AI Act w Polsce to temat, który dotyczy każdej firmy korzystającej z narzędzi sztucznej inteligencji — niezależnie od branży i wielkości. Rozporządzenie (UE) 2024/1689, znane jako Akt o sztucznej inteligencji, weszło w życie 1 sierpnia 2024 roku, a kluczowe obowiązki są wdrażane etapami aż do 2027 roku. Tymczasem według GUS „Społeczeństwo informacyjne w Polsce 2025” ponad 34% polskich przedsiębiorstw już korzysta z AI — w większości bez formalnych procedur i dokumentacji.
Dla polskich firm to moment, który wymaga działania: nie za rok, nie za kwartał, ale teraz.
À retenir
- AI Act obowiązuje bezpośrednio w Polsce — nie wymaga transpozycji do prawa krajowego
- Artykuł 4 wymaga zapewnienia kompetencji AI u wszystkich pracowników korzystających z systemów AI (od 2 lutego 2025)
- Kary sięgają 35 mln euro lub 7% globalnego obrotu za najpoważniejsze naruszenia
- Ministerstwo Cyfryzacji i UODO koordynują nadzór nad AI Act w Polsce
Zobacz także nasz kompletny przewodnik po AI Act — 7 szczegółowych rozdziałów.
Czym jest AI Act i dlaczego dotyczy polskich firm
Rozporządzenie, nie dyrektywa
AI Act to rozporządzenie unijne, co oznacza, że obowiązuje bezpośrednio we wszystkich państwach członkowskich — w tym w Polsce. Nie wymaga osobnej ustawy implementacyjnej. Każda polska firma, która wdraża, rozwija lub korzysta z systemów AI na terenie UE, podlega tym przepisom.
Regulacja AI w Europie opiera się na podejściu opartym na ryzyku. Systemy AI są klasyfikowane w czterech kategoriach:
- Niedopuszczalne ryzyko — systemy zakazane (np. social scoring, manipulacja podprogowa)
- Wysokie ryzyko — systemy wymagające pełnej dokumentacji, oceny zgodności i nadzoru ludzkiego (np. AI w rekrutacji, ocenie zdolności kredytowej, diagnostyce medycznej)
- Ograniczone ryzyko — systemy z obowiązkami transparentności (np. chatboty, deepfake)
- Minimalne ryzyko — bez dodatkowych wymogów (np. filtry antyspamowe, rekomendacje produktów)
85%
polskich firm korzystających z AI używa systemów o minimalnym lub ograniczonym ryzyku — ale nawet one muszą spełnić wymóg kompetencji z Artykułu 4
Source : PARP, Raport AI w polskich przedsiębiorstwach 2025
Artykuł 4: obowiązek kompetencji AI
Artykuł 4 to przepis, który dotyczy absolutnie wszystkich firm korzystających z AI — niezależnie od kategorii ryzyka systemu. Nakłada on obowiązek zapewnienia „wystarczającego poziomu kompetencji w zakresie AI” u każdego pracownika, który ma kontakt z systemami sztucznej inteligencji.
Ten poziom kompetencji musi być dostosowany do:
- Wiedzy technicznej pracownika
- Doświadczenia zawodowego i wykształcenia
- Kontekstu użycia — w jakim celu i w jakim procesie system AI jest wykorzystywany
W praktyce oznacza to, że dyrektor finansowy korzystający z AI do prognoz cash flow i asystentka biurowa używająca ChatGPT do pisania maili potrzebują różnych programów szkoleniowych — ale oba muszą być udokumentowane.
Artykuł 4 obowiązuje od 2 lutego 2025 roku. To nie przyszły wymóg — to aktualne prawo. Firmy, które nie zapewniają kompetencji AI swoim pracownikom, już teraz naruszają rozporządzenie.
Harmonogram wdrażania AI Act
AI Act nie wchodzi w życie jednocześnie. Kluczowe daty dla polskich firm:
| Data | Obowiązek |
|---|---|
| 1 sierpnia 2024 | Wejście w życie rozporządzenia |
| 2 lutego 2025 | Zakaz systemów AI o niedopuszczalnym ryzyku + obowiązek kompetencji AI (Art. 4) |
| 2 sierpnia 2025 | Obowiązki dla modeli AI ogólnego przeznaczenia (GPAI) |
| 2 sierpnia 2026 | Pełne stosowanie przepisów dla systemów AI wysokiego ryzyka |
| 2 sierpnia 2027 | Przepisy dla systemów AI wbudowanych w produkty objęte innymi regulacjami UE |
Dla większości polskich firm najważniejsze daty to luty 2025 (kompetencje — już obowiązuje) i sierpień 2026 (systemy wysokiego ryzyka).
Nadzór nad AI Act w Polsce
UODO i Ministerstwo Cyfryzacji
W Polsce nadzór nad stosowaniem AI jest koordynowany przez dwie instytucje:
UODO (Urząd Ochrony Danych Osobowych) — od 2024 roku rozszerzył kompetencje o kwestie AI w kontekście RODO. Kontroluje przetwarzanie danych osobowych przez systemy sztucznej inteligencji i wymaga od firm przeprowadzania ocen skutków dla ochrony danych (DPIA) przy wdrażaniu AI.
