Jakie praktyki AI sa zakazane od lutego 2025?

Social Scoring, manipulacyjne systemy AI oraz biometria w czasie rzeczywistym w przestrzeni publicznej (z waskimi wyjatkami dla organow scigania). Kary: do 35 mln EUR lub 7% globalnego rocznego obrotu.

Czy aplikacje AI w HR sa High Risk?

Niemal zawsze. Automatyczne screenowanie kandydatow, oceny wydajnosci wspierane przez AI, Predictive Attrition i automatyczna optymalizacja grafiku pracy podlegaja kategorii High-Risk (Zalacznik III). Deadline: sierpien 2026.

Jak EU AI Act wplywa na polskie firmy?

EU AI Act obowiazuje bezposrednio we wszystkich panstwach czlonkowskich UE, w tym w Polsce. Polskie firmy stosujace systemy AI musza spelnic te same wymagania co firmy niemieckie czy francuskie - od inwentaryzacji systemow po pelna zgodnosc High-Risk do sierpnia 2026.

EU AI Act 2026: Co juz obowiazuje, co nadchodzi, co musisz zrobic

Q: Co oznacza obowiazek AI Literacy?

Od lutego 2025 wszystkie osoby obslugujace lub korzystajace z systemow AI musza dysponowac odpowiednim poziomem kompetencji AI. Firmy musza byc w stanie udokumentowac dzialania szkoleniowe.

Pierwsze kompleksowe prawo o AI na swiecie

EU AI Act obowiazuje od sierpnia 2024. To pierwsze na swiecie kompleksowe prawo regulujace sztuczna inteligencje i dotyczy kazdej firmy, ktora rozwija, wdraza lub udostepnia systemy AI. W lutym 2026 jestesmy w srodku fazy wdrazania: dwa terminy juz uplynewy, nastepny nadchodzi za szesc miesiecy. Kto sie nie przygotowal, ma problem. Kto zaczyna przygotowania teraz, jeszcze ma czas.

Dla polskich firm jest to szczegolnie istotne: w przeciwienstwie do RODO, ktore bylo wdrazane stopniowo, EU AI Act wprowadza precyzyjne kategorie ryzyka i konkretne terminy. Ten artykul daje rzeczowy przeglad aktualnego stanu: co juz obowiazuje, co nadchodzi i kiedy, jakie obowiazki dotycza Twojej firmy i co powinienes zrobic w ciagu najblizszych 90 dni.

Harmonogram: Piec kamieni milowych

Stopniowe wdrazanie EU AI Act rozciaga sie na trzy lata. Kazdy kamien milowy aktywuje inne obowiazki.

Sierpien 2024        Luty 2025            Sierpien 2025       Sierpien 2026        Sierpien 2027
    |                    |                    |                   |                    |
    v                    v                    v                   v                    v
Wejscie w zycie    Zakazane praktyki    Obowiazki GPAI      Systemy High-Risk    Pozostale
                   AI + AI Literacy     obowiazuja          musza byc            przepisy
                                                            zgodne
                   AKTYWNE              AKTYWNE             ZA 6 MIESIECY        2027

Dla firm oznacza to: Dwa etapy sa juz prawnie wiazace. Trzeci, dla wielu firm najkrytyczniejszy, etap wchodzi w zycie za szesc miesiecy. Przygotowanie do niego wymaga typowo od czterech do szesciu miesiecy. Czasu jest malo.

Co juz obowiazuje

Zakazane praktyki AI (od lutego 2025)

Od 2 lutego 2025 okreslone zastosowania AI sa w UE calkowicie zakazane. Dotyczy to:

Social Scoring: Systemy AI oceniajace osoby na podstawie ich zachowan spolecznych i wyciagajace z tego niekorzystne konsekwencje w niezwiazanych kontekstach.
Manipulacyjna AI: Systemy manipulujace zachowaniem ludzkim przez techniki podprogowe, takie jak dark patterns wymuszajace decyzje zakupowe lub zgody.
Biometria w czasie rzeczywistym w przestrzeni publicznej: Identyfikacja biometryczna w czasie rzeczywistym jest zasadniczo zakazana. Waskie wyjatki istnieja dla organow scigania przy ciezkich przestepstwach, zwalczaniu terroryzmu i poszukiwaniu osob zaginionych, kazdy z autoryzacja sadowa.
Rozpoznawanie emocji w miejscu pracy i placowkach edukacyjnych: Systemy AI rozpoznajace emocje pracownikow lub uczniow sa niedopuszczalne.
Predictive Policing na podstawie cech indywidualnych: Oceny ryzyka przestepczosci oparte wylacznie na cechach osobistych.

