Administracja i Back-office

AI Act dla małych firm: 5 pułapek i jak ich uniknąć

Rozporządzenie AI Act dotyczy także małych firm. Poznaj pięć głównych pułapek: niezarejestrowane narzędzia, brak informacji dla klientów, naruszenia RODO…

Redakcja · 11 lipca 2026
Wooden letter tiles spelling 'Regulation' on a textured wood background, conveying themes of compliance and structure.
Fot. Markus Winkler / Pexels · Pexels License

Rozporządzenie AI Act zobowiązuje wszystkie firmy — w tym małe — do zgodności z nowymi regułami, ale większość właścicieli nie wie, ile systemów AI już używa. Problem pojawia się poza oficjalnymi zakupami: pracownicy zakładają konta w publicznych generatorach tekstu, tworzą grafiki, podsumowują umowy i analizują dane bez wiedzy kierownictwa. To pierwsza z pięciu głównych pułapek, które grożą małym firmom karami, wyciekami danych i utratą zaufania klientów.

Pułapka 1: Niezarejestrowane narzędzia AI

Najczęstszy problem w małych firmach to brak kontroli nad tym, jakie systemy przetwarzają dane. Wtyczki AI pojawiają się w programach biurowych, systemach sprzedażowych i aplikacjach do rekrutacji — właściciel firmy może nie wiedzieć, ile narzędzi zbiera informacje o klientach i dokumenty wewnętrzne.

Inwentaryzacja powinna wskazać:

  • Nazwę narzędzia i dostawcę
  • Użytkowników w firmie
  • Cel zastosowania
  • Kategorie przetwarzanych danych
  • Rodzaj generowanych wyników
  • Czy wynik wpływa na decyzję dotyczącą człowieka

Firma musi też ustalić swoją rolę. Najczęściej będzie podmiotem stosującym, ale jeśli rozwija system pod własną nazwą, istotnie go modyfikuje albo zmienia przewidziane przeznaczenie, może przejąć obowiązki dostawcy. Zacznij od krótkiego rejestru — nie potrzebujesz rozbudowanego systemu, jeśli używasz dwóch prostych narzędzi, ale musisz mieć dowody, że świadomie oceniłeś ryzyko.

Pułapka 2: Brak informacji dla klientów o chatbotach

Od 2 sierpnia 2026 r. użytkownik powinien zostać poinformowany, że bezpośrednio komunikuje się z systemem AI — chyba że jest to oczywiste. Obowiązek dotyczy chatbota w małym sklepie internetowym, voicebota umawiającego wizyty w salonie lub wirtualnego doradcy odpowiadającego klientom biura rachunkowego.

Kluczowe zasady:

  • Informacja powinna pojawić się najpóźniej przy pierwszej interakcji
  • Nie wystarczy ukryć ją w regulaminie
  • Musi być czytelna i dostępna
  • Dotyczy wszystkich materiałów generowanych lub manipulowanych przez AI, które służą informowaniu opinii publicznej

Mała agencja marketingowa, lokalny portal lub firma prowadząca profil informacyjny nie może zakładać, że regulacja dotyczy wyłącznie dużych platform. Jeśli publikujesz treści z pomocą narzędzia AI, musisz zachować proces pozwalający ustalić, kiedy użyto AI, kto zweryfikował wynik i czy techniczne oznaczenie nie zostało usunięte podczas obróbki.

Pułapka 3: Naruszenia RODO przy zbieraniu danych przez boty

Jeżeli bot zbiera dane osobowe, przedsiębiorca musi równolegle wykonać obowiązki z RODO. Nie wystarczy kupić gotową usługę — musisz:

  • Określić podstawę przetwarzania danych
  • Ustalić zakres informacji i czas przechowywania
  • Wskazać odbiorców danych
  • Wybrać właściwego procesora
  • Zawrzeć odpowiednią umowę
  • Sprawdzić, czy dane nie są wykorzystywane w nieuzgodnionym celu

Zakup gotowego rozwiązania nie zwalnia cię z tych obowiązków. Ryzyko wykracza poza AI Act i obejmuje również tajemnicę przedsiębiorstwa, obowiązek poufności i prawa autorskie.

Pułapka 4: Zakazane praktyki w rekrutacji i ocenie pracowników

Rozpoznawanie emocji w miejscu pracy i podczas rekrutacji jest zakazane od 2 lutego 2025 r., z wąskimi wyjątkami medycznymi i bezpieczeństwa. Mała firma nie może używać programu analizującego mimikę lub głos kandydata w celu ustalenia pewności siebie tylko dlatego, że dostawca oferuje funkcję w tanim abonamencie.

Narzędzia filtrujące CV, punktujące kandydatów, przydzielające zadania i oceniające wydajność mogą należeć do systemów wysokiego ryzyka. Szczegółowe obowiązki tej kategorii mają być stosowane od 2 grudnia 2027 r., ale już teraz obowiązują przepisy prawa pracy, RODO i zakaz dyskryminacji. Dostępność produktu nie przesądza o legalności zastosowania.