Ministerstwo Cyfryzacji — pracuje nad wyznaczeniem dedykowanego organu nadzorczego ds. AI, zgodnie z wymogami Art. 70 rozporządzenia. Organ ten powinien być operacyjny w 2026 roku. W okresie przejściowym Ministerstwo koordynuje działania informacyjne i konsultacyjne.
Dodatkowo, Polska Strategia AI zaktualizowana w 2025 roku wskazuje na konieczność budowania kompetencji AI w sektorze publicznym i prywatnym jako priorytet krajowy.
15 mln €
kara za naruszenie Artykułu 4 — lub 3% globalnego rocznego obrotu firmy, w zależności od tego, która kwota jest wyższa
Source : Rozporządzenie (UE) 2024/1689, Art. 99
Kary i sankcje
AI Act wprowadza trzy poziomy kar administracyjnych:
- Do 35 mln euro lub 7% obrotu — za stosowanie zakazanych systemów AI
- Do 15 mln euro lub 3% obrotu — za naruszenie większości obowiązków, w tym Artykułu 4 (kompetencje AI)
- Do 7,5 mln euro lub 1% obrotu — za dostarczanie nieprawdziwych informacji organom nadzorczym
Dla MŚP i startupów rozporządzenie przewiduje proporcjonalne podejście — kary mają uwzględniać wielkość i zasoby firmy. Nie oznacza to jednak zwolnienia z obowiązków.
UODO zaleca dokumentowanie wszelkich działań szkoleniowych i organizacyjnych związanych z AI. Taka dokumentacja stanowi dowód staranności (due diligence) i znacząco wzmacnia pozycję firmy w przypadku kontroli lub audytu.
Co musi zrobić polska firma: praktyczny plan zgodności
Krok 1: Inwentaryzacja systemów AI
Zmapuj wszystkie systemy AI używane w organizacji — od licencjonowanych platform (Copilot, ChatGPT Team, Gemini) po narzędzia AI wykorzystywane przez pracowników na własną rękę. Zjawisko shadow AI dotyczy ponad 60% polskich firm i stanowi realne ryzyko naruszenia przepisów.
Krok 2: Klasyfikacja ryzyka
Dla każdego zidentyfikowanego systemu określ kategorię ryzyka według AI Act. Systemy wysokiego ryzyka (np. AI w HR, ocenie kredytowej, diagnostyce) wymagają:
- Systemu zarządzania ryzykiem
- Dokumentacji technicznej
- Logowania i monitoringu
- Nadzoru ludzkiego
- Oceny zgodności
Krok 3: Program kompetencji AI
Zbuduj program szkoleniowy dostosowany do ról w organizacji. Obejmuje on:
- Kadrę zarządzającą — governance AI, odpowiedzialność prawna, strategia
- Pracowników operacyjnych — bezpieczne korzystanie z AI, ochrona danych, rozpoznawanie halucynacji
- Dział IT i bezpieczeństwa — ocena ryzyka technicznego, monitoring systemów AI
- Dział prawny i compliance — interpretacja AI Act, dokumentacja zgodności
Krok 4: Polityka AI i dokumentacja
Opracuj wewnętrzną politykę korzystania z AI, która określa:
- Dozwolone narzędzia i przypadki użycia
- Zasady przetwarzania danych (zgodność z RODO)
- Procedury zgłaszania incydentów
- Odpowiedzialność za nadzór i aktualizację
Krok 5: Monitoring i ciągłe doskonalenie
AI Act to nie jednorazowy projekt — to proces ciągły. Sztuczna inteligencja w firmie wymaga regularnej aktualizacji szkoleń, przeglądu polityk i monitorowania nowych wytycznych od UODO i Ministerstwa Cyfryzacji.
AI Act a inne polskie regulacje
AI Act nie działa w próżni. Polskie firmy muszą uwzględnić powiązania z:
- RODO — każde przetwarzanie danych osobowych przez AI wymaga podstawy prawnej, a systemy profilujące wymagają DPIA
- Kodeks pracy — stosowanie AI do monitoringu pracowników lub oceny wydajności podlega dodatkowym ograniczeniom
- Ustawa o krajowym systemie cyberbezpieczeństwa — systemy AI w infrastrukturze krytycznej podlegają wymogom bezpieczeństwa
- KPO (Krajowy Plan Odbudowy) — zawiera środki na cyfryzację MŚP, w tym dotacje na wdrożenie AI zgodnie z europejskimi standardami
Zacznij przygotowania teraz
AI Act w Polsce to nie odległa perspektywa — kluczowe obowiązki już obowiązują. Firmy, które rozpoczną przygotowania teraz, zyskują nie tylko zgodność z prawem, ale i przewagę konkurencyjną: udokumentowane kompetencje AI budują zaufanie klientów, partnerów i regulatorów.
Brain pomaga polskim firmom osiągnąć zgodność z AI Act: adaptacyjne moduły szkoleniowe dostosowane do stanowiska, dokumentacja kompetencji spełniająca wymogi Artykułu 4 i wsparcie w budowaniu polityki AI. Od audytu do pełnej zgodności w kilka tygodni.