EU AI Act obowiązuje. Dwa terminy już upłynęły, krytyczny deadline High-Risk nadchodzi za sześć miesięcy. Oto aktualny stan, obowiązki i co firmy muszą zrobić teraz.

W skrócie - EU AI Act 2026: status dla firm

  • Zakazane praktyki AI (Social Scoring, manipulacja, rozpoznawanie emocji w pracy) oraz obowiązek AI Literacy są prawnie wiążące od lutego 2025.
  • Obowiązki transparentności i dokumentacji GPAI dla operatorów modeli General-Purpose AI obowiązują od sierpnia 2025.
  • Krytyczny termin: wszystkie systemy AI wysokiego ryzyka (w tym niemal cała AI w HR) muszą być w pełni zgodne do 2 sierpnia 2026. Kary: do 15 mln euro lub 3% globalnego obrotu.
  • Klasyfikacja wysokiego ryzyka pozostaje w mocy. Zgodnie z obowiązującym prawem deadline High-Risk to 2 sierpnia 2026, ale na mocy wstępnego porozumienia politycznego pakietu Digital Omnibus z 7 maja 2026 r. ma zostać przesunięty na 2 grudnia 2027 r. Formalne przyjęcie i publikacja w Dzienniku Urzędowym UE są jeszcze w toku (stan na czerwiec 2026) - czas warto wykorzystać na przygotowanie.
  • Pierwszy krok dla każdej firmy: pełna inwentaryzacja systemów AI obejmująca wszystkie oficjalnie wdrożone i Shadow AI w ciągu czterech do ośmiu tygodni.

Według Gartner (2025), mniej niż 10% organizacji objętych EU AI Act ukończyło inwentaryzację systemów AI - podstawowy krok do zgodności. Komisja Europejska szacuje, że ponad 300 000 przedsiębiorstw w UE wdraża systemy AI, które mogą podlegać zakresowi regulacji.

Kamień milowyDataStatusGłówne obowiązki
Wejście w życieSierpień 2024AktywneUstanowienie ram prawnych
Zakazane praktyki + AI LiteracyLuty 2025AktywneZakaz Social Scoring, manipulacji; obowiązek szkoleniowy
Obowiązki GPAISierpień 2025AktywneTransparentność, oznaczanie, inwentaryzacja governance
Systemy High-RiskSierpień 2026Za 6 miesięcyPełna zgodność: zarządzanie ryzykiem, governance danych, Human Oversight
Pozostałe przepisySierpień 20272027Reguły branżowe, pozostałe kategorie

Pierwsze kompleksowe prawo o AI na świecie

EU AI Act obowiązuje od sierpnia 2024. To pierwsze na świecie kompleksowe prawo regulujące sztuczną inteligencję i dotyczy każdej firmy, która rozwija, wdraża lub udostępnia systemy AI. W lutym 2026 jesteśmy w środku fazy wdrażania: dwa terminy już upłynęły, następny nadchodzi za sześć miesięcy. Kto się nie przygotował, ma problem. Kto zaczyna przygotowania teraz, jeszcze ma czas.

Dla polskich firm jest to szczególnie istotne: w przeciwieństwie do RODO, które było wdrażane stopniowo, EU AI Act wprowadza precyzyjne kategorie ryzyka i konkretne terminy. Ten artykuł daje rzeczowy przegląd aktualnego stanu: co już obowiązuje, co nadchodzi i kiedy, jakie obowiązki dotyczą Twojej firmy i co powinieneś zrobić w ciągu najbliższych 90 dni.

Harmonogram: Pięć kamieni milowych

Stopniowe wdrażanie EU AI Act rozciąga się na trzy lata. Każdy kamień milowy aktywuje inne obowiązki.