Pułapka 5: Wycieki danych przez pracowników

Pracownik może wkleić do generatora dane klienta, projekt umowy, kod źródłowy lub nieopublikowany cennik. Ryzyko obejmuje RODO, tajemnicę przedsiębiorstwa, obowiązek poufności i prawa autorskie.

Firma potrzebuje zasad określających:

  • Dozwolone narzędzia
  • Rodzaje danych, które można przetwarzać
  • Sposób anonimizacji informacji
  • Przypadki wymagające akceptacji kierownictwa

Zakaz używania wszystkich publicznych modeli bywa trudny do egzekwowania, jeśli przedsiębiorstwo nie zapewnia bezpiecznej alternatywy. Skuteczna polityka powinna łączyć ograniczenia z praktycznym szkoleniem i kontrolą konfiguracji. Obowiązek zapewniania odpowiednich kompetencji w zakresie AI obowiązuje od 2 lutego 2025 r. i dotyczy także mniejszych organizacji — zakres szkolenia powinien odpowiadać ryzyku i zadaniom personelu.

Harmonogram zmian i terminy kluczowe

TerminObowiązekDotyczy
2 lutego 2025 r.Zakaz rozpoznawania emocji; obowiązek szkolenia personeluWszystkie firmy
2 sierpnia 2026 r.Informowanie użytkowników o komunikacji z AIChatboty, voiceboty, systemy interaktywne
2 grudnia 2027 r.Szczegółowe obowiązki dla systemów wysokiego ryzykaNarzędzia do rekrutacji, oceny pracowników

Co to oznacza dla małej firmy?

Rozporządzenie zobowiązuje państwa do zapewnienia MŚP, w tym start-upom, priorytetowego dostępu do piaskownic regulacyjnych, działań informacyjnych, specjalnych kanałów komunikacji i odpowiedniego wsparcia. Opłaty za ocenę zgodności mają uwzględniać wielkość, rynek i inne istotne wskaźniki, aby nie tworzyć nieproporcjonalnych barier.

Konstrukcja kar jest też bardziej łagodna dla małych firm. Dla dużego przedsiębiorstwa maksymalny pułap jest wyższą z kwoty w euro i procentu światowego obrotu. Dla MŚP górną granicę stanowi niższa z tych wartości — za zakazaną praktykę maksymalnie 35 mln euro lub 7% obrotu (dla dużych firm to 40 mln lub 10%). Analogiczne zasady dotyczą niższych progów kar.

Praktyczne kroki do podjęcia:

  1. Zacznij od rejestru — lista wszystkich narzędzi AI z nazwą, dostawcą, użytkownikami i celem
  2. Oznacz zastosowania — które systemy dotyczą klientów, pracowników, decyzji finansowych
  3. Wskaż odpowiedzialnych — dla każdego systemu określ osobę odpowiedzialną, dopuszczalne dane, zasady weryfikacji wyniku
  4. Popraw komunikaty — chatboty i publikacje przed 2 sierpnia 2026 r.
  5. Przejrzyj umowy — z dostawcami narzędzi AI

Firma nie potrzebuje rozbudowanego komitetu, jeśli używa dwóch prostych narzędzi. Potrzebuje jednak dowodów, że świadomie oceniła ryzyko. Krótka, aktualizowana dokumentacja, jasne uprawnienia i szkolenie personelu są bardziej użyteczne niż obszerny regulamin, którego nikt nie stosuje.

Najczęstsze pytania

Czy AI Act dotyczy małych firm i start-upów?

Tak, dotyczy. Rozporządzenie zobowiązuje wszystkie firmy do zgodności, ale przewiduje ulgi dla MŚP: niższe kary (maksymalnie 35 mln euro lub 7% obrotu zamiast 40 mln lub 10%), priorytetowy dostęp do piaskownic regulacyjnych i wsparcie informacyjne.

Jakie narzędzia AI muszę zarejestrować?

Wszystkie systemy przetwarzające dane klientów lub dokumenty wewnętrzne: chatboty, generatory tekstu, narzędzia do analizy CV, voiceboty, wtyczki w programach biurowych. Zacznij od prostego rejestru z nazwą narzędzia, dostawcą, użytkownikami i celem.

Co się stanie, jeśli pracownik wklei dane klienta do ChatGPT?

Naruszysz RODO, tajemnicę przedsiębiorstwa i obowiązek poufności. Firma powinna określić dozwolone narzędzia, rodzaje danych i procedury — oraz zapewnić bezpieczną alternatywę zamiast całkowitego zakazu.

Czy mogę używać AI do analizy emocji kandydatów w rekrutacji?

Nie. Rozpoznawanie emocji w miejscu pracy i podczas rekrutacji jest zakazane od 2 lutego 2025 r., z wąskimi wyjątkami medycznymi i bezpieczeństwa. Dostępność produktu nie przesądza o legalności.

Ile czasu mam na dostosowanie się do AI Act?

Kluczowe terminy: 2 lutego 2025 r. (zakaz rozpoznawania emocji, obowiązek szkolenia), 2 sierpnia 2026 r. (obowiązek informowania o AI), 2 grudnia 2027 r. (szczegółowe obowiązki dla systemów wysokiego ryzyka).

Na podstawie: Dziennik.pl. Tekst opracowany redakcyjnie.