Administracja i Back-office

AI Act 2026: co musi zrobić Twoja firma do 2 sierpnia

2 sierpnia 2026 r. wchodzą w życie kluczowe obowiązki AI Act. Dowiedz się, które przepisy już obowiązują, jak przygotować się do audytu i jakie kary grożą za…

Redakcja · 11 lipca 2026
An accountant using a calculator and signing paperwork, showcasing financial analysis.
Fot. Mikhail Nilov / Pexels · Pexels License

Firmy mają czas do 2 sierpnia 2026 r., aby wdrożyć kluczowe obowiązki wynikające z unijnego AI Act — ale to nie oznacza, że mogą czekać z przygotowaniami do tego terminu, ponieważ część wymogów obowiązuje już od lutego 2025 r., a przygotowanie do compliance’u wymaga wielu miesięcy pracy.

Które obowiązki AI Act wchodzą w życie 2 sierpnia 2026 r.?

Najbardziej widoczną zmianą będzie artykuł 50 AI Act, który nakłada na dostawców systemów wchodzących w bezpośrednią interakcję z człowiekiem obowiązek poinformowania użytkownika, że kontaktuje się z sztuczną inteligencją. Wyjątek dotyczy sytuacji, gdy jest to oczywiste w danych okolicznościach — na przykład gdy chatbot wyraźnie się przedstawi.

Dostawcy systemów generujących syntetyczny dźwięk, obraz, film lub tekst muszą umożliwić rozpoznanie sztucznego pochodzenia treści i stosować oznaczenia w formacie nadającym się do odczytu maszynowego. Rozwiązania techniczne mają być skuteczne, interoperacyjne, odporne i wiarygodne, z uwzględnieniem specyfiki treści, kosztów oraz stanu wiedzy.

Oznaczanie AI: co dokładnie musi zawierać?

Oznaczenie treści generowanej przez AI nie wystarczy umieścić tylko w polityce prywatności. Wymaga to weryfikacji interfejsów, metadanych, procesów publikacji i umów z dostawcami.

Jeśli firma korzysta z zewnętrznego generatora (ChatGPT, Gemini, Claude), powinna sprawdzić:

  • Czy narzędzie zapewnia techniczne oznaczenie treści
  • Czy oznaczenie zachowuje się po eksporcie, kompresji i redakcji
  • Czy metadane zawierają informacje o sztucznym pochodzeniu w formacie czytelnym dla maszyn

Osoby publikujące deepfake’i oraz wygenerowane lub zmanipulowane teksty służące informowaniu opinii publicznej o sprawach leżących w interesie publicznym mają obowiązek przekazać odbiorcy jasną informację o sztucznym pochodzeniu materiału. Regulacja przewiduje wyjątki dla treści poddanych kontroli redakcyjnej oraz dla utworów artystycznych, satyrycznych i fikcyjnych, ale nie pozwala traktować każdej ludzkiej korekty jako automatycznego zwolnienia z obowiązku.

Które obowiązki AI Act obowiązują już teraz?

Okres obowiązywaniaZakres obowiązkówDotyczy
Od 2 lutego 2025 r.Zakazy z art. 5 (manipulacyjne techniki, scoring społeczny, biometria bez zgody)Wszystkie firmy stosujące AI
Od 2 lutego 2025 r.Szkolenie personelu w dziedzinie AIDostawcy i podmioty stosujące systemy AI
Od 2 sierpnia 2026 r.Oznaczanie treści generowanych przez AI (art. 50)Dostawcy i podmioty publikujące treści AI
Od 2 grudnia 2027 r.Wymogi dla systemów wysokiego ryzyka (zatrudnienie, edukacja, biometria, wymiar sprawiedliwości)Firmy stosujące AI w tych obszarach
Od 2 sierpnia 2028 r.AI będące produktem lub elementem bezpieczeństwa produktuProducenci produktów zawierających AI

Pięć kroków przygotowania do audytu AI Act

Krok 1: Inwentaryzacja wszystkich narzędzi AI

Pierwszym i najważniejszym krokiem jest zmapowanie wszystkich rozwiązań AI w firmie. Powinna to być lista obejmująca:

  • Narzędzia kupione centralnie (np. ChatGPT Business, Microsoft Copilot)
  • Funkcje AI dodane do używanych aplikacji (np. funkcja generowania raportów w CRM)
  • Rozwiązania tworzone wewnętrznie (boty do automatyzacji procesów)
  • Nieformalnie używane usługi generatywne (pracownicy sami korzystają z ChatGPT, Gemini)

Dla każdego przypadku trzeba ustalić: dostawcę, przeznaczenie, grupę użytkowników, rodzaj danych przetwarzanych, odbiorców wyniku i wpływ na decyzje dotyczące ludzi. Bez takiej mapy firma nie jest w stanie określić swojej roli jako dostawcy, podmiotu stosującego, importera lub dystrybutora.