Sierpień 2024        Luty 2025            Sierpień 2025       Sierpień 2026        Sierpień 2027
|                    |                    |                   |                    |
v                    v                    v                   v                    v
Wejście w życie    Zakazane praktyki    Obowiązki GPAI      Systemy High-Risk    Pozostałe
AI + AI Literacy     obowiązują          muszą być            przepisy
zgodne
AKTYWNE              AKTYWNE             ZA 6 MIESIĘCY        2027

Dla firm oznacza to: Dwa etapy są już prawnie wiążące. Trzeci, dla wielu firm najkrytyczniejszy, etap wchodzi w życie za sześć miesięcy. Przygotowanie do niego wymaga typowo od czterech do sześciu miesięcy. Czasu jest mało.

Co już obowiązuje

Zakazane praktyki AI (od lutego 2025)

Od 2 lutego 2025 określone zastosowania AI są w UE całkowicie zakazane. Dotyczy to:

  • Social Scoring: Systemy AI oceniające osoby na podstawie ich zachowań społecznych i wyciągające z tego niekorzystne konsekwencje w niezwiązanych kontekstach.
  • Manipulacyjna AI: Systemy manipulujące zachowaniem ludzkim przez techniki podprogowe, takie jak dark patterns wymuszające decyzje zakupowe lub zgody.
  • Biometria w czasie rzeczywistym w przestrzeni publicznej: Identyfikacja biometryczna w czasie rzeczywistym jest zasadniczo zakazana. Wąskie wyjątki istnieją dla organów ścigania przy ciężkich przestępstwach, zwalczaniu terroryzmu i poszukiwaniu osób zaginionych, każdy z autoryzacją sądową.
  • Rozpoznawanie emocji w miejscu pracy i placówkach edukacyjnych: Systemy AI rozpoznające emocje pracowników lub uczniów są niedopuszczalne.
  • Predictive Policing na podstawie cech indywidualnych: Oceny ryzyka przestępczości oparte wyłącznie na cechach osobistych.

Sankcje: Naruszenia zakazów są karane grzywną do 35 milionów euro lub 7 procent globalnego rocznego obrotu, w zależności od tego, która kwota jest wyższa.

Dla większości polskich firm te zakazy nie wymagają bezpośrednich działań, ponieważ opisane zastosowania rzadko występują w kontekście biznesowym. Ale weryfikacja jest obowiązkowa: upewnij się, że żaden z Twoich systemów AI nie podlega tym kategoriom.

AI Literacy (od lutego 2025)

Równolegle z zakazami od lutego 2025 obowiązuje obowiązek AI Literacy zgodnie z Artykułem 4: Wszystkie osoby, które obsługują, wdrażają lub korzystają z systemów AI, muszą dysponować odpowiednim poziomem kompetencji AI. Kompetencja musi być adekwatna do kontekstu - programista potrzebuje głębszej wiedzy niż użytkownik końcowy korzystający z chatbota.

Co to oznacza konkretnie:

  • Obowiązek szkoleniowy: Firmy muszą być w stanie udowodnić, że ich pracownicy zostali przeszkoleni.
  • Obowiązek dokumentacyjny: Treści szkoleniowe, listy uczestników i interwały odświeżania muszą być udokumentowane.
  • Adekwatność kontekstowa: Szkolenie musi odpowiadać roli. Ogólny e-learning nie wystarczy dla decydentów, którzy wybierają i odpowiadają za systemy AI.

Obowiązek AI Literacy jest często niedoceniany, bo nie stawia wysokich wymagań technicznych. Ale już jest egzekwowalny. I dotyczy każdej firmy korzystającej z AI, niezależnie od klasy ryzyka systemu.

Obowiązki GPAI (od sierpnia 2025)

Od sierpnia 2025 obowiązują obowiązki przejrzystości i dokumentacji dla modeli General-Purpose AI (GPAI). Dotyczą one przede wszystkim dostawców modeli językowych, nie firm, które z nich korzystają. Ale jako deployer - firma stosująca model GPAI we własnych aplikacjach - masz obowiązki:

  • Oznaczenia użycia: Jeśli Twoja aplikacja generuje treści, które mogą być mylnie uznane za stworzone przez człowieka, musisz to oznaczyć.
  • Przejrzystość wobec użytkowników: Osoby wchodzące w interakcje z systemem AI muszą być o tym informowane.
  • Infrastruktura governance: Musisz być w stanie udokumentować, jakie modele GPAI stosujesz, w jakim kontekście i z jakimi środkami ochrony.

