AI Act 2026 jak wdrożyć w firmie: playbook

Od 2 sierpnia 2026 r. organy nadzoru w całej UE mogą egzekwować pełne wymogi AI Act (UE) – Rozporządzenia 2024/1689. Dotyczy to każdej organizacji, która wdraża, integruje lub dystrybuuje systemy AI w Europie – niezależnie od siedziby. Poniżej znajdziesz gotowy plan działania: od inwentaryzacji po audyt łańcucha dostaw.

Co naprawdę zmienia się w sierpniu 2026?

AI Act obowiązuje od 1 sierpnia 2024 r., ale jego przepisy wchodziły etapami. Pierwsze twarde zakazy (m.in. niektórych form biometrycznej inwigilacji masowej) oraz obowiązki podnoszenia kompetencji pracowników (AI literacy) uruchomiono 2 lutego 2025 r. Obowiązki dla dostawców ogólnych modeli AI (GPAI) – takich jak duże modele językowe – zaczęły obowiązywać 2 sierpnia 2025 r.

2 sierpnia 2026 r. to próg, po którym pełne uprawnienia egzekucyjne dotyczą systemów wysokiego ryzyka, a krajowe organy nadzoru – w Polsce planowane w strukturze KRiBSI oraz współpracujący z nimi Prezes UODO w sprawach ochrony danych – mogą nakładać kary. Dodatkowy termin dla systemów wysokiego ryzyka zintegrowanych z sektorowo regulowanymi produktami (np. wyroby medyczne) przypada na 2 sierpnia 2027 r.

Organizacje, które zlekceważą te daty, narażają się na kary do 35 mln EUR lub 7% globalnego rocznego obrotu (wyższa z kwot) w przypadku najpoważniejszych naruszeń.

Kogo dotyczy AI Act – szybki test dla polskiej firmy

Rozporządzenie obejmuje cztery kategorie podmiotów:

• Dostawcy (providers) – tworzą lub wprowadzają do obrotu systemy AI.
• Wdrażający (deployers) – używają cudzych systemów AI w działalności zawodowej lub produkcyjnej.
• Importerzy i dystrybutorzy – pośredniczą w łańcuchu dostaw AI.
• Producenci produktów z wbudowaną AI – np. urządzenia medyczne, maszyny przemysłowe.

Jeśli polska firma korzysta z zewnętrznego narzędzia AI do oceny wniosków kredytowych, rekrutacji lub diagnozowania pacjentów – jest deployerem i podlega obowiązkom bez względu na to, kto zbudował algorytm. Wyłączenia dotyczą zastosowań wyłącznie wojskowych, badań naukowych B+R, niektórych rozwiązań open-source oraz użytku osobistego.

Klasyfikacja ryzyka: od czego zacząć inwentaryzację

Podstawowy krok to zbudowanie rejestru wszystkich systemów AI w organizacji i przypisanie każdemu z nich poziomu ryzyka zgodnie ze schematem AI Act:

Błędna klasyfikacja to najczęstszy błąd organizacji. Narzędzie do automatycznej selekcji CV może być sklasyfikowane jako „tylko wspierające decyzję" – jednak jeśli rekomendacja algorytmu jest stosowana bez rzeczywistej weryfikacji ludzkiej, organ nadzoru może zakwestionować taką kwalifikację.

Playbook wdrożenia krok po kroku

Krok 1 – Inwentaryzacja systemów AI

Stwórz listę wszystkich narzędzi AI używanych w organizacji: od platform analitycznych po wtyczki do systemów CRM. Dla każdego narzędzia zapisz: dostawcę, cel użycia, dane wejściowe, wpływ na decyzje dotyczące ludzi. Rejestr powinien być aktualizowany przy każdym nowym wdrożeniu.

Krok 2 – Klasyfikacja ryzyka

Dla każdego systemu z rejestru przeprowadź klasyfikację według kryteriów AI Act. Pomocna jest macierz: czy system wpływa na prawa lub bezpieczeństwo ludzi? × czy decyzja jest automatyczna, bez nadzoru człowieka?. Systemy, które odpowiadają twierdząco na oba pytania, wymagają najgłębszej analizy.

Krok 3 – Dokumentacja techniczna i procedury zgodności

Dla systemów wysokiego ryzyka AI Act wymaga szczegółowej dokumentacji technicznej obejmującej: opis architektury modelu, dane treningowe, wyniki testów dokładności i bezpieczeństwa, procedury zarządzania błędami. Dokumentację należy przechowywać przez minimum 10 lat od wprowadzenia systemu na rynek.