Krok 2: Klasyfikacja ryzyka i wskazanie obowiązków

Na podstawie inwentaryzacji należy sklasyfikować każde narzędzie pod względem ryzyka. System używany do rekomendacji kredytów ma inny status niż generator tekstów marketingowych. Klasyfikacja determinuje konkretne obowiązki wynikające z AI Act.

Krok 3: Aktualizacja umów z dostawcami

Umowy powinny zapewniać dostęp do:

  • Dokumentacji technicznej i modelu ryzyka
  • Logów użycia i incydentów
  • Informacji o aktualizacjach i zmianach
  • Funkcji oznaczania treści
  • Możliwości audytu i weryfikacji

Krok 4: Procedury operacyjne

Należy opracować procedury obejmujące nadzór człowieka, zgłaszanie błędów, obsługę skarg i możliwość wycofania systemu. Szkolenie pracowników nie może być wyłącznie ogólnym webinarem — musi uwzględniać wiedzę techniczną, doświadczenie, kontekst użycia i osoby, wobec których system jest stosowany.

Krok 5: Dowody wykonania obowiązków

Firma powinna gromadzić i przechowywać:

  • Protokoły testów systemów
  • Rejestr szkoleń pracowników
  • Decyzje klasyfikacyjne
  • Dokumentację zmian i aktualizacji
  • Umowy z dostawcami

Co to oznacza dla Twojej małej firmy?

Przygotowanie do compliance’u AI Act nie jest jednorazowym zadaniem, ale procesem wymagającym systematycznej pracy. Dla małych i średnich przedsiębiorstw oznacza to konieczność zaangażowania co najmniej jednej osoby do koordynacji przygotowań, a dla większych firm — utworzenia zespołu do spraw AI governance.

Nie wystarczy czekać do sierpnia 2026 r. Zakazy z art. 5 AI Act (dotyczące manipulacyjnych technik, scoringu społecznego, biometrii) obowiązują już od lutego 2025 r. Dodatkowo, jeśli firma publikuje treści generowane przez AI, musi być gotowa do oznaczania ich od 2 sierpnia 2026 r.

Brak jasnej informacji o bocie lub fałszywym nagraniu może równolegle wywołać zarzuty naruszenia praw konsumentów, ochrony danych osobistych lub dóbr osobistych — niezależnie od kar wynikających z AI Act. Dlatego przygotowania powinny być motywowane nie tylko chęcią uniknięcia kar (do 15 mln euro lub 3% światowego obrotu dla dużych firm), ale przede wszystkim budowaniem zaufania klientów i zabezpieczeniem firmy przed wielowymiarowymi konsekwencjami braku compliance’u.

Na szczęście Komisja Europejska opublikowała 10 czerwca 2026 r. kodeks postępowania dotyczący oznaczania treści generowanych przez AI. Dokument opisuje praktyczne środki, z których mogą korzystać dostawcy i podmioty stosujące. Przystąpienie do kodeksu jest dobrowolne, ale wykonanie obowiązków z art. 50 pozostaje prawnie wiążące. Firma, która nie skorzysta z kodeksu, musi umieć wykazać adekwatność własnych rozwiązań.

Najczęstsze pytania

Kiedy wchodzą w życie obowiązki AI Act dla małych firm?

Zakazy z art. 5 AI Act obowiązują od 2 lutego 2025 r. Obowiązek oznaczania treści generowanych przez AI (art. 50) wchodzi w życie 2 sierpnia 2026 r. Część wymogów dla systemów wysokiego ryzyka przesunięto na 2 grudnia 2027 r. i 2 sierpnia 2028 r.

Czy musimy oznaczać każdy tekst wygenerowany przez ChatGPT?

Tak, jeśli publikujesz treści generowane przez AI pod własną marką lub przekazujesz je odbiorcy. Oznaczenie musi być w formacie czytelnym dla maszyn i przetrwać eksport, kompresję i edycję. Jeśli treść jest oczywista (np. chatbot na stronie), wymóg może być spełniony inaczej.

Jakie kary grożą za niespełnienie obowiązków AI Act?

Brak compliance'u z art. 50 może skutkować karą do 15 mln euro lub 3% światowego rocznego obrotu (dla MŚP niższe limity). Dodatkowo grożą zarzuty naruszenia RODO, praw konsumentów i ochrony danych osobistych.

Czy kodeks postępowania Komisji Europejskiej z czerwca 2026 r. zastępuje obowiązki ustawowe?

Nie. Kodeks postępowania jest dobrowolny, ale obowiązki z art. 50 AI Act są wiążące. Firma, która go nie stosuje, musi wykazać, że jej rozwiązania są adekwatne do wymogów prawa.

Od czego zacząć przygotowania do audytu AI Act?

Od inwentaryzacji wszystkich narzędzi AI w firmie (kupione, wbudowane w aplikacje, stworzone wewnętrznie, nieformalne usługi generatywne). Dla każdego określ dostawcę, przeznaczenie, grupę użytkowników i wpływ na decyzje dotyczące ludzi.

Na podstawie: Forsal.pl. Tekst opracowany redakcyjnie.