Obowiązki GPAI wymagają rzetelnej inwentaryzacji: Jakie modele AI stosujesz? Od jakiego dostawcy? W jakiej aplikacji? Z jaką klasyfikacją ryzyka? Te informacje stanowią fundament pod zgodność High-Risk, która wchodzi w życie za sześć miesięcy.

Co nadchodzi za sześć miesięcy: Systemy High-Risk (sierpień 2026)

Obowiązujący deadline High-Risk to 2 sierpnia 2026 r. - dla większości firm najkrytyczniejszy termin EU AI Act. Od tej daty wszystkie systemy AI podlegające Załącznikowi III muszą być w pełni zgodne (z zastrzeżeniem wstępnie uzgodnionego przesunięcia na 2 grudnia 2027 r. - Digital Omnibus, maj 2026, przyjęcie w toku). Wymagania są rozległe i niezależne od daty granicznej.

Jakie systemy podlegają High Risk?

Załącznik III EU AI Act definiuje osiem obszarów, w których systemy AI są klasyfikowane jako wysokiego ryzyka. Najistotniejsze dla firm:

  • Zatrudnienie, zarządzanie personelem i dostęp do samozatrudnienia: Systemy AI do ogłoszeń o pracę, selekcji kandydatów, oceny wydajności, decyzji o awansach i zwolnieniach.
  • Zdolność kredytowa i ubezpieczenia: Automatyczna ocena wiarygodności kredytowej, scoring ryzyka.
  • Identyfikacja biometryczna: Rozpoznawanie twarzy, identyfikacja głosu, również w przestrzeni niepublicznej.
  • Infrastruktura krytyczna: Systemy AI w energetyce, gospodarce wodnej, transporcie, telekomunikacji.
  • Edukacja i szkolenia zawodowe: Automatyczna ocena egzaminów, kontrola dostępu do placówek edukacyjnych.

Wymagania wobec systemów High-Risk

Jeśli jeden z Twoich systemów AI został zaklasyfikowany jako High Risk, musisz do sierpnia 2026 spełnić następujące wymagania:

  1. System zarządzania ryzykiem: Udokumentowany system identyfikacji, analizy i minimalizacji ryzyk w całym cyklu życia systemu AI.
  2. Governance danych: Wymagania dotyczące jakości, reprezentatywności i bezbłędności danych treningowych. Przy użyciu modeli pretrenowanych: dokumentacja pochodzenia danych i dostrojenia.
  3. Dokumentacja techniczna: Kompleksowa dokumentacja systemu przed wdrożeniem: architektura, procedury treningowe, metryki wydajności, procedury testowe, ograniczenia.
  4. Obowiązki rejestrowania: Automatyczne protokołowanie wszystkich istotnych zdarzeń (logging), aby zapewnić odtwarzalność decyzji.
  5. Przejrzystość: Instrukcje użytkowania dla deployerów umożliwiające prawidłowe użycie.
  6. Nadzór ludzki (Human Oversight): Środki techniczne umożliwiające skuteczny nadzór przez człowieka. Decision Layer to architektura, która technicznie realizuje właśnie to wymaganie.
  7. Dokładność, odporność, cyberbezpieczeństwo: System musi niezawodnie osiągać zadeklarowaną wydajność i być chroniony przed manipulacją.
  8. Ocena zgodności: Dla określonych kategorii wymagana jest ocena przez jednostkę notyfikowaną (Conformity Assessment Body). Dla innych wystarcza samoocena.

Sankcje: Naruszenia obowiązków High-Risk są karane grzywną do 15 milionów euro lub 3 procent globalnego rocznego obrotu.

