Czym jest AI Act?

AI Act to pierwsze kompleksowe rozporządzenie Unii Europejskiej regulujące wykorzystanie sztucznej inteligencji. Choć przepisy weszły w życie już wcześniej, większość kluczowych obowiązków zacznie obowiązywać od 2 sierpnia 2026 roku. Nowe regulacje obejmą: firmy tworzące systemy AI, przedsiębiorców wdrażających rozwiązania AI, a także podmioty korzystające ze sztucznej inteligencji w codziennej działalności. W praktyce AI Act może dotyczyć m.in.: działów HR korzystających z AI do rekrutacji, sklepów internetowych używających chatbotów, kancelarii, software house’ów, firm marketingowych, banków, a nawet małych firm automatyzujących część procesów przy pomocy AI.

Dlaczego wiele firm nie jest gotowych na AI Act?

Jednym z największych problemów jest brak świadomości dotyczącej nowych obowiązków. Wielu przedsiębiorców nadal zakłada, że AI Act będzie dotyczył wyłącznie największych firm technologicznych. Tymczasem przepisy mogą objąć praktycznie każdą organizację wykorzystującą AI do: analizy danych, automatyzacji procesów, rekrutacji, oceny klientów, monitorowania pracowników, czy podejmowania automatycznych decyzji. W praktyce wiele firm dopiero teraz odkrywa, że: pracownicy korzystają z ChatGPT bez wewnętrznych procedur, AI analizuje CV kandydatów, chatboty przetwarzają dane klientów, a narzędzia marketingowe profilują użytkowników. To właśnie brak procedur i kontroli nad wykorzystywaniem AI może stać się jednym z największych problemów po wejściu nowych regulacji.

Jakie obowiązki firmy powinny wdrożyć?

1. Inwentaryzacja systemów AI

Pierwszym krokiem powinno być ustalenie: jakie narzędzia AI są używane w firmie, kto z nich korzysta, jakie dane są przetwarzane, oraz czy system podejmuje automatyczne decyzje. To właśnie od rodzaju i sposobu wykorzystania AI zależy poziom obowiązków wynikających z AI Act.

2. Ocena ryzyka wykorzystywanej AI

AI Act wprowadza podział systemów AI według poziomu ryzyka: minimalnego, ograniczonego, wysokiego, oraz zakazanego. Najbardziej rygorystyczne obowiązki będą dotyczyć systemów wysokiego ryzyka, np. wykorzystywanych do: rekrutacji, oceny pracowników, scoringu klientów, ochrony zdrowia, edukacji, czy analizy zachowań użytkowników. Firmy powinny więc przeprowadzić ocenę ryzyka oraz określić, czy używane rozwiązania AI podlegają dodatkowym obowiązkom compliance.

3. Wdrożenie procedur i dokumentacji

Nowe przepisy wymagają również odpowiedniej dokumentacji związanej z wykorzystywaniem AI. W praktyce firmy powinny przygotować: politykę korzystania z AI, procedury bezpieczeństwa, zasady nadzoru człowieka nad AI, dokumentację ryzyk, rejestr używanych systemów AI, oraz procedury reagowania na incydenty. Coraz częściej mówi się również o konieczności wdrożenia tzw. AI Governance, czyli systemowego zarządzania sztuczną inteligencją w organizacji.

4. Szkolenia pracowników

Wiele organizacji nadal pomija kwestie edukacji pracowników w zakresie korzystania z AI. Tymczasem odpowiedzialność za nieprawidłowe wykorzystanie sztucznej inteligencji może dotyczyć również pracodawcy. Szkolenia powinny obejmować m.in.: zasady bezpiecznego korzystania z AI, ochronę danych, ryzyka związane z AI, oraz wewnętrzne procedury obowiązujące w firmie. Szczególnie istotne jest uregulowanie korzystania z narzędzi takich jak ChatGPT w codziennej pracy.

5. Zgodność z RODO

Firmy korzystające ze sztucznej inteligencji nadal muszą przestrzegać przepisów RODO. Największe problemy pojawiają się wtedy, gdy: dane klientów trafiają do zewnętrznych narzędzi AI, AI analizuje dane osobowe, systemy profilują użytkowników, albo dochodzi do automatycznego podejmowania decyzji. W niektórych przypadkach konieczne może być także przeprowadzenie oceny skutków dla ochrony danych (DPIA).

Jakie kary przewiduje AI Act?

AI Act przewiduje wysokie sankcje finansowe za naruszenie nowych obowiązków. Najwyższe kary mogą wynosić nawet: 35 mln EUR lub 7% globalnego obrotu w zależności od rodzaju naruszenia oraz skali działalności przedsiębiorcy. Choć największe sankcje prawdopodobnie będą dotyczyć dużych organizacji, również średnie firmy powinny przygotować się na konieczność wykazania zgodności z AI Act.

Czy każda firma korzystająca z ChatGPT podlega AI Act?

Nie zawsze w takim samym zakresie. Wszystko zależy od: sposobu wykorzystania AI, rodzaju przetwarzanych danych, poziomu ryzyka, oraz wpływu systemu na użytkowników i pracowników. Przykładowo: korzystanie z ChatGPT do tworzenia treści marketingowych zwykle wiąże się z niższym ryzykiem, jednak wykorzystanie AI do oceny kandydatów do pracy może podlegać znacznie bardziej rygorystycznym obowiązkom. Najbezpieczniejszym rozwiązaniem jest rozpoczęcie przygotowań jeszcze przed sierpniem 2026 roku. W praktyce warto: przeprowadzić audyt wykorzystywanej AI, stworzyć listę używanych narzędzi, wdrożyć politykę korzystania z AI, przeszkolić pracowników, sprawdzić zgodność z RODO, przygotować procedury compliance i dokumentację. Firmy, które zaczną działać dopiero po wejściu nowych przepisów w życie, mogą mieć problem z szybkim dostosowaniem się do nowych obowiązków.

AI Act 2026 będzie jedną z największych zmian prawnych dotyczących nowych technologii i sztucznej inteligencji w biznesie. Choć wiele firm nadal traktuje AI jako zwykłe narzędzie wspierające pracę, nowe przepisy pokazują, że korzystanie ze sztucznej inteligencji będzie wymagało odpowiednich procedur, dokumentacji i kontroli. Największe znaczenie będą miały: zgodność z AI Act, bezpieczeństwo danych, odpowiednie procedury wewnętrzne, oraz świadome korzystanie z AI przez pracowników. Dla wielu przedsiębiorców najbliższe miesiące będą więc czasem przygotowań do jednej z najważniejszych zmian regulacyjnych w obszarze nowych technologii.

Jeśli potrzebujesz wsparcia eksperta w tym zakresie prześlij swoje zapytanie poprzez formularz, nasi eksperci zweryfikują je i zaproponują odpowiednie rozwiązanie.