Jakie praktyki AI są zakazane od lutego 2025?

Social Scoring, manipulacyjne systemy AI oraz biometria w czasie rzeczywistym w przestrzeni publicznej (z wąskimi wyjątkami dla organów ścigania). Kary: do 35 mln EUR lub 7% globalnego rocznego obrotu.

Czy aplikacje AI w HR są High Risk?

Niemal zawsze. Automatyczne screenowanie kandydatów, oceny wydajności wspierane przez AI, Predictive Attrition i automatyczna optymalizacja grafiku pracy podlegają kategorii High-Risk (Załącznik III). Deadline: sierpień 2026.

Jak EU AI Act wpływa na polskie firmy?

EU AI Act obowiązuje bezpośrednio we wszystkich państwach członkowskich UE, w tym w Polsce. Polskie firmy stosujące systemy AI muszą spełnić te same wymagania co firmy niemieckie czy francuskie - od inwentaryzacji systemów po pełną zgodność High-Risk do sierpnia 2026.

EU AI Act 2026: Status, terminy, co zrobić teraz

Q: Co oznacza obowiązek AI Literacy?

Od lutego 2025 wszystkie osoby obsługujące lub korzystające z systemów AI muszą dysponować odpowiednim poziomem kompetencji AI. Firmy muszą być w stanie udokumentować działania szkoleniowe.

EU AI Act obowiązuje. Dwa terminy już upłynęły, krytyczny deadline High-Risk nadchodzi za sześć miesięcy. Oto aktualny stan, obowiązki i co firmy muszą zrobić teraz.

W skrócie - EU AI Act 2026: status dla firm

Zakazane praktyki AI (Social Scoring, manipulacja, rozpoznawanie emocji w pracy) oraz obowiązek AI Literacy są prawnie wiążące od lutego 2025.
Obowiązki transparentności i dokumentacji GPAI dla operatorów modeli General-Purpose AI obowiązują od sierpnia 2025.
Krytyczny termin: wszystkie systemy AI wysokiego ryzyka (w tym niemal cała AI w HR) muszą być w pełni zgodne do 2 sierpnia 2026. Kary: do 15 mln euro lub 3% globalnego obrotu.
Pakiet Digital Omnibus mógłby przesunąć deadline High-Risk na grudzień 2027 - ale nie został przyjęty. Planuj z terminem sierpień 2026.
Pierwszy krok dla każdej firmy: pełna inwentaryzacja systemów AI obejmująca wszystkie oficjalnie wdrożone i Shadow AI w ciągu czterech do ośmiu tygodni.

Według Gartner (2025), mniej niż 10% organizacji objętych EU AI Act ukończyło inwentaryzację systemów AI - podstawowy krok do zgodności. Komisja Europejska szacuje, że ponad 300 000 przedsiębiorstw w UE wdraża systemy AI, które mogą podlegać zakresowi regulacji.

Kamień milowy	Data	Status	Główne obowiązki
Wejście w życie	Sierpień 2024	Aktywne	Ustanowienie ram prawnych
Zakazane praktyki + AI Literacy	Luty 2025	Aktywne	Zakaz Social Scoring, manipulacji; obowiązek szkoleniowy
Obowiązki GPAI	Sierpień 2025	Aktywne	Transparentność, oznaczanie, inwentaryzacja governance
Systemy High-Risk	Sierpień 2026	Za 6 miesięcy	Pełna zgodność: zarządzanie ryzykiem, governance danych, Human Oversight
Pozostałe przepisy	Sierpień 2027	2027	Reguły branżowe, pozostałe kategorie

Pierwsze kompleksowe prawo o AI na świecie

EU AI Act obowiązuje od sierpnia 2024. To pierwsze na świecie kompleksowe prawo regulujące sztuczną inteligencję i dotyczy każdej firmy, która rozwija, wdraża lub udostępnia systemy AI. W lutym 2026 jesteśmy w środku fazy wdrażania: dwa terminy już upłynęły, następny nadchodzi za sześć miesięcy. Kto się nie przygotował, ma problem. Kto zaczyna przygotowania teraz, jeszcze ma czas.

Dla polskich firm jest to szczególnie istotne: w przeciwieństwie do RODO, które było wdrażane stopniowo, EU AI Act wprowadza precyzyjne kategorie ryzyka i konkretne terminy. Ten artykuł daje rzeczowy przegląd aktualnego stanu: co już obowiązuje, co nadchodzi i kiedy, jakie obowiązki dotyczą Twojej firmy i co powinieneś zrobić w ciągu najbliższych 90 dni.

Harmonogram: Pięć kamieni milowych

Stopniowe wdrażanie EU AI Act rozciąga się na trzy lata. Każdy kamień milowy aktywuje inne obowiązki.