Szczególne znaczenie dla HR

Obszar HR to dział firmy, w którym aplikacje AI najczęściej podlegają kategorii High-Risk. Wynika to z Załącznika III, pkt 4 - Zatrudnienie i zarządzanie personelem. Klasyfikacja obejmuje:

Automatyczne screenowanie aplikacji: High Risk. Każdy system AI, który wstępnie sortuje, ocenia lub filtruje aplikacje o pracę, podlega kategorii High-Risk. Niezależnie od tego, czy finalną decyzję podejmuje człowiek. Już sama preselekcja jest regulowana.

Oceny wydajności wspierane przez AI: High Risk. Gdy systemy AI analizują dane o wydajności i na ich podstawie wystawiają oceny lub przygotowują oceny, to jest High Risk. Dotyczy to także systemów, które wydają jedynie rekomendacje.

Predictive Attrition: High Risk. Systemy AI przewidujące, którzy pracownicy prawdopodobnie odejdą z firmy, przetwarzają dane osobowe w celu podejmowania decyzji zatrudnieniowych. To jest High Risk.

Automatyczna optymalizacja grafiku: potencjalnie High Risk. Jeśli system AI tworzy grafiki zmian i przy tym przetwarza indywidualne preferencje, dane o wydajności lub informacje zdrowotne, może podlegać High Risk. Klasyfikacja zależy od konkretnego zakresu danych.

Dla działów HR oznacza to: Zinwentaryzuj wszystkie systemy AI stosowane w kontekstach zatrudnieniowych. Sprawdź klasyfikację. Rozpocznij przygotowania do zgodności. Obowiązującym terminem jest 2 sierpnia 2026 r.; nawet jeśli wstępnie uzgodnione przesunięcie na grudzień 2027 r. (Digital Omnibus) wejdzie w życie, budowa pełnej zgodności High-Risk trwa miesiącami - dodatkowy czas to margines na rzetelną pracę, nie na zwłokę. Więcej informacji o współdziałaniu AI i HR znajdziesz pod adresem HR & AI Agents.

Digital Omnibus: Przesunięcie wstępnie uzgodnione

Komisja Europejska zaproponowała pod koniec 2025 pakiet Digital Omnibus, który może między innymi przesunąć terminy High-Risk EU AI Act na maksymalnie grudzień 2027. Pakiet adresuje również uproszczenie obowiązków sprawozdawczych i podniesienie progów dla MŚP. Przesunięcie jest warunkowe: wchodzi w życie dopiero po udostępnieniu norm zharmonizowanych. Następnie obowiązuje sześć miesięcy okresu przejściowego dla systemów z Załącznika III i dwanaście miesięcy dla systemów z Załącznika I. Ostateczny termin graniczny to 2 grudnia 2027.

Aktualny stan (czerwiec 2026): 7 maja 2026 r. Rada i Parlament Europejski osiągnęły wstępne porozumienie polityczne o przesunięciu deadline’u High-Risk z 2 sierpnia 2026 r. na 2 grudnia 2027 r. To wstępne porozumienie - nie ostateczne prawo. Formalne przyjęcie przez obie instytucje i publikacja w Dzienniku Urzędowym UE są jeszcze w toku; oczekuje się ich przed 2 sierpnia 2026 r. Dopóki publikacja nie nastąpi, obowiązującym terminem prawnym pozostaje 2 sierpnia 2026 r.

Rekomendacja: Klasyfikacja wysokiego ryzyka pozostaje w mocy niezależnie od terminu - to się nie zmienia. Obowiązującym prawem jest deadline 2 sierpnia 2026 r., a wstępnie uzgodnione przesunięcie na 2 grudnia 2027 r. najprawdopodobniej da firmom dodatkowy czas. Potraktuj go jako realny zysk czasowy na rzetelne przygotowanie, a nie jako pretekst do zwłoki: decyzje architektoniczne (governance, nadzór człowieka, audit trail) i tak trzeba podjąć teraz, bo ich wdrożenie trwa miesiącami niezależnie od daty granicznej.

Praktyczna rekomendacja: Rozpocznij inwentaryzację systemów AI

Niezależnie od tego, czy Twoje systemy AI podlegają High Risk, czy nie: pierwszy krok jest zawsze taki sam. Potrzebujesz kompletnej inwentaryzacji wszystkich systemów AI w firmie.