Sankcje: Naruszenia zakazow sa karane grzywna do 35 milionow euro lub 7 procent globalnego rocznego obrotu, w zaleznosci od tego, ktora kwota jest wyzsza.

Dla wiekszosci polskich firm te zakazy nie wymagaja bezposrednich dzialan, poniewaz opisane zastosowania rzadko wystepuja w kontekscie biznesowym. Ale weryfikacja jest obowiazkowa: upewnij sie, ze zaden z Twoich systemow AI nie podlega tym kategoriom.

AI Literacy (od lutego 2025)

Rownolegle z zakazami od lutego 2025 obowiazuje obowiazek AI Literacy zgodnie z Artykulem 4: Wszystkie osoby, ktore obsluguja, wdrazaja lub korzystaja z systemow AI, musza dysponowac odpowiednim poziomem kompetencji AI. Kompetencja musi byc adekwatna do kontekstu - programista potrzebuje glebszej wiedzy niz uzytkownik koncowy korzystajacy z chatbota.

Co to oznacza konkretnie:

Obowiazek szkoleniowy: Firmy musza byc w stanie udowodnic, ze ich pracownicy zostali przeszkoleni.
Obowiazek dokumentacyjny: Tresci szkoleniowe, listy uczestnikow i interwaly odswiezania musza byc udokumentowane.
Adekwatnosc kontekstowa: Szkolenie musi odpowiadac roli. Ogolny e-learning nie wystarczy dla decydentow, ktorzy wybieraja i odpowiadaja za systemy AI.

Obowiazek AI Literacy jest czesto niedoceniany, bo nie stawia wysokich wymagan technicznych. Ale juz jest egzekwowalny. I dotyczy kazdej firmy korzystajacej z AI, niezaleznie od klasy ryzyka systemu.

Obowiazki GPAI (od sierpnia 2025)

Od sierpnia 2025 obowiazuja obowiazki przejrzystosci i dokumentacji dla modeli General-Purpose AI (GPAI). Dotycza one przede wszystkim dostawcow modeli jezykowych, nie firm, ktore z nich korzystaja. Ale jako deployer - firma stosujaca model GPAI we wlasnych aplikacjach - masz obowiazki:

Oznaczenia uzycia: Jesli Twoja aplikacja generuje tresci, ktore moga byc mylnie uznane za stworzone przez czlowieka, musisz to oznaczyc.
Przejrzystosc wobec uzytkownikow: Osoby wchodzace w interakcje z systemem AI musza byc o tym informowane.
Infrastruktura governance: Musisz byc w stanie udokumentowac, jakie modele GPAI stosujesz, w jakim kontekscie i z jakimi srodkami ochrony.

Obowiazki GPAI wymagaja rzetelnej inwentaryzacji: Jakie modele AI stosujesz? Od jakiego dostawcy? W jakiej aplikacji? Z jaka klasyfikacja ryzyka? Te informacje stanowia fundament pod zgodnosc High-Risk, ktora wchodzi w zycie za szesc miesiecy.

Co nadchodzi za szesc miesiecy: Systemy High-Risk (sierpien 2026)

Deadline High-Risk 2 sierpnia 2026 to dla wiekszosci firm najkrytyczniejszy termin EU AI Act. Od tej daty wszystkie systemy AI podlegajace Zalacznikowi III musza byc w pelni zgodne. Wymagania sa rozlegle.

Jakie systemy podlegaja High Risk?

Zalacznik III EU AI Act definiuje osiem obszarow, w ktorych systemy AI sa klasyfikowane jako wysokiego ryzyka. Najistotniejsze dla firm:

Zatrudnienie, zarzadzanie personelem i dostep do samozatrudnienia: Systemy AI do ogloszen o prace, selekcji kandydatow, oceny wydajnosci, decyzji o awansach i zwolnieniach.
Zdolnosc kredytowa i ubezpieczenia: Automatyczna ocena wiarygodnosci kredytowej, scoring ryzyka.
Identyfikacja biometryczna: Rozpoznawanie twarzy, identyfikacja glosu, rowniez w przestrzeni niepublicznej.
Infrastruktura krytyczna: Systemy AI w energetyce, gospodarce wodnej, transporcie, telekomunikacji.
Edukacja i szkolenia zawodowe: Automatyczna ocena egzaminow, kontrola dostepu do placowek edukacyjnych.