Sierpień 2024        Luty 2025            Sierpień 2025       Sierpień 2026        Sierpień 2027
|                    |                    |                   |                    |
v                    v                    v                   v                    v
Wejście w życie    Zakazane praktyki    Obowiązki GPAI      Systemy High-Risk    Pozostałe
AI + AI Literacy     obowiązują          muszą być            przepisy
zgodne
AKTYWNE              AKTYWNE             ZA 6 MIESIĘCY        2027

Dla firm oznacza to: Dwa etapy są już prawnie wiążące. Trzeci, dla wielu firm najkrytyczniejszy, etap wchodzi w życie za sześć miesięcy. Przygotowanie do niego wymaga typowo od czterech do sześciu miesięcy. Czasu jest mało.

Co już obowiązuje

Zakazane praktyki AI (od lutego 2025)

Od 2 lutego 2025 określone zastosowania AI są w UE całkowicie zakazane. Dotyczy to:

Social Scoring: Systemy AI oceniające osoby na podstawie ich zachowań społecznych i wyciągające z tego niekorzystne konsekwencje w niezwiązanych kontekstach.
Manipulacyjna AI: Systemy manipulujące zachowaniem ludzkim przez techniki podprogowe, takie jak dark patterns wymuszające decyzje zakupowe lub zgody.
Biometria w czasie rzeczywistym w przestrzeni publicznej: Identyfikacja biometryczna w czasie rzeczywistym jest zasadniczo zakazana. Wąskie wyjątki istnieją dla organów ścigania przy ciężkich przestępstwach, zwalczaniu terroryzmu i poszukiwaniu osób zaginionych, każdy z autoryzacją sądową.
Rozpoznawanie emocji w miejscu pracy i placówkach edukacyjnych: Systemy AI rozpoznające emocje pracowników lub uczniów są niedopuszczalne.
Predictive Policing na podstawie cech indywidualnych: Oceny ryzyka przestępczości oparte wyłącznie na cechach osobistych.

Sankcje: Naruszenia zakazów są karane grzywną do 35 milionów euro lub 7 procent globalnego rocznego obrotu, w zależności od tego, która kwota jest wyższa.

Dla większości polskich firm te zakazy nie wymagają bezpośrednich działań, ponieważ opisane zastosowania rzadko występują w kontekście biznesowym. Ale weryfikacja jest obowiązkowa: upewnij się, że żaden z Twoich systemów AI nie podlega tym kategoriom.

AI Literacy (od lutego 2025)

Równolegle z zakazami od lutego 2025 obowiązuje obowiązek AI Literacy zgodnie z Artykułem 4: Wszystkie osoby, które obsługują, wdrażają lub korzystają z systemów AI, muszą dysponować odpowiednim poziomem kompetencji AI. Kompetencja musi być adekwatna do kontekstu - programista potrzebuje głębszej wiedzy niż użytkownik końcowy korzystający z chatbota.

Co to oznacza konkretnie:

Obowiązek szkoleniowy: Firmy muszą być w stanie udowodnić, że ich pracownicy zostali przeszkoleni.
Obowiązek dokumentacyjny: Treści szkoleniowe, listy uczestników i interwały odświeżania muszą być udokumentowane.
Adekwatność kontekstowa: Szkolenie musi odpowiadać roli. Ogólny e-learning nie wystarczy dla decydentów, którzy wybierają i odpowiadają za systemy AI.

Obowiązek AI Literacy jest często niedoceniany, bo nie stawia wysokich wymagań technicznych. Ale już jest egzekwowalny. I dotyczy każdej firmy korzystającej z AI, niezależnie od klasy ryzyka systemu.

Obowiązki GPAI (od sierpnia 2025)

Od sierpnia 2025 obowiązują obowiązki przejrzystości i dokumentacji dla modeli General-Purpose AI (GPAI). Dotyczą one przede wszystkim dostawców modeli językowych, nie firm, które z nich korzystają. Ale jako deployer - firma stosująca model GPAI we własnych aplikacjach - masz obowiązki:

Oznaczenia użycia: Jeśli Twoja aplikacja generuje treści, które mogą być mylnie uznane za stworzone przez człowieka, musisz to oznaczyć.
Przejrzystość wobec użytkowników: Osoby wchodzące w interakcje z systemem AI muszą być o tym informowane.
Infrastruktura governance: Musisz być w stanie udokumentować, jakie modele GPAI stosujesz, w jakim kontekście i z jakimi środkami ochrony.

Obowiązki GPAI wymagają rzetelnej inwentaryzacji: Jakie modele AI stosujesz? Od jakiego dostawcy? W jakiej aplikacji? Z jaką klasyfikacją ryzyka? Te informacje stanowią fundament pod zgodność High-Risk, która wchodzi w życie za sześć miesięcy.