Krok 4 – Ocena skutków dla ochrony danych (DPIA)

Większość systemów AI wysokiego ryzyka przetwarza dane osobowe – co automatycznie uruchamia obowiązek przeprowadzenia oceny skutków dla ochrony danych (DPIA) zgodnie z RODO. W Polsce nadzór nad RODO sprawuje UODO, który opublikował wytyczne dotyczące DPIA przy wdrożeniach AI. DPIA powinna być zsynchronizowana z dokumentacją AI Act – unika się wtedy dublowania pracy.

Krok 5 – Weryfikacja łańcucha dostaw

Korzystanie z narzędzia AI od zewnętrznego dostawcy nie zwalnia organizacji z obowiązków. Należy żądać od dostawców: deklaracji zgodności z AI Act, dokumentacji technicznej, informacji o danych treningowych i wynikach testów. Brak takiej dokumentacji ze strony dostawcy to sygnał ostrzegawczy – i potencjalne ryzyko dla całej organizacji.

Krok 6 – Niezależne przeglądy i testy

Przeprowadź minimum dwa niezależne przeglądy systemu AI przed datą egzekucji. Pierwszy powinien obejmować aspekty techniczne (dokładność, odporność na ataki), drugi – aspekty prawne i etyczne (przejrzystość decyzji, brak dyskryminacji). Zbieraj feedback od rzeczywistych użytkowników końcowych – ich sygnały często ujawniają problemy, które umykają wewnętrznym audytom.

Krok 7 – Plan monitoringu po wdrożeniu

AI Act nakłada obowiązek ciągłego monitorowania systemów wysokiego ryzyka po ich uruchomieniu. Zdefiniuj wskaźniki jakości działania, ustal progi alertów i przypisz odpowiedzialność za reakcję na incydenty. Poważne incydenty bezpieczeństwa systemów AI podlegają raportowaniu do właściwych organów – w Polsce szczegóły reguluje projektowana ustawa o systemach AI.

Mity o AI Act, które kosztują czas i pieniądze

„Narzędzie kupione od dużego dostawcy jest automatycznie zgodne z AI Act." Nieprawda. Odpowiedzialność za audyt, dokumentację i monitoring leży po stronie organizacji wdrażającej – nie tylko producenta. Dostawca może dostarczyć deklarację zgodności, ale nie przejmuje odpowiedzialności prawnej deployera.

„AI Act to RODO dla AI – wystarczy dostosować istniejące procedury ochrony danych." Zakresy się pokrywają, ale wymagania AI Act dotyczą bezpieczeństwa funkcjonalnego, przejrzystości algorytmów i możliwości weryfikacji działania systemu – to obszary, których RODO nie reguluje bezpośrednio.

„Mamy czas do 2026 – możemy zacząć przygotowania w 2026." Dokumentacja techniczna dla systemów wysokiego ryzyka, DPIA, weryfikacja dostawców i przeglądy niezależne wymagają miesięcy pracy. Organizacje, które zaczynają w lipcu 2026, nie są w stanie spełnić wymogów na czas.

Minimalny toolkit compliance: co musi mieć każda polska firma

• Rejestr systemów AI – lista narzędzi z klasyfikacją ryzyka, aktualizowana na bieżąco.
• Dokumentacja techniczna – dla każdego systemu wysokiego ryzyka, zgodna z wymaganiami załącznika IV AI Act.
• Procedura DPIA – zsynchronizowana z wymaganiami RODO i wytycznymi UODO.
• Umowy z dostawcami AI – z klauzulami dotyczącymi zgodności z AI Act i obowiązku dostarczenia dokumentacji.
• Plan monitoringu i reagowania na incydenty – z przypisanymi rolami i progami alertów.
• Program AI literacy – szkolenia dla pracowników korzystających z systemów AI (obowiązek od 2.02.2025).

Więcej o budowaniu kompetencji wewnętrznych znajdziesz w sekcji Edukacja AI oraz w przeglądie dostępnych szkoleń compliance na stronie narzędzi AI.

Polskie realia: KRiBSI, UODO i projektowana ustawa

Polska przygotowuje krajową ustawę uzupełniającą AI Act, która ma wskazać właściwe organy nadzoru i uruchomić piaskownice regulacyjne. W strukturze tej architektury pojawia się KRiBSI (Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji) jako planowany krajowy regulator AI. Jednocześnie UODO pozostaje organem właściwym dla RODO i będzie współpracować przy sprawach, w których systemy AI przetwarzają dane osobowe.

Szczegółowe przepisy krajowe są na etapie projektowania (stan na połowę 2025 r.) – organizacje powinny śledzić komunikaty Ministerstwa Cyfryzacji i stronę gov.pl/cyfryzacja w sprawie aktualnego statusu ustawy i wyznaczonych organów.

Praktyczne omówienie polskiego kontekstu regulacyjnego znajdziesz również w dziale Biznes i regulacje AI oraz w artykułach o cyberbezpieczeństwie systemów AI.