nadzoru ludzkiego.
Czy AI Act dotyczy małych firm?
Tak, ale z proporcjonalnymi obowiązkami i niższymi karami. Większość MŚP będzie zobowiązana głównie do AI literacy i transparentności.
Czy treści AI muszą być oznaczane?
Tak — deepfake, syntetyczne audio/wideo, generowane teksty publikowane jako informacja publiczna. Wewnętrzne notatki bez obowiązku.