Co należy udokumentować

Dla każdego systemu AI dokumentujesz:

  • Nazwa i opis systemu: Co robi system? Jaki proces wspiera?
  • Dostawca i model: Jaki model AI jest stosowany? Od jakiego dostawcy? Cloud API czy self-hosted?
  • Rola Twojej firmy: Jesteś dostawcą (provider), operatorem (deployer) czy jednym i drugim?
  • Klasyfikacja ryzyka: Czy system podlega jednej z kategorii Załącznika III (High Risk)? Zakazom z Artykułu 5? Czy jest to system o ograniczonym ryzyku?
  • Osoby, których dotyczy: Na jakie osoby wpływają decyzje lub wyniki systemu?
  • Przetwarzanie danych: Jakie dane przetwarza system? Dane osobowe? Tajemnice handlowe?
  • Środki ochrony: Jakie środki techniczne i organizacyjne są wdrożone? Human Oversight? Audit Trail?

Harmonogram

Inwentaryzację systemów AI dla średniej firmy można wykonać w cztery do ośmiu tygodni. Nakład pracy zależy od liczby systemów, stanu dokumentacji i koordynacji wewnętrznej. Zacznij od oczywistych systemów - oficjalnie zakupionych narzędzi AI - a następnie rozszerz na Shadow AI: systemy AI, które pracownicy używają samodzielnie, bez wiedzy działu IT.

Inwentaryzacja to nie zadanie jednorazowe. Musi być aktualizowana na bieżąco, ponieważ pojawiają się nowe systemy, istniejące systemy są modyfikowane, a ocena regulacyjna ewoluuje. Infrastruktura governance musi być zbudowana tak, aby inwentaryzacja pozostawała żywym dokumentem.

Podsumowanie: Co powinieneś zrobić teraz

  1. Sprawdź zakazy. Upewnij się, że żaden z Twoich systemów AI nie podlega praktykom zakazanym od lutego 2025.
  2. Spełnij obowiązek AI Literacy. Udokumentuj szkolenia dla wszystkich użytkowników AI w firmie. Obowiązek obowiązuje już teraz.
  3. Stwórz inwentaryzację systemów AI. Zarejestruj wszystkie systemy AI, ich dostawców, kontekst zastosowania i klasyfikację ryzyka. Ramy czasowe: cztery do ośmiu tygodni.
  4. Zidentyfikuj systemy High-Risk. Sprawdź szczególnie obszar HR, decyzje kredytowe i zautomatyzowane procesy bezpośrednio wpływające na osoby.
  5. Rozpocznij zgodność High-Risk. Dla systemów podlegających Załącznikowi III: zbuduj system zarządzania ryzykiem, governance danych, dokumentację techniczną i Human Oversight. Obowiązujący deadline: 2 sierpnia 2026 r. (z zastrzeżeniem wstępnie uzgodnionego przesunięcia na grudzień 2027 r.).
  6. Zaplanuj z myślą o obu terminach. Obowiązującym prawem jest deadline 2 sierpnia 2026 r.; przesunięcie na 2 grudnia 2027 r. zostało wstępnie uzgodnione 7 maja 2026 r. (Digital Omnibus), a jego formalne przyjęcie jest w toku. Klasyfikacja wysokiego ryzyka nie zmienia się w żadnym wariancie - wykorzystaj prawdopodobny dodatkowy czas na rzetelne przygotowanie, nie na zwłokę.

Gosign towarzyszy firmom w drodze do zgodności z EU AI Act - od inwentaryzacji systemów po ocenę zgodności. Jeśli chcesz wiedzieć, gdzie stoi Twoja firma, porozmawiaj z nami.

Umów spotkanie. 30 minut, w których ocenimy Twój status zgodności.

Bert Gogolin

Bert Gogolin

Dyrektor Generalny, Gosign

AI Governance Briefing

Enterprise AI, regulacje i infrastruktura - raz w miesiącu, bezpośrednio ode mnie.

Bez spamu. Możliwość rezygnacji w każdej chwili. Polityka prywatności