Co nadchodzi za sześć miesięcy: Systemy High-Risk (sierpień 2026)

Deadline High-Risk 2 sierpnia 2026 to dla większości firm najkrytyczniejszy termin EU AI Act. Od tej daty wszystkie systemy AI podlegające Załącznikowi III muszą być w pełni zgodne. Wymagania są rozległe.

Jakie systemy podlegają High Risk?

Załącznik III EU AI Act definiuje osiem obszarów, w których systemy AI są klasyfikowane jako wysokiego ryzyka. Najistotniejsze dla firm:

Zatrudnienie, zarządzanie personelem i dostęp do samozatrudnienia: Systemy AI do ogłoszeń o pracę, selekcji kandydatów, oceny wydajności, decyzji o awansach i zwolnieniach.
Zdolność kredytowa i ubezpieczenia: Automatyczna ocena wiarygodności kredytowej, scoring ryzyka.
Identyfikacja biometryczna: Rozpoznawanie twarzy, identyfikacja głosu, również w przestrzeni niepublicznej.
Infrastruktura krytyczna: Systemy AI w energetyce, gospodarce wodnej, transporcie, telekomunikacji.
Edukacja i szkolenia zawodowe: Automatyczna ocena egzaminów, kontrola dostępu do placówek edukacyjnych.

Wymagania wobec systemów High-Risk

Jeśli jeden z Twoich systemów AI został zaklasyfikowany jako High Risk, musisz do sierpnia 2026 spełnić następujące wymagania:

System zarządzania ryzykiem: Udokumentowany system identyfikacji, analizy i minimalizacji ryzyk w całym cyklu życia systemu AI.
Governance danych: Wymagania dotyczące jakości, reprezentatywności i bezbłędności danych treningowych. Przy użyciu modeli pretrenowanych: dokumentacja pochodzenia danych i dostrojenia.
Dokumentacja techniczna: Kompleksowa dokumentacja systemu przed wdrożeniem: architektura, procedury treningowe, metryki wydajności, procedury testowe, ograniczenia.
Obowiązki rejestrowania: Automatyczne protokołowanie wszystkich istotnych zdarzeń (logging), aby zapewnić odtwarzalność decyzji.
Przejrzystość: Instrukcje użytkowania dla deployerów umożliwiające prawidłowe użycie.
Nadzór ludzki (Human Oversight): Środki techniczne umożliwiające skuteczny nadzór przez człowieka. Decision Layer to architektura, która technicznie realizuje właśnie to wymaganie.
Dokładność, odporność, cyberbezpieczeństwo: System musi niezawodnie osiągać zadeklarowaną wydajność i być chroniony przed manipulacją.
Ocena zgodności: Dla określonych kategorii wymagana jest ocena przez jednostkę notyfikowaną (Conformity Assessment Body). Dla innych wystarcza samoocena.

Sankcje: Naruszenia obowiązków High-Risk są karane grzywną do 15 milionów euro lub 3 procent globalnego rocznego obrotu.

Szczególne znaczenie dla HR

Obszar HR to dział firmy, w którym aplikacje AI najczęściej podlegają kategorii High-Risk. Wynika to z Załącznika III, pkt 4 - Zatrudnienie i zarządzanie personelem. Klasyfikacja obejmuje:

Automatyczne screenowanie aplikacji: High Risk. Każdy system AI, który wstępnie sortuje, ocenia lub filtruje aplikacje o pracę, podlega kategorii High-Risk. Niezależnie od tego, czy finalną decyzję podejmuje człowiek. Już sama preselekcja jest regulowana.

Oceny wydajności wspierane przez AI: High Risk. Gdy systemy AI analizują dane o wydajności i na ich podstawie wystawiają oceny lub przygotowują oceny, to jest High Risk. Dotyczy to także systemów, które wydają jedynie rekomendacje.

Predictive Attrition: High Risk. Systemy AI przewidujące, którzy pracownicy prawdopodobnie odejdą z firmy, przetwarzają dane osobowe w celu podejmowania decyzji zatrudnieniowych. To jest High Risk.

Automatyczna optymalizacja grafiku: potencjalnie High Risk. Jeśli system AI tworzy grafiki zmian i przy tym przetwarza indywidualne preferencje, dane o wydajności lub informacje zdrowotne, może podlegać High Risk. Klasyfikacja zależy od konkretnego zakresu danych.