Wymagania wobec systemow High-Risk

Jesli jeden z Twoich systemow AI zostal zaklasyfikowany jako High Risk, musisz do sierpnia 2026 spelnic nastepujace wymagania:

System zarzadzania ryzykiem: Udokumentowany system identyfikacji, analizy i minimalizacji ryzyk w calym cyklu zycia systemu AI.
Governance danych: Wymagania dotyczace jakosci, reprezentatywnosci i bezbednosci danych treningowych. Przy uzyciu modeli pretrenowanych: dokumentacja pochodzenia danych i dostrojenia.
Dokumentacja techniczna: Kompleksowa dokumentacja systemu przed wdrozeniem: architektura, procedury treningowe, metryki wydajnosci, procedury testowe, ograniczenia.
Obowiazki rejestrowania: Automatyczne protokolowanie wszystkich istotnych zdarzen (logging), aby zapewnic odtwarzalnosc decyzji.
Przejrzystosc: Instrukcje uzytkowania dla deployerow umozliwiajace prawidlowe uzycie.
Nadzor ludzki (Human Oversight): Srodki techniczne umozliwiajace skuteczny nadzor przez czlowieka. Decision Layer to architektura, ktora technicznie realizuje wlasnie to wymaganie.
Dokladnosc, odpornosc, cyberbezpieczenstwo: System musi niezawodnie osiagac zadeklarowana wydajnosc i byc chroniony przed manipulacja.
Ocena zgodnosci: Dla okreslonych kategorii wymagana jest ocena przez jednostke notyfikowana (Conformity Assessment Body). Dla innych wystarcza samoocena.

Sankcje: Naruszenia obowiazkow High-Risk sa karane grzywna do 15 milionow euro lub 3 procent globalnego rocznego obrotu.

Szczegolne znaczenie dla HR

Obszar HR to dzial firmy, w ktorym aplikacje AI najczesciej podlegaja kategorii High-Risk. Wynika to z Zalacznika III, pkt 4 - Zatrudnienie i zarzadzanie personelem. Klasyfikacja obejmuje:

Automatyczne screenowanie aplikacji: High Risk. Kazdy system AI, ktory wstepnie sortuje, ocenia lub filtruje aplikacje o prace, podlega kategorii High-Risk. Niezaleznie od tego, czy finalna decyzje podejmuje czlowiek. Juz sama preselekcja jest regulowana.

Oceny wydajnosci wspierane przez AI: High Risk. Gdy systemy AI analizuja dane o wydajnosci i na ich podstawie wystawiaja oceny lub przygotowuja oceny, to jest High Risk. Dotyczy to takze systemow, ktore wydaja jedynie rekomendacje.

Predictive Attrition: High Risk. Systemy AI przewidujace, ktorzy pracownicy prawdopodobnie odejda z firmy, przetwarzaja dane osobowe w celu podejmowania decyzji zatrudnieniowych. To jest High Risk.

Automatyczna optymalizacja grafiku: potencjalnie High Risk. Jesli system AI tworzy grafiki zmian i przy tym przetwarza indywidualne preferencje, dane o wydajnosci lub informacje zdrowotne, moze podlegac High Risk. Klasyfikacja zalezy od konkretnego zakresu danych.

Dla dzialow HR oznacza to: Zinwentaryzuj wszystkie systemy AI stosowane w kontekstach zatrudnieniowych. Sprawdz klasyfikacje. Rozpocznij przygotowania do zgodnosci - szesc miesiecy do sierpnia 2026 to napiety harmonogram na osiagniecie pelnej zgodnosci High-Risk. Wiecej informacji o wspoldialaniu AI i HR znajdziesz pod adresem HR & AI Agents.

Digital Omnibus: Mozliwe przesuniecie

Komisja Europejska zaproponowala pod koniec 2025 pakiet Digital Omnibus, ktory moze miedzy innymi przesunac terminy High-Risk EU AI Act na grudzien 2027. Pakiet adresuje rowniez uproszczenie obowiazkow sprawozdawczych i podniesienie progow dla MSP.