Dla działów HR oznacza to: Zinwentaryzuj wszystkie systemy AI stosowane w kontekstach zatrudnieniowych. Sprawdź klasyfikację. Rozpocznij przygotowania do zgodności - sześć miesięcy do sierpnia 2026 to napięty harmonogram na osiągnięcie pełnej zgodności High-Risk. Więcej informacji o współdziałaniu AI i HR znajdziesz pod adresem HR & AI Agents.

Digital Omnibus: Możliwe przesunięcie

Komisja Europejska zaproponowała pod koniec 2025 pakiet Digital Omnibus, który może między innymi przesunąć terminy High-Risk EU AI Act na grudzień 2027. Pakiet adresuje również uproszczenie obowiązków sprawozdawczych i podniesienie progów dla MŚP.

Aktualny stan: Pakiet Digital Omnibus to propozycja Komisji. Musi zostać przyjęty przez Parlament Europejski i Radę. Stan na luty 2026 - procedura legislacyjna nie jest zakończona. Nie ma gwarancji, że pakiet zostanie przyjęty w proponowanej formie. Nie ma gwarancji, że zostanie przyjęty w ogóle.

Rekomendacja: Planuj z terminem sierpień 2026. Jeśli Digital Omnibus rzeczywiście przyniesie przesunięcie, zyskasz dodatkowy czas. Jeśli nie, jesteś przygotowany. Planowanie zgodności, które zakłada się na niepewne wydłużenie terminu, to unikalne ryzyko.

Praktyczna rekomendacja: Rozpocznij inwentaryzację systemów AI

Niezależnie od tego, czy Twoje systemy AI podlegają High Risk, czy nie: pierwszy krok jest zawsze taki sam. Potrzebujesz kompletnej inwentaryzacji wszystkich systemów AI w firmie.

Co należy udokumentować

Dla każdego systemu AI dokumentujesz:

Nazwa i opis systemu: Co robi system? Jaki proces wspiera?
Dostawca i model: Jaki model AI jest stosowany? Od jakiego dostawcy? Cloud API czy self-hosted?
Rola Twojej firmy: Jesteś dostawcą (provider), operatorem (deployer) czy jednym i drugim?
Klasyfikacja ryzyka: Czy system podlega jednej z kategorii Załącznika III (High Risk)? Zakazom z Artykułu 5? Czy jest to system o ograniczonym ryzyku?
Osoby, których dotyczy: Na jakie osoby wpływają decyzje lub wyniki systemu?
Przetwarzanie danych: Jakie dane przetwarza system? Dane osobowe? Tajemnice handlowe?
Środki ochrony: Jakie środki techniczne i organizacyjne są wdrożone? Human Oversight? Audit Trail?

Harmonogram

Inwentaryzację systemów AI dla średniej firmy można wykonać w cztery do ośmiu tygodni. Nakład pracy zależy od liczby systemów, stanu dokumentacji i koordynacji wewnętrznej. Zacznij od oczywistych systemów - oficjalnie zakupionych narzędzi AI - a następnie rozszerz na Shadow AI: systemy AI, które pracownicy używają samodzielnie, bez wiedzy działu IT.

Inwentaryzacja to nie zadanie jednorazowe. Musi być aktualizowana na bieżąco, ponieważ pojawiają się nowe systemy, istniejące systemy są modyfikowane, a ocena regulacyjna ewoluuje. Infrastruktura governance musi być zbudowana tak, aby inwentaryzacja pozostawała żywym dokumentem.

Podsumowanie: Co powinieneś zrobić teraz

Sprawdź zakazy. Upewnij się, że żaden z Twoich systemów AI nie podlega praktykom zakazanym od lutego 2025.
Spełnij obowiązek AI Literacy. Udokumentuj szkolenia dla wszystkich użytkowników AI w firmie. Obowiązek obowiązuje już teraz.
Stwórz inwentaryzację systemów AI. Zarejestruj wszystkie systemy AI, ich dostawców, kontekst zastosowania i klasyfikację ryzyka. Ramy czasowe: cztery do ośmiu tygodni.
Zidentyfikuj systemy High-Risk. Sprawdź szczególnie obszar HR, decyzje kredytowe i zautomatyzowane procesy bezpośrednio wpływające na osoby.
Rozpocznij zgodność High-Risk. Dla systemów podlegających Załącznikowi III: zbuduj system zarządzania ryzykiem, governance danych, dokumentację techniczną i Human Oversight. Deadline: sierpień 2026.
Nie planuj w oparciu o Digital Omnibus. Możliwe przesunięcie to bonus, nie podstawa planowania.

Gosign towarzyszy firmom w drodze do zgodności z EU AI Act - od inwentaryzacji systemów po ocenę zgodności. Jeśli chcesz wiedzieć, gdzie stoi Twoja firma, porozmawiaj z nami.

Umów spotkanie. 30 minut, w których ocenimy Twój status zgodności.