Aktualny stan: Pakiet Digital Omnibus to propozycja Komisji. Musi zostac przyjety przez Parlament Europejski i Rade. Stan na luty 2026 - procedura legislacyjna nie jest zakonczona. Nie ma gwarancji, ze pakiet zostanie przyjety w proponowanej formie. Nie ma gwarancji, ze zostanie przyjety w ogole.

Rekomendacja: Planuj z terminem sierpien 2026. Jesli Digital Omnibus rzeczywiscie przyniesie przesuniecie, zyskasz dodatkowy czas. Jesli nie, jestes przygotowany. Planowanie zgodnosci, ktore zaklada sie na niepewne wydluzenie terminu, to unikalne ryzyko.

Praktyczna rekomendacja: Rozpocznij inwentaryzacje systemow AI

Niezaleznie od tego, czy Twoje systemy AI podlegaja High Risk, czy nie: pierwszy krok jest zawsze taki sam. Potrzebujesz kompletnej inwentaryzacji wszystkich systemow AI w firmie.

Co nalezy udokumentowac

Dla kazdego systemu AI dokumentujesz:

Nazwa i opis systemu: Co robi system? Jaki proces wspiera?
Dostawca i model: Jaki model AI jest stosowany? Od jakiego dostawcy? Cloud API czy self-hosted?
Rola Twojej firmy: Jestes dostawca (provider), operatorem (deployer) czy jednym i drugim?
Klasyfikacja ryzyka: Czy system podlega jednej z kategorii Zalacznika III (High Risk)? Zakazom z Artykulu 5? Czy jest to system o ograniczonym ryzyku?
Osoby, ktorych dotyczy: Na jakie osoby wplywaja decyzje lub wyniki systemu?
Przetwarzanie danych: Jakie dane przetwarza system? Dane osobowe? Tajemnice handlowe?
Srodki ochrony: Jakie srodki techniczne i organizacyjne sa wdrozone? Human Oversight? Audit Trail?

Harmonogram

Inwentaryzacje systemow AI dla sredniej firmy mozna wykonac w cztery do osmiu tygodni. Naklad pracy zalezy od liczby systemow, stanu dokumentacji i koordynacji wewnetrznej. Zacznij od oczywistych systemow - oficjalnie zakupionych narzedzi AI - a nastepnie rozszerz na Shadow AI: systemy AI, ktore pracownicy uzywaja samodzielnie, bez wiedzy dzialu IT.

Inwentaryzacja to nie zadanie jednorazowe. Musi byc aktualizowana na biezaco, poniewaz pojawiaja sie nowe systemy, istniejace systemy sa modyfikowane, a ocena regulacyjna ewoluuje. Infrastruktura governance musi byc zbudowana tak, aby inwentaryzacja pozostawala zywym dokumentem.

Podsumowanie: Co powinienes zrobic teraz

Sprawdz zakazy. Upewnij sie, ze zaden z Twoich systemow AI nie podlega praktykom zakazanym od lutego 2025.
Spelnij obowiazek AI Literacy. Udokumentuj szkolenia dla wszystkich uzytkownikow AI w firmie. Obowiazek obowiazuje juz teraz.
Stworz inwentaryzacje systemow AI. Zarejestruj wszystkie systemy AI, ich dostawcow, kontekst zastosowania i klasyfikacje ryzyka. Ramy czasowe: cztery do osmiu tygodni.
Zidentyfikuj systemy High-Risk. Sprawdz szczegolnie obszar HR, decyzje kredytowe i zautomatyzowane procesy bezposrednio wplywajace na osoby.
Rozpocznij zgodnosc High-Risk. Dla systemow podlegajacych Zalacznikowi III: zbuduj system zarzadzania ryzykiem, governance danych, dokumentacje techniczna i Human Oversight. Deadline: sierpien 2026.
Nie planuj w oparciu o Digital Omnibus. Mozliwe przesuniecie to bonus, nie podstawa planowania.

Gosign towarzyszy firmom w drodze do zgodnosci z EU AI Act - od inwentaryzacji systemow po ocene zgodnosci. Jesli chcesz wiedziec, gdzie stoi Twoja firma, porozmawiaj z nami.

Umow spotkanie. 30 minut, w ktorych ocenimy Twoj status zgodnosci.